Cómo maneja OpenStack Keystone la autenticación y la autorización

pila abiertael servicio de identidad, piedra clave, verifica la identidad del usuario y proporciona información sobre los recursos a los que el usuario tiene acceso.

El proyecto Keystone proporciona autenticación, autorización y otros servicios, como la entrega del catálogo de servicios, como se muestra en este diagrama:

(Amy Marrich, CC BY-SA 4.0)

Es importante tener en cuenta que el servicio de identidad también proporciona autorización para un servicio humano. Por ejemplo, ¿tiene el usuario derecho a acceder a una imagen en particular en Glance for Nova y crear una máquina virtual (VM) a partir de ella?

Debido a su rol fundamental en la autenticación, autorización y administración del catálogo de servicios y sus terminales, el servicio de identidad es el primer servicio que se instala durante una implementación de OpenStack.

Índice

    Cómo se autentica el servicio de identidad

    Ya sea que utilice el panel de control de OpenStack Horizon o la interfaz de línea de comandos (CLI), las solicitudes al servicio de identidad se realizan a través de una llamada a la API. En el siguiente diagrama, parece ser un proceso bastante sencillo con una sola llamada realizada y una sola respuesta recibida:

    (Amy Marrich, CC BY-SA 4.0)

    El rol del servicio de Identidad en el lanzamiento de una VM

    Ahora echemos un vistazo más de cerca a los pasos para que un usuario inicie una máquina virtual.

    El siguiente diagrama muestra que la llamada API inicial autentica las credenciales del usuario, crea un token temporal para el usuario y crea un catálogo genérico.

    (Amy Marrich, CC BY-SA 4.0)

    En el siguiente paso, el servicio de identidad responde con el token temporal y la lista de inquilinos a los que tiene acceso el usuario.

    (Amy Marrich, CC BY-SA 4.0)

    Luego, el usuario selecciona el arrendatario de la lista proporcionada y recibe una lista de los servicios a los que puede acceder en ese arrendatario y un token para ese arrendatario. Luego, el usuario se conecta al punto final correcto según el servicio seleccionado y envía el token.

    (Amy Marrich, CC BY-SA 4.0)

    Luego, el servicio de identidad verifica que el token sea correcto y también que el usuario esté autorizado para acceder al servicio solicitado (cómputo, en este caso), así como a cualquier otro servicio al que los servicios de cómputo puedan necesitar acceder para completar la solicitud. .

    (Amy Marrich, CC BY-SA 4.0)

    Luego, el servicio de identidad autoriza al usuario para el arrendatario, verifica que el token sea correcto para la solicitud y confirma al usuario. El servicio también verifica que el usuario tenga los permisos apropiados para la solicitud según sus propias políticas.

    (Amy Marrich, CC BY-SA 4.0)

    Una vez que se autorizó al usuario y se verificaron sus permisos, los otros servicios involucrados crean la nueva VM.

    (Amy Marrich, CC BY-SA 4.0)

    Finalmente, el servicio de cálculo informa al usuario que la máquina virtual está creada y cómo conectarse a ella.

    (Amy Marrich, CC BY-SA 4.0)

    Concluir

    Pasar por el proceso de creación de una máquina virtual muestra dónde se integra el servicio de identidad con otros servicios. Los procesos de autenticación y autorización proporcionados por Keystone dejan claro por qué este servicio se instala antes que otros al implementar OpenStack.

    Artículos de interés

    Subir