VMware Cloud Partner Navigator 使用 OAuth 2.0,以便您可以为应用程序授予对提供商组织或客户组织中的资源进行安全委派访问的权限。VMware Cloud Partner Navigator 支持 OAuth 2.0 服务器到服务器应用程序,此类应用程序可通过直接颁发给应用程序的访问令牌来授权操作。
什么是 OAuth 2.0?
OAuth 2.0 是一种授权协议,支持为您的应用程序授予对资源的安全访问权限。您的客户端通过访问令牌获得授权。访问令牌具有一个范围,用于定义应用程序可以访问哪些资源。有关 OAuth 2.0 的信息,请访问 https://tools.ietf.org/html/rfc6749#page-8,或参阅此名为《OAuth 2.0 Simplified》的博客文章(网址为 https://aaronparecki.com/oauth-2-simplified/)。
OAuth 如何与 VMware Cloud Partner Navigator 配合使用?
VMware Cloud Partner Navigator 支持 OAuth 2.0 客户端凭据授权类型,因此可为您的应用程序授予对组织资源的访问权限,而无需用户授权。要为您的应用程序提供凭据,请在 VMware Cloud Partner Navigator 中创建一个服务器到服务器 OAuth 2.0 应用程序,并定义其访问令牌的范围。然后,您的应用程序将使用提供的 OAuth 凭据检索访问令牌,并获得对在范围内定义的资源进行访问的权限。如云服务提供商角色和权限中所述,范围是根据组织和服务角色定义的。
OAuth 应用程序由谁创建?
只有提供商管理员或提供商开发人员用户才能在 VMware Cloud Partner Navigator 提供商组织或客户组织中创建 OAuth 应用程序。
提供商管理员用户可以创建对组织资源进行任意类型访问的 OAuth 2.0 应用程序,但权限低于或等于提供商管理员角色的权限。
由于提供商开发人员角色不是独立角色,只能与其他角色一起分配,因此,提供商开发人员用户创建的 OAuth 2.0 应用程序只能具有受限制的组织和服务权限,且应低于或等于其他已分配角色的权限。例如,具有对 VMware Cloud Director service 独占访问权限的提供商服务经理、提供商开发人员用户创建的 OAuth 应用程序,只能具有对 VMware Cloud Director service 和 VMware Cloud Partner Navigator 资源的相同访问权限级别。
如何设置 OAuth 服务器到服务器应用程序?
设置 OAuth 应用程序的过程分为两步。首先,在您的一个组织中创建 OAuth 应用程序,并定义其访问令牌的范围。然后,将该应用程序添加到用于创建该应用程序的相同组织,以便为其启用对组织资源的访问权限。您不能添加在其他组织中创建的 OAuth 应用程序。
要创建 OAuth 应用程序,请执行以下操作:
在 VMware Cloud Partner Navigator 工具栏上,单击 。
单击
。填写 OAuth 应用程序详细信息,并定义其范围。
输入应用程序的名称和描述。
设置 OAuth 应用程序访问令牌的生存时间。
要定义 OAuth 应用程序访问令牌的范围,请选择组织和服务角色。
根据所选的组织角色,您可能无法分配任何服务角色。有关详细信息,请参见云服务提供商角色和权限。
单击创建。
复制收到的凭据或下载 JSON 文件,然后单击继续。
此时,已在您的 VMware Cloud Partner Navigator 组织中创建 OAuth 应用程序,但尚未授予对其资源的访问权限。要向该应用程序授予访问权限,您必须将其添加到您的组织中。
将 OAuth 应用程序添加到组织时,其访问令牌的范围可能与在提供商服务经理、提供商开发人员角色尝试添加具有最高级别可用权限的 OAuth 应用程序时,所添加应用程序实例的访问令牌将仅限于添加该应用程序的提供商服务经理、提供商开发人员用户的权限,而不会拥有在范围设置中定义的对资源的完全访问权限。
设置中设置的访问令牌范围有所不同。实际范围由三个条件共同决定:OAuth 应用程序的范围设置、您组织中可用的服务角色,以及为用户执行此过程分配的组织和服务角色。例如,当对资源具有有限访问权限的要将 OAuth 应用程序添加到组织中,请执行以下操作:
在 VMware Cloud Partner Navigator 工具栏上,单击 。
单击添加应用程序。
选择您的组织,然后浏览并选择一个 OAuth 应用程序。
页面上会列出将分配给 OAuth 应用程序实例的组织角色和服务角色。
查看 OAuth 应用程序详细信息,然后单击添加。
此时 OAuth 应用程序会添加到您的 VMware Cloud Partner Navigator 组织,并被授予对其资源的访问权限。
要授权应用程序的操作,请在脚本的 API 调用中使用提供的 OAuth 凭据。
如何管理 OAuth 应用程序?
有关您可以执行的 OAuth 管理功能列表,请参阅下表。
目标 |
执行操作 |
---|---|
查看有权访问您组织的 OAuth 应用程序。 |
单击身份与访问管理 > OAuth 应用程序。 |
添加在同一组织中创建的 OAuth 应用程序 |
|
限制添加的 OAuth 应用程序访问您组织的资源 |
|
查看在您的组织中创建的应用程序。 |
单击组织 > OAuth 应用程序。 您可以在此处查看在您的组织中创建的所有应用程序。 |
管理在您的组织中创建的现有 OAuth 应用程序。 |
单击组织 > OAuth 应用程序,然后选择要管理的应用程序:
|