- Keystone现在有一个实验性功能Keystone和Keystone的联合(federation), 其中一个实例提供鉴权服务,另外一个为服务提供者。
- PKIZ是一种新的token提供方式,可以为使用PKI token的用户提供服务,(与之前不同的是)在传统的PKI token中加入了基于zlib的压缩。
- PKI token所使用的哈希算法现在可以被配置了(默认使用MD5,Keystone团队建议部署中使用SHA256)。
- Identity-driver-configuration-per-domain现在支持任意复杂层次的内部域名(例如:
customer.cloud.example.com
)
- 使用LDAP鉴权作为后端时支持
description
作为用户属性。
- 鉴权服务的v3 API请求现在使用JSON Schema提供校验。
- 在使用多鉴权后端时,Keystone可以将任意的resource IDs映射到任意的后端。
-
keystoneclient.middleware.auth_token
现在移动到自己的库, keystonemiddleware.auth_token
.
- 鉴权服务的v3 API现在支持一个分离的请求获得服务目录(service catalog),
GET /v3/auth/catalog
。
- 联合(Federated)鉴权事件和本地的角色分配操作现在会触发CADF(审计)通知。
- Keystone现在能将指定的策略集合和一个或多个endpoints关联。
- Keystone现在在根API endpoints上提供JSON家文档(Home docuemtns),回复头
Accept: application/json-home
。
- 现在可以很简单的通过
OS-EP-FILTER
从客户端的服务目录中(service catalogs)隐藏endpoints.
- 鉴权集合的API现在按照每一个关联用户过滤(
GET /v3/credentials?user_id={user_id}
).
- 新的通用的API endpoints现在可以获取权限相关的数据,例如服务目录(service catalog),活跃的项目范围和活跃的域范围。
- Keystone现在在LDAP中支持将用户的
enabled
属性映射到lock
属性(自动进行布尔值转换)
- 可以为LDAP链接配置CA证书文件。
- 模板(templated)目录后端现在支持为鉴权服务的v3 API生成服务目录。
- 服务名称被添加到v3的服务目录中。
- 可以通过名称对服务进行过滤(
GET /v3/services?name={service_name}
)。