如果您要將使用者和群組從 OpenID Connect (OIDC) 身分識別提供者匯入 VMware Cloud Director 系統組織,則必須為您的系統組織設定此 OIDC 身分識別提供者。匯入的使用者可以使用 OIDC 身分識別提供者中建立的認證登入系統組織。

OAuth 是一種開放式聯盟標準,可委派使用者存取權。OpenID Connect 是基於 OAuth 2.0 通訊協定的驗證層。透過使用 OpenID Connect,用戶端可以接收有關經過驗證的工作階段和終端使用者的資訊。OAuth 驗證端點必須可從 VMware Cloud Director 儲存格連線,這樣便使其更適合使用公用身分識別提供者或提供者管理的身分識別提供者的情況。

您可以允許承租人產生和核發可由應用程式代表承租人使用的 API 存取 Token。

可以將 VMware Cloud Director 設定為從您提供的 JWKS 端點自動重新整理 OIDC 金鑰組態。可以設定金鑰重新整理程序的頻率和輪替策略,輪替策略確定了 VMware Cloud Director 是新增新金鑰,將舊金鑰取代為新金鑰,還是舊金鑰在一定時間段後到期。

備註: 為了成功將 VMware Cloud Director 與外部身分識別提供者整合,以確定正確的值和設定並確保組態正確且準確,另請參閱這些身分識別提供者的產品說明文件。

VMware Cloud Director 會在事件主題 com/vmware/vcloud/event/oidcSettings/keys/modify 下產生針對成功和失敗金鑰重新整理的稽核事件。失敗金鑰重新整理的稽核事件包括有關失敗的其他資訊。

提示:

對於版本 10.4.2 及更新版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,使用者介面將僅顯示使用 Single Sign-On 登入選項。若要以本機使用者身分登入,請導覽至 https://vcloud.example.com/tenant/tenant_name/loginhttps://vcloud.example.com/provider/login

VMware Cloud Director 登入頁面具有 SSO 登入按鈕。

對於 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,若要使用身分識別提供者登入,請選取使用 Single Sign-On 登入選項。

VMware Cloud Director 登入頁面具有 SSO 和本機使用者登入按鈕。

程序

  1. 從頂部導覽列中,選取管理
  2. 在左面板中的身分識別提供者下,按一下 OIDC
  3. 如果您是首次設定 OIDC,請複製用戶端組態重新導向 URI,並使用該 URI 在符合 OpenID Connect 標準的身分識別提供者 (例如,VMware Workspace ONE Access) 中建立用戶端應用程式登錄。
    您需要此登錄才能取得用戶端識別碼和用戶端密碼,在設定 OIDC 身分識別提供者期間必須使用這些資訊。
  4. 按一下設定
  5. 確認 OpenID Connect 處於作用中狀態,並輸入從 OIDC 伺服器登錄中取得的用戶端識別碼和用戶端密碼資訊。
  6. (選擇性) 若要使用已知端點中的資訊自動填入組態資訊,請開啟組態探索切換按鈕,然後在提供者站台輸入 VMware Cloud Director 可用於向其傳送驗證要求的 URL。
  7. 下一步
  8. 如果在步驟 6 中未使用組態探索,請在端點區段中輸入資訊。
    1. 輸入端點和簽發者識別碼資訊。
    2. 如果使用 VMware Workspace ONE Access 作為身分識別提供者,請選取 SCIM 作為存取類型。從 VMware Cloud Director 10.4.1 開始,已棄用 SCIM 選項。
      對於其他身分識別提供者,可以保留預設的 使用者資訊選取項目。
    3. 如果要組合使用來自 UserInfo 端點和識別碼 Token 的宣告,請開啟優先使用識別碼 Token 切換按鈕。
      身分識別提供者不提供 UserInfo 端點中設定的所有必要宣告。開啟 優先使用識別碼 Token 切換按鈕後, VMware Cloud Director 可以從這兩個來源擷取並使用宣告。
    4. 輸入可接受的最大時鐘誤差。
      最大時鐘誤差是用戶端和伺服器之間允許的最大時間差。此時間用於補償驗證 Token 時時間戳記中任何較小的時間差。預設值為 60 秒。
    5. 下一步
  9. 如果在步驟 6 中未使用組態探索,請輸入範圍資訊,然後按下一步
    VMware Cloud Director 使用範圍授予對使用者詳細資料的存取權。當用戶端要求存取 Token 時,範圍會定義此 Token 存取使用者資訊所需的權限。
  10. 如果使用使用者資訊作為存取類型,請對應宣告,然後按下一步
    可以使用此區段將 VMware Cloud Director 從使用者資訊端點獲得的資訊對應到特定宣告。宣告是 VMware Cloud Director 回應中欄位名稱的字串。
  11. 如果想要 VMware Cloud Director 自動重新整理 OIDC 金鑰組態,請開啟自動金鑰重新整理切換按鈕。
    1. 如果在步驟 6 中未使用組態探索,請輸入金鑰重新整理端點
      金鑰重新整理端點是 JSON Web 金鑰集 (JWKS) 端點, VMware Cloud Director 將從中擷取金鑰。
    2. 選取金鑰重新整理的頻率。
      可以小時為增量設定時間段,範圍為 1 小時至最多 30 天。
    3. 選取金鑰重新整理策略
      選項 描述
      新增

      將傳入金鑰集新增到現有金鑰集。合併後的集中的所有金鑰均有效且可用。

      例如,現有金鑰集包括金鑰 A、B 和 D。傳入金鑰集包括金鑰 B、C 和 D。金鑰重新整理時,新集會包括密鑰 A、B、C 和 D。
      取代

      將現有金鑰集取代為傳入金鑰集。

      例如,現有金鑰集包括金鑰 A、B 和 D。傳入金鑰集包括金鑰 B、C 和 D。金鑰重新整理時,金鑰 C 將取代金鑰 A。傳入金鑰 B、C 和 D 將成為新的有效金鑰集,而不會與舊金鑰集重疊。
      到期時間

      可以在現有金鑰集和傳入金鑰集之間設定重疊時間段。可以使用以下時間段後金鑰到期設定重疊時間,可以小時為增量進行設定,範圍為 1 小時至最多 1 天。

      金鑰重新整理在每小時開始時開始執行。金鑰重新整理時,VMware Cloud Director 會將現有金鑰集中未包含在傳入集中的金鑰標記為即將到期。下次金鑰重新整理執行時,VMware Cloud Director 將停止使用即將到期的金鑰。只有包含在傳入集中的金鑰才有效且可用。

      例如,現有金鑰集包括金鑰 A、B 和 D。傳入集包括金鑰 B、C 和 D。如果將現有金鑰設定為在 1 小時後到期,則會存在 1 小時的重疊時間,在此期間,這兩個金鑰集均有效。VMware Cloud Director 將金鑰 A 標記為即將到期,且在下次金鑰重新整理執行之前,金鑰 A、B、C 和 D 均可用。下次執行時,金鑰 A 到期,僅 B、C 和 D 繼續運作。
  12. 如果在步驟 6 中未使用組態探索,請上傳身分識別提供者用於對其 Token 進行簽署的私密金鑰。
  13. 按一下儲存

下一步

  • 訂閱 com/vmware/vcloud/event/oidcSettings/keys/modify 事件主題。
  • 驗證上次執行時間上次成功執行時間是否相同。金鑰重新整理在每小時開始時開始執行。上次執行時間是上次金鑰重新整理嘗試的時間戳記。上次成功執行時間是上次成功重新整理金鑰的時間戳記。如果時間戳記不同,自動金鑰重新整理將失敗,可以透過檢閱稽核事件來診斷問題。