Atom feed of this document
  

 OpenStack 身份

OpenStack 身份服务 具有下面的功能:

  • 追踪用户及他们的权限。

  • 基于API端点提供可用的服务目录。

当安装OpenStack身份服务,用户必须将之注册到其OpenStack安装环境的每个服务。身份服务才可以追踪那些OpenStack服务已经安装,以及在网络中定位它们。

欲理解OpenStack的身份,须先理解以下概念:

用户

那些使用OpenStack云服务的人或系统或服务的数字表示。身份认证服务会验证那些生成调用的用户发过来的请求,用户登录且被赋予令牌以访问资源,用户可以直接被分配到特别的租户和行为,如果他们是被包含在租户中的。

凭证

用户身份的确认数据,例如,用户名和密码,用户名和API密钥,或者是一个有身份服务提供的授权令牌。

认证

确认用户身份的流程,OpenStack身份服务确认过来的请求,即验证由用户提供的凭证。

这些凭证通常是用户名和密码,或者是用户名和API密钥。当用户的凭证被验证通过,OpenStack身份服务给他一个认证令牌,令牌可以为用户提供随后的请求。

令牌

一个字母数字混合的文本字符串,用户访问OpenStack API和资源,令牌可以随时撤销,以及有一定的时间期限。

在此版本OpenStack身份服务支持了基于令牌的认证,这意味着会在将来支持更多的协议,它的主要目的是集成服务,而不希望成为一个完整的身份存储和管理解决方案。

租户

用于组成或隔离资源的容器,租户会组成或隔离身份对象,这取决于服务的运维人员,一个租户会映射到一个客户,一个账户,一个组织或一个项目。

服务

一个OpenStack服务,如计算(nova),对象存储(swift),或者是镜像服务(glance)。它提供一个或多个端点,让拥护来访问资源和执行操作。

端点

一个当用户访问服务时用到的可访问的网络地址,通常是一个URL地址。如果用户为模板而使用扩展,一个端点可以被创建,它表示模板是为所有可用的跨region的可消费的服务。

角色

定义了一组用户权限的用户,可赋予其执行某些特定的操作。

在身份服务中,一个令牌所携带用户信息包含了角色列表。服务在被调用是会看用户是什么样的角色,这个角色赋予的权限能够操作什么资源。

Keystone客户端

为OpenStack身份API提供的一组命令行接口。例如,用户可以运行keystone service-createkeystone endpoint-create命令在他们的OpenStack环境中去注册服务。

下面示意图展示了OpenStack身份认证流程:

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...