Si desea importar usuarios y grupos de un proveedor de identidad de OpenID Connect (OIDC) a la organización del sistema, debe configurar la organización del sistema con dicho proveedor de identidad de OIDC. Los usuarios importados pueden iniciar sesión en la organización del sistema con las credenciales establecidas en el proveedor de identidad de OIDC.
OAuth es un estándar de federación abierta que delega el acceso de los usuarios. OpenID Connect es una capa de autenticación encima del protocolo OAuth 2.0. Al utilizar OpenID Connect, los clientes pueden recibir información sobre las sesiones autenticadas y los usuarios finales. Se debe poder acceder al endpoint de autenticación de OAuth desde las celdas de VMware Cloud Director, lo que hace que sea más adecuado cuando se utilizan proveedores de identidad públicos o proveedores administrados por proveedores.
A partir de VMware Cloud Director 10.3.1, puede permitir que los tenants generen y emitan tokens de acceso a la API que las aplicaciones puedan utilizar en su nombre.
A partir de VMware Cloud Director 10.3.2, puede configurar VMware Cloud Director para que actualice automáticamente las configuraciones de clave de OIDC desde el endpoint de JWKS que proporcione. Puede configurar la frecuencia del proceso de actualización de claves y la estrategia de rotación que determina si VMware Cloud Director agregará nuevas claves o reemplazará las claves antiguas por nuevas, o si las claves antiguas caducarán después de un período determinado.
Tanto para las actualizaciones de claves que se realizaron correctamente como para las que presentaron errores, VMware Cloud Director genera eventos de auditoría en el tema de evento com/vmware/vcloud/event/oidcSettings/keys/modify. Los eventos de auditoría de las actualizaciones de claves con errores incluyen información adicional sobre el error.
Procedimiento
Qué hacer a continuación
- Suscríbase al tema de evento com/vmware/vcloud/event/oidcSettings/keys/modify.
- Compruebe que los valores de Última ejecución y Última ejecución correcta sean idénticos. Las ejecuciones se inician al comienzo de la hora. Última ejecución es la marca de tiempo del último intento de actualización de claves. Última ejecución correcta es la marca de tiempo de la última actualización de clave correcta. Si las marcas de tiempo son diferentes, se produce un error en la actualización automática de claves, y es posible diagnosticar el problema revisando los eventos de auditoría.