如果要将 OpenID Connect (OIDC) 身份提供程序中的用户和组导入到 VMware Cloud Director 系统组织,必须对您的系统组织配置此 OIDC 身份提供程序。导入的用户可以使用 OIDC 身份提供程序中建立的凭据登录到系统组织。

OAuth 是一种开放式联合标准,可委派用户访问权限。OpenID Connect 是基于 OAuth 2.0 协议的身份验证层。通过使用 OpenID Connect,客户端可以接收有关经过身份验证的会话和最终用户的信息。OAuth 身份验证端点必须可从 VMware Cloud Director 单元访问,这样可使其更适用于使用公共身份提供程序或提供程序管理的身份提供程序的情况。

您可以允许租户生成并颁发可由应用程序代表其使用的 API 访问令牌。

可以将 VMware Cloud Director 配置为从您提供的 JWKS 端点自动刷新 OIDC 密钥配置。可以配置密钥刷新过程的频率和轮换策略,该策略用于确定 VMware Cloud Director 是添加新密钥、将旧密钥替换为新密钥还是旧密钥在一段时间后过期。

注: 为了成功将 VMware Cloud Director 与外部身份提供程序集成,以确定正确的值和设置并确保配置正确且准确,另请参见这些身份提供程序的产品文档。

VMware Cloud Director 会在事件主题 com/vmware/vcloud/event/oidcSettings/keys/modify 下生成成功和失败密钥刷新的审核事件。失败密钥刷新的审核事件包括有关失败的其他信息。

提示:

对于版本 10.4.2 及更高版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,UI 将仅显示使用 Single Sign-On 登录选项。要以本地用户身份登录,请导航到 https://vcloud.example.com/tenant/tenant_name/loginhttps://vcloud.example.com/provider/login

VMware Cloud Director 登录页面具有 SSO 登录按钮。

对于 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,要使用身份提供程序登录,请选择使用 Single Sign-On 登录选项。

VMware Cloud Director 登录页面具有 SSO 和本地用户登录按钮。

过程

  1. 从顶部导航栏中,选择管理
  2. 在左侧面板中的身份提供程序下,单击 OIDC
  3. 如果您是首次配置 OIDC,请复制客户端配置重定向 URI,并使用该 URI 在符合 OpenID Connect 标准的身份提供程序(例如,VMware Workspace ONE Access)中创建客户端应用程序注册。
    您需要此注册才能获取客户端 ID 和客户端密钥,在配置 OIDC 身份提供程序期间必须使用这些信息。
  4. 单击配置
  5. 确认 OpenID Connect 处于活动状态,并输入从 OIDC 服务器注册中获取的客户端 ID 和客户端密钥信息。
  6. (可选) 要使用公认端点中的信息自动填写配置信息,请打开配置发现开关,然后在提供程序站点输入 VMware Cloud Director 可用于向其发送身份验证请求的 URL。
  7. 单击下一步
  8. 如果在步骤 6 中未使用配置发现,请在端点部分中输入信息。
    1. 输入端点和颁发者 ID 信息。
    2. 如果使用 VMware Workspace ONE Access 作为身份提供程序,请选择 SCIM 作为访问类型。从 VMware Cloud Director 10.4.1 开始,已弃用 SCIM 选项。
      对于其他身份提供程序,可以保留默认的 用户信息选择。
    3. 如果要组合使用来自 UserInfo 端点和 ID 令牌的声明,请打开首选 ID 令牌开关。
      身份提供程序不提供 UserInfo 端点中设置的所有必需声明。打开 首选 ID 令牌开关后, VMware Cloud Director 可以从这两个源获取并使用声明。
    4. 输入可接受的最大时钟偏差。
      最大时钟偏差是客户端和服务器之间允许的最大时间差。此时间用于补偿验证令牌时时间戳中任何较小的时间差。默认值为 60 秒。
    5. 单击下一步
  9. 如果在步骤 6 中未使用配置发现,请输入范围信息,然后单击下一步
    VMware Cloud Director 使用范围授予对用户详细信息的访问权限。当客户端请求访问令牌时,范围会定义此令牌访问用户信息所需的权限。
  10. 如果使用用户信息作为访问类型,请映射声明,然后单击下一步
    可以使用此部分将 VMware Cloud Director 从用户信息端点获取的信息映射到特定声明。声明是 VMware Cloud Director 响应中字段名称的字符串。
  11. 如果希望 VMware Cloud Director 自动刷新 OIDC 密钥配置,请打开自动密钥刷新开关。
    1. 如果在步骤 6 中未使用配置发现,请输入密钥刷新端点
      密钥刷新端点是 JSON Web 密钥集 (JWKS) 端点, VMware Cloud Director 将从中获取密钥。
    2. 选择密钥刷新的频率。
      可以小时为增量设置时间段,范围为 1 小时至最多 30 天。
    3. 选择密钥刷新策略
      选项 描述
      添加

      将传入密钥集添加到现有密钥集。合并后的集中的所有密钥均有效且可用。

      例如,现有密钥集包括密钥 A、B 和 D。传入密钥集包括密钥 B、C 和 D。密钥刷新时,新集包括密钥 A、B、C 和 D。
      替换

      将现有密钥集替换为传入密钥集。

      例如,现有密钥集包括密钥 A、B 和 D。传入密钥集包括密钥 B、C 和 D。密钥刷新时,密钥 C 将替换密钥 A。传入密钥 B、C 和 D 将成为新的有效密钥集,而不会与旧密钥集重叠。
      之后过期

      可以在现有密钥集和传入密钥集之间配置重叠时间段。可以使用以下时间段后密钥过期配置重叠时间,可以小时为增量进行设置,范围为 1 小时至最多 1 天。

      密钥刷新在每小时开始时开始运行。密钥刷新时,VMware Cloud Director 会将现有密钥集中未包含在传入集中的密钥标记为即将过期。下次密钥刷新运行时,VMware Cloud Director 将停止使用即将过期的密钥。只有传入密钥集中的密钥才有效且可用。

      例如,现有密钥集包括密钥 A、B 和 D。传入集包括密钥 B、C 和 D。如果将现有密钥配置为在 1 小时后过期,则会存在 1 小时的重叠时间,在此期间,这两组密钥均有效。VMware Cloud Director 将密钥 A 标记为即将过期,且下次密钥刷新运行之前,密钥 A、B、C 和 D 均可用。下次运行时,密钥 A 过期,仅 B、C 和 D 继续运行。
  12. 如果在步骤 6 中未使用配置发现,请上载身份提供程序用于对其令牌进行签名的私钥。
  13. 单击保存

下一步做什么

  • 订阅 com/vmware/vcloud/event/oidcSettings/keys/modify 事件主题。
  • 验证上次运行时间上次成功运行时间是否相同。密钥刷新在每小时开始时开始运行。上次运行时间是上次尝试刷新密钥的时间戳。上次成功运行时间是上次成功刷新密钥的时间戳。如果时间戳不同,自动密钥刷新将失败,可以通过查看审核事件来诊断问题。