VMware Cloud Partner Navigator では、OAuth 2.0 を使用して、プロバイダ組織またはお客様の組織のリソースに対する委譲された安全なアクセス権をアプリケーションに付与できるようにします。VMware Cloud Partner Navigator は、アプリケーションに直接発行されるアクセス トークンを介してアクションを許可する OAuth 2.0 サーバ間アプリケーションをサポートします。
OAuth 2.0 とは
OAuth 2.0 は、リソースへの安全なアクセス権をアプリケーションに付与するための認証プロトコルです。クライアントは、アクセス トークンを介して認証されます。アクセス トークンにはスコープが設定され、アプリケーションがアクセスできるリソースが定義されます。OAuth 2.0 の詳細については、https://tools.ietf.org/html/rfc6749#page-8を参照するか、https://aaronparecki.com/oauth-2-simplified/の『OAuth 2.0 Simplified』というブログ記事を参照してください。
VMware Cloud Partner Navigator での OAuth の動作
VMware Cloud Partner Navigator では、OAuth 2.0 クライアント認証情報の認証タイプがサポートされています。これにより、ユーザー認証なしで組織のリソースにアプリケーションがアクセスできるようになります。アプリケーションの認証情報を入力するには、VMware Cloud Partner Navigator でサーバ間 OAuth 2.0 アプリケーションを作成し、そのアクセス トークンの範囲を定義します。次に、アプリケーションは提供された OAuth 認証情報を使用してアクセス トークンを取得し、範囲で定義されているリソースにアクセスします。範囲は、クラウド サービス プロバイダのロールと権限の説明に従って、組織ロールとサービス ロールの観点から定義されます。
OAuth アプリケーションを作成するユーザー
プロバイダ管理者またはプロバイダ開発者ユーザーのみが VMware Cloud Partner Navigator プロバイダまたはお客様の組織で OAuth アプリケーションを作成できます。
プロバイダ管理者ユーザーは、組織のリソースに対して、プロバイダ管理者ロールの権限と同等以上の任意のタイプのアクセス権を持つ OAuth 2.0 アプリケーションを作成できます。
プロバイダ開発者ロールは独立したロールではなく、別のロールと組み合わせてのみ割り当てることができます。プロバイダ開発者ユーザーは、他の割り当てられたロールと同等以上の制限された組織権限およびサービス権限を持つ OAuth 2.0 アプリケーションのみを作成できます。たとえば、VMware Cloud Director service に排他的にアクセスできるプロバイダ サービス マネージャ、プロバイダ開発者ユーザーは、VMware Cloud Director service および VMware Cloud Partner Navigator リソースに対して同じレベルのアクセス権を持つ OAuth アプリケーションのみを作成できます。
OAuth サーバ間アプリケーションを設定する方法
OAuth アプリケーションを設定するプロセスは 2 段階です。まず、お客様の組織に OAuth アプリケーションを作成し、そのアクセス トークンの範囲を定義します。次に、アプリケーションから組織のリソースへのアクセスを有効にするために、作成されたのと同じ組織にアプリケーションを追加します。異なる組織で作成された OAuth アプリケーションを追加することはできません。
OAuth アプリケーションを作成するには、次の手順を実行します。
VMware Cloud Partner Navigator ツールバーで、 の順にクリックします。
の順にクリックします。
OAuth アプリケーションの詳細を入力し、その範囲を定義します。
アプリケーションの名前と説明を入力します。
OAuth アプリケーションのアクセス トークンの有効期間を設定します。
OAuth アプリケーションのアクセス トークンの範囲を定義するには、組織ロールとサービス ロールを選択します。
選択した組織ロールによっては、サービス ロールを割り当てることができない場合があります。詳細については、クラウド サービス プロバイダのロールと権限 を参照してください。
[作成] をクリックします。
受け取った認証情報をコピーするか、JSON ファイルをダウンロードして、[続行] をクリックします。
この時点で、OAuth アプリケーションは VMware Cloud Partner Navigator 組織内に作成されていますが、そのリソースへのアクセス権はまだ付与されていません。アクセス権を付与するには、アプリケーションを組織に追加する必要があります。
組織に OAuth アプリケーションを追加すると、アクセス トークンの範囲が プロバイダ サービス マネージャ、プロバイダ開発者ユーザーが、使用可能な最高レベルの権限を持つ OAuth アプリケーションを追加しようとすると、追加されたアプリケーション インスタンスのアクセス トークンは、アプリケーションを追加したプロバイダ サービス マネージャ、プロバイダ開発者ユーザーの権限に制限され、範囲設定で定義されているリソースへのフル アクセス権を持たなくなります。
設定で設定されたものと異なる場合があります。実際の範囲は、OAuth アプリケーションの範囲設定、組織内で使用可能なサービス ロール、および手順を実行するユーザーに割り当てられた組織ロールとサービス ロールの 3 つの基準が一致した結果となります。たとえば、リソースへのアクセスが制限されているOAuth アプリケーションを組織に追加するには、次の手順を実行します。
VMware Cloud Partner Navigator ツールバーで、 の順にクリックします。
[アプリケーションの追加] をクリックします。
組織を選択し、OAuth アプリケーションを参照して選択します。
このページには、OAuth アプリケーション インスタンスに割り当てられる組織ロールとサービス ロールが一覧表示されます。
OAuth アプリケーションの詳細を確認し、[追加] をクリックします。
OAuth アプリケーションが VMware Cloud Partner Navigator 組織に追加され、そのリソースへのアクセス権が付与されます。
アプリケーションのアクションを承認するには、スクリプトの API 呼び出しで指定された OAuth 認証情報を使用します。
OAuth アプリケーションを管理する方法
実行できる OAuth 管理機能のリストについては、次の表を参照してください。
目的 |
手順 |
---|---|
組織へのアクセス権がある OAuth アプリケーションを表示する。 |
[ID およびアクセス権の管理] > [OAuth アプリケーション] の順にクリックします。 |
同じ組織で作成された OAuth アプリケーションを追加する |
|
追加された OAuth アプリケーションによる組織のリソースへのアクセスを制限する |
|
組織内で作成されたアプリケーションを表示する。 |
[組織] > [OAuth アプリケーション] をクリックします。 ここでは、組織内で作成されたすべてのアプリケーションを表示できます。 |
組織内で作成された既存の OAuth アプリケーションを管理する。 |
[組織] > [OAuth アプリケーション] をクリックし、管理するアプリケーションを選択します。
|