VMware Cloud Partner Navigator では、OAuth 2.0 を使用して、プロバイダ組織またはお客様の組織のリソースに対する委譲された安全なアクセス権をアプリケーションに付与できるようにします。VMware Cloud Partner Navigator は、アプリケーションに直接発行されるアクセス トークンを介してアクションを許可する OAuth 2.0 サーバ間アプリケーションをサポートします。

OAuth 2.0 とは

OAuth 2.0 は、リソースへの安全なアクセス権をアプリケーションに付与するための認証プロトコルです。クライアントは、アクセス トークンを介して認証されます。アクセス トークンにはスコープが設定され、アプリケーションがアクセスできるリソースが定義されます。OAuth 2.0 の詳細については、https://tools.ietf.org/html/rfc6749#page-8を参照するか、https://aaronparecki.com/oauth-2-simplified/の『OAuth 2.0 Simplified』というブログ記事を参照してください。

VMware Cloud Partner Navigator での OAuth の動作

VMware Cloud Partner Navigator では、OAuth 2.0 クライアント認証情報の認証タイプがサポートされています。これにより、ユーザー認証なしで組織のリソースにアプリケーションがアクセスできるようになります。アプリケーションの認証情報を入力するには、VMware Cloud Partner Navigator でサーバ間 OAuth 2.0 アプリケーションを作成し、そのアクセス トークンの範囲を定義します。次に、アプリケーションは提供された OAuth 認証情報を使用してアクセス トークンを取得し、範囲で定義されているリソースにアクセスします。範囲は、クラウド サービス プロバイダのロールと権限の説明に従って、組織ロールとサービス ロールの観点から定義されます。

OAuth アプリケーションを作成するユーザー

プロバイダ管理者またはプロバイダ開発者ユーザーのみが VMware Cloud Partner Navigator プロバイダまたはお客様の組織で OAuth アプリケーションを作成できます。

プロバイダ管理者ユーザーは、組織のリソースに対して、プロバイダ管理者ロールの権限と同等以上の任意のタイプのアクセス権を持つ OAuth 2.0 アプリケーションを作成できます。

プロバイダ開発者ロールは独立したロールではなく、別のロールと組み合わせてのみ割り当てることができます。プロバイダ開発者ユーザーは、他の割り当てられたロールと同等以上の制限された組織権限およびサービス権限を持つ OAuth 2.0 アプリケーションのみを作成できます。たとえば、VMware Cloud Director service に排他的にアクセスできるプロバイダ サービス マネージャプロバイダ開発者ユーザーは、VMware Cloud Director service および VMware Cloud Partner Navigator リソースに対して同じレベルのアクセス権を持つ OAuth アプリケーションのみを作成できます。

OAuth サーバ間アプリケーションを設定する方法

OAuth アプリケーションを設定するプロセスは 2 段階です。まず、お客様の組織に OAuth アプリケーションを作成し、そのアクセス トークンの範囲を定義します。次に、アプリケーションから組織のリソースへのアクセスを有効にするために、作成されたのと同じ組織にアプリケーションを追加します。異なる組織で作成された OAuth アプリケーションを追加することはできません。

OAuth アプリケーションを作成するには、次の手順を実行します。

  1. VMware Cloud Partner Navigator ツールバーで、[組織] > [OAuth アプリケーション] の順にクリックします。

  2. [アプリケーションの作成] > [続行] の順にクリックします。

  3. OAuth アプリケーションの詳細を入力し、その範囲を定義します。

    1. アプリケーションの名前と説明を入力します。

    2. OAuth アプリケーションのアクセス トークンの有効期間を設定します。

    3. OAuth アプリケーションのアクセス トークンの範囲を定義するには、組織ロールとサービス ロールを選択します。

      選択した組織ロールによっては、サービス ロールを割り当てることができない場合があります。詳細については、クラウド サービス プロバイダのロールと権限 を参照してください。

    4. [作成] をクリックします。

  4. 受け取った認証情報をコピーするか、JSON ファイルをダウンロードして、[続行] をクリックします。

この時点で、OAuth アプリケーションは VMware Cloud Partner Navigator 組織内に作成されていますが、そのリソースへのアクセス権はまだ付与されていません。アクセス権を付与するには、アプリケーションを組織に追加する必要があります。

重要:

組織に OAuth アプリケーションを追加すると、アクセス トークンの範囲が [組織] > [OAuth アプリケーション] 設定で設定されたものと異なる場合があります。実際の範囲は、OAuth アプリケーションの範囲設定、組織内で使用可能なサービス ロール、および手順を実行するユーザーに割り当てられた組織ロールとサービス ロールの 3 つの基準が一致した結果となります。たとえば、リソースへのアクセスが制限されているプロバイダ サービス マネージャプロバイダ開発者ユーザーが、使用可能な最高レベルの権限を持つ OAuth アプリケーションを追加しようとすると、追加されたアプリケーション インスタンスのアクセス トークンは、アプリケーションを追加したプロバイダ サービス マネージャプロバイダ開発者ユーザーの権限に制限され、範囲設定で定義されているリソースへのフル アクセス権を持たなくなります。

OAuth アプリケーションを組織に追加するには、次の手順を実行します。

  1. VMware Cloud Partner Navigator ツールバーで、[ID およびアクセス権の管理] > [OAuth アプリケーション] の順にクリックします。

  2. [アプリケーションの追加] をクリックします。

  3. 組織を選択し、OAuth アプリケーションを参照して選択します。

    このページには、OAuth アプリケーション インスタンスに割り当てられる組織ロールとサービス ロールが一覧表示されます。

  4. OAuth アプリケーションの詳細を確認し、[追加] をクリックします。

OAuth アプリケーションが VMware Cloud Partner Navigator 組織に追加され、そのリソースへのアクセス権が付与されます。

アプリケーションのアクションを承認するには、スクリプトの API 呼び出しで指定された OAuth 認証情報を使用します。

OAuth アプリケーションを管理する方法

実行できる OAuth 管理機能のリストについては、次の表を参照してください。

目的

手順

組織へのアクセス権がある OAuth アプリケーションを表示する。

[ID およびアクセス権の管理] > [OAuth アプリケーション] の順にクリックします。

同じ組織で作成された OAuth アプリケーションを追加する

  1. [ID およびアクセス権の管理] > [OAuth アプリケーション] の順にクリックします。

  2. [OAuth アプリケーションの追加] をクリックします。

  3. 組織を選択します。

  4. [OAuth アプリケーション] ドロップダウン メニューから、この組織へのアクセス権を付与するアプリケーションを選択します。

  5. アプリケーションの詳細を確認し、[追加] をクリックします。

追加された OAuth アプリケーションによる組織のリソースへのアクセスを制限する

  1. [ID およびアクセス権の管理] > [OAuth アプリケーション] の順にクリックします。

  2. OAuth アプリケーションのリストから、組織のリソースへのアクセスを禁止するアプリケーションを選択します。

  3. [削除] をクリックします。

組織内で作成されたアプリケーションを表示する。

[組織] > [OAuth アプリケーション] をクリックします。

ここでは、組織内で作成されたすべてのアプリケーションを表示できます。

組織内で作成された既存の OAuth アプリケーションを管理する。

[組織] > [OAuth アプリケーション] をクリックし、管理するアプリケーションを選択します。

  • OAuth アプリケーションを変更するには、[編集] をクリックします。

    注:

    アプリケーションの範囲を変更した場合、変更は組織にすでに追加されているアプリケーションのインスタンスと同期されません。以前に追加したアプリケーション インスタンスの範囲を更新するには、最初に [ID およびアクセス権の管理] > [OAuth アプリケーション] からそれらを削除してから、再度追加する必要があります。

  • アプリケーションを削除するには、[削除] をクリックします。

    注:

    このアクションを元に戻すことはできません。これらのクライアント認証情報を使用しているアプリケーションは保護対象リソースにアクセスできなくなり、認証情報は無効になります。