Configurar el sistema para usar un proveedor de identidad de OpenID Connect mediante el VMware Cloud Director Tenant Portal

Si desea importar usuarios y grupos de un proveedor de identidad de OpenID Connect (OIDC) a la organización del sistema de VMware Cloud Director, debe configurar la organización del sistema con dicho proveedor de identidad de OIDC. Los usuarios importados pueden iniciar sesión en la organización del sistema con las credenciales establecidas en el proveedor de identidad de OIDC.

OAuth es un estándar de federación abierta que delega el acceso de los usuarios. OpenID Connect es una capa de autenticación encima del protocolo OAuth 2.0. Al utilizar OpenID Connect, los clientes pueden recibir información sobre las sesiones autenticadas y los usuarios finales. Se debe poder acceder al endpoint de autenticación de OAuth desde las celdas de VMware Cloud Director, lo que hace que sea más adecuado cuando se utilizan proveedores de identidad públicos o proveedores administrados por proveedores.

Puede configurar VMware Cloud Director para actualizar automáticamente las configuraciones de clave de OIDC desde el endpoint de JWKS que proporcione. Puede configurar la frecuencia del proceso de actualización de claves y la estrategia de rotación que determina si VMware Cloud Director agregará nuevas claves o reemplazará las claves antiguas por nuevas, o si las claves antiguas caducarán después de un período determinado.

Nota: Para obtener una integración correcta de VMware Cloud Director con proveedores de identidad externos, consulte también la documentación del producto de esos proveedores para determinar los valores y la configuración correctos, así como garantizar una configuración adecuada y precisa.

Tanto para las actualizaciones de claves que se realizaron correctamente como para las que presentaron errores, VMware Cloud Director genera eventos de auditoría en el tema de evento com/vmware/vcloud/event/oidcSettings/keys/modify. Los eventos de auditoría de las actualizaciones de claves con errores incluyen información adicional sobre el error.

Sugerencia:

Para la versión 10.4.2 y versiones posteriores, si una organización en VMware Cloud Director tiene configurados SAML u OIDC, la interfaz de usuario solo muestra la opción Iniciar sesión con Single Sign-On. Para iniciar sesión como usuario local, desplácese hasta https://vcloud.example.com/tenant/tenant_name/login o https://vcloud.example.com/provider/login.

Página de inicio de sesión de VMware Cloud Director con un botón de inicio de sesión de SSO.

Procedimiento

En la barra de navegación superior, seleccione Administración.
En el panel izquierdo, en Proveedores de identidad, haga clic en OIDC.
Si va a configurar OIDC por primera vez, copie el URI de redireccionamiento de configuración del cliente y utilícelo para crear un registro de aplicación cliente con un proveedor de identidad que cumpla con el estándar OpenID Connect, por ejemplo, VMware Workspace ONE Access.
Necesita este registro para obtener un identificador de cliente y un secreto de cliente que debe utilizar durante la configuración del proveedor de identidad de OIDC.
Haga clic en Configurar.
Compruebe que OpenID Connect esté activo e introduzca el identificador de cliente y la información de secreto de cliente del registro del servidor de OIDC.
(opcional) Para utilizar la información de un endpoint conocido para rellenar automáticamente la información de configuración, active el botón de alternancia Configuración de detección e introduzca una URL en el sitio del proveedor que VMware Cloud Director pueda utilizar para enviar solicitudes de autenticación.
Haga clic en Siguiente.
Si no ha utilizado Configuración de detección en el paso 6, introduzca la información en la sección Endpoints.
1. Introduzca la información del endpoint y el ID del emisor.
2. Si utiliza VMware Workspace ONE Access como proveedor de identidad, seleccione SCIM como tipo de acceso. A partir de VMware Cloud Director 10.4.1, la opción SCIM queda obsoleta.
  Para otros proveedores de identidad, puede dejar la selección de Información de usuario predeterminada.
3. Si desea combinar notificaciones del endpoint de UserInfo y el token de identificador, active el botón de alternancia Token de id. preferido.
  Los proveedores de identidad no proporcionan todas las notificaciones necesarias establecidas en el endpoint de UserInfo. Al activar el botón de alternancia Token de id. preferido, VMware Cloud Director puede recuperar y consumir notificaciones de ambos orígenes.
4. Introduzca el sesgo de reloj máximo aceptable.
  El sesgo de reloj máximo es la diferencia de tiempo máxima permitida entre el cliente y el servidor. Este tiempo compensa las diferencias horarias pequeñas en las marcas de tiempo al verificar los tokens. El valor predeterminado es de 60 segundos.
5. Haga clic en Siguiente.
Si no utilizó Detección de configuración en el paso 6, introduzca la información del ámbito y haga clic en Siguiente.
VMware Cloud Director utiliza los ámbitos para autorizar el acceso a los detalles del usuario. Cuando un cliente solicita un token de acceso, los ámbitos definen los permisos que este token tiene para acceder a la información del usuario.
Si utiliza Información de usuario como un tipo de acceso, asigne las notificaciones y haga clic en Siguiente.
Puede utilizar esta sección para asignar la información que VMware Cloud Director obtiene del endpoint de información del usuario a notificaciones específicas. Las notificaciones son cadenas para los nombres de campo de la respuesta de VMware Cloud Director.

Si desea que VMware Cloud Director actualice automáticamente las configuraciones de clave de OIDC, active el botón de alternancia Actualización de clave automática.

Si no utilizó Detección de configuración en el paso 6, introduzca el Endpoint de actualización de claves.
El Endpoint de actualización de claves es un endpoint de conjunto de claves web de JSON (JSON Web Key Set, JWKS) desde el que VMware Cloud Director recupera las claves.
Seleccione la frecuencia con la que se actualizan las claves.
Puede establecer el período en incrementos por hora de 1 hora a 30 días.

Seleccione una Estrategia de actualización de claves.

Opción	Descripción
Agregar	Agregue el conjunto entrante de claves al conjunto de claves existente. Todas las claves del conjunto combinado son válidas y se pueden utilizar. Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante de claves incluye las claves B, C y D. Cuando se actualiza la clave, el nuevo conjunto incluye las claves A, B, C y D.
Reemplazar	Reemplace el conjunto existente de claves por el conjunto entrante de claves. Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante de claves incluye las claves B, C y D. Cuando se actualiza la clave, la clave C reemplaza a la clave A. Las claves entrantes B, C y D se convierten en el nuevo conjunto de claves válidas sin ninguna superposición con el conjunto anterior.
Caducar después de	Puede configurar un período de superposición entre los conjuntos de claves existentes y entrantes. Puede configurar el tiempo de superposición mediante el Período Caducar después de, que se puede establecer en incrementos por hora de 1 hora a 1 día. Las ejecuciones de actualización de claves se inician al comienzo de cada hora. Cuando se produce la actualización de claves, VMware Cloud Director etiqueta como claves que van a caducar a las claves del conjunto existente que no están incluidas en el conjunto entrante. En la siguiente ejecución de actualización de claves, VMware Cloud Director deja de usar las claves que van a caducar. Solo las claves incluidas en el conjunto entrante son válidas y se pueden utilizar. Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante incluye las claves B, C y D. Si configura las claves existentes para que caduquen en 1 hora, habrá una superposición de 1 hora durante la cual ambos conjuntos de claves serán válidos. VMware Cloud Director marca que la clave A va a caducar y, hasta que se ejecute la siguiente actualización de claves, se podrán utilizar las claves A, B, C y D. En la próxima ejecución, la clave A caduca y solo B, C y D siguen funcionando.

Opción

Descripción

Agregar

Agregue el conjunto entrante de claves al conjunto de claves existente. Todas las claves del conjunto combinado son válidas y se pueden utilizar.

Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante de claves incluye las claves B, C y D. Cuando se actualiza la clave, el nuevo conjunto incluye las claves A, B, C y D.

Reemplazar

Reemplace el conjunto existente de claves por el conjunto entrante de claves.

Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante de claves incluye las claves B, C y D. Cuando se actualiza la clave, la clave C reemplaza a la clave A. Las claves entrantes B, C y D se convierten en el nuevo conjunto de claves válidas sin ninguna superposición con el conjunto anterior.

Caducar después de

Puede configurar un período de superposición entre los conjuntos de claves existentes y entrantes. Puede configurar el tiempo de superposición mediante el Período Caducar después de, que se puede establecer en incrementos por hora de 1 hora a 1 día.

Las ejecuciones de actualización de claves se inician al comienzo de cada hora. Cuando se produce la actualización de claves, VMware Cloud Director etiqueta como claves que van a caducar a las claves del conjunto existente que no están incluidas en el conjunto entrante. En la siguiente ejecución de actualización de claves, VMware Cloud Director deja de usar las claves que van a caducar. Solo las claves incluidas en el conjunto entrante son válidas y se pueden utilizar.

Por ejemplo, el conjunto de claves existente incluye las claves A, B y D. El conjunto entrante incluye las claves B, C y D. Si configura las claves existentes para que caduquen en 1 hora, habrá una superposición de 1 hora durante la cual ambos conjuntos de claves serán válidos. VMware Cloud Director marca que la clave A va a caducar y, hasta que se ejecute la siguiente actualización de claves, se podrán utilizar las claves A, B, C y D. En la próxima ejecución, la clave A caduca y solo B, C y D siguen funcionando.

Si no ha utilizado Configuración de detección en el paso 6, cargue la clave privada que el proveedor de identidad utiliza para firmar sus tokens.
Haga clic en Guardar.

Qué hacer a continuación

Suscríbase al tema de evento com/vmware/vcloud/event/oidcSettings/keys/modify.
Compruebe que los valores de Última ejecución y Última ejecución correcta sean idénticos. Las ejecuciones se inician al comienzo de la hora. Última ejecución es la marca de tiempo del último intento de actualización de claves. Última ejecución correcta es la marca de tiempo de la última actualización de clave correcta. Si las marcas de tiempo son diferentes, se produce un error en la actualización automática de claves, y es posible diagnosticar el problema revisando los eventos de auditoría.