场景 - 配置 Keystone 联合身份验证

Keystone 的联合身份验证可以以两种方式使用

• 支持 Keystone 作为服务提供商 (SP)：消费由外部身份提供商发出的身份断言，例如 SAML 断言或 OpenID Connect 声明。

• 支持 Keystone 作为身份提供商 (IdP)：代表服务提供商满足身份验证请求。

  重要提示

  一个 Keystone 充当 SP 消费来自另一个 Keystone 充当 IdP 的身份也是可能的。 这将在本文档中进一步讨论。

在 Keystone 联合身份验证中，IdP 和 SP 安全地交换信息，以便 IdP 云上的用户可以访问 SP 云上的资源。

以下步骤描述了如何设置联合身份验证

1. 配置 Keystone SP。

2. 配置 IdP

   • 配置 Keystone 作为 IdP。

   • 配置 Active Directory Federation Services (ADFS) 3.0 作为 IdP。

3. 配置服务提供商

   • 配置 Keystone 作为联合身份验证服务提供商。

   • 配置 Keystone 映射。

4. 运行身份验证包装器以使用 Keystone-as-a-Service-Provider 联合身份验证。

• 配置 keystone-to-keystone 联合身份验证
  • Keystone-to-keystone 联合身份验证包装器
• 将 keystone 配置为联合服务提供商
  • 使用 keystone_sp 进行服务提供商配置
  • 使用 Shibboleth 进行 SAML 服务提供商配置
  • 使用 Shibboleth 进行 keystone-to-keystone (k2k) 服务提供商配置
  • 使用 mod_auth_openidc 进行 OIDC 服务提供商配置
• 将 keystone 配置为联合身份提供商
  • 将 ADFS 3.0 配置为身份提供商
  • 配置 ADFS
• 配置 keystone 映射
  • Keystone 联合身份验证属性映射