Konfigurieren Ihres Systems für die Verwendung eines OpenID Connect-Identitätsanbieters mithilfe des VMware Cloud Director Service Provider Admin Portal

Wenn Sie Benutzer und Gruppen aus einem OIDC-Identitätsanbieter (OpenID Connect) in die VMware Cloud Director-Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem OIDC-Identitätsanbieter konfigurieren. Importierte Benutzer können sich bei der Systemorganisation mit den im OIDC-Identitätsanbieter eingerichteten Anmeldedaten anmelden.

OAuth ist ein offener Verbundstandard, der Benutzerzugriff delegiert. OpenID Connect ist eine Authentifizierungsschicht über dem OAuth 2.0-Protokoll. Mithilfe von OpenID Connect können Clients Informationen zu authentifizierten Sitzungen und Endbenutzern erhalten. Der OAuth-Authentifizierungs-Endpoint muss von den VMware Cloud Director-Zellen aus erreichbar sein. Dadurch ist er besser geeignet, wenn Sie öffentliche oder vom Anbieter verwaltete Identitätsanbieter verwenden.

Sie können Mandanten erlauben, API-Zugriffstoken zu erzeugen und auszugeben, die von Anwendungen in ihrem Namen verwendet werden können.

Sie können VMware Cloud Director so konfigurieren, dass Ihre OIDC-Schlüsselkonfigurationen von dem von Ihnen bereitgestellten JWKS-Endpoint automatisch aktualisiert werden. Sie können die Häufigkeit des Schlüsselaktualisierungsvorgangs und die Rotationsstrategie konfigurieren, die festlegt, ob VMware Cloud Director neue Schlüssel hinzufügt, die alten Schlüssel durch neue ersetzt oder die alten Schlüssel nach einem bestimmten Zeitraum ablaufen.

Hinweis: Informationen zur erfolgreichen VMware Cloud Director-Integration mit externen Identitätsanbietern, zur Ermittlung der korrekten Werte und Einstellungen und zur Gewährleistung einer ordnungsgemäßen und genauen Konfiguration finden Sie auch in der Produktdokumentation dieser Identitätsanbieter.

VMware Cloud Director generiert Überwachungsereignisse für erfolgreiche und fehlgeschlagene Schlüsselaktualisierungen unter dem Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify. Die Überwachungsereignisse für fehlgeschlagene Schlüsselaktualisierungen enthalten zusätzliche Informationen über den Fehler.

Tipp:

Wenn für eine Organisation in VMware Cloud Director SAML oder OIDC konfiguriert ist, wird auf der Benutzeroberfläche für Version 10.4.2 und höher nur die Option Mit Single Sign-On anmelden angezeigt. Navigieren Sie zu https://vcloud.example.com/tenant/tenant_name/login oder https://vcloud.example.com/provider/login, um sich als lokaler Benutzer anzumelden.

VMware Cloud Director-Anmeldeseite mit einer Schaltfläche für die SSO-Anmeldung.

Wenn bei den Versionen 10.3.3 bis 10.4.1 für eine Organisation in VMware Cloud Director SAML oder OIDC konfiguriert ist, wählen Sie für die Anmeldung bei Ihrem Identitätsanbieter die Option Mit Single Sign-On anmelden aus.

VMware Cloud Director-Anmeldeseite mit Schaltflächen für die SSO-Anmeldung und die Anmeldung als lokaler Benutzer.

Prozedur

Wählen Sie in der oberen Navigationsleiste Administration aus.
Klicken Sie im linken Bereich unter Identitätsanbieter auf OIDC.
Wenn Sie OIDC zum ersten Mal konfigurieren, kopieren Sie den Umleitungs-URI für die Client-Konfiguration und erstellen Sie damit eine Client-Anwendungsregistrierung bei einem Identitätsanbieter, der dem OpenID Connect-Standard entspricht, z. B. VMware Workspace ONE Access.
Sie benötigen diese Registrierung, um eine Client-ID und einen geheimen Clientschlüssel abzurufen, die Sie während der Konfiguration des OIDC-Identitätsanbieters verwenden müssen.
Klicken Sie auf Konfigurieren.
Stellen Sie sicher, dass OpenID Connect aktiv ist, und geben Sie die Informationen zur Client-ID und zum geheimen Clientschlüssel aus der OIDC-Serverregistrierung ein.
(Optional) Um die Informationen von einem bekannten Endpoint zum automatischen Ausfüllen der Konfigurationsinformationen zu verwenden, aktivieren Sie die Umschaltoption Konfigurationserkennung und geben Sie eine URL auf der Site des Anbieters ein, die VMware Cloud Director zum Senden von Authentifizierungsanforderungen verwenden kann.
Klicken Sie auf Weiter.
Wenn Sie in Schritt 6 Konfigurationserkennung nicht verwendet haben, geben Sie die Informationen im Abschnitt Endpoints ein.
1. Geben Sie die Informationen zum Endpoint und zur Aussteller-ID ein.
2. Wenn Sie VMware Workspace ONE Access als Identitätsanbieter verwenden, wählen Sie SCIM als Zugriffstyp aus. Ab VMware Cloud Director 10.4.1 ist die Option SCIM veraltet.
  Für andere Identitätsanbieter können Sie die Standardauswahl Benutzerinformationen beibehalten.
3. Wenn Sie Beanspruchungen vom UserInfo-Endpoint und dem ID-Token kombinieren möchten, aktivieren Sie die Umschaltoption ID-Token bevorzugen.
  Die Identitätsanbieter stellen nicht alle erforderlichen Beanspruchungen bereit, die im UserInfo-Endpoint festgelegt sind. Durch Aktivieren der Umschaltoption ID-Token bevorzugen kann VMware Cloud Director Beanspruchungen aus beiden Quellen abrufen und verbrauchen.
4. Geben Sie die maximal akzeptable Uhrabweichung ein.
  Die maximale Uhrabweichung ist der maximal zulässige Zeitunterschied zwischen Client und Server. Diese Zeit kompensiert geringfügige Zeitunterschiede bei den Zeitstempeln bei der Überprüfung von Token. Die Standardeinstellung beträgt 60 Sekunden.
5. Klicken Sie auf Weiter.
Wenn Sie in Schritt 6 Konfigurationserkennung nicht verwendet haben, geben Sie die Informationen zum Geltungsbereich ein und klicken Sie auf Weiter.
VMware Cloud Director verwendet die Geltungsbereiche, um den Zugriff auf Benutzerdetails zu autorisieren. Wenn ein Client ein Zugriffstoken anfordert, definieren die Geltungsbereiche die Berechtigungen, die dieses Token für den Zugriff auf Benutzerinformationen hat.
Wenn Sie als Zugriffstyp Benutzerinformationen verwenden, ordnen Sie die Beanspruchungen zu und klicken Sie auf Weiter.
Sie können diesen Abschnitt verwenden, um die Informationen, die VMware Cloud Director vom Benutzerinformations-Endpoint erhält, bestimmten Beanspruchungen zuzuordnen. Die Beanspruchungen sind Zeichenfolgen für die Feldnamen in der VMware Cloud Director-Antwort.

Wenn Sie möchten, dass VMware Cloud Director die OIDC-Schlüsselkonfigurationen automatisch aktualisiert, aktivieren Sie die Umschaltoption Automatische Schlüsselaktualisierung.

Wenn Sie in Schritt 6 Konfigurationserkennung nicht verwendet haben, geben Sie den Endpoint für die Schlüsselaktualisierung ein.
Der Endpoint für die Schlüsselaktualisierung ist ein JWKS-Endpoint (JSON Web Key Set) und er ist der Endpoint, von dem VMware Cloud Director die Schlüssel abruft.
Wählen Sie aus, wie oft die Schlüsselaktualisierung erfolgen soll.
Sie können den Zeitraum in Stundenschritten von 1 Stunde bis zu 30 Tagen festlegen.

Wählen Sie eine Strategie für die Schlüsselaktualisierung aus.

Option	Beschreibung
Hinzufügen	Fügen Sie den eingehenden Schlüsselsatz dem vorhandenen Schlüsselsatz hinzu. Alle Schlüssel im zusammengeführten Satz sind gültig und verwendbar. Beispiel: Ihr vorhandener Schlüsselsatz umfasst die Schlüssel A, B und D. Ihr eingehender Schlüsselsatz umfasst die Schlüssel B, C und D. Wenn die Schlüssel aktualisiert werden, umfasst der neue Satz die Schlüssel A, B, C und D.
Ersetzen	Ersetzen Sie den vorhandenen Schlüsselsatz durch den eingehenden Schlüsselsatz. Beispiel: Ihr vorhandener Schlüsselsatz enthält die Schlüssel A, B und D. Ihr eingehender Schlüsselsatz umfasst die Schlüssel B, C und D. Bei der Schlüsselaktualisierung ersetzt der Schlüssel C den Schlüssel A. Die eingehenden Schlüssel B, C und D werden zum neuen Satz gültiger Schlüssel ohne Überschneidung mit dem alten Satz.
Ablauf nach	Sie können einen Überschneidungszeitraum zwischen dem vorhandenen und dem eingehenden Schlüsselsatz konfigurieren. Sie können den Überschneidungszeitraum mit Ablauf von Schlüssel nach Zeitraum konfigurieren. Diesen Zeitraum können Sie in stündlichen Schritten von 1 Stunde bis zu 1 Tag festlegen. Die Ausführungen der Schlüsselaktualisierung werden zu Beginn jeder Stunde gestartet. Wenn die Schlüsselaktualisierung erfolgt, kennzeichnet VMware Cloud Director die Schlüssel im vorhandenen Schlüsselsatz, die nicht im eingehenden Satz enthalten sind, als ablaufend. Bei der nächsten Schlüsselaktualisierung verwendet VMware Cloud Director die ablaufenden Schlüssel nicht mehr. Nur Schlüssel, die im eingehenden Satz enthalten sind, sind gültig und verwendbar. Beispiel: Ihr vorhandener Schlüsselsatz enthält die Schlüssel A, B und D. Der eingehende Satz enthält die Schlüssel B, C und D. Wenn Sie die vorhandenen Schlüssel so konfigurieren, dass sie in 1 Stunde ablaufen, gibt es eine 1-stündige Überschneidung, während der beide Schlüsselsätze gültig sind. VMware Cloud Director kennzeichnet Schlüssel A als ablaufend, und bis zur nächsten Ausführung der Schlüsselaktualisierung können die Schlüssel A, B, C und D verwendet werden. Bei der nächsten Ausführung läuft Schlüssel A ab und nur B, C und D funktionieren weiterhin.

Option

Beschreibung

Hinzufügen

Fügen Sie den eingehenden Schlüsselsatz dem vorhandenen Schlüsselsatz hinzu. Alle Schlüssel im zusammengeführten Satz sind gültig und verwendbar.

Beispiel: Ihr vorhandener Schlüsselsatz umfasst die Schlüssel A, B und D. Ihr eingehender Schlüsselsatz umfasst die Schlüssel B, C und D. Wenn die Schlüssel aktualisiert werden, umfasst der neue Satz die Schlüssel A, B, C und D.

Ersetzen

Ersetzen Sie den vorhandenen Schlüsselsatz durch den eingehenden Schlüsselsatz.

Beispiel: Ihr vorhandener Schlüsselsatz enthält die Schlüssel A, B und D. Ihr eingehender Schlüsselsatz umfasst die Schlüssel B, C und D. Bei der Schlüsselaktualisierung ersetzt der Schlüssel C den Schlüssel A. Die eingehenden Schlüssel B, C und D werden zum neuen Satz gültiger Schlüssel ohne Überschneidung mit dem alten Satz.

Ablauf nach

Sie können einen Überschneidungszeitraum zwischen dem vorhandenen und dem eingehenden Schlüsselsatz konfigurieren. Sie können den Überschneidungszeitraum mit Ablauf von Schlüssel nach Zeitraum konfigurieren. Diesen Zeitraum können Sie in stündlichen Schritten von 1 Stunde bis zu 1 Tag festlegen.

Die Ausführungen der Schlüsselaktualisierung werden zu Beginn jeder Stunde gestartet. Wenn die Schlüsselaktualisierung erfolgt, kennzeichnet VMware Cloud Director die Schlüssel im vorhandenen Schlüsselsatz, die nicht im eingehenden Satz enthalten sind, als ablaufend. Bei der nächsten Schlüsselaktualisierung verwendet VMware Cloud Director die ablaufenden Schlüssel nicht mehr. Nur Schlüssel, die im eingehenden Satz enthalten sind, sind gültig und verwendbar.

Beispiel: Ihr vorhandener Schlüsselsatz enthält die Schlüssel A, B und D. Der eingehende Satz enthält die Schlüssel B, C und D. Wenn Sie die vorhandenen Schlüssel so konfigurieren, dass sie in 1 Stunde ablaufen, gibt es eine 1-stündige Überschneidung, während der beide Schlüsselsätze gültig sind. VMware Cloud Director kennzeichnet Schlüssel A als ablaufend, und bis zur nächsten Ausführung der Schlüsselaktualisierung können die Schlüssel A, B, C und D verwendet werden. Bei der nächsten Ausführung läuft Schlüssel A ab und nur B, C und D funktionieren weiterhin.

Wenn Sie in Schritt 6 Konfigurationserkennung nicht verwendet haben, laden Sie den privaten Schlüssel hoch, den der Identitätsanbieter zum Signieren seiner Token verwendet.
Klicken Sie auf Speichern.

Nächste Maßnahme

Abonnieren Sie das Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify.
Vergewissern Sie sich, dass die Angaben unter Letzte Ausführung und Letzte erfolgreiche Ausführung identisch sind. Die Ausführungen werden zu Beginn jeder Stunde gestartet. Unter Letzte Ausführung wird der Zeitstempel des letzten Schlüsselaktualisierungsversuchs angegeben. Unter Letzte erfolgreiche Ausführung wird der Zeitstempel der letzten erfolgreichen Schlüsselaktualisierung angegeben. Wenn die Zeitstempel unterschiedlich sind, schlägt die automatische Schlüsselaktualisierung fehl, und Sie können das Problem diagnostizieren, indem Sie die Überwachungsereignisse überprüfen.