從版本 10.5 開始,VMware Cloud Director 支援代碼交換的證明金鑰 (PKCE)。

PKCE 是 OAuth 2.0 授權代碼流的擴充,用於防止 CSRF 和授權代碼插入式攻擊。如需詳細資訊,請參閱 OAuth 2.0 說明文件中的代碼交換的證明金鑰

如需有關使用 VMware Cloud Director API 進行 OAuth 設定的更多詳細資料,請參閱 VMware Cloud Director API設定和管理與 OAuth 的聯盟

必要條件

確認您已將系統設定為使用 OpenID Connect Identity Provider 的識別提供者。請參閱 使用 VMware Cloud Director Service Provider Admin Portal將系統設定為使用 OpenID Connect 身分識別提供者

程序

  1. 執行要求以擷取您組織的設定。 
    GET https://vcloud.example.com/api/admin/org/organization_id/settings/oauth
    回應包含組織的 OAuth 設定。
  2. OrgOAuthSettings 下方,進行以下變更。
    1. usePkce 元素修改為 true
    2. (選擇性) 如果您的身分識別提供者要求在發出 API 要求以擷取存取 Token 時將用戶端認證作為授權標頭傳送,請將 sendClientCredentialsAsAuthorizationHeader 元素修改為 true
      預設行為是在 API 要求的內文中傳送用戶端認證。
  3. 若要更新 OAuth 設定以包含所做的修改,請執行 PUT 要求。 
    PUT https://vcloud.example.com/api/admin/org/organization_id/settings/oauth

    在要求內文中,包括 OAuth 設定的已修改元素。