4.4. 使用外部身份提供程序进行身份验证
您可以使用外部身份提供程序(IdP)向 OpenStack 服务提供商(SP)进行身份验证。SPS 是 OpenStack 云提供的服务。
当您使用单独的 IdP 时,外部身份验证凭证与其他 OpenStack 服务使用的数据库分开。这种分离降低了存储凭证中断的风险。
每个外部 IdP 都有一个一对一的映射到 OpenStack Identity 服务(keystone)域。您可以在 Red Hat OpenStack Platform 中有多个已存在的域。
外部身份验证提供了一种使用现有凭证访问 Red Hat OpenStack Platform 中的资源的方法,而无需创建额外的身份。该凭证由用户的 IdP 维护。
您可以使用 Red Hat Identity Management (IdM)和 Microsoft Active Directory Domain Services (AD DS)等 IdP 进行身份管理。在此配置中,OpenStack Identity 服务对 LDAP 用户数据库具有只读访问权限。对基于用户或组角色的 API 访问的管理由 keystone 执行。角色通过使用 OpenStack Identity 服务分配给 LDAP 帐户。
4.4.1. LDAP 集成如何工作
在下图中,Pcloud 使用加密的 LDAPS 连接连接到 Active Directory 域控制器。当用户登录到 horizon 时,keystone 会收到提供的用户凭证并将其传递给 Active Directory。
