从 Workspace ONE Cloud 控制台设置与身份提供程序的初始集成后,您可以为 VMware Identity Services 启用 API 访问。可使用 API 以编程方式管理用户和组、身份联合以及管理操作。

要启用 API 访问,您需要在 Workspace ONE 租户中为 VMware Identity Services 创建 OAuth 2.0 客户端。

首先,要获取管理员令牌以进行初始访问,请从 Workspace ONE Cloud 控制台的 VMware Identity Services 页面中创建一个临时 OAuth 2.0 客户端。然后,使用该客户端凭据调用 REST API 以创建另一个拥有有限权限的 OAuth 2.0 客户端,您将继续通过 VMware Identity Services API 使用此客户端。创建第二个客户端后,删除临时客户端。

前提条件

  • 您在 Workspace ONE Cloud 服务中具有管理员角色。
  • 您已从 Workspace ONE Cloud 控制台的帐户 > 最终用户管理页面中,为 Workspace ONE 租户启用了 VMware Identity Services,配置了与第三方身份提供程序的集成,并选择了要用于身份提供程序的 Workspace ONE 服务。

过程

  1. 在 Workspace ONE Cloud 控制台中创建一个临时 OAuth 2.0 客户端。
    1. 使用管理员帐户登录到 VMware Cloud Services 控制台,然后启动 Workspace ONE Cloud 服务。
    2. 在 Workspace ONE Cloud 控制台中,导航到帐户 > 最终用户管理
    3. 单击 API 凭据按钮。
    4. 在“API 凭据”页面上,单击添加客户端
      此时将生成一个名为 api-bootstrap-client 的 OAuth 2.0 客户端。
    5. 复制客户端 ID共享密钥值。
      重要说明: 确保在离开该页面之前复制密钥,否则,您必须重新生成密钥。要重新生成密钥,请单击 重新生成按钮。请注意,重新生成密钥时,先前的密钥会立即失效。
      “API 凭据”页面上显示“客户端 ID”和“共享密钥”。
  2. 使用临时客户端的客户端 ID共享密钥值获取访问令牌。
    请参阅 VMware Identity Services API 参考“VMware Identity Services REST API 入门”部分中的 “步骤 2:获取 OAuth 2.0 客户端的访问令牌”
  3. 使用 REST API 创建另一个具有 IDP_AND_DIRECTORY_ADMIN 规则集的 OAuth 2.0 客户端。
    请参阅 VMware Identity Services API 参考“VMware Identity Services REST API 入门”部分中的 “步骤 3:创建具有身份提供程序和目录管理员规则集的 OAuth 2.0 客户端”
  4. 在 Workspace ONE Cloud 控制台中,删除名为 api-bootstrap-client 的临时 OAuth 2.0 客户端。
    1. 导航到帐户 > 最终用户管理
    2. 单击 API 凭据按钮。
    3. 在“API 凭据”页面上,单击删除以删除 api-bootstrap-client 客户端。

下一步做什么

使用 VMware Identity Services REST API 管理用户和组、身份联合以及管理操作。要调用 API,请从您创建的第二个 OAuth 2.0 客户端获取访问令牌。

有关使用 VMware Identity Services REST API 的信息,请参阅 API 参考