Налаштування автентифікації на основі OpenID від Google

Ця інструкція описує налаштування  єдиного входу (SSO) до VMware Cloud Director Tenant Portal через OpenID Connect (OIDC) з використанням Google Cloud як Identity Provider. Підтримується централізована автентифікація та MFA з боку Google. 

 📌 Попередні вимоги 

 

 Адміністративний доступ до Google Cloud Console . 

 Адміністративний доступ до Cloud Director Tenant Portal . 

 Домен Cloud Director доданий до Authorized domains у Google Cloud. 

 VMware Cloud Director 10.5+ (OIDC підтримується нативно). 

 

 🧭 Кроки налаштування 

 1) Google Cloud Console 

 

 Перейдіть у Google Cloud Console: https://console.cloud.google.com/ 

 Відкрийте меню APIs & Services . 

 

 2) Створення проєкту 

 

 У верхній панелі відкрийте список проєктів. 

 Створіть новий проєкт:

 

 Name: VMware Cloud Director 

 Натисніть Create . 

 

 

 

 3) OAuth Consent Screen 

 

 В меню зліва відкрийте OAuth consent screen . 

 User Type: Internal . 

 Заповніть обовʼязкові поля:

 

 App name: VMware Cloud Director 

 User support email: email адміністратора 

 Authorized domains: домен Cloud Director (наприклад  eurocloud.datagroup.ua ) 

 Developer contact email: email адміністратора 

 

 

 Збережіть і продовжуйте. 

 Додайте scopes:

 

 openid 

 https://www.googleapis.com/auth/userinfo.email 

 https://www.googleapis.com/auth/userinfo.profile 

 

 

 Збережіть зміни. 

 

 4) Створення OAuth Client ID 

 

 Перейдіть у Credentials . 

 Create Credentials → OAuth client ID 

 Тип застосунку: Web application 

 Заповніть:

 

 Name: домен Cloud Director (наприклад eurocloud.datagroup.ua ) 

 Authorized JavaScript origins: 

 https://eurocloud.datagroup.ua 

 

 Authorized redirect URIs: 

 https://eurocloud.datagroup.ua/login/oauth?service=tenant:testorg 

 ⚠️ testorg — це Organization ID , а не назва. 

 

 

 

 Натисніть Create . 

 Збережіть Client ID та Client Secret . 

 

 5) Налаштування VMware Cloud Director (Tenant) 

 

 Увійдіть у Tenant Portal . 

 Перейдіть:

 Administration → Identity Providers → OIDC 

 

 Натисніть Configure . 

 Вкажіть:

 

 Client ID: з Google Cloud 

 Client Secret: з Google Cloud 

 Configuration Discovery: Enabled 

 Well-known configuration endpoint: 

 https://accounts.google.com/.well-known/openid-configuration 

 

 

 

 Інші параметри залиште за замовчуванням. 

 Subject claim: email 

 Увімкніть Automatic Key Refresh :

 

 Refresh interval: 1 hour 

 Policy: Expire After 

 Expiration: 24 hours 

 

 

 Збережіть конфігурацію. 

 

 6) Імпорт користувачів 

 Cloud Director не створює користувачів автоматично — їх потрібно імпортувати. 

 

 Перейдіть:

 Administration → Access Control → Users 

 

 Натисніть Import Users . 

 Source: OPENID 

 Вкажіть email користувачів (точно такий самий, як у Google). 

 Призначте роль (наприклад Organization Administrator ). 

 Збережіть. 

 

 ✅ Перевірка 

 

 Вийдіть з Tenant Portal. 

 На сторінці входу оберіть Login with OpenID . 

 Вас має перенаправити на Google. 

 Після MFA — автоматичний вхід у Cloud Director. 

 

 📝 Примітки 

 

 MFA повністю контролюється Google , не Cloud Director. 

 Один OIDC-провайдер можна використовувати для кількох org (з різними redirect URI). 

 Redirect URI чутливий до org ID — помилка тут часто дає 401/redirect mismatch.