4.5. 使用外部身份提供程序进行身份验证
您可以使用外部身份提供程序(IdP)向 OpenStack 服务提供程序(SP)进行身份验证。SPS 是由 OpenStack 云提供的服务。
当您使用单独的 IdP 时,外部验证凭证会独立于其他 OpenStack 服务使用的数据库。这种分离降低了存储凭证的风险。
每个外部 IdP 都有一个到 OpenStack Identity 服务(keystone)域的一对一映射。您可以在 Red Hat OpenStack Platform 中有多个已存在的域。
外部身份验证提供了一种方式,可以在不创建额外的身份的情况下使用现有凭证访问 Red Hat OpenStack Platform 中的资源。凭证由用户的 IdP 维护。
您可以使用 Red Hat Identity Management (IdM)和 Microsoft Active Directory 域服务(AD DS)等 IdP 进行身份管理。在此配置中,OpenStack Identity 服务对 LDAP 用户数据库具有只读访问权限。基于用户或组角色的 API 访问管理由 keystone 执行。使用 OpenStack Identity 服务将角色分配给 LDAP 帐户。
4.5.1. LDAP 集成如何工作
在下图中,keystone 使用加密的 LDAPS 连接来连接到 Active Directory 域控制器。当用户登录到 horizon 时,keystone 会收到提供的用户凭证并将其传递给 Active Directory。