如果要将 OpenID Connect (OIDC) 身份提供程序中的用户和组导入到 VMware Cloud Director 系统组织,必须对您的系统组织配置此 OIDC 身份提供程序。导入的用户可以使用 OIDC 身份提供程序中建立的凭据登录到系统组织。
OAuth 是一种开放式联合标准,可委派用户访问权限。OpenID Connect 是基于 OAuth 2.0 协议的身份验证层。通过使用 OpenID Connect,客户端可以接收有关经过身份验证的会话和最终用户的信息。OAuth 身份验证端点必须可从 VMware Cloud Director 单元访问,这样可使其更适用于使用公共身份提供程序或提供程序管理的身份提供程序的情况。
您可以允许租户生成并颁发可由应用程序代表其使用的 API 访问令牌。
可以将 VMware Cloud Director 配置为从您提供的 JWKS 端点自动刷新 OIDC 密钥配置。可以配置密钥刷新过程的频率和轮换策略,该策略用于确定 VMware Cloud Director 是添加新密钥、将旧密钥替换为新密钥还是旧密钥在一段时间后过期。
VMware Cloud Director 会在事件主题 com/vmware/vcloud/event/oidcSettings/keys/modify 下生成成功和失败密钥刷新的审核事件。失败密钥刷新的审核事件包括有关失败的其他信息。
对于版本 10.4.2 及更高版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,UI 将仅显示使用 Single Sign-On 登录选项。要以本地用户身份登录,请导航到 https://vcloud.example.com/tenant/tenant_name/login 或 https://vcloud.example.com/provider/login。
对于 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,要使用身份提供程序登录,请选择使用 Single Sign-On 登录选项。
过程
下一步做什么
- 订阅 com/vmware/vcloud/event/oidcSettings/keys/modify 事件主题。
- 验证上次运行时间和上次成功运行时间是否相同。密钥刷新在每小时开始时开始运行。上次运行时间是上次尝试刷新密钥的时间戳。上次成功运行时间是上次成功刷新密钥的时间戳。如果时间戳不同,自动密钥刷新将失败,可以通过查看审核事件来诊断问题。