Ab VMware Cloud Director 10.3.1 können Sie API-Zugriffstoken erzeugen und ausgeben. Sie werden mithilfe der entsprechenden empfohlenen Vorgehensweisen für die Sicherheit authentifiziert, einschließlich der Nutzung der Zwei-Faktor-Autorisierung. Mithilfe von API-Zugriffstoken können Sie Zugriff zur Erstellung von Automatisierung für VMware Cloud Director gewähren.
Zugriffstoken sind Artefakte, die von Clientanwendungen zum Stellen von API-Anfragen im Namen eines Benutzers verwendet werden. Anwendungen benötigen Zugriffstoken zur Authentifizierung. Bei Ablauf eines Zugriffstokens können Anwendungen API-Token verwenden, um Zugriffstoken abzurufen. API-Token laufen nicht ab.
Bei Verwendung von Zugriffstoken können Anwendungen bestimmte Aufgaben nicht ausführen.
- Ändern des Benutzerkennworts
- Durchführen von Benutzerverwaltungsaufgaben
- Erstellen weiterer Token
- Anzeigen oder Widerrufen anderer Token
Beim Zugriff auf VMware Cloud Director mithilfe eines API-Zugriffstokens verfügen Anwendungen lediglich über Anzeigerechte für die folgenden Ressourcen.
- Benutzer
- Gruppe
- Rollen
- Globale Rollen
- Rechtepakete
- Token: Verwalten
- Token: Alle verwalten
Ähnlich wie beim Generieren eines Benutzer-API-Tokens können Sie ein Dienstkonto mithilfe der VMware Cloud Director-API erstellen. Die API-Anforderung zum Erstellen eines Dienstkontos verwendet denselben API-Endpoint wie beim Erstellen eines Benutzer-API-Tokens, aber das Vorhandensein des Felds software_id
zeigt die Absicht an, ein Dienstkonto zu erstellen.
Voraussetzungen
- Stellen Sie sicher, dass Sie über die Berechtigung Benutzereigenes API-Token verwalten verfügen.
- Die Authentifizierung mit einem API-Token verwendet den Standard „Aktualisieren eines Zugriffstokens“ gemäß OAuth 2.0 RFC 6749, Abschnitt 6, um Zugriff auf VMware Cloud Director als OAuth-Anwendung zu erteilen. Das zurückgegebene Zugriffstoken entspricht einem VMware Cloud Director-Zugriffstoken, das von Clientanwendungen für nachfolgende API-Aufrufe an VMware Cloud Director verwendet werden kann. Zum Stellen einer RFC-konformen OAuth 2.0-Anfrage machen Sie sich mit den Informationen zum Aktualisieren eines Zugriffstokens in Request for Comments (RFC) 6749, Abschnitt 6 vertraut.
Prozedur
Beispiel
POST https://host_name/oauth/tenant/tenant_name/token Accept: application/json Content-Type: application/x-www-form-urlencoded Content-Length: 71 grant_type=refresh_token&refresh_token=Generated_API_TokenAntwort:
HTTP/1.1 200 OK Content-Type: application/json { "access_token":"Generated_Access_Token", "token_type":"Bearer", "expires_in":2592000, "refresh_token":null }Anfrage mit dem erzeugten Zugriffstoken:
GET https://host_name/api/org Accept: application/*+xml;version=36.1 Authorization: Bearer Generated_Access_TokenAntwort:
HTTP/1.1 200 OK Content-Type: application/vnd.vmware.vcloud.orglist+xml;version=36.1 X-VMWARE-VCLOUD-REQUEST-EXECUTION-TIME: 41 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <OrgList xmlns="http://www.vmware.com/vcloud/v1.5" xmlns:vmext="http://www.vmware.com/vcloud/extension/v1.5" xmlns:ovf="http://schemas.dmtf.org/ovf/envelope/1" xmlns:vssd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_VirtualSystemSettingData" xmlns:common="http://schemas.dmtf.org/wbem/wscim/1/common" xmlns:rasd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_ResourceAllocationSettingData" xmlns:vmw="http://www.vmware.com/schema/ovf" xmlns:ovfenv="http://schemas.dmtf.org/ovf/environment/1" xmlns:ns9="http://www.vmware.com/vcloud/versions" href="https://host_name/api/org/" type="application/vnd.vmware.vcloud.orgList+xml"> <Org href="https://host_name/api/org/UUID_of_the_organization" type="application/vnd.vmware.vcloud.org+xml" name="Organization_name"/> </OrgList>
Nächste Maßnahme
- Zum Widerrufen eines Ihrer Token navigieren Sie zur Seite Benutzereinstellungen und klicken auf die vertikale Ellipse neben dem Token.
- Wenn Sie als Organisationsadministrator die Token aller Mandantenbenutzer in Ihrer Organisation anzeigen und gegebenenfalls widerrufen möchten, können Sie Ihren Dienstanbieter bitten, Ihnen die Berechtigung API-Token aller Benutzer verwalten zu gewähren. Weitere Informationen zum Widerrufen der Token anderer Benutzer finden Sie unter Verwalten des Zugriffstokens eines Benutzers.