Sie verwenden API-Token zur Authentifizierung, wenn Sie autorisierte API-Verbindungen herstellen. API-Token wurden früher als OAuth-Aktualisierungstoken bezeichnet. Ein API-Token wird gegen ein Zugriffstoken ausgetauscht und autorisiert den Zugriff pro Organisation. Sie generieren API-Token über Ihre Kontoseite in Cloud Services-Konsole oder über die VMware Cloud Services.
Token werden mit einem speziellen Algorithmus generiert, der alphanumerische Zeichen enthält. Jedes Token besteht aus einer eindeutigen Kombination aus 65 Zeichen. Wenn Sie ein Token generieren, legen Sie seine Dauer und seinen Geltungsbereich fest:
- Die Gültigkeitsdauer (Time to Live, TTL) eines Tokens kann zwischen mehreren Minuten und mehreren Monaten liegen oder auf „Läuft nie ab“ festgelegt werden. Die Standarddauer beträgt sechs Monate.
- Geltungsbereiche bieten eine Möglichkeit, die Kontrolle darüber zu implementieren, auf welche Bereiche in einer Organisation Ihr Token zugreifen kann, insbesondere mit welcher Rolle in einer Organisation, auf welche Dienste und auf welcher Berechtigungsstufe.
Voraussetzungen
Stellen Sie einen sicheren und geschützten Speicherort für Ihre API-Token sicher.
Prozedur
- Klicken Sie auf der Symbolleiste von Cloud Services-Konsole auf Ihren Benutzernamen und wählen Sie .
- Klicken Sie auf den Link Neues API-Token generieren.
- Geben Sie einen Namen für das Token ein.
- Geben Sie die gewünschte Lebensdauer des Tokens an.
Hinweis: Ein nicht ablaufendes Token kann ein Sicherheitsrisiko darstellen, wenn es manipuliert wird. Ist dies der Fall, müssen Sie das Token widerrufen.
- Definieren Sie Geltungsbereiche für das Token. Ihre Auswahl muss auf den von Ihrem Benutzerkonto unterstützten Rollen basieren.
Geltungsbereich |
Beschreibung |
Organisationsrollen |
Organisationsrollen bestimmen den Zugriff eines Benutzers auf die Ressourcen der Organisation.
- Wählen Sie eine oder mehrere Organisationsrollen für Ihr API-Token aus.
|
Dienstrollen |
Dienstrollen werden in integrierten vordefinierten Berechtigungssätzen erstellt, die Zugriff auf VMware Cloud services gewähren.
- Verwenden Sie das Pfeilsymbol neben einem Dienstnamen, um die für diesen Dienst verfügbaren Rollen zu erweitern, und wählen Sie dann eine oder mehrere Dienstrollen für Ihr API-Token aus.
|
Berechtigungen |
Bei einigen Diensten können Sie eine präzisere Auswahl treffen, indem Sie einen begrenzten Satz der für eine Dienstrolle verfügbaren Berechtigungen zuweisen.
- Wenn Sie eine Dienstrolle auswählen, werden die verfügbaren Berechtigungen auf der rechten Seite der Tabelle angezeigt. Wählen Sie die relevanten Dienstberechtigungen für Ihr API-Token aus.
|
Bei Bedarf können Sie
Alle Rollen auswählen und ihrem Token Zugriff auf alle Organisations- und Dienstrollen gewähren.
Hinweis: Selbst wenn Sie für
Alle Rollen Zugriff auf Ihr Token gewähren, sind nur die Zugriffsrollen verfügbar, die von Ihrem Benutzerkonto unterstützt werden. Um die Organisations- und Dienstrollen anzuzeigen, über die Sie verfügen, wählen Sie auf der Seite
Mein Konto die Registerkarte
Mein Rollen aus.
- (Optional) Aktivieren Sie das Kontrollkästchen OpenID, um ein OpenID-konformes Token mit erweiterten Benutzerdetails abzurufen.
- (Optional) Legen Sie eine E-Mail-Einstellung fest, um eine Erinnerung zu erhalten, wenn Ihr Token in Kürze abläuft.
- Klicken Sie auf Generieren.
- Speichern Sie die Anmeldedaten für das Token an einem sicheren Ort, damit Sie sie zur späteren Verwendung abrufen können.
Aus Sicherheitsgründen wird nach dem Generieren des Tokens nur der Name des Tokens auf der Seite „API-Token“ angezeigt, und nicht die Anmeldedaten für das Token. Dies bedeutet, dass Sie das Token nicht mehr wiederverwenden können, indem Sie die Anmeldedaten von dieser Seite kopieren.
- Klicken Sie auf Fortfahren.
Beispiel: Verwenden eines API-Tokens zum Interagieren mit VMware Cloud Service-APIs
Sie können ein API-Token für die Interaktion mit Ihren APIs verwenden, indem Sie es gegen ein Authentifizierungstoken eintauschen.
- Generieren Sie ein API-Token.
- Führen Sie einen POST-Vorgang an https://console.cloud.vmware.com/csp/gateway/am/api/auth/api-tokens/authorize aus.
- Schließen Sie im Header die folgenden Anforderungen ein:
- accept: application/json
- content type: application/x-www-form-urlencoded/
- Schließen Sie im Textkörper die refresh_token={token value}-Anforderung ein.
- Verwenden Sie das Authentifizierungstoken im
csp-auth-token
-Header in den HTTP-Aufrufen Ihres Skripts.