停用服务提供商对旧版 VMware Cloud Director API 端点的访问

从 VMware Cloud Director 10.0 开始，可以使用单独的 VMware Cloud Director OpenAPI 登录端点供服务提供商和租户访问 VMware Cloud Director。

可以使用两个新的 OpenAPI 端点，通过限制对 VMware Cloud Director 的访问来提高安全性。

/cloudapi/1.0.0/sessions/provider - 服务提供商登录时使用的 OpenAPI 端点。租户无法使用此端点访问 VMware Cloud Director。
/cloudapi/1.0.0/sessions/ - 租户登录时使用的 OpenAPI 端点。服务提供商无法使用此端点访问 VMware Cloud Director。

默认情况下，提供商管理员和组织用户可以通过登录到 /api/sessions API 端点来访问 VMware Cloud Director。

通过使用单元管理工具的 manage-config 子命令，可以停用服务提供商访问 /api/sessions API 端点，因此可将提供商登录限定到仅服务提供商可访问的新 /cloudapi/1.0.0/sessions/provider OpenAPI 端点。

注：

停用服务提供商对 /api/sessions API 端点的访问时，对于所有旧版 API 端点，在授权标头中仅提供 SAML 令牌的服务提供商请求都将失败。

过程

以 root 身份直接或通过 SSH 登录到任意 VMware Cloud Director 单元的操作系统。

要阻止提供商访问 /api/sessions API 端点，请使用单元管理工具并运行以下命令：

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

结果

服务提供商无法再访问 /api/sessions API 端点。服务提供商可以使用新的 OpenAPI 端点 /cloudapi/1.0.0/sessions/provider 访问 VMware Cloud Director。租户可以同时使用 /api/sessions API 端点和新的 /cloudapi/1.0.0/sessions/ OpenAPI 端点访问 VMware Cloud Director。

下一步做什么

要允许提供商访问 /api/sessions API 端点，请运行以下命令：

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false