OpenID Connect (OIDC) の ID プロバイダからユーザーおよびグループを VMware Cloud Director システム組織にインポートする場合は、この OIDC の ID プロバイダで、システム組織を構成する必要があります。インポートされたユーザーは、OIDC ID プロバイダで確立した認証情報を使用してシステム組織にログインできます。
OAuth は、ユーザー アクセスを委任するオープン フェデレーション標準です。OpenID Connect は、OAuth 2.0 プロトコルの最上部の認証レイヤーです。クライアントは OpenID Connect を使用して、認証済みセッションとエンドユーザーに関する情報を受信できます。OAuth 認証エンドポイントには、VMware Cloud Director セルからアクセス可能である必要があります。パブリック ID プロバイダまたはプロバイダ管理のセルを使用している場合はこの方法が最適です。
アプリケーションが使用できる API アクセス トークンを、アプリケーションに代わって生成および発行する許可をテナントに与えることができます。
指定した JWKS エンドポイントから OIDC キー構成を自動的に更新するように VMware Cloud Director を構成できます。キー更新プロセスの頻度と、VMware Cloud Director で新しいキーを追加するか、古いキーを新しいキーで置き換えるか、または古いキーが一定期間後に失効するかを決定するローテーション方法を設定できます。
VMware Cloud Director は、イベント トピック com/vmware/vcloud/event/oidcSettings/keys/modify の下に、成功したキー更新と失敗したキー更新の両方の監査イベントを生成します。失敗したキー更新の監査イベントには、失敗に関する追加情報が含まれます。
バージョン 10.4.2 以降では、VMware Cloud Director の組織に SAML または OIDC が構成されている場合、ユーザー インターフェイスに [シングル サインオンを使用してログイン] オプションのみが表示されます。ローカル ユーザーとしてログインするには、https://vcloud.example.com/tenant/tenant_name/login または https://vcloud.example.com/provider/login に移動します。
手順
次のタスク
- com/vmware/vcloud/event/oidcSettings/keys/modify イベント トピックにサブスクライブします。
- [前回の実行] と [前回成功した実行] が同一であることを確認します。実行は、0 分に開始されます。[前回の実行] は、前回のキー更新試行のタイムスタンプです。[前回成功した実行] は、前回成功したキー更新のタイムスタンプです。タイムスタンプが一致しない場合、キーの自動更新は失敗し、監査イベントを確認することで問題を診断できます。