从版本 10.4.2 开始,可以将 VMware Cloud Director 用作租户感知的 OpenId Connect (OIDC) 身份提供程序代理服务器。

VMware Cloud Director 配置为 OIDC 代理服务器后,当用户尝试登录 OIDC 依赖方(OIDC 客户端)时,他们将被重定向到 VMware Cloud Director,并被提示输入其组织名称及其 SSO 或本地凭据。提供必要的凭据后,用户会被定向到 OIDC 依赖方。

VMware Cloud Director 会将实际身份验证委派给提供商或租户使用的身份验证机制。这可能会导致额外重定向到为这些用户执行身份验证的任何外部身份提供程序。

前提条件

  • 确认您的角色包含 OIDC 库:管理设置权限。

  • 确认将通过 VMware Cloud Director 登录 OIDC 依赖方(OIDC 客户端)的用户的角色包括 OIDC 服务器:启用权限。

过程

  1. 在左侧一级导航面板中,选择管理
  2. 在左侧面板中的设置下,单击 OIDC 代理
  3. 单击依赖方,然后单击新建
  4. 输入客户端应用程序注册的依赖方名称,并记下该名称。
  5. 输入要将尝试登录依赖方的用户重定向到的 URI,然后单击保存
  6. 复制依赖方 ID 和密钥,并记下它们。
  7. 将 OIDC 依赖方配置为将 VMware Cloud Director 用作具有依赖方 ID 和密钥的身份提供程序代理服务器。
    提示:

    可以在已知配置 URL hostname/oidc/.well-known/openid-configuration 检索提供程序配置值,包括 JWKS 端点以及与 OIDC 代理配置所需的其他端点和范围有关的信息。请参见在 VMware Cloud Director 中查看 OIDC 代理常规设置

结果

当用户尝试登录 OIDC 依赖方时,他们将被重定向到 VMware Cloud Director,被提示选择 VMware Cloud Director 组织并提供其凭据。成功授权后,它们将重定向回 OIDC 依赖方。