認証フロー

VMware Cloud Director との統合は、OAuth 2.0 OIDC 認証コード フロー標準を介して実装されます。詳細については、Authentication using the Authorization Code Flowを参照してください。

証明書利用者がユーザーを VMware Cloud Director にリダイレクトするときに、既存のクライアント セッションがない場合、ユーザーはまずログインする組織またはプロバイダのポータルを特定して、VMware Cloud Director にログインするように求められます。ユーザーは、構成された認証メカニズムを介して認証を行います。これには、さらに外部 ID プロバイダへのリダイレクトが含まれる場合があります。ユーザーのブラウザによって既存の VMware Cloud Director ユーザー セッションが検出された場合は、認証フローによって SSO エクスペリエンスが提供され、再認証のためのユーザーの操作は必要ありません。プロセスが正常に完了すると、VMware Cloud Director はアクセス トークンと ID トークンを返します。フローの一部として発行される認証コードは、5 分間有効です。アクセス トークンは 5 分間有効で、ID トークンは 1 時間有効です。

認証が成功したときに VMware Cloud Director によって返されるアクセス トークンは、ユーザー インターフェイス ポータルにアクセスしたり、通常の VMware Cloud Director API 呼び出しを行ったりするために使用することはできません。

ID トークンの詳細

VMware Cloud Director によって返される ID トークンには、次の OpenID 標準要求と VMware Cloud Director 固有の要求が含まれています。

要求	説明
at_hash	（OpenID 標準要求）アクセス トークンのハッシュ値。
sub	（OpenID 標準要求）UUID 形式の VMware Cloud Director の userId。
iss	（OpenID 標準要求）VMware Cloud Director のパブリック アドレス。
preferred_username	（OpenID 標準要求）VMware Cloud Director のユーザーのユーザー名
nonce	（OpenID 標準要求）クライアント セッションを ID トークンに関連付け、リプレイ攻撃の脅威を軽減するために使用される文字列値。証明書利用者の要求に最初から含まれていた場合にのみ存在します。
aud	（OpenID 標準要求）このトークンのオーディエンス。値は、要求している証明書利用者のクライアント ID です。
azp	（OpenID 標準要求）トークンの認証された利用者。値は、証明書利用者のクライアント ID です。その値は、aud 要求と同じです。
name	（OpenID 標準要求）ユーザーのフル ネーム（VMware Cloud Director によって認識されている場合）。
phone_number	（OpenID 標準要求）ユーザーの電話番号（VMware Cloud Director によって認識されている場合）。
exp	（OpenID 標準要求）有効期限。この期限を過ぎると、ID トークンが処理に受け付けられなくなります。
iat	（OpenID 標準要求）ID トークンが発行された時間。
email	（OpenID 標準要求）ユーザーのメール アドレス（VMware Cloud Director によって認識されている場合）。
roles	（VMware Cloud Director カスタム要求）VMware Cloud Director におけるユーザーのロールの名前の配列。
groups	（VMware Cloud Director カスタム要求）VMware Cloud Director でユーザーが属しているグループの名前の配列。
org_name	（VMware Cloud Director カスタム要求）ユーザーがログインしている組織の名前。
org_display_name	（VMware Cloud Director カスタム要求）組織の表示名。
org_id	（VMware Cloud Director カスタム要求）UUID 形式の組織 ID。

OpenID 要求の範囲

OpenID 要求の範囲は、アクセス トークンのために要求される権限を指定するために使用されます。

範囲の値	説明。
openid	必須項目です。OpenID 標準範囲。
profile	OpenID 標準範囲。エンド ユーザーのデフォルト プロファイル要求へのアクセスを要求します。
email	OpenID 標準範囲。エンド ユーザーのメール アドレス要求へのアクセスを要求します。
groups	OpenID 標準範囲。VMware Cloud Director でユーザーが属しているグループへのアクセスを要求します。
phone	OpenID 標準範囲。ユーザーの電話番号要求へのアクセスを要求します。
vcd_idp	VMware Cloud Director 固有の範囲。roles、groups、org_name、org_display_name、org_id などの VMware Cloud Director カスタム要求へのアクセスを要求します。

エンドポイント

• VMware Cloud Director によって返されたアクセス トークンを使用して、hostname/oidc/UserInfo エンドポイントで認証されたユーザーに関する要求を取得できます。詳細については、UserInfo Endpointを参照してください。

• 既知の構成 URL hostname/oidc/.well-known/openid-configuration で、JWKS エンドポイントや、OIDC プロキシ構成に必要なその他のエンドポイントと範囲に関する情報などの、プロバイダ構成値を取得できます。OIDC プロキシの全般設定の表示を参照してください。

VMware Cloud Director ID プロバイダ プロキシへのトークン交換アクセス

VMware Cloud Director の ID プロバイダ プロキシ機能とのプログラムによる統合は、以下で詳しく説明するトークン交換フローを通じて使用できます。このフローには、VMware Cloud Director ユーザー インターフェイスは含まれていません。CLI などのスクリプトによるアクセスに適しています。

1. 直接ログインするか、API トークンを使用して、VMware Cloud Director JWT を取得します。

2. POST 要求を実行します。

   POST  hostname/oidc/oauth2/token

   1. 要求の本文として x-www-form-urlencoded を選択します。

   2. 要求の本文に次のパラメータを含めます。

      {
           "grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
           "assertion": "VMware_Cloud_Director JWT",
           "client_id": "Relying_party_ID",
           "scope": "openid profile email phone groups vcd_idp",
         }

3. 応答では、OIDC 要求と VMware Cloud Director 要求を含む ID トークンと、hostname/oidc/UserInfo エンドポイントで認証されたユーザーに関する要求を取得するために使用できるアクセス トークンの両方が返されます。

マルチサイトに関する考慮事項

マルチサイト展開では、各サイトが単一の ID プロバイダ サーバとして機能します。

ペアリングされたサイトでは、連携 ID サーバのサポートは提供されません。つまり、ログイン プロセス中に、ID プロバイダ プロキシとして機能するサイトに属していないテナントが、そのサイトに、マルチサイト展開の別のサイトの組織選択を介してログインを試みると、ログインは失敗します。