4.4. 使用外部身份提供程序进行身份验证

您可以使用外部身份提供程序(IdP)向 OpenStack 服务提供程序(SP)进行身份验证。SPS 是 OpenStack 云提供的服务。

当您使用单独的 IdP 时，外部身份验证凭据与其它 OpenStack 服务使用的数据库分开。这种分离会降低存储凭证破坏的风险。

每个外部 IdP 都有一个一对一的映射到 OpenStack Identity 服务(keystone)域。您可以将多个现有域与红帽 OpenStack 平台共存。

外部身份验证提供了一种方式，可以在不创建额外的身份的情况下使用现有凭证访问 Red Hat OpenStack Platform 中的资源。凭证由用户的 IdP 维护。

您可以使用 Red Hat Identity Management (IdM)和 Microsoft Active Directory Domain Services (AD DS)等 IdP 进行身份管理。在此配置中，OpenStack Identity 服务对 LDAP 用户数据库具有只读访问权限。基于用户或组角色的 API 访问管理由 keystone 执行。使用 OpenStack Identity 服务将角色分配给 LDAP 帐户。

4.4.1. LDAP 集成的工作方式

复制链接

在下图中，keystone 使用加密的 LDAPS 连接连接到 Active Directory 域控制器。当用户登录到 horizon 时，keystone 会收到提供的用户凭证，并将它们传递给 Active Directory。

View larger image