影子用户 (Newton): 统一身份用于多种认证源¶
注意
这是在 Mitaka 版本 中开始的剩余工作的延续。此处仅重现摘要以方便查阅。
本地管理的用户的处理方式与通过 LDAP 认证的用户略有不同,而通过联合身份认证的用户则处理方式差异很大。可用的 API、相关的 API 以及令牌验证响应都各不相同。例如,用户接收不同类型的 ID,密码可能存储在 Keystone 中,也可能不存储,并且在联合身份认证的情况下,可能无法直接接收角色分配。未来额外的认证方法可能会进一步增加复杂性。
与其继续沿着这条道路走下去,不如将我们的用户持久化方式重构,将身份与其本地管理的凭据(如果有的话)分离。结果将为最终用户和操作员提供统一的体验。
问题描述¶
请参阅 Mitaka 规范 (问题描述)。
提议的变更¶
请参阅 Mitaka 规范 (提议的变更) 以获取最初提出的变更和更多详细信息。
将用户身份与其本地管理的凭据分离。 这在 Mitaka 版本中已经完成。
影子联合身份认证用户。 这在 Mitaka 版本中已经完成。
为联合身份认证用户创建具体的角色分配。
影子 LDAP 用户。
删除“EPHEMERAL”用户类型映射。 鉴于联合身份认证用户不再是临时的,我们可以忽略“临时”与“本地”用户类型,并平等地对待所有用户。
放宽映射必须导致组员资格的要求。 现在我们能够使用具体的角色分配向联合身份认证用户授予授权,我们可以删除映射引擎必须产生任何授权(通过组员资格)的要求。
备选方案¶
请参阅 Mitaka 规范 (备选方案)。
安全影响¶
请参阅 Mitaka 规范 (安全影响)。
通知影响¶
请参阅 Mitaka 规范 (通知影响)。
其他最终用户影响¶
请参阅 Mitaka 规范 (其他最终用户影响)。
性能影响¶
请参阅 Mitaka 规范 (性能影响)。
其他部署者影响¶
请参阅 Mitaka 规范 (其他部署者影响)。
开发人员影响¶
请参阅 Mitaka 规范 (开发者影响)。
实现¶
负责人¶
主要负责人
rderose
其他贡献者
dstanek
dolphm
工作项¶
新的数据库表中影子 LDAP 用户。
在评估联合身份认证映射后创建具体的角色分配。
更新联合身份认证通知以反映本地身份。
重构映射引擎(以解决技术债务)。
停止支持“federated”令牌。
依赖项¶
请参阅 Mitaka 规范 (依赖项)。
文档影响¶
请参阅 Mitaka 规范 (文档影响)。
参考资料¶
请参阅 Mitaka 规范 (参考文献)。
