Identity サービスの概要¶

OpenStack Identity サービス は、認証管理、認可、サービスカタログのために統合された単一点を提供します。

Identity サービスは、一般的にユーザーが最初に利用するサービスです。いったん認証されると、エンドユーザーは自身の認証情報を使用して、他の OpenStack のサービスにアクセスできます。同様に、他の OpenStack サービスは、Identity サービスを活用して、ユーザーが誰であるのか、他のサービスがどこにあるのかを確認します。Identity サービスは、LDAP などの外部のユーザー管理システムと統合することもできます。

ユーザーとサービスは、サービスカタログにより他のサービスから場所を確認されます。これは、Identity サービスにより管理されます。名前のとおり、サービスカタログは OpenStack 環境において利用できるサービスの集まりです。各サービスは 1 つ以上のエンドポイントを持つことができます。各エンドポイントは、管理、内部、パブリックという 3 種類のタイプのどれかです。本番環境では、それぞれのエンドポイントのタイプに応じて、専用のネットワークを使用すべきです。異なる種類のユーザーに公開するため、セキュリティの理由によるものです。たとえば、パブリック API ネットワークは、顧客がクラウドを管理できるよう、インターネットからアクセスできるでしょう。管理 API ネットワークは、クラウド基盤を管理する組織内の運用者に限定されるでしょう。内部 API ネットワークは、OpenStack サービスを含むホストに制限されるでしょう。また、OpenStack はスケーラビリティーのために複数のリージョンをサポートします。簡単のため、このガイドはすべてのエンドポイントタイプとデフォルトリージョン RegionOne のために管理ネットワークを使用します。同時に、Identity サービスの中に作成されたリージョン、サービス、エンドポイントは、導入環境のためにサービスカタログを持ちます。お使いの環境にある各 OpenStack サービスは、Identity サービスに保存されたエンドポイントに対応するサービスエントリーを必要とします。これは、Identity サービスがインストールされて設定された後に、すべて実行できるようになります。

Identity サービスには、以下のコンポーネントがあります。

サーバー

中央サーバーが、RESTful インターフェースを使用して、認証と認可のサービスを提供します。

ドライバー

ドライバーやサービスバックエンドは、中央サーバーと統合されています。ドライバーは、OpenStack の外部にあるリポジトリーにある認証情報にアクセスするために使用されます。こうしたリポジトリーは、OpenStack が導入されるインフラストラクチャーにすでに存在する場合もあります (例えば、SQL データベースやLDAP サーバー)。

モジュール

ミドルウェアモジュールは、Identity サービスを使用している OpenStack コンポーネントの一部として動作します。これらのモジュールは、サービスリクエスト処理の中で、ユーザーのクレデンシャルを抽出し、認可を行うためそのクレデンシャルを中央サーバーに送信します。ミドルウェアモジュールと OpenStack コンポーネントの間の統合には、Python Web Server Gateway Interface を使用します。