VMware Cloud Partner Navigator utilizza OAuth 2.0 per consentire all'utente di concedere alle applicazioni un accesso delegato sicuro alle risorse dell'organizzazione del provider o alle organizzazioni dei clienti. VMware Cloud Partner Navigator supporta le app da server a server OAuth 2.0 che autorizzano le azioni tramite un token di accesso emesso direttamente per l'applicazione.

Che cos'è OAuth 2.0?

OAuth 2.0 è un protocollo di autorizzazione che consente di concedere alle applicazioni un accesso sicuro alle risorse. Il client è autorizzato tramite un token di accesso. Il token di accesso ha un ambito che definisce a quali risorse può accedere l'app. Per informazioni su OAuth 2.0, vedere https://tools.ietf.org/html/rfc6749#page-8 oppure leggere il post di blog con titolo OAuth 2.0 Simplified all'indirizzo https://aaronparecki.com/oauth-2-simplified/.

Come funziona OAuth con VMware Cloud Partner Navigator?

VMware Cloud Partner Navigator supporta il tipo di concessione delle credenziali del client OAuth 2.0, che concede alle applicazioni l'accesso alle risorse dell'organizzazione senza che sia necessaria l'autorizzazione dell'utente. Per fornire credenziali per le applicazioni, creare un'app OAuth 2.0 da server a server in VMware Cloud Partner Navigator e definire l'ambito del relativo token di accesso. Le applicazioni utilizzano quindi le credenziali OAuth fornite per recuperare il token di accesso e ottenere l'accesso alle risorse definite nell'ambito. L'ambito viene definito in termini di ruoli di organizzazione e servizio come descritto in Ruoli e autorizzazioni del provider di cloud.

Chi crea le app OAuth?

Solo un utente Amministratore provider o Sviluppatore provider può creare un'app OAuth nell'organizzazione di un provider o un cliente di VMware Cloud Partner Navigator.

Un utente Amministratore provider può creare app OAuth 2.0 con qualsiasi tipo di accesso alle risorse di un'organizzazione con autorizzazioni pari o inferiori a quelle del ruolo Amministratore provider.

Poiché il ruolo Sviluppatore provider non è un ruolo indipendente e può essere assegnato solo insieme a un altro ruolo, un utente Sviluppatore provider può creare solo app OAuth 2.0 con autorizzazioni di organizzazione e servizio limitate pari o inferiori a quelle dell'altro ruolo assegnato. Ad esempio un utente Provider Service Manager e Sviluppatore provider con accesso esclusivo a VMware Cloud Director service può creare solo app OAuth con lo stesso livello di accesso alle risorse di VMware Cloud Director service e VMware Cloud Partner Navigator.

Come è possibile configurare un'app da server a server OAuth?

Il processo di configurazione di un'app OAuth prevede due fasi. È innanzitutto necessario creare l'app OAuth in un'organizzazione e definire l'ambito del relativo token di accesso. Quindi, per abilitare l'accesso dell'app alle risorse dell'organizzazione, aggiungere l'app alla stessa organizzazione in cui è stata creata. Non è possibile aggiungere app OAuth create in organizzazioni diverse.

Per creare un'app OAuth:

  1. Nella barra degli strumenti di VMware Cloud Partner Navigator, fare clic su Organizzazione > App OAuth.

  2. Fare clic su Crea app > Continua.

  3. Compilare i dettagli dell'app OAuth e definirne l'ambito.

    1. Immettere un nome e una descrizione per l'app.

    2. Impostare la durata del token di accesso dell'app OAuth.

    3. Per definire l'ambito del token di accesso dell'app OAuth, selezionare i ruoli di organizzazione e servizio.

      In base ai ruoli dell'organizzazione selezionati, potrebbe non essere possibile assegnare alcun ruolo di servizio. Per ulteriori informazioni, vedere Ruoli e autorizzazioni del provider di cloud.

    4. Fare clic su Crea.

  4. Copiare le credenziali ricevute o scaricare un file JSON e fare clic su Continua.

A questo punto, l'app OAuth è stata creata nell'organizzazione di VMware Cloud Partner Navigator ma non dispone ancora delle autorizzazioni di accesso alle risorse. Per concedere l'accesso all'app, è necessario aggiungerla all'organizzazione.

Importante:

Quando si aggiunge un'app OAuth a un'organizzazione, l'ambito del relativo token di accesso potrebbe essere diverso da quello impostato nelle impostazioni Organizzazione > App OAuth. L'ambito effettivo è il risultato dell'intersezione di tre criteri, ovvero le impostazioni dell'ambito dell'app OAuth, i ruoli di servizio disponibili nell'organizzazione e i ruoli di organizzazione e servizio assegnati all'utente che esegue la procedura. Ad esempio, quando un utente Provider Service Manager e Sviluppatore provider con accesso limitato alle risorse tenta di aggiungere un'app OAuth con il livello massimo di autorizzazioni disponibili, il token di accesso dell'istanza dell'app aggiunta sarà limitato alle autorizzazioni dell'utente Provider Service Manager e Sviluppatore provider che ha aggiunto l'app e non disporrà dell'accesso completo alle risorse definito nelle impostazioni dell'ambito.

Per aggiungere un'app OAuth a un'organizzazione:

  1. Nella barra degli strumenti di VMware Cloud Partner Navigator, fare clic su Gestione identità e accessi > App OAuth.

  2. Fare clic su Aggiungi app.

  3. Selezionare l'organizzazione, quindi individuare e selezionare un'app OAuth.

    Nella pagina sono elencati i ruoli di organizzazione e servizio che verranno assegnati all'istanza dell'app OAuth.

  4. Rivedere i dettagli dell'app OAuth e fare clic su Aggiungi.

In seguito all'aggiunta all'organizzazione di VMware Cloud Partner Navigator, all'app OAuth viene concesso l'accesso alle risorse dell'organizzazione.

Per autorizzare le azioni delle applicazioni, utilizzare le credenziali OAuth fornite nelle chiamate API dello script.

Come è possibile gestire le app OAuth?

Fare riferimento alla tabella seguente per un elenco delle funzioni di gestione di OAuth che è possibile eseguire.

Per...

Eseguire questa operazione...

Visualizzare le app OAuth che hanno accesso all'organizzazione.

Fare clic su Gestione identità e accessi > App OAuth.

Aggiungere un'app OAuth creata nella stessa organizzazione.

  1. Fare clic su Gestione identità e accessi > App OAuth.

  2. Fare clic su Aggiungi app OAuth.

  3. Selezionare la propria organizzazione.

  4. Nel menu a discesa App OAuth, selezionare l'app a cui si desidera concedere l'accesso a questa organizzazione.

  5. Rivedere i dettagli dell'app e fare clic su Aggiungi.

Impedire a un'app OAuth aggiunta di accedere alle risorse dell'organizzazione.

  1. Fare clic su Gestione identità e accessi > App OAuth.

  2. Nell'elenco di app OAuth, selezionare l'app a cui si desidera impedire l'accesso alle risorse dell'organizzazione.

  3. Fare clic su Rimuovi.

Per visualizzare le app create nell'organizzazione.

Fare clic su Organizzazione > App OAuth.

Qui è possibile visualizzare tutte le app create nell'organizzazione.

Gestire le app OAuth esistenti create nell'organizzazione.

Fare clic su Organizzazione > App OAuth e selezionare l'app che si desidera gestire:

  • Per modificare l'app OAuth, fare clic su Modifica.

    Nota:

    Se si modifica l'ambito di un'app, le modifiche non vengono sincronizzate con le istanze dell'app che sono già state aggiunte a ciascuna delle organizzazioni. Per aggiornare l'ambito delle istanze dell'app aggiunte in precedenza, è innanzitutto necessario rimuoverle da Gestione identità e accessi > App OAuth e quindi aggiungerle di nuovo.

  • Per rimuovere un'app, fare clic su Elimina.

    Nota:

    Questa azione non può essere annullata. Tutte le applicazioni che utilizzano queste credenziali client non saranno più in grado di accedere a risorse protette e le credenziali verranno invalidate.