Si vous souhaitez importer des utilisateurs et des groupes à partir d'un fournisseur d'identité OpenID Connect (OIDC) vers votre organisation système VMware Cloud Director, vous devez configurer celle-ci avec ce fournisseur d'identité OIDC. Les utilisateurs importés peuvent se connecter à l'organisation système avec les informations d'identification établies dans le fournisseur d'identité OIDC.

OAuth est une norme de fédération ouverte qui délègue l'accès des utilisateurs. OpenID Connect est une couche d'authentification au-dessus du protocole OAuth 2.0. En utilisant OpenID Connect, les clients peuvent recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Le point de terminaison d'authentification OAuth doit être accessible à partir des cellules VMware Cloud Director, ce qui le rend plus approprié lorsque vous utilisez des fournisseurs d'identité publics ou ceux gérés par un fournisseur.

Vous pouvez configurer VMware Cloud Director pour actualiser automatiquement vos configurations de clé OIDC à partir du point de terminaison JWKS que vous fournissez. Vous pouvez configurer la fréquence du processus d'actualisation des clés et la stratégie de rotation qui détermine si VMware Cloud Director ajoute de nouvelles clés, remplace les anciennes par de nouvelles ou si les anciennes clés expirent après une certaine période.

Note : Pour une intégration de VMware Cloud Director réussie avec des fournisseurs d'identité externes, pour déterminer les valeurs et les paramètres corrects et pour garantir une configuration correcte et précise, consultez également la documentation des produits de ces fournisseurs d'identité.

VMware Cloud Director génère des événements d'audit pour les actualisations de clés réussies et ayant échoué sous la rubrique d'événements com/vmware/vcloud/event/oidcSettings/keys/modify. Les événements d'audit des actualisations de clé ayant échoué incluent des informations supplémentaires sur les échecs.

Info-bulle :

Pour les versions 10.4.2 et ultérieures, si une organisation dans VMware Cloud Director a SAML ou OIDC configuré, l'interface utilisateur affiche uniquement l'option Se connecter avec Single Sign-On. Pour vous connecter en tant qu'utilisateur local, accédez à https://vcloud.example.com/tenant/tenant_name/login ou à https://vcloud.example.com/provider/login.

Page de connexion de VMware Cloud Director avec un bouton de connexion SSO.

Procédure

  1. Dans la barre de navigation supérieure, sélectionnez Administration.
  2. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur OIDC.
  3. Si vous configurez OIDC pour la première fois, copiez l'URI de redirection de la configuration du client et utilisez-le pour créer un enregistrement d'application client avec un fournisseur d'identité conforme à la norme OpenID Connect, par exemple, VMware Workspace ONE Access.
    Vous avez besoin de cet enregistrement pour obtenir un ID de client et une clé secrète de client que vous devez utiliser pendant la configuration du fournisseur d'identité OIDC.
  4. Cliquez sur Configurer.
  5. Vérifiez que OpenID Connect est activé, puis entrez l'ID client et le secret du client de l'enregistrement du serveur OIDC.
  6. (Facultatif) Pour utiliser les informations d'un point de terminaison connu afin de remplir automatiquement les informations de configuration, activez l'option Découverte de la configuration et entrez une URL sur le site du fournisseur que VMware Cloud Director peut utiliser pour lui envoyer des demandes d'authentification.
  7. Cliquez sur Suivant.
  8. Si vous n'avez pas utilisé Découverte de la configuration à l'étape 6, entrez les informations dans la section Points de terminaison.
    1. Entrez les informations sur le point de terminaison et l'ID de l'émetteur.
    2. Si vous utilisez VMware Workspace ONE Access comme fournisseur d'identité, sélectionnez SCIM comme type d'accès. À partir de VMware Cloud Director 10.4.1, l'option SCIM est déconseillée.
      Pour les autres fournisseurs d'identité, vous pouvez laisser la sélection Informations sur l'utilisateur par défaut.
    3. Si vous souhaitez combiner des réclamations à partir du point de terminaison UserInfo et du jeton d'ID, activez l'option Préférer le jeton d'ID.
      Les fournisseurs d'identité ne fournissent pas toutes les réclamations requises définies dans le point de terminaison UserInfo. En activant l'option Préférer le jeton d'ID, VMware Cloud Director peut extraire et consommer des réclamations des deux sources.
    4. Entrez la déviation d'horloge maximale acceptable.
      La déviation d'horloge maximale correspond à la différence de temps maximale autorisée entre le client et le serveur. Ce temps compense les petites différences de temps dans les horodatages lors de la vérification des jetons. La valeur par défaut est 60 secondes.
    5. Cliquez sur Suivant.
  9. Si vous n'avez pas utilisé Découverte de la configuration à l'étape 6, entrez les informations de portée, puis cliquez sur Suivant.
    VMware Cloud Director utilise les étendues pour autoriser l'accès aux détails de l'utilisateur. Lorsqu'un client demande un jeton d'accès, les étendues définissent les autorisations dont dispose ce jeton pour accéder aux informations utilisateur.
  10. Si vous utilisez Informations sur l'utilisateur comme type d'accès, mappez les réclamations et cliquez sur Suivant.
    Vous pouvez utiliser cette section pour mapper les informations que VMware Cloud Director obtient du point de terminaison des informations de l'utilisateur à des réclamations spécifiques. Les réclamations sont des chaînes pour les noms de champ dans la réponse VMware Cloud Director.
  11. Si vous souhaitez que VMware Cloud Director actualise automatiquement les configurations de clé OIDC, activez l'option Actualisation automatique de la clé.
    1. Si vous n'avez pas utilisé Découverte de la configuration à l'étape 6, entrez le Point de terminaison d'actualisation des clés.
      Le Point de terminaison d'actualisation des clés est un point de terminaison JWKS (JSON Web Key Set) et il s'agit du point de terminaison à partir duquel VMware Cloud Director extrait les clés.
    2. Sélectionnez la fréquence d'actualisation des clés.
      Vous pouvez définir la période par incréments horaires de 1 heure à 30 jours.
    3. Sélectionnez une Stratégie d'actualisation des clés.
      Option Description
      Ajouter

      Ajoutez l'ensemble de clés entrant à l'ensemble de clés existant. Toutes les clés de l'ensemble fusionné sont valides et utilisables.

      Par exemple, l'ensemble de clés existant inclut les clés A, B et D. L'ensemble de clés entrant inclut les clés B, C et D. Lorsque l'actualisation des clés se produit, le nouvel ensemble inclut les clés A, B, C et D.

      Remplacer

      Remplacez l'ensemble de clés existant par l'ensemble de clés entrant.

      Par exemple, l'ensemble de clés existant inclut les clés A, B et D. L'ensemble de clés entrant inclut les clés B, C et D. Lorsque l'actualisation des clés se produit, la clé C remplace la clé A, et les clés entrantes B, C et D deviennent le nouvel ensemble de clés valides sans chevaucher l'ancien ensemble.

      Expiration après

      Vous pouvez configurer une période de chevauchement entre les ensembles de clés existant et entrant. Vous pouvez configurer la période de chevauchement à l'aide de l'option Expiration des clés après la période, que vous pouvez définir par incréments horaires de 1 heure à 1 jour.

      L'actualisation des clés commence au début de chaque heure. Lorsque l'actualisation des clés se produit, VMware Cloud Director marque comme arrivant à expiration les clés dans l'ensemble de clés existant qui ne sont pas incluses dans l'ensemble entrant. Lors de l'actualisation des clés suivante,VMware Cloud Director cesse d'utiliser les clés arrivées à expiration. Seules les clés incluses dans l'ensemble entrant sont valides et utilisables.

      Par exemple, l'ensemble de clés existant inclut les clés A, B et D. L'ensemble entrant inclut les clés B, C et D. Si vous configurez les clés existantes pour qu'elles expirent dans 1 heure, il existe un chevauchement de 1 heure pendant lequel les deux ensembles de clés sont valides. VMware Cloud Director marque la clé A comme arrivant à expiration et les clés A, B, C et D sont utilisables jusqu'à l'actualisation des clés suivante. Lors de l'actualisation suivante, la clé A expire et seuls les clés B, C et D continuent de fonctionner.

  12. Si vous n'avez pas utilisé Découverte de la configuration à l'étape 6, chargez la clé privée que le fournisseur d'identité utilise pour signer ses jetons.
  13. Cliquez sur Enregistrer.

Que faire ensuite

  • Abonnez-vous à la rubrique d'événements com/vmware/vcloud/event/oidcSettings/keys/modify.
  • Vérifiez que les valeurs de Dernière exécution et de Dernière exécution réussie sont identiques. Les exécutions commencent au début de l'heure. La valeur de Dernière exécution est l'horodatage de la dernière tentative d'actualisation des clés. La valeur de Dernière exécution réussie correspond à l'horodatage de la dernière actualisation des clés réussie. Si les horodatages sont différents, l'actualisation automatique des clés échoue et vous pouvez diagnostiquer le problème en examinant les événements d'audit.