À partir de VMware Cloud Director 10.0, vous pouvez utiliser des points de terminaison de connexion de VMware Cloud Director OpenAPI distincts pour l'accès du fournisseur de services et du locataire à VMware Cloud Director.

Vous pouvez utiliser deux nouveaux points de terminaison OpenAPI pour augmenter la sécurité en limitant l'accès à VMware Cloud Director.

  • /cloudapi/1.0.0/sessions/provider - Point de terminaison OpenAPI pour la connexion du fournisseur de services. Les locataires ne peuvent pas accéder à VMware Cloud Director à l'aide de ce point de terminaison.

  • /cloudapi/1.0.0/sessions/ - Point de terminaison OpenAPI pour la connexion du locataire. Les fournisseurs de services ne peuvent pas accéder à VMware Cloud Director à l'aide de ce point de terminaison.

Par défaut, les administrateurs de fournisseurs et les utilisateurs d'organisation peuvent accéder à VMware Cloud Director en se connectant au point de terminaison d'API /api/sessions.

En utilisant la sous-commande manage-config de l'outil de gestion des cellules, vous pouvez désactiver l'accès du fournisseur de services au point de terminaison de l'API /api/sessions et limiter ainsi la connexion du fournisseur au point de terminaison OpenAPI /cloudapi/1.0.0/sessions/provider auquel seuls les fournisseurs de services ont accès.

Note :

Lorsque vous désactivez l'accès du fournisseur de services au point de terminaison de l'API /api/sessions, les demandes de fournisseur de services qui fournissent uniquement un jeton SAML dans l'en-tête d'autorisation échoueront pour tous les points de terminaison d'API hérités.

Procédure

  1. Connectez-vous ou ouvrez une session SSH en tant qu'utilisateur racine au système d'exploitation de toute cellule VMware Cloud Director.
  2. Pour bloquer l'accès du fournisseur au point de terminaison d'API /api/sessions, utilisez l'outil de gestion des cellules et exécutez la commande suivante : 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

Résultats

Le point de terminaison d'API /api/sessions n'est plus accessible par les fournisseurs de services. Les fournisseurs de services peuvent utiliser le nouveau point de terminaison OpenAPI /cloudapi/1.0.0/sessions/provider pour accéder à VMware Cloud Director. Les locataires peuvent accéder à VMware Cloud Director en utilisant le point de terminaison d'API /api/sessions et le nouveau point de terminaison OpenAPI /cloudapi/1.0.0/sessions/.

Que faire ensuite

Pour permettre au fournisseur d'accéder au point de terminaison d'API /api/sessions, exécutez la commande suivante :

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false