Ab VMware Cloud Director 10.0 können Sie separate VMware Cloud Director OpenAPI-Anmelde-Endpoints für den Dienstanbieter- und den Mandantenzugriff auf VMware Cloud Director verwenden.
Sie können zwei neue OpenAPI-Endpoints verwenden, um durch Beschränkung des Zugriffs auf VMware Cloud Director die Sicherheit zu erhöhen.
/cloudapi/1.0.0/sessions/provider
– OpenAPI-Endpoint für die Dienstanbieteranmeldung. Mandanten können nicht unter Verwendung dieses Endpoints auf VMware Cloud Director zugreifen./cloudapi/1.0.0/sessions/
– OpenAPI-Endpoint für die Mandantenanmeldung. Dienstanbieter können nicht unter Verwendung dieses Endpoints auf VMware Cloud Director zugreifen.
Standardmäßig können Anbieteradministratoren und Organisationsbenutzer auf VMware Cloud Director zugreifen, indem sie sich beim /api/sessions
-API-Endpoint anmelden.
Mithilfe des Unterbefehls manage-config
des Zellenverwaltungstools können Sie den Dienstanbieterzugriff auf den /api/sessions
-API-Endpoint deaktivieren und dadurch die Anbieteranmeldung auf den neuen OpenAPI-Endpoint /cloudapi/1.0.0/sessions/provider
begrenzen, auf den nur Dienstanbieter zugreifen können.
Wenn Sie den Dienstanbieterzugriff auf den API-Endpoint /api/sessions
deaktivieren, schlagen Dienstanbieteranfragen, die nur ein SAML-Token im Autorisierungsheader bereitstellen, für alle veralteten API-Endpoints fehl.
Prozedur
Ergebnisse
Dienstanbieter können nicht mehr auf den API-Endpoint /api/sessions
zugreifen. Dienstanbieter können den neuen OpenAPI-Endpoint /cloudapi/1.0.0/sessions/provider
verwenden, um auf VMware Cloud Director zuzugreifen. Mandanten können auf VMware Cloud Director zugreifen, indem sie sowohl den API-Endpoint /api/sessions
als auch den neuen OpenAPI-Endpoint /cloudapi/1.0.0/sessions/
verwenden.
Nächste Maßnahme
Um den Anbieterzugriff auf den API-Endpoint /api/sessions
zu aktivieren, führen Sie den folgenden Befehl aus:
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false