Vorgehensweise zum Authentifizieren von Anwendungen mit OAuth 2.0 als Cloud-Diensteanbieter

VMware Cloud Partner Navigator verwendet OAuth 2.0, damit Sie Ihren Anwendungen einen sicheren delegierten Zugriff auf die Ressourcen Ihrer Anbieterorganisation oder Kundenorganisationen gewähren können. VMware Cloud Partner Navigator unterstützt OAuth 2.0 Server-zu-Server-Apps, die Aktionen über ein Zugriffstoken autorisieren, das direkt an Ihre Anwendung ausgegeben wird.

Was ist OAuth 2.0?

OAuth 2.0 ist ein Autorisierungsprotokoll, mit dem Sie Ihren Anwendungen einen sicheren Zugriff auf Ihre Ressourcen gewähren können. Ihr Client ist über ein Zugriffstoken autorisiert. Das Zugriffstoken hat einen Geltungsbereich, der definiert, auf welche Ressourcen die App zugreifen kann. Informationen zu OAuth 2.0 finden Sie unter https://tools.ietf.org/html/rfc6749#page-8 oder in diesem Blogbeitrag mit dem Namen OAuth 2.0 Simplified unter https://aaronparecki.com/oauth-2-simplified/.

Wie funktioniert OAuth mit VMware Cloud Partner Navigator?

VMware Cloud Partner Navigator unterstützt den Gewährungstyp „OAuth 2.0-Clientanmeldedaten“, der Ihren Anwendungen Zugriff auf die Ressourcen Ihrer Organisation gewährt, ohne dass eine Benutzerautorisierung erforderlich ist. Erstellen Sie Anmeldedaten für Ihre Anwendungen, erstellen Sie eine Server-zu-Server-OAuth 2.0-App in VMware Cloud Partner Navigator und definieren den Geltungsbereich des Zugriffstokens. Anschließend verwenden Ihre Anwendungen die bereitgestellten OAuth-Anmeldedaten zum Abrufen des Zugriffstokens und für den Zugriff auf die im Geltungsbereich definierten Ressourcen. Der Geltungsbereich wird in Bezug auf Organisations- und Dienstrollen wie in Rollen und Berechtigungen von Cloud-Diensteanbieter beschrieben definiert.

Wer erstellt OAuth-Apps?

Nur ein Benutzer des Typs Anbieteradministrator oder des Typs Entwickler des Anbieters kann eine OAuth-App in einer VMware Cloud Partner Navigator-Anbieter- oder Kundenorganisation erstellen.

Der Anbieteradministrator-Benutzer kann OAuth 2.0-Apps mit jedem Zugriffstyp auf die Ressourcen einer Organisation erstellen, bis hin zu den Berechtigungen der Rolle Anbieteradministrator.

Da die Rolle Entwickler des Anbieters keine unabhängige Rolle ist und nur neben einer anderen Rolle zugewiesen werden kann, kann ein Entwickler des Anbieters-Benutzer nur OAuth 2.0-Apps mit eingeschränkten Organisations- und Dienstberechtigungen erstellen, die der ihrer anderen zugewiesenen Rolle entsprechen oder nicht. Beispiel: Ein Benutzer des Typs Anbieterdienst-Manager bzw. des Typs Entwickler des Anbieters mit exklusivem Zugriff auf VMware Cloud Director service kann nur OAuth-Apps mit derselben Zugriffsebene auf VMware Cloud Director service- und VMware Cloud Partner Navigator-Ressourcen erstellen.

Wie richte ich eine OAuth-Server-zu-Server-App ein?

Der Vorgang zum Einrichten einer OAuth-App besteht aus zwei Teilen. Zunächst erstellen Sie die OAuth-App in einer Ihrer Organisationen und definieren den Geltungsbereich ihres Zugriffstokens. Um den Zugriff der App auf die Ressourcen der Organisation zu aktivieren, fügen Sie die App derselben Organisation hinzu, in der sie erstellt wurde. Sie können keine OAuth-Apps hinzufügen, die in verschiedenen Organisationen erstellt wurden.

So erstellen Sie eine OAuth-App:

Klicken Sie in der Symbolleiste von VMware Cloud Partner Navigator auf Organisation > OAuth-Apps.
Klicken Sie auf App erstellen > Fortfahren.
Geben Sie die OAuth-App-Details an und definieren Sie deren Geltungsbereich.
1. Geben Sie einen Namen und eine Beschreibung für die App ein.
2. Legen Sie die Gültigkeitsdauer des Zugriffstokens der OAuth-App fest.
3. Um den Geltungsbereich des Zugriffstokens der OAuth-App zu definieren, wählen Sie Organisations- und Dienstrollen aus.
  Je nach den ausgewählten Organisationsrollen können Sie möglicherweise keine Dienstrollen zuweisen. Weitere Informationen finden Sie unter Rollen und Berechtigungen von Cloud-Diensteanbieter.
4. Klicken Sie auf Erstellen.
Kopieren Sie die empfangenen Anmeldedaten oder laden Sie eine JSON-Datei herunter und klicken Sie auf Fortfahren.

Zu diesem Zeitpunkt wurde die OAuth-App in Ihrer VMware Cloud Partner Navigator-Organisation erstellt, hat aber noch keinen Zugriff auf ihre Ressourcen gewährt. Zum Gewähren des Zugriffs müssen Sie die App zu Ihrer Organisation hinzufügen.

Wichtig:

Wenn Sie einer Organisation eine OAuth-App hinzufügen, unterscheidet sich der Geltungsbereich ihres Zugriffstokens möglicherweise von dem in den Einstellungen Organisation > OAuth-App festgelegten Bereich. Der tatsächliche Geltungsbereich ist ein Ergebnis der Schnittmenge von drei Kriterien: den Einstellungen für den Geltungsbereich der OAuth-App, den verfügbaren Dienstrollen in Ihrer Organisation und den zugewiesenen Organisations- und Dienstrollen des Benutzers, der den Vorgang durchführt. Wenn beispielsweise ein Anbieterdienst-Manager- bzw. Entwickler des Anbieters-Benutzer mit eingeschränktem Zugriff auf Ressourcen versucht, eine OAuth-App mit der höchsten Ebene der verfügbaren Berechtigungen hinzuzufügen, wird das Zugriffstoken der hinzugefügten App-Instanz auf die Berechtigungen des Anbieterdienst-Manager- bzw. Entwickler des Anbieters-Benutzers beschränkt, der die App hinzugefügt hat und keinen vollständigen Zugriff auf Ressourcen hat, wie in seinen Geltungsbereichseinstellungen definiert.

So fügen Sie eine OAuth-App zu einer Organisation hinzu:

Klicken Sie in der VMware Cloud Partner Navigator-Symbolleiste auf Identitäts- und Zugriffsverwaltung > OAuth-Apps.
Klicken Sie auf App hinzufügen.
Wählen Sie Ihre Organisation aus, suchen Sie dann eine OAuth-App und wählen Sie sie aus.
Auf der Seite werden die Organisations- und Dienstrollen aufgelistet, die der OAuth-App-Instanz zugewiesen werden.
Überprüfen Sie die OAuth-App-Details und klicken Sie auf Hinzufügen.

Die OAuth-App wird zu Ihrer VMware Cloud Partner Navigator-Organisation hinzugefügt und hat Zugriff auf ihre Ressourcen.

Um die Aktionen Ihrer Anwendungen zu autorisieren, verwenden Sie die bereitgestellten OAuth-Anmeldedaten in den API-Aufrufen Ihres Skripts.

Wie verwalte ich OAuth-Apps?

Eine Liste der OAuth-Verwaltungsfunktionen, die Sie ausführen können, finden Sie in der folgenden Tabelle.


Aktion...	Verfahren...
Anzeigen der OAuth-Apps, die Zugriff auf Ihre Organisation haben	Klicken Sie auf Identitäts- und Zugriffsverwaltung > OAuth-Apps.
Hinzufügen einer in derselben Organisation erstellten OAuth-App	Klicken Sie auf Identitäts- und Zugriffsverwaltung > OAuth-Apps. Klicken Sie auf OAuth-App hinzufügen. Wählen Sie Ihre Organisation aus. Wählen Sie im Dropdown-Menü OAuth-App die App aus, der Sie Zugriff auf diese Organisation gewähren möchten. Überprüfen Sie die App-Details und klicken Sie auf Hinzufügen.
Beschränken des Zugriffs einer hinzugefügten OAuth-App auf die Ressourcen Ihrer Organisation	Klicken Sie auf Identitäts- und Zugriffsverwaltung > OAuth-Apps. Wählen Sie aus der Liste der OAuth-Apps die App aus, die Sie am Zugriff auf die Ressourcen Ihrer Organisation hindern möchten. Klicken Sie auf Entfernen.
Anzeigen der in Ihrer Organisation erstellten Apps	Klicken Sie auf Organisation > OAuth-Apps. Hier können Sie alle in Ihrer Organisation erstellten Apps anzeigen.
So verwalten Sie die in Ihrer Organisation erstellten OAuth-Apps.	Klicken Sie auf Organisation > OAuth-Apps und wählen Sie die zu verwaltende App aus: Um die OAuth-App zu ändern, klicken Sie auf Bearbeiten. Hinweis: Wenn Sie den Geltungsbereich einer Anwendung ändern, werden Ihre Änderungen nicht mit Instanzen der Anwendung synchronisiert, die bereits zu einer Ihrer Organisationen hinzugefügt wurden. Um den Geltungsbereich von zuvor hinzugefügten App-Instanzen zu aktualisieren, müssen Sie diese zunächst aus Identitäts- und Zugriffsverwaltung > OAuth-Apps entfernen und dann erneut hinzufügen. Um eine App zu entfernen, klicken Sie auf Löschen. Hinweis: Diese Aktion kann nicht rückgängig gemacht werden. Anwendungen mit diesen Client-Anmeldedaten können nicht mehr auf geschützte Ressourcen zugreifen und die Anmeldedaten werden ungültig.