<div dir="ltr">



















<p class="MsoNormal" style="margin:0in 0in 10pt;line-height:115%;font-size:11pt;font-family:"Calibri","sans-serif"">



















</p><p class="MsoNormal" style="margin:0in 0in 10pt;line-height:115%;font-size:11pt;font-family:"Calibri","sans-serif"">We have this very same design. Why not just use Keycloak (with either SAML or OIDC) and OpenStack. At the end of the day, that is why you use Keycloak. Remember, when using Keycloak or any other identity management system, you are offloading the identity management to another system (out of your application). Then, your applications/”service providers” only need to worry about the service/resource being delivered, and the authentication and identity management is executed in the identity management system (Keycloak in your case).<span></span></p>





<p class="MsoNormal" style="margin:0in 0in 10pt;line-height:115%;font-size:11pt;font-family:"Calibri","sans-serif""><span></span></p>





</div><br><div class="gmail_quote"><div dir="ltr">On Sun, Dec 23, 2018 at 3:34 PM <<a href="mailto:guoyongxhzhf@163.com" target="_blank">guoyongxhzhf@163.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>



<div id="gmail-m_-2051075092395249900gmail-m_-5167458748969394606MailContainerBody" style="padding-top:15px;padding-left:10px;padding-right:10px" name="Compose message area">
<div><font face="Calibri">The problem is about  keystone with 
sso</font></div>
<div><font face="Calibri"></font> </div>
<div><font face="Calibri">The situation:</font></div>
<div><font face="Calibri">1. the cloud based on OpenStack has use keystone to 
build its own user account system, and no third user 
account like ldap or google accounts </font></div>
<div><font face="Calibri">2. the cloud may have multi web application/entrance and 
have multi domain name, so we need sso </font></div>
<div><font face="Calibri"></font> </div>
<div><font face="Calibri">So there are two choice to implement sso</font></div>
<div><font face="Calibri">1. use CAS or other open source components as 
sso service and use database authentication which query 
keystone database.(I think it's odd) </font></div>
<div><font face="Calibri">2. use cookies(including keystone token) between multi 
web application/entrance</font></div>
<div><font face="Calibri"></font> </div>
<div><font face="Calibri">which is the better choice?</font> <font face="Calibri"> I think if we use only users from keystone, it's not 
necessary to use an extra sso service. </font></div></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_-2051075092395249900gmail_signature"><div dir="ltr">Rafael Weingärtner</div></div>