A partire da VMware Cloud Director 10.0, è possibile utilizzare gli endpoint di accesso OpenAPI separati di VMware Cloud Director per l'accesso di provider di servizi e tenant a VMware Cloud Director.

È possibile utilizzare due nuovi endpoint OpenAPI per aumentare la sicurezza limitando l'accesso a VMware Cloud Director.

  • /cloudapi/1.0.0/sessions/provider: endpoint OpenAPI per l'accesso del provider di servizi. I tenant non possono accedere a VMware Cloud Director utilizzando questo endpoint.

  • /cloudapi/1.0.0/sessions/: endpoint OpenAPI per l'accesso del tenant. I provider di servizi non possono accedere a VMware Cloud Director utilizzando questo endpoint.

Per impostazione predefinita, gli amministratori del provider e gli utenti dell'organizzazione accedono a VMware Cloud Director utilizzando l'endpoint API /api/sessions.

Utilizzando il sottocomando manage-config dello strumento di gestione delle celle, è possibile disattivare l'accesso del provider di servizi all'endpoint API /api/sessions e, di conseguenza, limitare l'accesso del provider al nuovo endpoint OpenAPI /cloudapi/1.0.0/sessions/provider, accessibile solo per i provider di servizi.

Nota:

Quando si disattiva l'accesso del provider di servizi all'endpoint dell'API /api/sessions, le richieste del provider di servizi che forniscono solo un token SAML nell'intestazione di autorizzazione non riusciranno per tutti gli endpoint dell'API legacy.

Procedura

  1. Effettuare l'accesso normalmente o tramite SSH come utente root nel sistema operativo di qualsiasi cella di VMware Cloud Director.
  2. Per bloccare l'accesso del provider all'endpoint API /api/sessions, utilizzare lo strumento di gestione delle celle ed eseguire il comando seguente:
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

risultati

L'endpoint API /api/sessions non è più accessibile ai provider di servizi. I provider di servizi possono utilizzare il nuovo endpoint OpenAPI /cloudapi/1.0.0/sessions/provider per accedere a VMware Cloud Director. I tenant possono accedere a VMware Cloud Director utilizzando sia l'endpoint API /api/sessions sia il nuovo endpoint OpenAPI /cloudapi/1.0.0/sessions/.

Operazioni successive

Per abilitare l'accesso del provider all'endpoint API /api/sessions, eseguire il comando seguente:

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false