2.2. 認証
Red Hat Virtualization Manager アカウントを持つユーザーは、API にアクセスできます。すべての要求は、以下で説明するように OAuth または Basic 認証を使用して認証する必要があります。
2.2.1. OAuth 認証
Red Hat Virtualization バージョン 4.0 以降、RFC 6749 に説明されているように、推奨の認証メカニズムは OAuth 2.0 です。
OAuth は高性能なプロトコルであり、認可およびアクセストークンを取得するメカニズムがいくつかあります。Red Hat Virtualization API と合わせて使用する場合には、RFC 6749 の セクション 4.3 で説明されているように Resource Owner Password Credentials Grant (リソース所有者のパスワード認証情報の付与) のみがサポートされます。
最初に トークン を取得し、ユーザー名とパスワードを Red Hat Virtualization Manager のシングルサインオンサービスに送信する必要があります。
POST /ovirt-engine/sso/oauth/token HTTP/1.1 Host: myengine.example.com Content-Type: application/x-www-form-urlencoded Accept: application/json
リクエスト本文には、grant_type、scope、username、および password パラメーターが含まれている必要があります。
| Name | 値 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
これらのパラメーターは URL でエンコード されている必要があります。たとえば、ユーザー名の @ 文字を %40 としてエンコードする必要があります。結果のリクエスト本文は以下のようになります。
grant_type=password&scope=ovirt-app-api&username=admin%40internal&password=mypassword
scope パラメーターは OAuth RFC で任意として説明されていますが、Red Hat Virtualization API と併用する場合は必須であり、この値は ovirt-app-api である必要があります。
ユーザー名とパスワードが有効な場合、Red Hat Virtualization Manager のシングルサインオンサービスは、以下のような JSON ドキュメントで応答します。
{
"access_token": "fqbR1ftzh8wBCviLxJcYuV5oSDI=",
"token_type": "bearer",
"scope": "...",
...
}
API 認証の目的で、関連する唯一の名前/値のペアは access_token です。これは操作しないでください。SSO サービスが提供するとおりに使用してください。
トークンを取得すると、HTTP Authorization ヘッダーにトークンを追加して、Bearer スキームで API への要求を実行するために使用できます。たとえば、仮想マシンの一覧を取得するには、以下のような要求を送信します。
GET /ovirt-engine/api/vms HTTP/1.1 Host: myengine.example.com Accept: application/xml Authorization: Bearer fqbR1ftzh8wBCviLxJcYuV5oSDI=
トークンは、複数の要求に対して複数回使用できますが、最終的に期限切れになります。期限が切れると、サーバーは 401 HTTP 応答コードで要求を拒否します。
HTTP/1.1 401 Unauthorized
これが生じる場合は、Red Hat Virtualization Manager のシングルサインオンサービスは現在トークンの更新をサポートしていないため、新しいトークンが必要です。上記と同じ方法を使用して新しいトークンを要求できます。
