Wenn Sie Benutzer und Gruppen aus einem OIDC-Identitätsanbieter (OpenID Connect) in Ihre Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem OIDC-Identitätsanbieter konfigurieren. Importierte Benutzer können sich bei der Systemorganisation mit den im OIDC-Identitätsanbieter eingerichteten Anmeldedaten anmelden.
OAuth ist ein offener Verbundstandard, der Benutzerzugriff delegiert. OpenID Connect ist eine Authentifizierungsschicht über dem OAuth 2.0-Protokoll. Mithilfe von OpenID Connect können Clients Informationen zu authentifizierten Sitzungen und Endbenutzern erhalten. Der OAuth-Authentifizierungs-Endpoint muss von den VMware Cloud Director-Zellen aus erreichbar sein. Dadurch ist er besser geeignet, wenn Sie öffentliche oder vom Anbieter verwaltete Identitätsanbieter verwenden.
Ab VMware Cloud Director 10.3.1 können Sie Mandanten erlauben, API-Zugriffstoken zu erzeugen und auszugeben, die von Anwendungen in ihrem Namen verwendet werden können.
Ab VMware Cloud Director 10.3.2 können Sie VMware Cloud Director so konfigurieren, dass Ihre OIDC-Schlüsselkonfigurationen automatisch über den von Ihnen bereitgestellten JWKS-Endpoint aktualisiert werden. Sie können die Häufigkeit des Schlüsselaktualisierungsvorgangs und die Rotationsstrategie konfigurieren, die festlegt, ob VMware Cloud Director neue Schlüssel hinzufügt, die alten Schlüssel durch neue ersetzt oder die alten Schlüssel nach einem bestimmten Zeitraum ablaufen.
VMware Cloud Director generiert Überwachungsereignisse für erfolgreiche und fehlgeschlagene Schlüsselaktualisierungen unter dem Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify. Die Überwachungsereignisse für fehlgeschlagene Schlüsselaktualisierungen enthalten zusätzliche Informationen über den Fehler.
Prozedur
Nächste Maßnahme
- Abonnieren Sie das Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify.
- Vergewissern Sie sich, dass die Angaben unter Letzte Ausführung und Letzte erfolgreiche Ausführung identisch sind. Die Ausführungen werden zu Beginn jeder Stunde gestartet. Unter Letzte Ausführung wird der Zeitstempel des letzten Schlüsselaktualisierungsversuchs angegeben. Unter Letzte erfolgreiche Ausführung wird der Zeitstempel der letzten erfolgreichen Schlüsselaktualisierung angegeben. Wenn die Zeitstempel unterschiedlich sind, schlägt die automatische Schlüsselaktualisierung fehl, und Sie können das Problem diagnostizieren, indem Sie die Überwachungsereignisse überprüfen.