VMware Cloud Director 設定為充當 OIDC 身分識別提供者 Proxy 時,VMware Cloud Director 會產生一對 OIDC 金鑰,並使用該金鑰對其核發的 JWT Token 進行簽署。

設定為身分識別提供者 Proxy 伺服器後, VMware Cloud Director 會自動產生單一內建 2048 位元 RSA 簽署金鑰, 系統管理員可以選擇使用或捨棄該金鑰。任何新金鑰都必須符合最小金鑰大小和其他 VMware Cloud Director 密碼編譯需求。
提示: 若要檢視 VMware Cloud Director 金鑰需求,請導覽至 管理設定 > 設定 > SSL

VMware Cloud Director 用作 OIDC Proxy 伺服器的信賴憑證者可以擷取提供者組態值,包括 {{hostname}}/oidc/.well-known/openid-configuration 中列出的 JWKS 端點的可用公開金鑰清單。

必要條件

確認您的角色包含 OIDC 伺服器:管理設定權限。

新增 OIDC Proxy 金鑰集

可以手動將 OIDC Proxy 金鑰集新增至 VMware Cloud Director

程序

  1. 在頂部導覽列中,按一下管理
  2. 在左面板中的設定底下,按一下 OIDC Proxy
  3. 按一下金鑰
  4. 若要手動上傳新的 OIDC Proxy 金鑰集,請按一下新增
  5. 輸入 OIDC Proxy 金鑰的說明。
    可以稍後根據需要編輯金鑰說明。
  6. 在 [公開金鑰] 下,按一下瀏覽檔案,然後導覽至公開金鑰 PEM 檔案並上傳該檔案。
  7. 在 [私密金鑰] 下,按一下瀏覽檔案,然後導覽至私密金鑰 PEM 檔案並上傳該檔案。
  8. 輸入私密金鑰複雜密碼。
  9. 按一下儲存

將新的 OIDC Proxy 金鑰集設為作用中狀態

可以使用 VMware Cloud Director 使用者介面選取新的作用中 OIDC Proxy 金鑰。

必要條件

  • 確認您的角色包含 OIDC 伺服器:管理設定權限。
  • 確認已上傳要設為作用中狀態的金鑰集。

程序

  1. 在頂部導覽列中,按一下管理
  2. 在左面板中的設定底下,按一下 OIDC Proxy
  3. 按一下金鑰
    此時將顯示可用金鑰集清單,其中,目前使用的金鑰標示為 作用中
  4. 選取新金鑰集,然後按一下設為作用中狀態

刪除 OIDC Proxy 金鑰集

如果某個 OIDC 金鑰集不再使用,則可以將其刪除。

必要條件

  • 確認您的角色包含 OIDC 伺服器:管理設定權限。

程序

  1. 在頂部導覽列中,按一下管理
  2. 在左面板中的設定底下,按一下 OIDC Proxy
  3. 按一下金鑰
    此時將顯示可用金鑰集清單,其中,目前使用的金鑰標示為 作用中
  4. 選取要移除的金鑰集,然後按一下刪除