VMware Cloud Director 配置为 OIDC 身份提供程序代理时,VMware Cloud Director 会生成一对 OIDC 密钥,并使用该密钥对其颁发的 JWT 令牌进行签名。

配置为身份提供程序代理服务器后, VMware Cloud Director 会自动生成单个内置 2048 位 RSA 签名密钥, 系统管理员可以选择使用或放弃该密钥。任何新密钥都必须符合最小密钥大小和其他 VMware Cloud Director 加密要求。
提示: 要查看 VMware Cloud Director 密钥要求,请导航到 管理设置 > 设置 > SSL

VMware Cloud Director 用作 OIDC 代理服务器的依赖方可以检索提供程序配置值,包括 {{hostname}}/oidc/.well-known/openid-configuration 中列出的 JWKS 端点的可用公钥列表。

前提条件

确认您的角色包含 OIDC 库:管理设置权限。

添加 OIDC 代理密钥集

可以手动将 OIDC 代理密钥集添加到 VMware Cloud Director

过程

  1. 在顶部导航栏中,单击管理
  2. 在左侧面板中的设置下,单击 OIDC 代理
  3. 单击密钥
  4. 要手动上载新的 OIDC 代理密钥集,请单击新建
  5. 输入 OIDC 代理密钥的描述。
    可以稍后根据需要编辑密钥描述。
  6. 在“公钥”下,单击浏览文件,然后导航到公钥 PEM 文件并上载该文件。
  7. 在“私钥”下,单击浏览文件,然后导航到私钥 PEM 文件并上载该文件。
  8. 输入私钥密码短语。
  9. 单击保存

将新的 OIDC 代理密钥设置为活动

可以使用 VMware Cloud Director UI 选择新的活动 OIDC 代理密钥。

前提条件

  • 确认您的角色包含 OIDC 库:管理设置权限。
  • 确认您上载了想要激活的密钥集。

过程

  1. 在顶部导航栏中,单击管理
  2. 在左侧面板中的设置下,单击 OIDC 代理
  3. 单击密钥
    此时将显示可用密钥集列表,其中当前使用的密钥标记为 活动
  4. 选择新密钥集,然后单击激活

删除 OIDC 代理密钥集

如果某个 OIDC 密钥集不再使用,则可以将其删除。

前提条件

  • 确认您的角色包含 OIDC 库:管理设置权限。

过程

  1. 在顶部导航栏中,单击管理
  2. 在左侧面板中的设置下,单击 OIDC 代理
  3. 单击密钥
    此时将显示可用密钥集列表,其中当前使用的密钥标记为 活动
  4. 选择要移除的密钥集,然后单击删除