Domains

Domains sind hochrangige Container für Projekte, Benutzer und Gruppen. Als solche können sie verwendet werden, um alle Keystone-basierten Identitätskomponenten zentral zu verwalten. Mit der Einführung von Account-Domains können Server-, Speicher- und andere Ressourcen nun logisch in mehrere Projekte (bisher Tenants) gruppiert werden, die selbst unter einem Master-Account-Container gruppiert werden können. Darüber hinaus können mehrere Benutzer innerhalb einer Account-Domäne verwaltet und Rollen zugeordnet werden, die für jedes Projekt variieren.

Die Identity V3 API unterstützt mehrere Domains. Benutzer von verschiedenen Domänen können in verschiedenen Authentifizierungs-Backends dargestellt werden und haben sogar unterschiedliche Attribute, die auf einen einzelnen Satz von Rollen und Berechtigungen abgebildet werden müssen, die in den Richtliniendefinitionen verwendet werden, um auf die verschiedenen Dienstressourcen zuzugreifen.

Wenn eine Regel den Zugang zu nur Admin-Nutzern und Nutzern des Tenants spezifiziert, kann die Zuordnung trivial sein. In anderen Szenarien muss der Cloud-Administrator die Mapping-Routinen pro Tenant genehmigen.

Domänenspezifische Authentifizierungstreiber ermöglichen es, den Identity- Dienst für mehrere Domänen mit domänenspezifischen Konfigurationsdateien zu konfigurieren. Die Aktivierung der Treiber und die Einstellung der domänenspezifischen Konfigurationsdateiposition erfolgen im ``[identity] ``

[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /etc/keystone/domains

Alle Domains ohne domänenspezifische Konfigurationsdatei verwenden Optionen in der primären ``keystone.conf``Datei.