VMware Cloud Partner Navigator utiliza OAuth 2.0 para que pueda conceder a las aplicaciones acceso delegado seguro a los recursos de su organización de proveedor o de las organizaciones de clientes. VMware Cloud Partner Navigator admite aplicaciones de servidor a servidor de OAuth 2.0 que autorizan acciones a través de un token de acceso emitido directamente a la aplicación.

¿Qué es OAuth 2.0?

OAuth 2.0 es un protocolo de autorización que le permite conceder a las aplicaciones acceso seguro a sus recursos. Se autoriza al cliente con un token de acceso, en cuyo ámbito se definen los recursos a los que puede acceder la aplicación. Para obtener información sobre OAuth 2.0, consulte https://tools.ietf.org/html/rfc6749#page-8, o bien consulte esta entrada de blog llamada OAuth 2.0 Simplified (OAuth 2.0 simplificado) en https://aaronparecki.com/oauth-2-simplified/.

¿Cómo funciona OAuth con VMware Cloud Partner Navigator?

VMware Cloud Partner Navigator admite el tipo de concesión de credenciales de cliente de OAuth 2.0 que concede a las aplicaciones acceso a los recursos de su organización sin necesidad de autorización del usuario. Para proporcionar credenciales para sus aplicaciones, cree una aplicación de OAuth 2.0 de servidor a servidor en VMware Cloud Partner Navigator y defina el ámbito de su token de acceso. A continuación, las aplicaciones utilizarán las credenciales de OAuth proporcionadas para recuperar el token de acceso y acceder a los recursos definidos en el ámbito. El ámbito se define en términos de funciones de organización y servicio, como se describe en Funciones y permisos de proveedor de servicios de nube.

¿Quién crea aplicaciones de OAuth?

Solo un usuario Administrador del proveedor o Desarrollador del proveedor puede crear una aplicación de OAuth en una organización de proveedor o cliente de VMware Cloud Partner Navigator.

Un usuario Administrador de proveedor puede crear aplicaciones de OAuth 2.0 con cualquier tipo de acceso a los recursos de una organización con los permisos de la función Administrador de proveedor.

Dado que la función Desarrollador del proveedor no es una función independiente y solo se puede asignar junto con otra función, un usuario Desarrollador del proveedor solo puede crear aplicaciones de OAuth 2.0 con permisos de organización y servicio restringidos en un nivel igual o superior al de su otra función asignada. Por ejemplo, un usuario Administrador de servicios de proveedores y Desarrollador del proveedor con acceso exclusivo a VMware Cloud Director service solo puede crear aplicaciones de OAuth con el mismo nivel de acceso a los recursos VMware Cloud Director service y VMware Cloud Partner Navigator.

¿Cómo se configura una aplicación de servidor a servidor de OAuth?

El proceso de configuración de una aplicación de OAuth tiene dos fases. En primer lugar, cree la aplicación de OAuth en una de sus organizaciones y defina el ámbito de su token de acceso. A continuación, para habilitar el acceso de la aplicación a los recursos de la organización, agregue la aplicación a la misma organización en la que se creó. No se pueden agregar aplicaciones de OAuth creadas en organizaciones diferentes.

Para crear una aplicación de OAuth:

  1. En la barra de herramientas de VMware Cloud Partner Navigator haga clic en Organización > Aplicaciones de OAuth.

  2. Haga clic en Crear aplicación > Continuar.

  3. Complete los detalles de la aplicación de OAuth y defina su ámbito.

    1. Introduzca un nombre y una descripción para la aplicación.

    2. Establezca la hora de activación del token de acceso de la aplicación de OAuth.

    3. Para definir el ámbito del token de acceso de la aplicación de OAuth, seleccione las funciones de organización y servicio.

      Según las funciones de organización seleccionadas, es posible que no pueda asignar ninguna función de servicio. Para obtener más información, consulte Funciones y permisos de proveedor de servicios de nube.

    4. Haga clic en Crear.

  4. Copie las credenciales recibidas o descargue un archivo JSON y haga clic en Continuar.

En este punto, la aplicación de OAuth se ha creado en la organización de VMware Cloud Partner Navigator, pero aún no se ha otorgado acceso a sus recursos. Para concederle acceso, debe agregar la aplicación a su organización.

Importante:

Cuando se agrega una aplicación de OAuth a una organización, el ámbito de su token de acceso puede diferir del establecido en Organización > Aplicación de OAuth. El ámbito real es el resultado de la combinación de tres criterios: la configuración del ámbito de la aplicación de OAuth, las funciones de servicio disponibles en la organización y las funciones de organización y servicio asignadas del usuario que realiza el procedimiento. Por ejemplo, cuando un usuario Administrador de servicios de proveedores o Desarrollador del proveedor con acceso limitado a los recursos intenta agregar una aplicación de OAuth con el nivel más alto de permisos disponible, el token de acceso de la instancia de la aplicación agregada se limitará a los permisos del usuario Administrador de servicios de proveedores o Desarrollador del proveedor que agregó la aplicación, y no tendrá acceso completo a los recursos según se define en la configuración del ámbito.

Para agregar una aplicación de OAuth a una organización:

  1. En la barra de herramientas de VMware Cloud Partner Navigator, haga clic en Administración de identidades y acceso > Aplicaciones de OAuth.

  2. Haga clic en Agregar aplicación.

  3. Seleccione su organización y busque y seleccione una aplicación de OAuth.

    La página mostrará las funciones de organización y servicio que se asignarán a la instancia de la aplicación de OAuth.

  4. Revise los detalles de la aplicación de OAuth y haga clic en Agregar.

La aplicación de OAuth se agregará a la organización de VMware Cloud Partner Navigator y se le concederá acceso a sus recursos.

Para autorizar las acciones de las aplicaciones, utilice las credenciales de OAuth proporcionadas en las llamadas API del script.

¿Cómo puedo administrar aplicaciones de OAuth?

En la siguiente tabla puede consultar una lista de las funciones de administración de OAuth que puede realizar.

Para...

Es necesario...

Ver las aplicaciones de OAuth que tienen acceso a su organización.

Haga clic en Administración de identidades y acceso > Aplicaciones de OAuth.

Agregar una aplicación de OAuth creada en la misma organización

  1. Haga clic en Administración de identidades y acceso > Aplicaciones de OAuth.

  2. Haga clic en Agregar aplicación de OAuth.

  3. Seleccione una organización.

  4. En la lista desplegable Aplicación de OAuth, seleccione la aplicación a la que desea conceder acceso a esta organización.

  5. Revise los detalles de la aplicación y haga clic en Agregar.

Restringir el acceso de una aplicación de OAuth agregada a los recursos de su organización

  1. Haga clic en Administración de identidades y acceso > Aplicaciones de OAuth.

  2. En la lista de aplicaciones de OAuth, seleccione la aplicación a la que desea impedir que acceda a los recursos de su organización.

  3. Haga clic en Quitar.

Para ver las aplicaciones creadas en su organización.

Haga clic en Organización > Aplicaciones de OAuth.

Aquí puede ver todas las aplicaciones creadas en su organización.

Para administrar las aplicaciones de OAuth creadas en su organización.

Haga clic en Organización > Aplicaciones de OAuth y seleccione la aplicación que desea administrar:

  • Para modificar la aplicación de OAuth, haga clic en Editar.

    Nota:

    Si cambia el ámbito de una aplicación, los cambios no se sincronizarán con las instancias de la aplicación que ya se agregaron a cualquiera de las organizaciones. Para actualizar el ámbito de las instancias de aplicaciones agregadas anteriormente, primero debe eliminarlas de Administración de identidades y acceso > Aplicaciones de OAuth y, a continuación, volver a agregarlas.

  • Para eliminar una aplicación, haga clic en Eliminar.

    Nota:

    Esta acción no se puede revertir. Toda aplicación que utilice estas credenciales de cliente ya no podrá acceder a los recursos protegidos y se invalidarán las credenciales.