VMware Cloud Partner Navigator 將使用 OAuth 2.0,以便您可以為應用程式授與應用程式對提供者組織或客戶組織中資源的安全委派存取權。VMware Cloud Partner Navigator 支援 OAuth 2.0 伺服器到伺服器應用程式,此類應用程式可透過直接核發給應用程式的存取 Token 來授權動作。

什麼是 OAuth 2.0?

OAuth 2.0 是一種授權通訊協定,可讓您授與應用程式對資源的安全存取權。您的用戶端已透過存取 Token 獲得授權。存取 Token 有一個範圍,此範圍定義了應用程式可存取的資源。如需 OAuth 2.0 的相關資訊,請參閱 https://tools.ietf.org/html/rfc6749#page-8,或參閱名為《OAuth 2.0 Simplified》的部落格文章 (網址為 https://aaronparecki.com/oauth-2-simplified/)。

OAuth 如何與 VMware Cloud Partner Navigator 搭配使用?

VMware Cloud Partner Navigator 支援 OAuth 2.0 用戶端認證授與類型,因此可授與您的應用程式對組織資源的存取權,而無需使用者授權。若要為您的應用程式提供認證,請在 VMware Cloud Partner Navigator 中建立伺服器到伺服器 OAuth 2.0 應用程式,並定義其存取 Token 的範圍。然後,您的應用程式將使用提供的 OAuth 認證擷取存取 Token,並取得對在範圍內所定義資源的存取權。如雲端服務提供者的角色和權限中所述,範圍是根據組織和服務角色來定義的。

OAuth 應用程式由誰建立?

只有提供者管理員提供者開發人員使用者才能在 VMware Cloud Partner Navigator 提供者組織或客戶組織中建立 OAuth 應用程式。

提供者管理員使用者可以建立對組織資源進行任意類型存取的 OAuth 2.0 應用程式,但權限低於或等於提供者管理員角色的權限。

由於提供者開發人員角色不是獨立角色,只能與其他角色一起指派,因此,提供者開發人員使用者建立的 OAuth 2.0 應用程式只能具有受限制的組織和服務權限,且應低於或等於其他已指派角色的權限。例如,具有 VMware Cloud Director service 的獨佔存取權的提供者服務經理提供者開發人員使用者,僅能建立對 VMware Cloud Director serviceVMware Cloud Partner Navigator 資源具有相同層級存取權的 OAuth 應用程式。

如何設定 OAuth 伺服器到伺服器應用程式?

設定 OAuth 應用程式的程序有兩個步驟。首先,在您的一個組織中建立 OAuth 應用程式,並定義其存取 Token 的範圍。然後,將該應用程式新增至用於建立該應用程式的相同組織,以便為其啟用對組織資源的存取權。您不能新增在其他組織中建立的 OAuth 應用程式。

若要建立 OAuth 應用程式,請執行以下操作:

  1. VMware Cloud Partner Navigator 工具列上,按一下組織 > OAuth 應用程式

  2. 按一下建立應用程式 > 繼續

  3. 填寫 OAuth 應用程式詳細資料,並定義其範圍。

    1. 輸入應用程式的名稱與說明。

    2. 設定 OAuth 應用程式存取 Token 的存留時間。

    3. 若要定義 OAuth 應用程式存取 Token 的範圍,請選取組織角色和服務角色。

      根據選取的組織角色,您可能無法指派任何服務角色。如需詳細資訊,請參閱雲端服務提供者的角色和權限

    4. 按一下建立

  4. 複製接收的認證或下載 JSON 檔案,然後按一下繼續

此時,已在您的 VMware Cloud Partner Navigator 組織中建立 OAuth 應用程式,但尚未授與對其資源的存取權。若要對應用程式授與存取權,您必須將其新增至您的組織。

重要:

將 OAuth 應用程式新增至組織時,其存取 Token 的範圍可能與在組織 > OAuth 應用程式設定中設定的存取 Token 範圍有所不同。實際範圍由三個準則共同決定:OAuth 應用程式的範圍設定、您的組織中可用的服務角色,以及執行此程序之使用者的指派組織角色和服務角色。例如,當對資源具有有限存取權的提供者服務經理提供者開發人員使用者嘗試新增具有最高層級可用權限的 OAuth 應用程式時,所新增應用程式執行個體的存取 Token 將僅限於新增該應用程式的提供者服務經理提供者開發人員使用者的權限,而不會擁有在範圍設定中所定義對資源的完整存取權。

若要將 OAuth 應用程式新增至組織,請執行以下操作:

  1. VMware Cloud Partner Navigator 工具列上,按一下身分識別與存取管理 > OAuth 應用程式

  2. 按一下新增應用程式

  3. 選取您的組織,然後瀏覽並選取 OAuth 應用程式。

    頁面上會列出將指派給 OAuth 應用程式執行個體的組織角色和服務角色。

  4. 檢閱 OAuth 應用程式詳細資料,然後按一下新增

此時 OAuth 應用程式會新增至您的 VMware Cloud Partner Navigator 組織,並被授與對其資源的存取權。

若要授權應用程式的動作,請在指令碼的 API 呼叫中使用提供的 OAuth 認證。

如何管理 OAuth 應用程式?

如需您可以執行的 OAuth 管理功能的清單,請參閱下表。

若要...

步驟...

檢視有權存取您組織的 OAuth 應用程式。

按一下身分識別與存取管理 > OAuth 應用程式

新增在相同組織中建立的 OAuth 應用程式

  1. 按一下身分識別與存取管理 > OAuth 應用程式

  2. 按一下新增 OAuth 應用程式

  3. 選取您的組織。

  4. OAuth 應用程式下拉式功能表中,選取要授與對此組織的存取權的應用程式。

  5. 檢閱應用程式詳細資料,然後按一下新增

限制新增的 OAuth 應用程式存取您的組織資源

  1. 按一下身分識別與存取管理 > OAuth 應用程式

  2. 從 OAuth 應用程式清單中,選取要阻止其存取您的組織資源的應用程式。

  3. 按一下移除

檢視您的組織中建立的應用程式。

按一下組織 > OAuth 應用程式

您可以在此處檢視在您的組織中建立的所有應用程式。

管理您的組織中建立的現有 OAuth 應用程式。

按一下組織 > OAuth 應用程式,然後選取您要管理的應用程式:

  • 若要修改 OAuth 應用程式,請按一下編輯

    備註:

    如果變更應用程式的範圍,則所做變更將不會與已新增至任何組織的應用程式執行個體同步。若要更新之前新增的應用程式執行個體的範圍,必須先將這些執行個體從身分識別與存取管理 > OAuth 應用程式中移除,然後再重新新增。

  • 若要移除應用程式,請按一下刪除

    備註:

    此動作無法還原。使用這些用戶端認證的任何應用程式將無法再存取受保護的資源,並且認證將會失效。