4.1 身份认证服务概述

OpenStack 身份服务为管理身份验证、授权和服务提供了单一的集成点。

身份认证服务通常是用户与之交互的第一个服务。经过身份验证后，终端用户可以使用他们的身份访问其他的 OpenStack 服务。同样地，其他 OpenStack 服务利用身份服务来确保用户是他们说的，并发现其他服务在部署中的位置。身份服务还可以与一些外部用户管理系统（如 LDAP）集成。

用户和服务可以通过使用服务目录来定位其他服务，服务目录由身份服务管理。顾名思义，服务目录是 OpenStack 部署中可用服务的集合。每个服务可以有一个或多个端点，每个端点可以是三种类型之一：admin、internal 或 public。在生产环境中，不同的端点类型可能位于不同的网络上，由于安全原因，它们会暴露于不同类型的用户之间。例如，公共 API 网络可以从因特网上看到，这样客户就可以管理他们的云。管理 API 网络可能仅限于管理云基础设施的组织中的操作员。内部 API 网络可能被限制在包含
OpenStack 服务的主机上。此外，OpenStack 支持多个区域以获得可伸缩性。为简单起见，本指南使用管理网络作为所有端点类型，默认区域为 RegionOne。在身份服务中创建的区域、服务和端点组成了部署的服务目录。在您的部署中，每个 OpenStack 服务都需要一个服务条目，其中对应的端点存储在身份服务中。这些都可以在身份服务安装和配置之后完成。

身份认证服务包含以下组件：

Server
集中式服务器使用 RESTful 接口提供身份验证和授权服务。

Drivers
驱动程序或服务后端集成到集中的服务器上。它们用于访问 OpenStack 外部存储库中的标识信息，并且可能已经存在于 OpenStack 部署的基础架构中（例如，SQL 数据库或 LDAP 服务器）。

Modules
中间件模块运行在使用身份服务的 OpenStack 组件的地址空间中。这些模块拦截服务请求，提取用户凭证，并将它们发送到中央服务器进行授权。中间件模块和 OpenStack 组件之间的集成使用 Python Web 服务器网关接口。