À partir de VMware Cloud Director 10.3.1, vous pouvez générer et émettre des jetons d'accès d'API. Vous êtes authentifié conformément à vos meilleures pratiques de sécurité respectives, notamment l'utilisation de l'autorisation à deux facteurs. À l'aide des jetons d'accès d'API, vous pouvez accorder l'accès pour la création de l'automatisation par rapport à VMware Cloud Director.
Les jetons d'accès sont des artefacts que les applications clientes utilisent pour effectuer des demandes d'API au nom d'un utilisateur. Les applications ont besoin de jetons d'accès pour l'authentification. Lorsqu'un jeton d'accès expire, pour obtenir des jetons d'accès, les applications peuvent utiliser des jetons d'API. Les jetons d'API n'expirent pas.
Lors de l'utilisation de jetons d'accès, les applications ne peuvent pas effectuer certaines tâches.
- Modifier le mot de passe de l'utilisateur.
- Effectuer des tâches de gestion des utilisateurs
- Créer plus de jetons
- Afficher ou révoquer d'autres jetons
Lorsqu'elles accèdent à VMware Cloud Director à l'aide d'un jeton d'accès d'API, les applications disposent uniquement de droits d'affichage pour les ressources suivantes.
- Utilisateur
- Groupe
- Rôles
- Rôles globaux
- Bundles de droits
- Jeton : Gérer
- Jeton : Gérer tous
De la même manière que pour générer un jeton d'API utilisateur, vous pouvez créer un compte de service à l'aide de l'API VMware Cloud Director. La demande d'API pour la création d'un compte de service utilise le même point de terminaison d'API que la création d'un jeton d'API utilisateur, mais la présence du champ software_id
indique l'intention de créer un compte de service.
Conditions préalables
- Vérifiez que vous disposez du droit Gérer le jeton d'API de l'utilisateur.
- L'authentification à l'aide d'un jeton d'API utilise la norme « Actualisation d'un jeton d'accès » telle que spécifiée dans la Section 6 de la RFC 6749 OAuth 2.0 pour autoriser l'accès à VMware Cloud Director en tant qu'application OAuth. Le jeton d'accès renvoyé est le même qu'un jeton d'accès VMware Cloud Director. Les applications clientes peuvent l'utiliser pour effectuer par la suite des appels d'API à VMware Cloud Director. Pour effectuer une demande conforme à la RFC OAuth 2.0, familiarisez-vous avec les informations de la Section 6 de la RFC (Request for Comments) 6749 relatives à l'actualisation d'un jeton d'accès.
Procédure
Exemple
POST https://host_name/oauth/tenant/tenant_name/token Accept: application/json Content-Type: application/x-www-form-urlencoded Content-Length: 71 grant_type=refresh_token&refresh_token=Generated_API_TokenRéponse :
HTTP/1.1 200 OK Content-Type: application/json { "access_token":"Generated_Access_Token", "token_type":"Bearer", "expires_in":2592000, "refresh_token":null }Demande à l'aide du jeton d'accès généré :
GET https://host_name/api/org Accept: application/*+xml;version=36.1 Authorization: Bearer Generated_Access_TokenRéponse :
HTTP/1.1 200 OK Content-Type: application/vnd.vmware.vcloud.orglist+xml;version=36.1 X-VMWARE-VCLOUD-REQUEST-EXECUTION-TIME: 41 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <OrgList xmlns="http://www.vmware.com/vcloud/v1.5" xmlns:vmext="http://www.vmware.com/vcloud/extension/v1.5" xmlns:ovf="http://schemas.dmtf.org/ovf/envelope/1" xmlns:vssd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_VirtualSystemSettingData" xmlns:common="http://schemas.dmtf.org/wbem/wscim/1/common" xmlns:rasd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_ResourceAllocationSettingData" xmlns:vmw="http://www.vmware.com/schema/ovf" xmlns:ovfenv="http://schemas.dmtf.org/ovf/environment/1" xmlns:ns9="http://www.vmware.com/vcloud/versions" href="https://host_name/api/org/" type="application/vnd.vmware.vcloud.orgList+xml"> <Org href="https://host_name/api/org/UUID_of_the_organization" type="application/vnd.vmware.vcloud.org+xml" name="Organization_name"/> </OrgList>
Que faire ensuite
- Pour révoquer l'un de vos jetons, accédez à la page Préférences utilisateur, puis cliquez sur les points de suspension verticaux en regard du jeton.
- En tant qu'administrateur de l'organisation, si vous souhaitez afficher les jetons de tous les utilisateurs locataires de votre organisation et, si nécessaire, les révoquer, vous pouvez demander à votre fournisseur de services de vous accorder le droit Gérer les jetons d'API de tous les utilisateurs. Pour plus d'informations sur la révocation des jetons des autres utilisateurs, reportez-vous à la section Gérer le jeton d'accès d'un utilisateur.