从 VMware Cloud Director 10.0 开始,可以使用单独的 VMware Cloud Director OpenAPI 登录端点供服务提供商和租户访问 VMware Cloud Director。
可以使用两个新的 OpenAPI 端点,通过限制对 VMware Cloud Director 的访问来提高安全性。
/cloudapi/1.0.0/sessions/provider
- 服务提供商登录时使用的 OpenAPI 端点。租户无法使用此端点访问 VMware Cloud Director。/cloudapi/1.0.0/sessions/
- 租户登录时使用的 OpenAPI 端点。服务提供商无法使用此端点访问 VMware Cloud Director。
默认情况下,提供商管理员和组织用户可以通过登录到 /api/sessions
API 端点来访问 VMware Cloud Director。
通过使用单元管理工具的 manage-config
子命令,可以停用服务提供商访问 /api/sessions
API 端点,因此可将提供商登录限定到仅服务提供商可访问的新 /cloudapi/1.0.0/sessions/provider
OpenAPI 端点。
停用服务提供商对 /api/sessions
API 端点的访问时,对于所有旧版 API 端点,在授权标头中仅提供 SAML 令牌的服务提供商请求都将失败。
过程
结果
服务提供商无法再访问 /api/sessions
API 端点。服务提供商可以使用新的 OpenAPI 端点 /cloudapi/1.0.0/sessions/provider
访问 VMware Cloud Director。租户可以同时使用 /api/sessions
API 端点和新的 /cloudapi/1.0.0/sessions/
OpenAPI 端点访问 VMware Cloud Director。
下一步做什么
要允许提供商访问 /api/sessions
API 端点,请运行以下命令:
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false