- Keystoneサイト関認証連携(Keystone-to-Keystone Federation)機能が実験的にサポートされました。1つのKeystoneインスタンスがIdentity Providerに、その他がService Providerとして動作します。(訳注:用語はSAMLを参照)BP
- PKIトークンのユーザは、既存のPKIトークンをzlibで圧縮する機能を追加したPKIZプロバイダを利用できるようになりました。BP
- PKI認証トークンのハッシングアルゴリズムが設定可能になりました。(デフォルトはこれまでどおりMD5ですが、KeystoneチームではSHA256への移行を推奨します。)
- ドメインごとの認証ドライバ設定(identity-driver-configuration-per-domain)に、任意のインターネットドメイン名を指定できるようになりました。(任意の階層構造のドメイン名を指定できます。)(例:
customer.cloud.example.com
)
- LDAP認証のバックエンドにおいて、ユーザの属性値として
description
を取り扱えるようになりました。
- Identity API v3において、(RESTの)リクエストがJSONスキーマで検証されるようになりました。BP
- 複数の認証バックエンド構成において、任意のリソースID(UUID)から任意のバックエンドへの対応付けが出来るようになりました。BP
-
keystoneclient.middleware.auth_token
がkeystonemiddleware.auth_token
リポジトリに移動されました。[1]
- Identity API v3がサービスカタログを取得するための、
GET /v3/auth/catalog
をサポートしました。BP
- サイト間認証連携に関するイベント、及び、サイトローカルのロールの割り当て操作を契機にCADF(監査)通知が生成するようになりました。[2]BP
- 特定のポリシー群(=ポリシーファイル)を1つ以上の特定のエンドポイントに対応付けて割り当てることが出来るようになりました。BP
- ルートAPIエンドポイントで、
Accept: application/json-home
ヘッダを持つリクエストに対して、JSON-Homeドキュメントを返すようになりました。BP
-
OS-EP-FILTER
を利用して、より簡単に、特定のエンドポイントをサービスカタログ(クライアント向け)から取り除くことが出来るようになりました。BP
- 認証情報(credential)管理APIが、ユーザごとにフィルタリングできるようになりました。(
GET /v3/credentials?user_id={user_id}
)BP
- サービスカタログや利用可能なプロジェクトの範囲、利用可能なドメインの範囲などの認証に関係するデータを取得するための、汎用的なAPIエンドポイントが新たに利用できるようになりました。BP
- LDAP利用時に、ユーザの
enabled
属性をLDAPのlock
にマッピングするようになりました。(ブール値は反転させて格納しています)
- CA証明書がLDAPS接続に対して設定できるようになりました。
- Templated catalogバックエンドがIdentity API v3のサービスカタログを生成出来るようになりました。
- v3のサービスカタログに、サービス名が追加されました。
- サービスが名前でフィルタリング出来るようになりました。(
GET /v3/services?name={service_name}
)