Identity サービスの概要¶

OpenStack Identity サービス は、認証管理、認可、サービスカタログのために統合された単一点を提供します。

The Identity service is typically the first service a user interacts with. Once authenticated, an end user can use their identity to access other OpenStack services. Likewise, other OpenStack services leverage the Identity service to ensure users are who they say they are and discover where other services are within the deployment. The Identity service can also integrate with some external user management systems (such as LDAP).

Users and services can locate other services by using the service catalog, which is managed by the Identity service. As the name implies, a service catalog is a collection of available services in an OpenStack deployment. Each service can have one or many endpoints and each endpoint can be one of three types: admin, internal, or public. In a production environment, different endpoint types might reside on separate networks exposed to different types of users for security reasons. For instance, the public API network might be visible from the Internet so customers can manage their clouds. The admin API network might be restricted to operators within the organization that manages cloud infrastructure. The internal API network might be restricted to the hosts that contain OpenStack services. Also, OpenStack supports multiple regions for scalability. For simplicity, this guide uses the management network for all endpoint types and the default RegionOne region. Together, regions, services, and endpoints created within the Identity service comprise the service catalog for a deployment. Each OpenStack service in your deployment needs a service entry with corresponding endpoints stored in the Identity service. This can all be done after the Identity service has been installed and configured.

Identity サービスには、以下のコンポーネントがあります。

サーバー

中央サーバーが、RESTful インターフェースを使用して、認証と認可のサービスを提供します。

ドライバー

ドライバーやサービスバックエンドは、中央サーバーと統合されています。ドライバーは、OpenStack の外部にあるリポジトリーにある認証情報にアクセスするために使用されます。こうしたリポジトリーは、OpenStack が導入されるインフラストラクチャーにすでに存在する場合もあります (例えば、SQL データベースやLDAP サーバー)。

モジュール

ミドルウェアモジュールは、Identity サービスを使用している OpenStack コンポーネントの一部として動作します。これらのモジュールは、サービスリクエスト処理の中で、ユーザーのクレデンシャルを抽出し、認可を行うためそのクレデンシャルを中央サーバーに送信します。ミドルウェアモジュールと OpenStack コンポーネントの間の統合には、Python Web Server Gateway Interface を使用します。