VMware Cloud Director 10.0부터는 서비스 제공자와 테넌트가 VMware Cloud Director에 액세스하는 데 별도의 VMware Cloud Director OpenAPI 로그인 끝점을 사용할 수 있습니다.

새로운 OpenAPI 끝점 두 개를 사용하여 VMware Cloud Director에 대한 액세스를 제한함으로써 보안을 강화할 수 있습니다.

  • /cloudapi/1.0.0/sessions/provider - 서비스 제공자 로그인을 위한 OpenAPI 끝점. 테넌트는 이 끝점을 사용하여 VMware Cloud Director에 액세스할 수 없습니다.

  • /cloudapi/1.0.0/sessions/ - 테넌트 로그인을 위한 OpenAPI 끝점. 서비스 제공자는 이 끝점을 사용하여 VMware Cloud Director에 액세스할 수 없습니다.

기본적으로 제공자 관리자와 조직 사용자는 /api/sessions API 끝점에 로그인하여 VMware Cloud Director에 액세스할 수 있습니다.

셀 관리 도구의 manage-config 하위 명령을 사용하면 /api/sessions API 끝점에 대한 서비스 제공자 액세스를 비활성화하여, 제공자가 서비스 제공자만 액세스할 수 있는 새 /cloudapi/1.0.0/sessions/provider OpenAPI 끝점에 로그인하도록 제한할 수 있습니다.

참고:

/api/sessions API 끝점에 대한 서비스 제공자 액세스를 비활성화하면 인증 헤더에 SAML 토큰만 제공하는 서비스 제공자 요청이 모든 레거시 API 끝점에 대해 실패합니다.

프로시저

  1. VMware Cloud Director 셀의 OS에 root로 로그인하거나 SSH를 통해 연결합니다.
  2. 제공자가 /api/sessions API 끝점에 액세스할 수 없도록 차단하려면 셀 관리 도구를 사용하여 다음 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

결과

서비스 제공자는 /api/sessions API 끝점에 더 이상 액세스할 수 없습니다. 서비스 제공자는 새 OpenAPI 끝점 /cloudapi/1.0.0/sessions/provider를 사용하여 VMware Cloud Director에 액세스할 수 있습니다. 테넌트는 /api/sessions API 끝점과 새 /cloudapi/1.0.0/sessions/ OpenAPI 끝점 모두를 사용하여 VMware Cloud Director에 액세스할 수 있습니다.

다음에 수행할 작업

제공자가 /api/sessions API 끝점에 액세스할 수 있도록 설정하려면 다음 명령을 실행합니다.

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false