A partir de VMware Cloud Director 10.0, puede usar endpoints de inicio de sesión de OpenAPI de VMware Cloud Director distintos para que los proveedores de servicios y los tenants accedan a VMware Cloud Director.

Puede utilizar dos nuevos endpoints de OpenAPI para aumentar la seguridad restringiendo el acceso a VMware Cloud Director.

  • /cloudapi/1.0.0/sessions/provider: endpoint de OpenAPI para el inicio de sesión de proveedores de servicios. Los tenants no pueden acceder a VMware Cloud Director mediante este endpoint.

  • /cloudapi/1.0.0/sessions/: endpoint de OpenAPI para el inicio de sesión de tenants. Los proveedores de servicios no pueden acceder a VMware Cloud Director mediante este endpoint.

De forma predeterminada, los administradores del proveedor y los usuarios de la organización pueden acceder a VMware Cloud Director si inician sesión en el endpoint de API /api/sessions.

Con el subcomando manage-config de la herramienta de administración de celdas, puede desactivar el acceso de los proveedores de servicios al endpoint de API /api/sessions y, gracias a ello, limitar el inicio de sesión de los proveedores al endpoint de OpenAPI /cloudapi/1.0.0/sessions/provider nuevo al que solo pueden acceder los proveedores de servicios.

Nota:

Cuando se desactiva el acceso de los proveedores de servicios al endpoint de API de /api/sessions, se produce un error en las solicitudes de los proveedores que proporcionan únicamente un token SAML en el encabezado de autorización para todos los endpoints de API heredados.

Procedimiento

  1. Inicie sesión o utilice SSH como root en el sistema operativo de cualquiera de las celdas de VMware Cloud Director.
  2. Para bloquear el acceso de los proveedores al endpoint de API /api/sessions, utilice la herramienta de administración de celdas y ejecute el siguiente comando:
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

Resultados

Los proveedores de servicios ya no pueden acceder al endpoint de API /api/sessions. Los proveedores de servicios pueden utilizar el nuevo endpoint de OpenAPI /cloudapi/1.0.0/sessions/provider para acceder a VMware Cloud Director. Los tenants pueden acceder a VMware Cloud Director mediante el endpoint de API /api/sessions y el nuevo endpoint de OpenAPI /cloudapi/1.0.0/sessions/.

Qué hacer a continuación

Para habilitar el acceso de los proveedores al endpoint de API /api/sessions, ejecute el siguiente comando:

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false