如果您要將使用者和群組從 OpenID Connect (OIDC) 身分識別提供者匯入 VMware Cloud Director 系統組織,則必須為您的系統組織設定此 OIDC 身分識別提供者。匯入的使用者可以使用 OIDC 身分識別提供者中建立的認證登入系統組織。
OAuth 是一種開放式聯盟標準,可委派使用者存取權。OpenID Connect 是基於 OAuth 2.0 通訊協定的驗證層。透過使用 OpenID Connect,用戶端可以接收有關經過驗證的工作階段和終端使用者的資訊。OAuth 驗證端點必須可從 VMware Cloud Director 儲存格連線,這樣便使其更適合使用公用身分識別提供者或提供者管理的身分識別提供者的情況。
您可以允許承租人產生和核發可由應用程式代表承租人使用的 API 存取 Token。
可以將 VMware Cloud Director 設定為從您提供的 JWKS 端點自動重新整理 OIDC 金鑰組態。可以設定金鑰重新整理程序的頻率和輪替策略,輪替策略確定了 VMware Cloud Director 是新增新金鑰,將舊金鑰取代為新金鑰,還是舊金鑰在一定時間段後到期。
VMware Cloud Director 會在事件主題 com/vmware/vcloud/event/oidcSettings/keys/modify 下產生針對成功和失敗金鑰重新整理的稽核事件。失敗金鑰重新整理的稽核事件包括有關失敗的其他資訊。
對於版本 10.4.2 及更新版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,使用者介面將僅顯示使用 Single Sign-On 登入選項。若要以本機使用者身分登入,請導覽至 https://vcloud.example.com/tenant/tenant_name/login 或 https://vcloud.example.com/provider/login。
程序
下一步
- 訂閱 com/vmware/vcloud/event/oidcSettings/keys/modify 事件主題。
- 驗證上次執行時間和上次成功執行時間是否相同。金鑰重新整理在每小時開始時開始執行。上次執行時間是上次金鑰重新整理嘗試的時間戳記。上次成功執行時間是上次成功重新整理金鑰的時間戳記。如果時間戳記不同,自動金鑰重新整理將失敗,可以透過檢閱稽核事件來診斷問題。