Wenn Sie Benutzer und Gruppen aus einem OIDC-Identitätsanbieter (OpenID Connect) in die VMware Cloud Director-Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem OIDC-Identitätsanbieter konfigurieren. Importierte Benutzer können sich bei der Systemorganisation mit den im OIDC-Identitätsanbieter eingerichteten Anmeldedaten anmelden.
OAuth ist ein offener Verbundstandard, der Benutzerzugriff delegiert. OpenID Connect ist eine Authentifizierungsschicht über dem OAuth 2.0-Protokoll. Mithilfe von OpenID Connect können Clients Informationen zu authentifizierten Sitzungen und Endbenutzern erhalten. Der OAuth-Authentifizierungs-Endpoint muss von den VMware Cloud Director-Zellen aus erreichbar sein. Dadurch ist er besser geeignet, wenn Sie öffentliche oder vom Anbieter verwaltete Identitätsanbieter verwenden.
Sie können VMware Cloud Director so konfigurieren, dass Ihre OIDC-Schlüsselkonfigurationen von dem von Ihnen bereitgestellten JWKS-Endpoint automatisch aktualisiert werden. Sie können die Häufigkeit des Schlüsselaktualisierungsvorgangs und die Rotationsstrategie konfigurieren, die festlegt, ob VMware Cloud Director neue Schlüssel hinzufügt, die alten Schlüssel durch neue ersetzt oder die alten Schlüssel nach einem bestimmten Zeitraum ablaufen.
VMware Cloud Director generiert Überwachungsereignisse für erfolgreiche und fehlgeschlagene Schlüsselaktualisierungen unter dem Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify. Die Überwachungsereignisse für fehlgeschlagene Schlüsselaktualisierungen enthalten zusätzliche Informationen über den Fehler.
Wenn für eine Organisation in VMware Cloud Director SAML oder OIDC konfiguriert ist, wird auf der Benutzeroberfläche für Version 10.4.2 und höher nur die Option Mit Single Sign-On anmelden angezeigt. Navigieren Sie zu https://vcloud.example.com/tenant/tenant_name/login oder https://vcloud.example.com/provider/login, um sich als lokaler Benutzer anzumelden.
Prozedur
Nächste Maßnahme
- Abonnieren Sie das Ereignisthema com/vmware/vcloud/event/oidcSettings/keys/modify.
- Vergewissern Sie sich, dass die Angaben unter Letzte Ausführung und Letzte erfolgreiche Ausführung identisch sind. Die Ausführungen werden zu Beginn jeder Stunde gestartet. Unter Letzte Ausführung wird der Zeitstempel des letzten Schlüsselaktualisierungsversuchs angegeben. Unter Letzte erfolgreiche Ausführung wird der Zeitstempel der letzten erfolgreichen Schlüsselaktualisierung angegeben. Wenn die Zeitstempel unterschiedlich sind, schlägt die automatische Schlüsselaktualisierung fehl, und Sie können das Problem diagnostizieren, indem Sie die Überwachungsereignisse überprüfen.