ドメイン¶
ドメインはプロジェクト、ユーザー、グループの高いレベルでのコンテナーです。そのように、すべての keystone ベースの識別コンポーネントを一元的に管理するために使用されます。アカウントドメインを導入すると、サーバー、ストレージ、他のリソースは複数のプロジェクト (以前はテナントと呼ばれていました) の中で論理的にグループ化できます。これは、アカウントのようなマスターコンテナーの下でグループ化できます。さらに、複数のユーザーがアカウントドメインの中で管理でき、各プロジェクトで変化するロールを割り当てられます。
Identity V3 API はマルチドメインをサポートします。異なるドメインのユーザーは、異なる認証バックエンドで表現され、単一セットのロールと権限にマッピングされる異なる属性を持ちます。これらはさまざまなサービスリソースにアクセスするために、ポリシー定義で使用されます。
ルールにより管理ユーザーとテナントに所属するユーザーのみにアクセス権を設定されるかもしれないため、マッピングは些細なことかもしれません。他のシナリオの場合、クラウド管理者がテナントごとのマッピング作業を承認する必要があるかもしれません。
Domain-specific authentication drivers allow the Identity service
to be configured for multiple domains using domain-specific configuration
files. Enabling the drivers and setting the domain-specific configuration file
location occur in the [identity]
section of the keystone.conf
file:
[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /etc/keystone/domains
Any domains without a domain-specific configuration file
will use options in the primary keystone.conf
file.