Se você quiser importar usuários e grupos de um provedor de identidade do OpenID Connect (OIDC) para a organização do seu sistema do VMware Cloud Director, deverá configurar o sistema da organização com esse provedor de identidade OIDC. Os usuários importados podem fazer login na organização do sistema com as credenciais estabelecidas no provedor de identidade OIDC.

O OAuth é um padrão de federação aberta que delega acesso aos usuários. O OpenID Connect é uma camada de autenticação sobre o protocolo OAuth 2.0. Usando o OpenID Connect, os clientes podem receber informações sobre sessões autenticadas e usuários finais. O endpoint de autenticação OAuth deve ser acessível a partir das células do VMware Cloud Director, o que o torna mais adequado quando você usa provedores de identidade públicos ou provedores gerenciados.

Você pode configurar o VMware Cloud Director para atualizar automaticamente suas configurações de chave OIDC a partir do endpoint JWKS fornecido. Você pode configurar a frequência do processo de atualização de chave e a estratégia de rotação que determina se o VMware Cloud Director adiciona novas chaves, substitui as chaves antigas por novas ou se as chaves antigas expiram após um determinado período.

Observação: Para uma integração de sucesso do VMware Cloud Director com provedores de identidade externos, determinar os valores e configurações corretos e garantir uma configuração adequada e precisa, consulte também a documentação do produto desses provedores de identidade.

O VMware Cloud Director gera eventos de auditoria para atualizações de chave bem-sucedidas e com falha no tópico de evento com/vmware/vcloud/event/oidcSettings/keys/modify. Os eventos de auditoria para atualizações de chave com falha incluem informações adicionais sobre a falha.

Dica:

Para a versão 10.4.2 e posterior, se uma organização no VMware Cloud Director tiver SAML ou OIDC configurado, a UI exibirá apenas a opção Entrar com Single Sign-On. Para fazer login como usuário local, navegue até https://vcloud.example.com/tenant/tenant_name/login ou https://vcloud.example.com/provider/login.

Página de login do VMware Cloud Director com um botão de login SSO.

Procedimento

  1. Na barra de navegação superior, selecione Administração.
  2. No painel esquerdo, em Provedores de Identidade, clique em OIDC.
  3. Se você estiver configurando o OIDC pela primeira vez, copie o URI de redirecionamento de configuração do cliente e use-o para criar um registro de aplicativo cliente com um provedor de identidade que esteja em conformidade com o padrão OpenID Connect, por exemplo, o VMware Workspace ONE Access.
    Você precisa desse registro para obter um ID de cliente e um segredo de cliente que devem ser usados durante a configuração do provedor de identidade OIDC.
  4. Clique em Configurar.
  5. Verifique se o OpenID Connect está ativado e digite as informações de ID do cliente e segredo do cliente do registro do servidor OIDC.
  6. (Opcional) Para usar as informações de um endpoint conhecido para preencher automaticamente as informações de configuração, ative a opção Detecção de Configuração e insira uma URL no site do provedor que o VMware Cloud Director possa usar para enviar solicitações de autenticação.
  7. Clique em Avançar.
  8. Se você não tiver usado Detecção de Configuração na Etapa 6, insira as informações na seção Endpoints.
    1. Insira as informações do ID do emissor e do endpoint.
    2. Se você estiver usando o VMware Workspace ONE Access como provedor de identidade, selecione SCIM como o tipo de acesso. A partir do VMware Cloud Director 10.4.1, a opção SCIM está obsoleta.
      Para outros provedores de identidade, você pode deixar a seleção padrão Informações do Usuário.
    3. Se você quiser combinar as declarações do endpoint do UserInfo e o Token de ID, ative a opção Preferir Token de ID.
      Os provedores de identidade não fornecem todas as declarações necessárias definidas no endpoint do UserInfo. Ao ativar a opção Preferir Token de ID, o VMware Cloud Director pode obter e consumir declarações de ambas as origens.
    4. Insira a inclinação máxima aceitável do relógio.
      A inclinação máxima do relógio é a diferença de tempo máxima permitida entre o cliente e o servidor. Esse tempo compensa quaisquer pequenas diferenças de tempo nos carimbos de data/hora ao verificar tokens. O valor padrão é 60 segundos.
    5. Clique em Avançar.
  9. Se você não tiver usado a Detecção de Configuração na Etapa 6, digite as informações de escopo e clique em Avançar.
    O VMware Cloud Director usa os escopos para autorizar o acesso aos detalhes do usuário. Quando um cliente solicita um token de acesso, os escopos definem as permissões que desse token para acessar as informações do usuário.
  10. Se você estiver usando Informações do Usuário como tipo de acesso, mapeie as declarações e clique em Avançar.
    Você pode usar esta seção para mapear as informações que o VMware Cloud Director obtém do endpoint de informações do usuário para declarações específicas. Declarações são cadeias de caracteres para os nomes de campo na resposta do VMware Cloud Director.
  11. Se você quiser que o VMware Cloud Director atualize automaticamente as configurações de chave do OIDC, ative o botão de alternância Atualização Automática da Chave.
    1. Se você não tiver usado a Detecção de Configuração na Etapa 6, digite o Endpoint de Atualização de Chave.
      O Endpoint de Atualização de Chave é um endpoint JSON Web Key Set (JWKS) e é o endpoint do qual o VMware Cloud Director obtém as chaves.
    2. Selecione a frequência com que a atualização da chave ocorre.
      Você pode definir o período em incrementos de hora em hora de 1 hora até 30 dias.
    3. Selecione uma Estratégia de Atualização de Chave.
      Opção Descrição
      Adicionar

      Adicione o conjunto de chaves de entrada ao conjunto de chaves existente. Todas as chaves no conjunto mesclado são válidas e utilizáveis.

      Por exemplo, seu conjunto de chaves existente inclui as chaves A, B e D. Seu conjunto de chaves de entrada inclui as chaves B, C e D. Quando ocorre a atualização da chave, o novo conjunto inclui as chaves A, B, C e D.

      Substituir

      Substitua o conjunto de chaves existente pelo conjunto de chaves de entrada.

      Por exemplo, seu conjunto de chaves existente inclui as chaves A, B e D. Seu conjunto de chaves de entrada inclui as chaves B, C e D. Quando ocorre a atualização da chave, a chave C substitui a chave A. As chaves de entrada B, C, e D se tornam o novo conjunto de chaves válidas sem qualquer sobreposição com o conjunto antigo.

      Expira Após

      Você pode configurar um período de sobreposição entre os conjuntos de chaves existentes e de entrada. Você pode configurar o tempo de sobreposição usando a Expirar a Chave Após o Período, que pode ser definida em incrementos de hora em hora de 1 hora até 1 dia.

      As execuções de atualização de chave começam no início de cada hora. Quando ocorre a atualização da chave, o VMware Cloud Director marca como expirando as chaves no conjunto de chaves existente que não estão incluídas no conjunto de entrada. Na próxima execução de atualização de chave, o VMware Cloud Director para de usar as chaves expiradas. Somente as chaves incluídas no conjunto de entrada são válidas e utilizáveis.

      Por exemplo, seu conjunto de chaves existente inclui as chaves A, B e D. O conjunto de entrada inclui as chaves B, C e D. Se você configurar as chaves existentes para expirar em 1 hora, haverá uma sobreposição de hora durante a qual ambos os conjuntos de chaves são válidos. O VMware Cloud Director marca a chave A como expirando e, até que a próxima atualização de chave seja executada, as chaves A, B, C e D são utilizáveis. Na próxima execução, a chave A expira e apenas B, C e D continuam funcionando.

  12. Se você não tiver usado a Detecção de Configuração na Etapa 6, carregue a chave privada que o provedor de identidade utiliza para assinar seus tokens.
  13. Clique em Salvar.

O que Fazer Depois

  • Inscreva-se no tópico de evento com/vmware/vcloud/event/oidcSettings/keys/modify.
  • Verifique se a Última Execução e a Última Execução Bem-Sucedida são idênticas. As execuções começam no início da hora. A Última Execução é o carimbo de data/hora da última tentativa de atualização de chave. A Última Execução Bem-Sucedida é o carimbo de data/hora da última atualização de chave bem-sucedida. Se os carimbos de data/hora forem diferentes, a atualização automática da chave estará falhando e você poderá diagnosticar o problema revisando os eventos de auditoria.