レガシー VMware Cloud Director API エンドポイントへのサービスプロバイダアクセスの無効化

VMware Cloud Director 10.0 以降では、サービスプロバイダおよびテナントから VMware Cloud Director へのアクセスに、個別の VMware Cloud Director OpenAPI ログインエンドポイントを使用できます。

2 台の新しい OpenAPI エンドポイントを使用して VMware Cloud Director へのアクセスを制限することにより、セキュリティを向上させることができます。

/cloudapi/1.0.0/sessions/provider: サービスプロバイダログイン用の OpenAPI エンドポイント。テナントは、このエンドポイントを使用して VMware Cloud Director にアクセスすることはできません。
/cloudapi/1.0.0/sessions/ - テナントログイン用の OpenAPI エンドポイント。サービスプロバイダは、このエンドポイントを使用して VMware Cloud Director にアクセスすることはできません。

デフォルトでは、プロバイダ管理者および組織のユーザーが VMware Cloud Director にアクセスするには、/api/sessions API エンドポイントにログインします。

セル管理ツールの manage-config サブコマンドを使用すると、サービスプロバイダから /api/sessions API エンドポイントへのアクセスを無効にできるため、プロバイダのログインを、サービスプロバイダのみがアクセスできる新しい /cloudapi/1.0.0/sessions/provider OpenAPI エンドポイントに制限することができます。

注：

サービスプロバイダによる /api/sessions API エンドポイントへのアクセスを無効にすると、認証ヘッダーで SAML トークンのみを指定するサービスプロバイダの要求は、すべてのレガシー API エンドポイントで失敗します。

手順

いずれかの VMware Cloud Director セルの OS に、root としてログインするか、SSH で接続します。
プロバイダから /api/sessions API エンドポイントへのアクセスをブロックするには、セル管理ツールを使用して、次のコマンドを実行します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true
```

結果

これで、サービスプロバイダから /api/sessions API エンドポイントにアクセスできなくなります。サービスプロバイダは、新しい OpenAPI エンドポイント /cloudapi/1.0.0/sessions/provider を使用して VMware Cloud Director にアクセスできます。テナントは、/api/sessions API エンドポイントと新しい /cloudapi/1.0.0/sessions/ OpenAPI エンドポイントの両方を使用して、VMware Cloud Director にアクセスできます。

次のタスク

プロバイダから /api/sessions API エンドポイントにアクセスできるようにするには、次のコマンドを実行します。

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false