配置 Keystone¶
身份源¶
在配置 Keystone 时,您需要做出的最具影响力的决定之一是确定希望 Keystone 如何获取身份数据。Keystone 支持几种不同的选择,这些选择将实质性地影响您配置、部署和与 Keystone 的交互方式。
您还可以混合搭配各种身份源(请参阅 领域特定配置 以获取示例)。例如,您可以将 OpenStack 服务用户及其密码存储在 SQL 中,在 LDAP 中管理客户,并通过 SAML 联合身份验证员工。
摘要
| 特性 | 状态 | LDAP | OAuth v1.0a | OpenID Connect | REMOTE_USER | SAML v2 | SQL |
|---|---|---|---|---|---|---|---|
| 本地身份验证 | 可选 | ✔ |
✔ |
✖ |
✖ |
✖ |
✔ |
| 外部身份验证 | 可选 | ✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
| 身份管理 | 可选 | ✔ |
✔ |
✖ |
✖ |
✖ |
✔ |
| PCI-DSS 控制 | 可选 | ✔ |
✖ |
✖ |
✔ |
✖ |
✔ |
| 审计 | 可选 | ✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
细节
- 本地身份验证
状态:可选。
注意:通过直接向 Keystone 提供凭据来使用 Keystone 进行身份验证。
驱动程序支持
- LDAP:
完成 - OAuth v1.0a:
完成 - OpenID Connect:
缺失 - REMOTE_USER:
缺失 - SAML v2:
缺失 - SQL:
完成
- LDAP:
- 外部身份验证
状态:可选。
注意:通过向 Keystone 信任的外部系统提供凭据来使用 Keystone 进行身份验证(如联合身份验证)。
驱动程序支持
- LDAP:
缺失 - OAuth v1.0a:
缺失 - OpenID Connect:
完成 - REMOTE_USER:
完成 - SAML v2:
完成 - SQL:
缺失
- LDAP:
- 身份管理
状态:可选。
注意:通过 Keystone 的 HTTP API 创建、更新、启用/禁用和删除用户。
驱动程序支持
- LDAP:
部分 - OAuth v1.0a:
完成 - OpenID Connect:
缺失 - REMOTE_USER:
缺失 - SAML v2:
缺失 - SQL:
完成
- LDAP:
- PCI-DSS 控制
状态:可选。
注意:配置 Keystone 以强制执行符合 PCI-DSS 的安全控制。
驱动程序支持
- LDAP:
部分 - OAuth v1.0a:
缺失 - OpenID Connect:
缺失 - REMOTE_USER:
部分 - SAML v2:
缺失 - SQL:
完成
- LDAP:
- 审计
状态:可选。
注意:使用 PyCADF 审计身份验证流程。
驱动程序支持
- LDAP:
完成 - OAuth v1.0a:
缺失 - OpenID Connect:
完成 - REMOTE_USER:
缺失 - SAML v2:
完成 - SQL:
完成
- LDAP:
说明
- 本文档是一个持续进行中的工作
