OpenStack keystoneauth库的OpenID Connect支持
项目描述
OpenStack客户端的OpenID Connect支持
这是一套针对OpenStack客户端(尤其是针对keystoneauth1库)的认证插件,它提供了对使用Keystone Open ID Connect插件或Apache的mod_auth_openidc配置为支持OpenID Connect的OpenStack Keystone服务器的认证支持。具体描述如下。
可用插件
v3oidc 插件
此插件允许您使用Keystone Open ID Connect插件配置的Keystone服务器进行认证。它将与服务器执行域外认证,这意味着唯一的OpenID Connect客户端(依赖方)是Keystone服务器。
在这种情况下不需要OpenID Connect凭证。
v3oidccode 插件(旧方法)
此插件允许使用OpenID Connect和OAuth 2.0的授权码授权类型,通过OpenStack客户端作为OpenID Connect依赖方对Keystone进行认证。此插件与配置了Apache HTTP服务器和mod_auth_openidc以及Keystone Open ID Connect插件的Keystone兼容。
此插件要求您在OpenID Connect提供者中配置OpenID Connect客户端,并将客户端凭据传递给插件。OpenStack CLI将处理与OpenID Connect提供者的身份验证,获取访问令牌,并将其与Keystone服务器交换以获取Keystone令牌。
安装
通过pip安装
pip install keystoneauth-oidc
或克隆存储库并安装
git clone https://github.com/IFCA/keystoneauth-oidc
cd keystoneauth-oidc
pip install .
使用方法
v3oidc 插件
您必须在--os-auth-type中指定v3oidc。由OpenStack云提供者提供<identity-provider>和<protocol>。
-
未指定范围的令牌
openstack --os-auth-url https://keystone.example.org:5000/v3
--os-auth-type v3oidccode
--os-identity-provider
--os-protocol
--os-identity-api-version 3
--os-discovery-endpoint https://idp.example.org/.well-known/openid-configuration
--os-openid-scope "openid profile email"
令牌发行 -
指定范围的令牌
openstack --os-auth-url https://keystone.example.org:5000/v3
--os-auth-type v3oidc
--os-identity-provider
--os-protocol
--os-project-name
--os-project-domain-id
--os-identity-api-version 3
--os-openid-scope "openid profile email"
令牌发行
v3oidccode 插件(旧方法)
首先,您需要在您的OpenID Connect提供者中创建OpenID Connect客户端。然后,您必须在--os-auth-type选项中指定v3oidccode,并使用--os-authorization-endpoint提供有效的授权端点或使用--os-discovery-endpoint提供有效的发现端点。由OpenStack云提供者提供<identity-provider>和<protocol>。
-
未指定范围的令牌
openstack --os-auth-url https://keystone.example.org:5000/v3
--os-auth-type v3oidccode
--os-identity-provider
--os-protocol
--os-identity-api-version 3
--os-client-id
--os-client-secret
--os-discovery-endpoint https://idp.example.org/.well-known/openid-configuration
--os-openid-scope "openid profile email"
令牌发行 -
指定范围的令牌
openstack --os-auth-url https://keystone.example.org:5000/v3
--os-auth-type v3oidccode
--os-identity-provider
--os-protocol
--os-project-name
--os-project-domain-id
--os-identity-api-version 3
--os-client-id
--os-client-secret
--os-discovery-endpoint https://idp.example.org/.well-known/openid-configuration
--os-openid-scope "openid profile email"
令牌发行
API
待文档化
下载文件
下载您平台的文件。如果您不确定选择哪个,请了解有关安装包的更多信息。
源代码分发
构建分发
keystoneauth-oidc-1.0.0.tar.gz的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 622c5d516683574379a704ec7d97b1b4e648d9275dbaaa03056c1c3661e90511 |
|
| MD5 | b209f3648629dd382a9924b8416706ef |
|
| BLAKE2b-256 | 4203c079de5d1db2af8e3d73054d983eb606c18781570fd0efa01c15cd935679 |
keystoneauth_oidc-1.0.0-py3-none-any.whl的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | f007780b2b0270ea3b5c658d764f0768a6ce50c413ecd67b33358167672f86e6 |
|
| MD5 | a7a2d45b4d3b70494c3e6655d47b5cb1 |
|
| BLAKE2b-256 | 841fb051718fd64e07471422d47c416502dd521e6eff250522979d0b68a0519f |
