使用组 ID 进行直接用户映射¶

bp federation-group-ids-mapped-without-domain-reference

允许在没有域引用情况下使用组 ID 进行用户映射。

问题描述¶

目前，可以通过身份提供程序向 Keystone 提供组名列表。但是，必须提供域才能映射这些组。如果身份提供程序拥有对组 ID 的引用，那么 Keystone 应该能够直接映射这些组，而无需域引用。

提议的变更¶

Keystone 接受没有域引用的组 ID。映射应包含一个名为 group_ids 的新规则，并且身份提供程序应提供组 ID 列表。以下是指定 group_ids 的 local 规则的示例

"local": [
    {
        "user": {
            "name": "{0}"
        },
    },
    {
        "group_ids": "{1}"
    }
]

与往常一样，将颁发未限定范围的联合令牌。

备选方案¶

无。

安全影响¶

无。

通知影响¶

无。

其他最终用户影响¶

无。

性能影响¶

无。

其他部署者影响¶

无。

开发人员影响¶

无。

实现¶

负责人¶

主要负责人: Olivier Pilotte (opilotte)

其他指派人

工作项¶

接受来自 IdP 的组 ID，无需域引用

依赖项¶

无。

文档影响¶

所有更改必须反映在文档中。

参考资料¶

接受来自 IdP 的组 ID，无需域 - https://review.openstack.org/#/c/210581/

使用组 ID 直接映射用户