Se si desidera importare utenti e gruppi da un provider di identità OpenID Connect (OIDC) nell'organizzazione di sistema di VMware Cloud Director, è necessario configurare l'organizzazione di sistema con tale provider di identità OIDC. Gli utenti importati possono accedere all'organizzazione di sistema con le credenziali stabilite nel provider di identità OIDC.
OAuth è uno standard di federazione aperto che delega l'accesso degli utenti. OpenID Connect è un livello di autenticazione al di sopra del protocollo OAuth 2.0. Utilizzando OpenID Connect, i client possono ricevere informazioni sulle sessioni e gli utenti finali autenticati. L'endpoint di autenticazione OAuth deve essere raggiungibile dalle celle di VMware Cloud Director, il che lo rende più adatto quando si utilizzano provider di identità pubblici o quelli gestiti dal provider.
È possibile configurare VMware Cloud Director in modo da aggiornare automaticamente le configurazioni delle chiavi OIDC dall'endpoint JWKS specificato. È possibile configurare la frequenza del processo di aggiornamento chiavi e la strategia di rotazione che determina se VMware Cloud Director aggiunge nuove chiavi, sostituisce le chiavi precedenti con nuove o se le chiavi precedenti scadono dopo un determinato periodo.
VMware Cloud Director genera eventi di controllo per gli aggiornamenti delle chiavi riuscite e non riuscite nell'argomento dell'evento com/vmware/vcloud/event/oidcSettings/keys/modify. Gli eventi di controllo per gli aggiornamenti delle chiavi non riuscite includono informazioni aggiuntive sull'errore.
Per la versione 10.4.2 e le versioni successive, se in un'organizzazione in VMware Cloud Director è configurato SAML oppure OIDC, nell'interfaccia utente viene visualizzata solo l'opzione Accedi con Single Sign-On. Per accedere come utente locale, passare a https://vcloud.example.com/tenant/tenant_name/login o https://vcloud.example.com/provider/login.
Procedura
Operazioni successive
- Sottoscrivere l'argomento dell'evento com/vmware/vcloud/event/oidcSettings/keys/modify.
- Verificare che Ultima esecuzione e Ultima esecuzione riuscita siano identiche. Le esecuzioni vengono avviate all'inizio dell'ora. L'Ultima esecuzione è l'indicazione oraria dell'ultimo tentativo di aggiornamento delle chiavi. L'Ultima esecuzione riuscita rappresenta l'indicazione oraria dell'ultimo aggiornamento delle chiavi riuscito. Se le indicazione orarie sono diverse, l'aggiornamento automatico della chiave non riesce ed è possibile diagnosticare il problema esaminando gli eventi di controllo.