登录社区云,与社区用户共同成长
邀请您加入社区
配额定义了一个域或者项目能够获得的资源的上限,一个域或者项目的配额由各个资源管理服务自行管理,但是由于配额和域与项目紧密关联,也在这里介绍。 域配额 域配额为系统管理员给域设置的配额,域下所有项目的配额的总和不能超过域的配额。 项目配额 项目配额为域管理员给项目设置的资源配额。资源在创建时,只会检查项目的配额,不会检查域的配额。
为了实现多租户的效果,认证服务提供了域的概念,一个域下有一个完整的用户认证体系和资源和权限体系,从而允许一个域管理员能够完全自治地管理本域的用户、组、项目、角色和权限策略。 域属性 字段名称说明idID,只读name名称enabled是否启用 域限制 域只有在域内没有项目、角色和策略之后,并且置于enabled=false状态才能够被删除default域无法删除ldap同步过来的域的如下属性
介绍Keystone维护的服务目录的工作原理。 Keystone服务目录定义了区域,服务,以及服务在指定区域内的接入端点。 区域(region) 区域定义了一个部署区域。当给用户部署了多套服务,为了区分,则给每套服务分配一个区域标识。当访问服务时,通过指定区域,可以获得同一服务在不同区域的接入端点,从而允许多套相同服务的共存。 限制 当该区域下有接入端点时,无法删除该区域 服务(service
Keystone的资源和权限体系由项目,角色和权限这三类资源定义。项目是资源的归属,用户要使用资源,必须以特定的角色加入相应的项目。角色和策略(policy)关联,定义了用户的权限。 项目(Projects) 项目是资源的owner,所有虚拟资源都要归属于一个项目。用户或者用户的组加入项目后,在获得权限后才能授权访问资源。 项目一般用Project指代,但是为了和Keystone v2 API兼
用户 用户是平台的使用者和操作者,具有如下属性: 属性说明id用户IDname用户名称,只能为字母和数字displayname显示名称,可以使中文mobile用户手机号email用户邮箱地址description描述enabled是否启用,禁用用户无法认证domain_id域IDproject_domain域名称is_system_account是否为系统账号,如果是系统账号,user-list
Apereo CAS(Central Authentication Server)是开源的企业级SSO(single sign on)解决方案,其认证流程描述如下。 当用户需要访问需要登录的网站(例如,https://app.example.org),用户在该网站还未被认证,被跳转到CAS认证服务器的SSO登录页:https://cas.example.org/cas/login?service=
LDAP认证源支持从LDAP导入用户和组,其中支持Microsoft Active Directory (MSAD) 和OpenLDAP,以及通用的LDAP服务端。 域,用户和组的定义来源于LDAP。不允许添加删除。不可修改字段如下表所示。 资源不可修改字段名称域name组name, displayname用户name, displayname, enabled, mobile, email, p
SQL认证源的用户和组信息存储在Keystone本地数据库。SQL认证源无需配置,默认启用。每个服务使用的系统用户都是SQL认证源用户
认证源定义了用户信息的来源。每个认证源有driver和template两个属性,说明这个认证源的工作机制。目前,driver支持如下多种认证源: DriverTemplate说明用户或组归属域导入行为sql-用户和组的定义来自于本地的sql数据库任意多个域不需要导入ldapmsad_one_domain用户和组的定义来自于本地的Microsoft Active Diectoy Domain单个域自
介绍Keystone的认证体系概念和操作。 Keystone认证体系由认证源、用户和组构成。 名称资源说明是否域内资源备注认证源identity_providers定义用户和组信息的来源否认证源独立于域,认证源可以向一个或多个域提供用户认证的信息用户users用户是所有资源操作的执行者,平台内任何操作都需要以一个用户的身份来执行。每个服务都需要一个服务用户,该服务所执行的操作的操作者就是这个服务用
