Обзор службы идентификации¶

Служба идентификации OpenStack Identity интегрирует управление аутентификацией, авторизацию и каталог служб.

Как правило, это первая служба, с которой начинает работать пользователь. После аутентификации конечный пользователь может использовать свои учетные данные для доступа к другим службам OpenStack. Подобным образом, службы OpenStack используют службу идентификации для проверки подлинности пользователей и обнаружения других служб в рамках развертывания. Служба идентификации также может интегрироваться с некоторыми внешними системами управления пользователями (например, LDAP).

Пользователи и службы могут находить другие службы с помощью каталога служб, которым управляет служба идентификации. Как можно догадаться по названию, каталог служб — это набор доступных служб в развертывании OpenStack. Для каждой службы должна существовать одна или несколько точек входа. Точки входа могут быть трех типов: административная, внутренняя или общая. В рабочей среде в целях безопасности точки входа разных типов можно разместить в отдельных сетях, доступных тем или иным пользователям. Например, общую сеть API можно сделать видимой из Интернета, чтобы пользователи могли управлять своими облаками. Доступ к административной сети API можно предоставить только специалистам организации, которые управляют инфраструктурой облака. Доступ ко внутренней сети API можно предоставить только хостам, на которых выполняются службы OpenStack. Кроме того, OpenStack в целях масштабируемости поддерживает несколько регионов. Для упрощения в этом руководстве рассматривается сеть управления для всех типов точек входа и одного региона RegionOne, заданного по умолчанию. Регионы, службы и точки входа, созданные в службе идентификации, вместе составляют каталог служб для развертывания. Для каждой службы OpenStack в вашем развертывании необходимо создать запись службы с соответствующей точкой входа, хранящейся в службе идентификации. Это можно выполнить после установки и настройки службы идентификации.

Служба идентификации состоит из следующих компонентов.

Сервер

Централизованный сервер, предоставляющий службы аутентификации и авторизации с помощью интерфейса RESTful.

Драйверы

Драйверы или серверная часть службы устанавливаются на централизованном сервере. Они обеспечивают доступ к сведениям для проверки подлинности в репозиториях, внешних по отношению OpenStack. Эти репозитории могут уже существовать в инфраструктуре, где развернута OpenStack (например, базы данных SQL или серверы LDAP).

Модули

Модули промежуточного слоя выполняются в адресном пространстве компонента OpenStack, использующего службу идентификации. Эти модули перехватывают запросы служб, извлекают учетные данные пользователей и отправляют их на централизованный сервер для авторизации. Для взаимодействия между модулями промежуточного слоя и компонентами OpenStack используется Python-интерфейс WSGI (Web Server Gateway Interface).