Keystone概念

参考:https://wiki.openstack.org/wiki/Keystone

什么是Keytone

Keystone是Openstack用来进行身份验证(authN)及高级授权(authZ)的身份识别服务，目前支持基于口令的authN和用户服务授权。Keystone提供Openstack其他项目使用的身份识别、令牌、目录及策略服务。

• Identity：身份识别服务提供auth凭证验证和用户、租户及角色数据，和任意关联的元数据一样。The Identity service provides auth credential validation and data 
  about Users, Tenants and Roles, as well as any associated metadata.
• Token：一旦用户/租户的凭证已被验证，令牌服务来验证并管理用于身份验证请求的令牌。
• Catalog：目录服务提供用于endpoint发现的一个endpoint注册表。
• Policy：策略服务提供一个基于规则的授权引擎。

每种服务都可以配置使用一个后端来满足各种各样环境和需求。每种服务的后端在keystone.conf配置文件中定义。 

  

身份识别服务（Identity Service）

身份识别服务执行如下功能：

• 用户管理：追踪用户及其权限。
• 服务目录：提供可用服务的API endpoint目录。

下面几个概念很重要，是理解Keystone的前提。

User：用户是使用OpenStack云服务的一个人、系统或服务的数字表达。身份识别服务验证要求进行调用的用户传入的请求。用户可以直接分配给特别的租户，就像包含在租户中一样。

Credentials：凭证是只有证明自己身份的用户才知道的数据。在身份识别服务中，凭证可以是用户名和密码、用户和API键或身份识别服务提供的认证令牌。

Authentication：这是用户确认身份的行为。身份识别服务通过验证用户提供的一组凭证来确认传入的请求 。身份识别服务向用户发放一个认证令牌来响应这些凭证，用户在后续请求中提供这个令牌。

Token：令牌是用来访问资源的一个任意文本。每个令牌都有一个范围，描述哪些资源可以访问。令牌可以随时撤回且在有限时间内生效。然而身份识别服务支持基于令牌的认证方式，是为了未来支持额外协议。其首要目的是为了集成服务，不是追求成为一个完整的身份识别存储和管理解决方案。

Tenant：一个用于分组或隔离资源、标识对象的容器。租户可以映射到一个顾客、账户、组织或项目，这取决于服务运营者。

Service：Openstack服务，如Nova、Cinder、Glance等。服务提供一个或多个endpoint，用户可以通过这些endpoint来访问资源和执行操作。

EndPoint：端点是一个可访问的网络地址，通常是一个URL。如果你为模板使用扩展，就可以创建一个endpoint模板，它代表所有跨区域可用的可消费服务的模板。

Role：角色指一个用户承担的个性，使用户能执行一组指定的操作。角色包括一组权力和特权。一个用户承担这个角色就继承了这些权力和特权。一个被分配给用户的令牌包含一组用户拥有的角色列表。用户调用的服务决定他们如何解读一组用户拥有的角色以及每个角色授权访问哪些操作和资源。

身份识别服务的处理流程

  

图中是一个创建实例的流程图：

1.用户（User）想启动一台服务器，用户发送credential到Keystone，Keystone返回一个生成的临时令牌和一个通用catalog。
2.用户请求其所拥有的所有租户，用户随着请求提供临时令牌，Keystone会将租户列表发送给用户。
3.Keystone将服务列表提供给用户。credential和所需的租户一起发送到Keystone，Keystone发送租户所拥有的服务列表，同时提供租户令牌。
用户确定正确的端点（endpoint）来启动一个服务器，随着请求提供令牌。
4.Service在endpoint上验证