Документація VMware Cloud Director

• Посібник для користувачів VMware Cloud Director™
• Загальна інформаця по роботі з VMware Cloud Director
• Що таке Віртуальний ЦОД (vDC)
• Інтерфейс віртульного ЦОД (vDC)
• Що таке Віртуальна машина (VM)
• Створення віртуальної машини
• Керування Віртуальною машиною
• Що таке vApp
• Створення контейнера vApp
• Керування контейнером vApp
• Налаштування контейнера vApp
• Створення та налаштування маршрутизованої мережі
• Створення та налаштування ізольованої мережі
• Налаштування Edge Gateway
• Створення ВМ з шаблона
• Налаштування автентифікації на основі SAML в Azure AD
• Налаштування автентифікації на основі OpenID від Google

Посібник для користувачів VMware Cloud Director™

Загальна інформаця по роботі з VMware Cloud Director

В хмарі DataGroup, для керуванням віртуальним дата-центром, використовується VMware Cloud Director. Це програмний комплекс котрий дозволяє керувати елементами хмари в межах наданих ресурсів, котрі складаються з:

• віртуальних машин (VM). В Cloud Director ви можете створити віртуальну машину двома шляхами, або використавши попередньо створений шаблон, або сконфігурувати потрібні ресурси (vCPU/vRAM/vHDD) та провести самостійно інсталяцію з ISO образа операційну систему.
• vApp - це віртуальні контейнери в котрих ви можете створювати набори віртуальних машин обʼєднаних за якимось призначинням. Наприклад - поштові сервери, бази даних або інфраструктура якогось додатка.
• Мережа vApp  - це ізольована віртуальна мережа, котра дозволяє обʼєднати всі VM в одному vApp. Це корисно коли ви маєте кілька різних проєктів котрі ніяким чином не повинні перетинатися. 
• Мережа організації (Org VDC Networks) - це мережа всередені віртуального дата-центра (Org vDC) котра доступна для всіх VM та vApp. Дана мережа може бути ізольована (Isolated) та без доступу до мережі інтернет, або маршрутизована (Routed) з доступом до Інтернет.

Що таке Віртуальний ЦОД (vDC)

    Віртуальний дата-центр (virtual Datacenter, vDC) - це пул обчислюваних ресурсів (процесори, памʼять, дисковий простір, мережі). Принцип роботи дуже простий - провайдер послуг надає пул ресурсів в одному з своїх ЦО та за допомогою VMware Cloud Director обʼєднує у віртуальній дата-центр (ЦОД, vDC) та надає користувачу.

    Робота з віртуальним дата-центром дуже схожа на роботу з реальним ЦОД. Одразу після створення ви можете створювати віртуальні машини, мережі, додаткових користувачів тощо. 

Інтерфейс віртульного ЦОД (vDC)

Після входу в VMware Cloud Director ви опинитесь на початковій сторінці. На ній існують 3 логічні зони:

• Верхня навігаційна панель - дозволяє швидко переходити між vApp, мережами, біліотекою шаблонів та ISO образів, керуванням користувачами та монітором задач задач та подій.
• Інформаційна панель - відображення загальних параметрів та стану віртуальних ЦОД.
• Карточка віртуальних ЦОД (vDC).

Клікнувши на карточку vDC, ви опинитесь в основному робочому середовищі віртуального ЦОД. Зліва зʼявиться основна панель керування, котра містить всі необхідні інструменти для роботи з vDC.

• Compute - керування ВМ та vApp.
• Networking - керування мережами та налаштуваннями роутера (Edge)
• Storage - керування дисковим простором та політиками використання дисків.
• Settings - базові налаштування vDC.

Що таке Віртуальна машина (VM)

Віртуальна машина (VM) - це віртуальний компʼютер, котрий складається з процесора, памʼяті, мережевих адаптерів та дисків. На віртуальну машину можна встановити операційну систему як на звичайний компʼютер.

Створені віртуальні машини відображаються в панелі керування у вигляді карток з информацією про дану ВМ.

Картка VM містить наступну інформацію:

Назва віртуальної машини - активне посилання до налаштувань ВМ. Стан ВМ - вимкнена/увімкнена. Дата створення ВМ. Власник віртуальної машини. vApp до котрого належить ВМ. Встановлена ОС. Кількість ядер процесора (CPU), обʼєм дисково простору, оперативної памʼяті та підключені мережі. Позначки (Badges) Кнопка керування ВМ (Actions) та кнопка перегляду налаштувань ВМ (Details).

Подробніше про віртуальні машини читайте в інструкціях: 

• Створення віртуальної машини
• Керування віртуальною машиною

Створення віртуальної машини

Для створення віртуальної машини, треба натиснути кнопку NEW VM, котра знаходиться на картками ВМ.

Віртуальни машини можуть бути розгорнуті з готових шаблонів або створені власноруч. Якщо ви хочете швидко створити ВМ котра одразу готова для роботи - обирайте пункт From Template (створити ВМ з шаблона), а якщо вам потрібна ВМ з особливими налаштуваннями або параметрами, то обирайте пункт New (створити нову ВМ).

Створення ВМ з шаблона

Перевага створення ВМ з шаблона - швидкість. Для цього достатньо ввести назву віртуальної машини (Name) та імʼя компʼютера (Computer Name, дозволено використовувати тільки букви та цифри без пробілів та спец. символів.), обрати потрібний шаблон (ви можете завантажувати свої шаблони в форматі OVF/OVA) та політику зберігання даних. Політика визначає деякі параметри швидкості (IOPS) або тип сховища (HDD, SSD, NVMe).

Після того як натиснете ОК, картка ВМ зʼявиться в розділі Virtual Machines.

Створення ВМ вручну з ISO образа

Для створення ВМ в ручному режимі потрібно ввести обовʼязкові данні, такі як Name и Computer Name та обрати тип створення ВМ - New. Після цього розгорнуться додаткові блоки налаштування ОС,  сховищ та мереж.

В блоці Operation System треба обрати OS Family (Windows, Linux чи іші) та Operating System - версію операційної системи. В полі Boot image необхідно обрати ISO образ потрібної операційної системи.

Як завантажити власний ISO образ або OFV/OVA темплейт до бібліотеки, читойте в статті "Як завантажити ISO або OVA".

Після того як ви обрали операційну систему та образ диска, розгорнеться розділ Compute. В цьому блоці треба обрати розмір ресурсів для ВМ. 

Налаштування дискового сховища відбувається в розділі Storage. Тут можна налаштувати кількість та розмір дисків для ВМ, та обрати необхідну політику зберігання. Політика визначає деякі параметри швидкості (IOPS) або тип сховища (HDD, SSD, NVMe).

І останній блок налаштувань стосується мережі. В ньому Ви можете обрати мережеві адаптери, мережі для підключення, а також варіанти отримання IP адреси.

Після завершення налаштування, в розділі Virtual Machines зʼявиться нова карточка нової ВМ.

Керування Віртуальною машиною

Після створення Вм в ручному режимі, необхіджно встановити VMware Tools. Це потрібно для повноцінної взаємодії ВМ з віртуальним середовищем VMware VSphere.

Встановлення VMware Tools

Для встановлення VMware Tools необхідно натиснути кнопку Actions та потім Install VMware Tools.

Встановлення VMware Tools відбувається тільки на увімкнутій ВМ.

Керування живленням ВМ

Керування живленням знаходиться у вкладинці меню Power. Крім включення та вимикання ВМ (Power On/ Power Off), переходу у сплячий режим (Suspend), ресета (Reset) та вимкнення операційної системи (Shut Down Guest OS), на вкладинці є кнопка - Увімкнути та прийняти зміни (Power On, Force Recustomization).

Power On, Force Recustomization - застосовується для застосування змін параметрів Guest OS Customization. Про це ми розповімо в статті "Налаштування ВМ".

Створення моментально знімка (Snapshot).

Cloud Director дозволяє створювати консистентні снапшоти без зупинки ВМ. Можливо зробити 1 снапшот на віртуальну машину.

Для того щоб відновити ВМ з снапшота - натисніть Revert to Snapshot. Для видалення снапшота - оберіть Remove Snapshot.

Консоль для роботи з ВМ

Якщо ВМ не підключена до мережі Інтернет, до неї можна приєднатись використовуючи Web-консоль. Для запуска консолі перейдіть в розділ VM console та оберіть пункт Launch Web Console.

Web-консоль доступна тільки для увімкнутої ВМ. Як що Вас не влаштовує Web-консоль, Ви можете скористатись віддаленою консоллю (Remote Console) котра встановлюється на Ваш компʼютер. Завантажити пакет інсталяції можливо, обравши пункт меню Download VM Remote Console.

Копіювання та переміщення ВМ до vApp

Створені ВМ можливо обʼєднати в логічні контейнери vApp. Це можливо зробити використовуючи переміщення (Move) або копіювання (Copy

Переміщення або копіювання відбувається за кілька  простих кроків. На першому кроці треба обрати vApp до котрого треба перемістити або скопіювати ВМ.

 

Після цього потрібно змінити імʼя в разі потреби, обрати політику зберігання та при бажанні підключити віртуальну мережу vApp.

На останньому кроці необхідно підтвердити свої дії.

При копіюванні відбуваєтся те саме за виключенням того що створюється копія ВМ і в розділі Virtual Machines буде дві однакові ВМ.

Що таке vApp

vApp - це логічне обʼєднання віртуальних машин для зручного керування та виконання групових операцій, а також зʼєднання віртуальною мережею у рамках vApp. Всі vApp знаходяться в розділі vApps та відображаються у вигляді карток як і ВМ.

Картка vApp відображає:

Назву контейнера. (Намагайтесь давати коротку та зрозумілу назву). Інформацію про час створення та власника контейнера vApp. Кількість ВМ, кнопку виклика списку ВМ (Manage) та вхід у консолі керування ВМ. Споживання ресурсів (CPU, памʼять та дисковий простір) та підключені мережі. Кольорова позначка. Кнопки взаємодії з контейнером vApp та відображення його властивостей.

Контейнери vApp можуь бути створені порожніми або одразу з ВМ. vApp можна підключати до мережі організації або створити всередині ізольовану віртуальну мережу.

Подробніше про роботу з vApp ви знайдете в інструкціях:

• Створення контейнера vApp
• Керування контейнером vApp
• Налаштування контейнера vApp

Створення контейнера vApp

Для створення контейнера vApp оберіть розділ vApps, натисніть кнопку NEW та оберіть варіант розгортання контейнера:

• New vAPP - створення пустого контейнера.
• Add vAPP From OVF - створення контейнера з образа OVF.
• Add vAPP From Catalog - створення контейнера з каталога.

Створення vApp (New vApp)

Контейнер vApp можна створити пустим або одразу з ВМ. При створенні необхідно задати назву контейнера та опис для зручності.

Також при створенні можна увімкнути опцію автоматичного увімкнення після стврення.

Створення контейнера з шаблона (Add vApp From Catalog)

За замовчуванням всі готові шаблони мвстять одну ВМ з попередньо встановленою ОС. Для створення vApp за шаблона - натисніть NEW та оберіть Add vApp From Catalog. 

Для створення vApp потрібно пройти 8 простих кроків.

Крок 1 - вибір потрібного шаблона для розгортання. У назві шаблона відображена назва ОС віртуальної машини.

Крок 2 - вкажіть назву контейнера vApp та його опис (за бажанням). Також ви можете вказати час роботи контейнера до автоматичного зупинення та час до автоматичної очистки дисків.

Крок 3 - конфігурація ресурсів, вибір політик дискового сховища для ВМ.

Крок 4 - конфігурація апаратних ресурсів для кожної ВМ у даному vApp.

Крок 5 - зміна дискового простору для ВМ.

Крок 6 - вибір та підключення мережі до контейнера.

Крок 7 - встановлення додаткових параметрів для ВМ, таких як пароль, ssh-ключ тощо.

Крок 8 - перевірка та підтвердження конфігурації.

Після натискання кнопки FINISH буде розгорнуто контейнер та ВМ в ньому. В розділі vAPPs ви побачите нову картку.

Розгортання з OVF відбувається так само за вийнятком того що ви обираєте власну ВМ на своєму компʼютері та завантажуєте.

Керування контейнером vApp

Після створення контейнера vApp його карточка зʼявиться в розділі vAPPs. Перелік дій котрі можна робити з контейнером знаходяться в меню Actions.

Для контейнера доступні такі дії:

Увімкнення/вимкнення контейнера (Power) Оновлення часу оренди ресурсів (Renew Lease) Створення миттєвого знімка ВМ (Snapshot) Скачування контейнера (Download) Переміщення vApp між віртуальними дата-центрами. (Move) Копіювання vApp з одного віртуальними дата-центра в інший. (Copy) Зміна власника  (Change Owner) Поділитися контейнером з іншими користувачами (Share) Додати ВМ до vApp (Add VM) Підключити мережу до контейнера (Add Network) Створити шаблон з контейнера (Create Template) Обрати кольорову наліпку (Edit Badges) Видалити контейнер (Delete)

Налаштування контейнера vApp

В меню DETAILS знаходяться налаштування контейнера vApp.

 

 

Створення та налаштування маршрутизованої мережі

    Маршрутизована мережа підключається до граничного віртуального маршрутизатора vDC (Edge) та забеспечує доступ підключених до неї віртуальних машин до мережі Інтернет 

Для створення миршрутизованої мережі, перейдіть в розділ Networking та натисніть кнопку NEW.

На пункті 1 треба обрати потрібний vDC як що їх декілька.

Пункт 2. Обираємо тип мережі - Routed (маршрутизована).

Пункт 3. Обираємо прикордонний маршрутизатор (Edge) для підключення.

Пункт 4. вказуємо назву мережі ( Routed_Network_01 ) та IP адресу шлюза мережі з вказанням маски (Gateway CIDR), у нашому прикладі це буде мережа 192.168.100.0/24 та значення 192.168.100.1/24.

Пункт 5. Для автоматичної видачі IP адрес Віртуальним машинам, необхідно створити пул (Static IP Pools) з котрого будуть видаватись IP адреси.

Пункт 6. треба додати налаштування DNS.

Первинний DNS (Primary DNS) - 8.8.8.8
Вторинний DNS (Secondary DNS) - 1.1.1.1
DNS суфікс (DNS suffix) - залишаємо порожнім.

7 пункт пропускаємо і на останньому 8 пункті перевіряємо всі налаштування щоб бути впевненими що все вказано вірно і нема помилок.

Завершуємо створення мережі натиснувши кнопку Finish. Для того щоб переконатися що мереже створена та підключена до роутера, переходимо у розділ Networking та шукаємо нашу мережу у списку мереж.

Тепер новостворена мережа готова для підключення до віртуальних машин.

Створення та налаштування ізольованої мережі

Для створення ізольованої мережі перейдіть в розділ Мережі (Networking), та натисніть кнопку NEW.

Оберіть ВДЦ та вкажіть тим мережі - ізольована (Isolated).

Далі вкажіть бажану назву мережі та адресу шлюза у форматі CIDR: 10.0.0.1/24, 192.168.0.1/24, 172.16.0.1/24.

Наступним кроком треба налаштувати діапазон автоматичної видачі IP-адрес (Static IP Pools). Наприклад ми точно знаємо що у нас в мережі буде 20 віртуальних машин, тоді можна вказати діапазон 172.16.0.2-172.16.0.22. Діапазон повинен базуватись на CIDR мережі. У нас це 172.16.0.1/24.

 

Як що ви бажаєте присвоювати IP адреси віртуальним машинам в ручну  - залиште поле Static IP Pools порожнім.

Далі йдуть налаштування DNS. В ізольованій мережі без доступу в Інтернет - DNS можна не вказувати. Ми залишимо ці поля порожніми.

Останній крок створення мережі - перевірка та підтвердження створення.

Після створення, мережа зʼявиться в розділі Networking. Тепер до неї можна підключати віртуальні машини.

Налаштування Edge Gateway

Edge Gateway є маршрутизатором для керування правилами NAT та Firewall (за потреби). Розберемо кілька сценаріїв використання та налаштування.

Сценарій 1

Необхідно надати ВМ доступ в мережу Інтернет. Доступ ззовні не потрібен.

Умови: Наявність Edge Gateway, зовнішної IP, маршрутизованої мережі (Routed) підключеної до Edge Gateway.

Маємо 1 маршрутизовану (Routed) мережу з адресацією 192.168.0.0/24. До мережі підключені 2 ВМ.

• ВМ-01 - 192.168.0.2
• ВМ-02 - 192.168.0.3

Переходимо в меню Edges та обираємо необхідний Edge Gateway

Далі обираємо пункт меню - NAT

Та створюємо необхідні правила. В данному сценарії нам необхідно створити правило SNAT.

• Name - SNAT-01
• NAT Action - SNAT
• External IP - або обрати в меню, або подивитись в Networking - IP Spaces - Public_prod - Floating IPs та внести вручну.
• Internal IP - 192.168.0.0/24 або іншу якщо ви створили мережу з іншою адресацією.

Internal IP може бути вказана як одна там і вся мережа.

 

В данному випадку всі ВМ підключені до мережі 192.168.0.0/24 будуть мати доступ жо мережі Internet. Як що доступ потрібен тільки окрмим ВМ, то треба вказати в правилі конкретну IP адресу. Наприклад 192.168.0.2/32. Тоді тільки ВМ-01 буде мати доступ до Internet, а ВМ-02 не буде.

Не забувайте про Firewall

Сценарій 2

Необходно дозволити підключатись до ВМ з мережі Internet. Наприклад у нас є необхідність підключатись до ВМ-01 та ВМ-02 по протоколу SSH.

Для цього нам необхідно створити правило DNAT.

• Name - назва правила
• NAT Action - DNAT
• External IP - тут вже треба внести адресу руками, бо якщо ви вже один раз обрали з випадаючого меню, то там більше не можна обрати (логіка VMware)
• External Port - порт на який будуть приходити зовнішні запити на підключення. Для кожного правила повинен бути окремий.
• Internal IP - адреса ВМ до котрої необхідне підключення
• Application - порт ВМ, в нашому випадку SSH (порт 22).

Після цього при підключенні на 80.239.186.135 порт 2202 ви портпате на ВМ-01

Не забувайте про Firewall

 

 

 

 

 

 

 

 

 

Створення ВМ з шаблона

Створення ВМ з шаблона на прикладі Ubuntu 24.04 (Noble).

Для створення ВМ необхідно перейти в меню Virtual Machines та натиснути кнопку NEW VM.

Далі потрібно:

• зазначити назву ВМ та hostname
  
• обрати Type - From Template
• вибрати необхідну Storage Policy
• підключити ВМ до необхідної мережі
• вказати SSH public key (за бажанням)
• вказати бажаний пароль

Після цього буде створено ВМ та до неї можна буде підключитись використовуючи користувача ubuntu та зазначений раніше пароль.

 

Налаштування автентифікації на основі SAML в Azure AD

Цей документ пояснює, як увімкнути SAML-аутифікацію через Azure Active Directory (Azure AD) у VMware vCloud Director для єдиного входу (SSO) користувачів Azure AD до вашого vCloud-тенанта. В данній статті розглянемо налаштування тестової організації TestOrg в Cloud Director.

🚀 Попередні вимоги

Перед початком переконайтесь, що у вас є:

• Адміністративний доступ до vCloud Director Tenant.

• Адміністративний доступ до Azure Active Directory Tenant.

🧭 Кроки налаштування

1) Отримання метаданих із vCloud Director

1. Увійдіть у свій vCloud Director Tenant (URL схожий на https://eurocloud.datagroup.ua/tenant/testorg).

2. Перейдіть у меню Administration → Identity Providers → SAML.

3. На сторінці конфігурації SAML натисніть посилання поруч із “Metadata” — це завантажить XML-файл метаданих, який потрібен для налаштування в Azure AD.

2) Конфігурація у Azure AD

1. Перейдіть на портал https://portal.azure.com і ввійдіть як адміністратор Azure.

2. У меню зліва оберіть Microsoft Entra ID (раніше Azure AD).

3. У розділі Manage → Enterprise Applications натисніть New Application.

4. Виберіть Create your own application, введіть назву (наприклад, vCloud Director) і підтвердьте.

5. У налаштуваннях додайте користувачів або групи, яким дозволено входити (через Assign Users and Groups).

6. Перейдіть до 2. Setup single sign on і виберіть SAML як метод аутентифікації.

7. Завантажте раніше збережений XML-файл метаданих vCloud Director.

8. У полі Sign On URL введіть URL вашого тенанта (наприклад, https://eurocloud.datagroup.ua/tenant/testorg) і збережіть зміни.

3) Налаштування атрибутів та тверджень

Після базового налаштування SAML:

1. Перейдіть до розділу Attributes & Claims і натисніть Edit.

2. Додайте новий твердження (claim):

    

   • Roles — джерело: user.assignedroles

   • UserName — джерело: user.mail

    

3. Додайте груповий твердження Groups:

    

   • Оберіть All groups, джерело — Group ID

   • Увімкніть Customize the name of the group claim та введіть ім’я Groups.

    

4. Збережіть зміни.

4) Завантаження метаданих Azure AD у vCloud Director

1. Увійдіть назад у vCloud Director SAML Configuration.

2. Відкрийте Edit, перейдіть на вкладку Identity Provider.

3. Активуйте перемикач для ввімкнення SAML Identity Provider.

4. Завантажте Federation Metadata XML файл, який ви завантажили з Azure AD (розділ SAML Signing Certificate → Federation Metadata XML).

5. Натисніть SAVE для збереження конфігурації.

5) Імпорт користувачів та груп у vCloud Director

Після успішного налаштування SAML:

1. У меню vCloud Director перейдіть у Users або Groups.

2. Натисніть Import Users або Import Groups.

3. Введіть електронні адреси користувачів так, як вони визначені в Azure AD.

   Для груп — використовуйте Group ID, а не назву чи email.

4. Оберіть рівень доступу (ролі) для кожного — і збережіть.

6) Тестування

Відкрийте приватне/інкогніто вікно браузера та перейдіть до URL vCloud Director. При спробі входу оберіть SSO через Azure — ви повинні бути переадресовані на портал Azure AD для автентифікації.

📌 Важливі поради

• Імена атрибутів чутливі до регістру (case-sensitive). 

• Переконайтеся, що у Azure AD додані саме ті користувачі/групи, які вам потрібні для доступу. 

• Після внесення змін до SAML конфігурації може знадобитися кілька хвилин на поширення змін.

Налаштування автентифікації на основі OpenID від Google

Ця інструкція описує налаштування єдиного входу (SSO) до VMware Cloud Director Tenant Portal через OpenID Connect (OIDC) з використанням Google Cloud як Identity Provider. Підтримується централізована автентифікація та MFA з боку Google.

📌 Попередні вимоги

• Адміністративний доступ до Google Cloud Console.
• Адміністративний доступ до Cloud Director Tenant Portal.
• Домен Cloud Director доданий до Authorized domains у Google Cloud.
• VMware Cloud Director 10.5+ (OIDC підтримується нативно).

🧭 Кроки налаштування

1) Google Cloud Console

1. Перейдіть у Google Cloud Console: https://console.cloud.google.com/
2. Відкрийте меню APIs & Services.

2) Створення проєкту

1. У верхній панелі відкрийте список проєктів.
2. Створіть новий проєкт:
   • Name: VMware Cloud Director
   • Натисніть Create.

3) OAuth Consent Screen

1. В меню зліва відкрийте OAuth consent screen.
2. User Type: Internal.
3. Заповніть обовʼязкові поля:
   • App name: VMware Cloud Director
   • User support email: email адміністратора
   • Authorized domains: домен Cloud Director (наприклад eurocloud.datagroup.ua)
   • Developer contact email: email адміністратора
4. Збережіть і продовжуйте.
5. Додайте scopes:
   • openid
   • https://www.googleapis.com/auth/userinfo.email
   • https://www.googleapis.com/auth/userinfo.profile
6. Збережіть зміни.

4) Створення OAuth Client ID

1. Перейдіть у Credentials.
2. Create Credentials → OAuth client ID
3. Тип застосунку: Web application
4. Заповніть:
   • Name: домен Cloud Director (наприклад eurocloud.datagroup.ua)
   • Authorized JavaScript origins:

     https://eurocloud.datagroup.ua

   • Authorized redirect URIs:

     https://eurocloud.datagroup.ua/login/oauth?service=tenant:testorg

     ⚠️ testorg — це Organization ID, а не назва.
5. Натисніть Create.
6. Збережіть Client ID та Client Secret.

5) Налаштування VMware Cloud Director (Tenant)

1. Увійдіть у Tenant Portal.
2. Перейдіть:

   Administration → Identity Providers → OIDC

3. Натисніть Configure.
4. Вкажіть:
   • Client ID: з Google Cloud
   • Client Secret: з Google Cloud
   • Configuration Discovery: Enabled
   • Well-known configuration endpoint:

     https://accounts.google.com/.well-known/openid-configuration

5. Інші параметри залиште за замовчуванням.
6. Subject claim: email
7. Увімкніть Automatic Key Refresh:
   • Refresh interval: 1 hour
   • Policy: Expire After
   • Expiration: 24 hours
8. Збережіть конфігурацію.

6) Імпорт користувачів

1. Перейдіть:

   Administration → Access Control → Users

2. Натисніть Import Users.
3. Source: OPENID
4. Вкажіть email користувачів (точно такий самий, як у Google).
5. Призначте роль (наприклад Organization Administrator).
6. Збережіть.

✅ Перевірка

1. Вийдіть з Tenant Portal.
2. На сторінці входу оберіть Login with OpenID.
3. Вас має перенаправити на Google.
4. Після MFA — автоматичний вхід у Cloud Director.

📝 Примітки

• MFA повністю контролюється Google, не Cloud Director.
• Один OIDC-провайдер можна використовувати для кількох org (з різними redirect URI).
• Redirect URI чутливий до org ID — помилка тут часто дає 401/redirect mismatch.