A partir do VMware Cloud Director 10.0, você pode usar endpoints separados de login do VMware Cloud Director OpenAPI para o provedor de serviços e de acesso de tenant ao VMware Cloud Director.
Você pode usar dois novos endpoints da OpenAPI para aumentar a segurança por meio da restrição do acesso ao VMware Cloud Director.
/cloudapi/1.0.0/sessions/provider- Endpoint do OpenAPI para o login do provedor de serviços. Os tenants não podem acessar o VMware Cloud Director usando este endpoint./cloudapi/1.0.0/sessions/- Endpoint do OpenAPI para o login do tenant. Os provedores de serviços não podem acessar o VMware Cloud Director usando esse endpoint.
Por padrão, os administradores de provedor e os usuários da organização podem acessar o VMware Cloud Director fazendo login no endpoint da API do /api/sessions.
Usando o subcomando manage-config da ferramenta de gerenciamento de célula, você pode desativar o acesso do provedor de serviços ao endpoint da API do /api/sessions e, como resultado, limitar o login do provedor ao novo endpoint do /cloudapi/1.0.0/sessions/provider OpenAPI que é acessível apenas para os provedores de serviços.
Quando você desativar o acesso do provedor de serviços ao endpoint de API /api/sessions, as solicitações desse provedor de serviços que fornecem apenas um token SAML no cabeçalho de autorização falharão para todos os endpoints de API herdados.
Procedimento
Resultados
O endpoint da API do /api/sessions não está mais acessível para provedores de serviços. Os provedores de serviços podem usar o novo endpoint do OpenAPI /cloudapi/1.0.0/sessions/provider para acessar o VMware Cloud Director. Os tenants podem acessar o VMware Cloud Director usando o endpoint da API /api/sessions e o novo endpoint do OpenAPI /cloudapi/1.0.0/sessions/.
O que Fazer Depois
Para habilitar o acesso do provedor ao endpoint da API do /api/sessions, execute o seguinte comando:
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false
