- Keystone は他の Keystone インスタンスにローカルユーザーの SAML アサーションを発行することで、連携アイデンティティープロバイダー (IdP)として振る舞う事ができるようになりました(ECP でラップ可能)。
- 連携アイデンティティー認証機構として、OpenID 接続に対応しました。
- Keystone において、単一のアイデンティティープロバイダーを多くの「リモートID」に紐付け可能になりました。これは、多くのアイデンティティープロバイダーが共通マッピングを使用している場合に有用です。
- シングルサインオンページを経由して、既存の IdP に Web ブラウザ経由でユーザー認証する機能を追加しました。
- 連携トークンが
token
認証方式を使用できるようになりました。 mapped
と saml2
も引き続き利用可能です。
- 連携ユーザーがローカルの既存アイデンティティーにマッピングできるようになりました。
- マッピングのルールセットで指定されるグループが名前とドメインで指定可能になりました。
- 連携認証アサーションで示されるグループが、ローカルのメンバーマッピング込みで自動的に既存のローカルグループにマッピングされるようになりました(ホワイトリスト/ブラックリストでフィルタリング可能)。