VMware Console Cloud Services utilise OAuth 2.0 pour vous permettre d'accorder à vos applications un accès délégué et sécurisé aux ressources protégées de votre organisation. VMware Cloud Services prend en charge l'accès aux applications Web pour lesquelles les utilisateurs de votre application autorisent cet accès et les interactions de serveur à serveur pour lesquelles des jetons d'accès sont émis directement vers votre application.
Qu'est-ce que le protocole OAuth 2.0 ?
OAuth 2.0 est un protocole d'autorisation qui vous permet d'accorder à vos applications un accès sécurisé à vos ressources. Votre client est autorisé au moyen d'un jeton d'accès. Le jeton d'accès dispose d'une étendue qui définit les ressources auxquelles le jeton peut accéder. Pour plus d'informations sur OAuth 2.0, reportez-vous aux spécifications d'OAuth à l'adresse https://tools.ietf.org/html/rfc6749#page-8 ou consultez le blog OAuth 2.0 Simplified à l'adresse https://aaronparecki.com/oauth-2-simplified/.
Comment OAuth 2.0 fonctionne-t-il avec VMware Cloud Services ?
VMware Cloud services couvre plusieurs cas d'utilisation pour l'autorisation d'applications tirant parti de différents types d'autorisation, tels que client credentials, authorization code et public client avec authorization code. En fonction de vos objectifs, vous choisissez de créer l'un des trois types d'applications OAuth qui correspondent à chaque type d'autorisation : Application de serveur à serveur, Application Web et Application native/mobile.
Supposons que vous êtes Propriétaire d'organisation avec accès à VMware Cloud on AWS. Vous avez développé une application qui vous permet de vendre et d'acheter des actions. Vous appelez l'application Trading 1.0. Vous souhaitez exécuter l'application sur des machines virtuelles gérées par une instance de vCenter Server, mais vous devez d'abord autoriser votre application avec les API de VMware Cloud on AWS.
- Vous créez une application OAuth 2.0 dans Console Cloud Services. Considérez cela comme un moyen d'enregistrer votre application Trading 1.0. Pour démarrer la création de l'application, cliquez sur Créer une application dans le menu Organisation > Applications OAuth et effectuez une série d'étapes. À la fin du processus, nous émettons des informations d'identification client sous la forme d'un ID d'application et d'une clé secrète d'application qui sont utilisés pour identifier votre client dans les API. Collez ces informations d'identification dans votre script.
- L'application a été créée dans l'organisation, mais elle n'est pas encore autorisée à accéder à l'organisation. Vous accordez l'accès en l'ajoutant à l'organisation. Cela permet à l'application d'accéder aux services et aux ressources de l'organisation que vous avez définis lors de la création de l'application. Cette étape est requise uniquement pour les applications du type Application de serveur à serveur. Elle ne s'applique pas aux applications Web et aux applications natives/mobiles.
- Lorsque vous exécutez votre application client Trading 1.0, celle-ci demande un jeton d'accès au serveur d'autorisation. Lorsque l'autorisation est accordée, le serveur d'autorisation envoie un jeton d'accès aux API et l'accès est accordé à votre client.
Qui peut créer et gérer des applications OAuth ?
En tant qu'utilisateur Propriétaire d'organisation ou Membre d'organisation disposant du rôle Développeur, vous créez et gérez vos applications OAuth.
Vous pouvez également gérer les applications OAuth créées ou ajoutées par d'autres utilisateurs Propriétaire d'organisation au sein de votre organisation.
Puis-je régénérer une clé secrète d'application ?
Oui, en tant que Propriétaire d'organisation, vous pouvez régénérer la clé secrète d'application d'une application OAuth au sein de votre organisation. Cela est utile si le Propriétaire d'organisation qui a créé l'application OAuth ne travaille plus dans votre entreprise et que vous souhaitez continuer à exécuter l'application.
Puis-je utiliser une authentification par jeton d'API au lieu d'une application OAuth ?
Oui, si une API exige qu'un utilisateur soit l'entité authentifiée dans le processus d'autorisation, vous devez utiliser un jeton d'API à la place. Pour savoir quand utiliser des applications OAuth ou des jetons d'API, reportez-vous à la section Quelle est la différence entre les applications OAuth et les jetons d'API.