Configurazione del sistema per l'utilizzo di un provider di identità OpenID Connect tramite il VMware Cloud Director Service Provider Admin Portal

Se si desidera importare utenti e gruppi da un provider di identità OpenID Connect (OIDC) nell'organizzazione di sistema di VMware Cloud Director, è necessario configurare l'organizzazione di sistema con tale provider di identità OIDC. Gli utenti importati possono accedere all'organizzazione di sistema con le credenziali stabilite nel provider di identità OIDC.

OAuth è uno standard di federazione aperto che delega l'accesso degli utenti. OpenID Connect è un livello di autenticazione al di sopra del protocollo OAuth 2.0. Utilizzando OpenID Connect, i client possono ricevere informazioni sulle sessioni e gli utenti finali autenticati. L'endpoint di autenticazione OAuth deve essere raggiungibile dalle celle di VMware Cloud Director, il che lo rende più adatto quando si utilizzano provider di identità pubblici o quelli gestiti dal provider.

È possibile consentire ai tenant di generare ed emettere token di accesso API che le applicazioni possono utilizzare per loro conto.

È possibile configurare VMware Cloud Director in modo da aggiornare automaticamente le configurazioni delle chiavi OIDC dall'endpoint JWKS specificato. È possibile configurare la frequenza del processo di aggiornamento chiavi e la strategia di rotazione che determina se VMware Cloud Director aggiunge nuove chiavi, sostituisce le chiavi precedenti con nuove o se le chiavi precedenti scadono dopo un determinato periodo.

Nota: Per una corretta integrazione di VMware Cloud Director con provider di identità esterni, per determinare le impostazioni e i valori corretti e garantire una configurazione corretta e accurata, vedere anche la documentazione del prodotto di tali provider di identità.

VMware Cloud Director genera eventi di controllo per gli aggiornamenti delle chiavi riuscite e non riuscite nell'argomento dell'evento com/vmware/vcloud/event/oidcSettings/keys/modify. Gli eventi di controllo per gli aggiornamenti delle chiavi non riuscite includono informazioni aggiuntive sull'errore.

Suggerimento:

Per la versione 10.4.2 e le versioni successive, se in un'organizzazione in VMware Cloud Director è configurato SAML oppure OIDC, nell'interfaccia utente viene visualizzata solo l'opzione Accedi con Single Sign-On. Per accedere come utente locale, passare a https://vcloud.example.com/tenant/tenant_name/login o https://vcloud.example.com/provider/login.

Pagina di accesso di VMware Cloud Director con un pulsante di accesso SSO.

Per le versioni dalla 10.3.3 alla 10.4.1, se in un organizzazione in VMware Cloud Director è configurato SAML o OIDC, per accedere con il provider di identità, selezionare l'opzione Accedi con Single Sign-On.

Pagina di accesso di VMware Cloud Director con pulsanti di accesso di utente locale e SSO.

Procedura

Nella barra di navigazione superiore, selezionare Amministrazione.
Nel pannello sinistro, in Provider di identità, fare clic su OIDC.
Se si configura OIDC per la prima volta, copiare l'URI di reindirizzamento della configurazione del client e utilizzarlo per creare una registrazione dell'applicazione client con un provider di identità conforme allo standard OpenID Connect, ad esempio VMware Workspace ONE Access.
Questa registrazione è necessaria per ottenere un ID client e un segreto client richiesti durante la configurazione del provider di identità OIDC.
Fare clic su Configura.
Verificare che OpenID Connect sia attivo e immettere le informazioni relative a ID client e segreto client della registrazione del server OIDC.
(Facoltativo) Per utilizzare le informazioni di un endpoint noto per compilare automaticamente le informazioni di configurazione, attivare l'interruttore Individuazione configurazione e immettere un URL per il sito del provider a cui VMware Cloud Director può inviare le richieste di autenticazione.
Fare clic su Avanti.
Se non si utilizza Individuazione configurazione nel passaggio 6, immettere le informazioni nella sezione Endpoint.
1. Immettere le informazioni relative all'endpoint e all'ID emittente.
2. Se si utilizza VMware Workspace ONE Access come provider di identità, selezionare SCIM come tipo di accesso. A partire da VMware Cloud Director 10.4.1, l'opzione SCIM è stata deprecata.
  Per gli altri provider di identità, è possibile lasciare la selezione predefinita Informazioni utente.
3. Se si desidera combinare le attestazioni dell'endpoint UserInfo e del token ID, attivare l'interruttore Preferisci token ID.
  I provider di identità non forniscono tutte le attestazioni richieste impostate nell'endpoint UserInfo. Se si attiva l'interruttore Preferisci token ID, VMware Cloud Director può recuperare e utilizzare le attestazioni da entrambe le origini.
4. Immettere lo sfasamento massimo clock accettabile.
  Lo sfasamento massimo clock è la differenza di orario massima consentita tra il client e il server. Questo tempo consente di compensare le piccole differenze che possono verificarsi nei timestamp durante la verifica dei token. Il valore predefinito è 60 secondi.
5. Fare clic su Avanti.
Se non si utilizza Individuazione configurazione nel passaggio 6, immettere le informazioni sull'ambito e fare clic su Avanti.
VMware Cloud Director utilizza gli ambiti per autorizzare l'accesso ai dettagli degli utenti. Quando un client richiede un token di accesso, gli ambiti definiscono le autorizzazioni di cui tale token dispone per accedere alle informazioni dell'utente.
Se si utilizza Informazioni utente come tipo di accesso, mappare le attestazioni e fare clic su Avanti.
È possibile utilizzare questa sezione per mappare le informazioni che VMware Cloud Director ottiene dall'endpoint delle informazioni utente ad attestazioni specifiche. Le attestazioni sono stringhe per i nomi dei campi nella risposta di VMware Cloud Director.

Se si desidera che VMware Cloud Director aggiorni automaticamente le configurazioni della chiave OIDC, attivare l'interruttore Aggiornamento automatico della chiave.

Se non si utilizza Individuazione configurazione nel passaggio 6, immettere l'Endpoint aggiornamento chiavi.
L' Endpoint aggiornamento chiavi è un endpoint JWKS (JSON Web Key Set) da cui VMware Cloud Director recupera le chiavi.
Selezionare la frequenza con cui viene eseguito l'aggiornamento delle chiavi.
È possibile impostare un periodo in incrementi orari da 1 ora a 30 giorni.

Selezionare una Strategia di aggiornamento chiavi.

Opzione	Descrizione
Aggiungi	Aggiungere il set di chiavi in entrata al set di chiavi esistente. Tutte le chiavi nel set unito sono valide e utilizzabili. Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set di chiavi in entrata include le chiavi B, C e D. Quando viene eseguito l'aggiornamento della chiave, il nuovo set include le chiavi A, B, C e D.
Sostituisci	Sostituire il set di chiavi esistente con il set di chiavi in entrata. Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set di chiavi in entrata include le chiavi B, C e D. Quando viene eseguito l'aggiornamento della chiave, la chiave C sostituisce la chiave A. Le chiavi in entrata B, C e D diventano il nuovo set di chiavi valide senza alcuna sovrapposizione con il vecchio set.
Scadenza dopo	È possibile configurare un periodo di sovrapposizione tra i set di chiavi esistenti e in entrata. È possibile configurare il tempo sovrapposto utilizzando Scadenza chiave dopo periodo, che è possibile impostare in incrementi orari da 1 ora a 1 giorno. Le esecuzioni dell'aggiornamento chiavi iniziano all'inizio di ogni ora. Quando viene eseguito l'aggiornamento della chiave, VMware Cloud Director contrassegna come in scadenza le chiavi nel set di chiavi esistente che non sono incluse nel set in entrata. Alla successiva esecuzione dell'aggiornamento delle chiavi, VMware Cloud Director smette di utilizzare le chiavi in scadenza. Solo le chiavi incluse nel set in entrata sono valide e utilizzabili. Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set in entrata include le chiavi B, C e D. Se si configurano le chiavi esistenti in modo che scadano tra 1 ora, si verifica una sovrapposizione di 1 ora durante la quale entrambi i set di chiavi sono validi. VMware Cloud Director contrassegna la chiave A come in scadenza e fino al prossimo aggiornamento, le chiavi A, B, C e D sono utilizzabili. Alla successiva esecuzione, la chiave A scade e solo B, C e D continueranno a funzionare.

Opzione

Descrizione

Aggiungi

Aggiungere il set di chiavi in entrata al set di chiavi esistente. Tutte le chiavi nel set unito sono valide e utilizzabili.

Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set di chiavi in entrata include le chiavi B, C e D. Quando viene eseguito l'aggiornamento della chiave, il nuovo set include le chiavi A, B, C e D.

Sostituisci

Sostituire il set di chiavi esistente con il set di chiavi in entrata.

Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set di chiavi in entrata include le chiavi B, C e D. Quando viene eseguito l'aggiornamento della chiave, la chiave C sostituisce la chiave A. Le chiavi in entrata B, C e D diventano il nuovo set di chiavi valide senza alcuna sovrapposizione con il vecchio set.

Scadenza dopo

È possibile configurare un periodo di sovrapposizione tra i set di chiavi esistenti e in entrata. È possibile configurare il tempo sovrapposto utilizzando Scadenza chiave dopo periodo, che è possibile impostare in incrementi orari da 1 ora a 1 giorno.

Le esecuzioni dell'aggiornamento chiavi iniziano all'inizio di ogni ora. Quando viene eseguito l'aggiornamento della chiave, VMware Cloud Director contrassegna come in scadenza le chiavi nel set di chiavi esistente che non sono incluse nel set in entrata. Alla successiva esecuzione dell'aggiornamento delle chiavi, VMware Cloud Director smette di utilizzare le chiavi in scadenza. Solo le chiavi incluse nel set in entrata sono valide e utilizzabili.

Ad esempio, il set di chiavi esistente include le chiavi A, B e D. Il set in entrata include le chiavi B, C e D. Se si configurano le chiavi esistenti in modo che scadano tra 1 ora, si verifica una sovrapposizione di 1 ora durante la quale entrambi i set di chiavi sono validi. VMware Cloud Director contrassegna la chiave A come in scadenza e fino al prossimo aggiornamento, le chiavi A, B, C e D sono utilizzabili. Alla successiva esecuzione, la chiave A scade e solo B, C e D continueranno a funzionare.

Se non si utilizza Individuazione configurazione nel passaggio 6, caricare la chiave privata utilizzata dal provider di identità per firmare i propri token.
Fare clic su Salva.

Operazioni successive

Sottoscrivere l'argomento dell'evento com/vmware/vcloud/event/oidcSettings/keys/modify.
Verificare che Ultima esecuzione e Ultima esecuzione riuscita siano identiche. Le esecuzioni vengono avviate all'inizio dell'ora. L'Ultima esecuzione è l'indicazione oraria dell'ultimo tentativo di aggiornamento delle chiavi. L'Ultima esecuzione riuscita rappresenta l'indicazione oraria dell'ultimo aggiornamento delle chiavi riuscito. Se le indicazione orarie sono diverse, l'aggiornamento automatico della chiave non riesce ed è possibile diagnosticare il problema esaminando gli eventi di controllo.