VMware Cloud Partner Navigator는 OAuth 2.0을 사용하여 애플리케이션에 제공자 조직 또는 고객 조직의 리소스에 대한 위임된 보안 액세스 권한을 부여할 수 있습니다. VMware Cloud Partner Navigator는 애플리케이션에 직접 발급된 액세스 토큰을 통해 작업을 인증하는 OAuth 2.0 서버 간 애플리케이션을 지원합니다.

OAuth 2.0이란?

OAuth 2.0은 애플리케이션에 리소스에 대한 보안 액세스 권한 부여할 수 있는 권한 부여 프로토콜입니다. 클라이언트는 액세스 토큰을 통해 권한이 부여됩니다. 액세스 토큰에는 애플리케이션이 액세스할 수 있는 리소스를 정의하는 범위가 있습니다. OAuth 2.0에 대한 자세한 내용은 https://tools.ietf.org/html/rfc6749#page-8을 참조하거나 https://aaronparecki.com/oauth-2-simplified/에서 "OAuth 2.0 Simplified" 라는 블로그 게시물을 살펴보십시오.

VMware Cloud Partner Navigator에서 OAuth의 작동 방식

VMware Cloud Partner Navigator는 사용자 권한 부여 없이 조직의 리소스에 대한 액세스 권한을 부여하는 OAuth 2.0 클라이언트 자격 증명 권한 부여 유형을 지원합니다. 애플리케이션에 대한 자격 증명을 제공하려면 VMware Cloud Partner Navigator에서 서버 간 OAuth 2.0 애플리케이션을 생성하고 해당 액세스 토큰의 범위를 정의합니다. 그런 다음, 애플리케이션은 제공된 OAuth 자격 증명을 사용하여 액세스 토큰을 검색하고 범위에 정의된 리소스에 액세스할 수 있습니다. 범위는 클라우드 서비스 제공자 역할 및 사용 권한에 설명된 대로 조직 및 서비스 역할 측면에서 정의합니다.

OAuth 애플리케이션은 누가 생성합니까?

제공자 관리자 또는 제공자 개발자 사용자만 VMware Cloud Partner Navigator 제공자 또는 고객 조직에 OAuth 애플리케이션을 생성할 수 있습니다.

제공자 관리자 사용자는 제공자 관리자 역할의 사용 권한 이상으로 조직의 리소스에 대한 모든 유형의 액세스 권한을 가진 OAuth 2.0 애플리케이션을 생성할 수 있습니다.

제공자 개발자 역할은 독립적인 역할이 아니며 다른 역할과 함께 할당될 수 있으므로 제공자 개발자 사용자는 할당된 다른 역할의 사용 권한 이상으로 제한된 조직 및 서비스 사용 권한을 가진 OAuth 2.0 애플리케이션만 생성할 수 있습니다. 예를 들어, VMware Cloud Director service에 대한 단독 액세스 권한이 있는 제공자 서비스 관리자, 제공자 개발자 사용자는 VMware Cloud Director serviceVMware Cloud Partner Navigator 리소스에 대해 동일한 수준의 액세스 권한을 가진 OAuth 애플리케이션만 생성할 수 있습니다.

OAuth 서버 간 애플리케이션을 설정하려면 어떻게 해야 합니까?

OAuth 애플리케이션을 설정하는 프로세스는 두 단계로 이루어집니다. 먼저 조직에 OAuth 애플리케이션을 생성하고 해당 액세스 토큰의 범위를 정의합니다. 그런 다음, 애플리케이션이 조직의 리소스에 액세스할 수 있도록 설정하려면 애플리케이션이 생성된 동일한 조직에 애플리케이션을 추가합니다. 다른 조직에서 생성된 OAuth 애플리케이션을 추가할 수 없습니다.

OAuth 애플리케이션을 생성하려면 다음을 수행합니다.

  1. VMware Cloud Partner Navigator 도구 모음에서 조직 > OAuth 애플리케이션을 클릭합니다.

  2. 애플리케이션 생성 > 계속을 클릭합니다.

  3. OAuth 애플리케이션 세부 정보를 완료하고 해당 범위를 정의합니다.

    1. 애플리케이션의 이름과 설명을 입력합니다.

    2. OAuth 애플리케이션 액세스 토큰의 TTL(Time-to-Live)을 설정합니다.

    3. OAuth 애플리케이션 액세스 토큰의 범위를 정의하려면 조직 및 서비스 역할을 선택합니다.

      선택한 조직 역할에 따라 서비스 역할을 할당하지 못할 수 있습니다. 자세한 내용은 클라우드 서비스 제공자 역할 및 사용 권한 항목을 참조하십시오.

    4. 생성을 클릭합니다.

  4. 수신된 자격 증명을 복사하거나 JSON 파일을 다운로드하고 계속을 클릭합니다.

이제 OAuth 애플리케이션이 VMware Cloud Partner Navigator 조직에서 생성되었지만 해당 리소스에 대한 액세스 권한은 아직 부여되지 않았습니다. 액세스 권한을 부여하려면 애플리케이션을 조직에 추가해야 합니다.

중요:

조직에 OAuth 애플리케이션을 추가할 때 해당 액세스 토큰의 범위는 조직 > OAuth 애플리케이션 설정에 지정된 것과 다를 수 있습니다. 실제 범위는 OAuth 애플리케이션 범위 설정, 조직의 사용 가능한 서비스 역할, 절차를 수행하는 사용자의 할당된 조직 및 서비스 역할이라는 세 가지 기준을 모두 만족하는 결과입니다. 예를 들어 리소스에 대한 액세스가 제한된 제공자 서비스 관리자, 제공자 개발자 사용자가 사용 가능한 가장 높은 수준의 사용 권한을 가진 OAuth 애플리케이션을 추가하려고 하면 추가된 애플리케이션 인스턴스의 액세스 토큰이 애플리케이션을 추가했으며 해당 범위 설정에 정의된 대로 리소스에 대한 전체 액세스 권한이 없는 제공자 서비스 관리자, 제공자 개발자 사용자의 사용 권한으로 제한됩니다.

조직에 OAuth 애플리케이션을 추가하려면 다음을 수행합니다.

  1. VMware Cloud Partner Navigator 도구 모음에서 ID 및 액세스 관리 > OAuth 애플리케이션을 클릭합니다.

  2. 애플리케이션 추가를 클릭합니다.

  3. 조직을 선택한 다음, OAuth 애플리케이션을 찾아서 선택합니다.

    이 페이지에는 OAuth 애플리케이션 인스턴스에 할당될 조직 및 서비스 역할이 나타납니다.

  4. OAuth 애플리케이션 세부 정보를 검토하고 추가를 클릭합니다.

OAuth 애플리케이션이 VMware Cloud Partner Navigator 조직에 추가되고 해당 리소스에 대한 액세스 권한이 부여됩니다.

애플리케이션의 작업을 인증하려면 스크립트의 API 호출에서 제공된 OAuth 자격 증명을 사용합니다.

OAuth 애플리케이션을 관리하려면 어떻게 해야 합니까?

수행할 수 있는 OAuth 관리 기능 목록은 다음 표를 참조하십시오.

원하는 작업

수행할 단계

조직에 액세스할 수 있는 OAuth 애플리케이션을 확인합니다.

ID 및 액세스 관리 > OAuth 애플리케이션을 클릭합니다.

동일한 조직에서 생성된 OAuth 애플리케이션을 추가합니다.

  1. ID 및 액세스 관리 > OAuth 애플리케이션을 클릭합니다.

  2. OAuth 애플리케이션 추가를 클릭합니다.

  3. 조직을 선택합니다.

  4. OAuth 애플리케이션 드롭다운 메뉴에서 이 조직에 대한 액세스 권한을 부여할 애플리케이션을 선택합니다.

  5. 애플리케이션 세부 정보를 검토하고 추가를 클릭합니다.

추가된 OAuth 애플리케이션이 조직의 리소스에 액세스하지 못하도록 제한합니다.

  1. ID 및 액세스 관리 > OAuth 애플리케이션을 클릭합니다.

  2. OAuth 애플리케이션 목록에서 조직의 리소스에 액세스하지 못하게 하려는 애플리케이션을 선택합니다.

  3. 제거를 클릭합니다.

조직에서 생성된 애플리케이션을 봅니다.

조직 > OAuth 애플리케이션을 클릭합니다.

그러면 조직에서 생성된 모든 애플리케이션을 볼 수 있습니다.

조직에서 생성된 기존 OAuth 애플리케이션을 관리하려면

조직 > OAuth 애플리케이션을 클릭하고 관리할 애플리케이션을 선택합니다.

  • OAuth 애플리케이션을 수정하려면 편집을 클릭합니다.

    참고:

    애플리케이션의 범위 지정을 변경하는 경우 변경 내용이 조직에 이미 추가된 애플리케이션 인스턴스와 동기화되지 않습니다. 이전에 추가한 애플리케이션 인스턴스의 범위 지정을 업데이트하려면 먼저 ID 및 액세스 관리 > OAuth 애플리케이션에서 제거했다가 다시 추가해야 합니다.

  • 애플리케이션을 제거하려면 삭제를 클릭합니다.

    참고:

    이 작업은 되돌릴 수 없습니다. 이러한 클라이언트 자격 증명을 사용하는 모든 애플리케이션은 더 이상 보호된 리소스에 액세스할 수 없으며 자격 증명이 무효화됩니다.