使用 token 身份验证方法的范围联合令牌¶
为了更一致的范围确定过程,未范围化的联合令牌应使用标准的 token 身份验证方法进行处理。
问题描述¶
目前,未范围化的联合令牌必须使用专用的身份验证方法进行范围化 - saml2(或更通用的 - mapped)。 可以通过经典的范围确定流程进行统一,因此也应使用身份验证方法 token。
提议的变更¶
提出的解决方案是双重的
更新文档,并指出用于范围化联合令牌的首选身份验证方法是
token,尽管mapped和saml2仍然可用。正确处理通过
token身份验证方法范围化联合令牌。
备选方案¶
继续使用现有的身份验证方法。
安全影响¶
此更改是否涉及敏感数据,例如令牌、密钥或用户数据?
是的,但此更改不会改变 OpenStack 中已建立的行为。
此更改是否以可能影响安全性的方式更改了 API,例如访问敏感信息的新方式或登录的新方式?
否。
此更改是否涉及密码学或哈希?
否。
此更改是否需要使用 sudo 或任何特权?
否。
此更改是否涉及使用或解析用户提供的数据?这可能是直接在 API 级别,或间接例如更改缓存层。
是的,但此更改不会改变 OpenStack 中已建立的行为。
此更改是否会启用资源耗尽攻击,例如允许单个 API 交互消耗大量的服务器资源?这方面的一些例子包括为每个连接启动子进程,或 XML 中的实体扩展攻击。
否。
通知影响¶
无。
其他最终用户影响¶
所有客户端都需要进行更改,以便利用新的身份验证方法。 这也包括 python-keystoneclient 中的相关更改。
性能影响¶
没有性能变化。
其他部署者影响¶
无。
开发人员影响¶
无。
实现¶
负责人¶
- 主要负责人
Marek Denis <marek-denis>
工作项¶
在 Keystone 中实现所需的更改
Update documentation
依赖项¶
无
文档影响¶
必须更新文档。
参考资料¶
Keystone 更改提案:https://review.openstack.org/#/c/130593
