OpenStack Identity サービス は、認証管理、認可、サービスカタログのために統合された単一点を提供します。
The Identity service is typically the first service a user interacts with. Once authenticated, an end user can use their identity to access other OpenStack services. Likewise, other OpenStack services leverage the Identity service to ensure users are who they say they are and discover where other services are within the deployment. The Identity service can also integrate with some external user management systems (such as LDAP).
Users and services can locate other services by using the service catalog,
which is managed by the Identity service. As the name implies, a service
catalog is a collection of available services in an OpenStack deployment. Each
service can have one or many endpoints and each endpoint can be one of three
types: admin, internal, or public. In a production environment, different
endpoint types might reside on separate networks exposed to different types of
users for security reasons. For instance, the public API network might be
visible from the Internet so customers can manage their clouds. The admin API
network might be restricted to operators within the organization that manages
cloud infrastructure. The internal API network might be restricted to the hosts
that contain OpenStack services. Also, OpenStack supports multiple regions for
scalability. For simplicity, this guide uses the management network for all
endpoint types and the default RegionOne
region. Together, regions,
services, and endpoints created within the Identity service comprise the
service catalog for a deployment. Each OpenStack service in your deployment
needs a service entry with corresponding endpoints stored in the Identity
service. This can all be done after the Identity service has been installed and
configured.
Identity サービスには、以下のコンポーネントがあります。
中央サーバーが、RESTful インターフェースを使用して、認証と認可のサービスを提供します。
ドライバーやサービスバックエンドは、中央サーバーと統合されています。ドライバーは、OpenStack の外部にあるリポジトリーにある認証情報にアクセスするために使用されます。こうしたリポジトリーは、OpenStack が導入されるインフラストラクチャーにすでに存在する場合もあります (例えば、SQL データベースやLDAP サーバー)。
ミドルウェアモジュールは、Identity サービスを使用している OpenStack コンポーネントの一部として動作します。これらのモジュールは、サービスリクエスト処理の中で、ユーザーのクレデンシャルを抽出し、認可を行うためそのクレデンシャルを中央サーバーに送信します。ミドルウェアモジュールと OpenStack コンポーネントの間の統合には、Python Web Server Gateway Interface を使用します。
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.