本节介绍 VMware SD-WAN 客户如何通过将 VMware Cloud Services Platform (CSP) 作为单点登录 (SSO) 的身份提供程序 (IdP) 来管理其用户帐户。

概览

配置为使用单点登录 (SSO) 的客户可以使用多个身份提供程序 (IdP) 来管理其用户。本节介绍 VMware 的 IdP:Cloud Services Platform (CSP)。
提示: CSP 是一个适用于所有 VMware SaaS 产品的通用生命周期管理平台。对于其他 VMware SaaS 产品,CSP 包括载入、身份验证、计费、订购、支持和客户通知。版本 5.2.0 中与 VMware SASE(包括 SD-WAN)的 CSP 集成仅限于身份验证和授权,后续版本中将提供其他集成。

CSP 整合并简化了跨多个 Orchestrator 的用户管理,同时与支持 SAML 和 OIDC 的 IdP 集成,并提供单个接触点以确保遵守政府法规。

重要说明: 对于在 5.2.0 版本托管 Orchestrator 中创建且未分配给合作伙伴的客户,将使用 CSP 作为 IdP 自动将其配置为 SSO。因此:
  • 具有超级用户角色的管理员将通过 CSP 门户创建新管理员。
  • 如果发生 CSP 中断,允许客户使用一个具有本地身份验证(用户名/密码)的“破窗式”管理员帐户,以便他们访问其门户。
  • 新的直接客户需要使用基于令牌的身份验证进行 API 访问。他们将无法使用基于 Cookie 的身份验证,因为用户创建迁移到 CSP。

在更高的 SD-WAN 版本中,VMware 将要求使用托管 Orchestrator 的所有客户(无论是新客户还是现有客户)将其企业配置为使用 CSP 作为其 IdP。

内部部署 Orchestrator 不受 CSP 要求的约束,其客户将继续使用基于 Orchestrator 的身份验证。

必备条件

您必须先购买 SD-WAN,然后才能在分配的 VMware SASE Orchestrator 上配置 SD-WAN 帐户。

在 Cloud Services Platform 上创建客户组织

确认客户的 SD-WAN 订单后:
  1. VMware 会向您发送一封类似以下所示内容的邀请电子邮件:

    此电子邮件包含一个指向您将用于管理企业的 Orchestrator 的链接,以及一个用于在 CSP 上创建组织的链接
    注: 您的客户域详细信息构成了 Orchestrator 上客户帐户的基础,并根据您的地理位置确定要将企业分配到的 Orchestrator。
  2. 如果电子邮件显示“按照此链接设置您的 CSP 帐户”(Follow this link to setup your CSP account),请单击链接 (link) 以设置您的 CSP 组织。
  3. 单击“链接”(link) 会将您重定向到将在其中配置 CSP 帐户的 CSP 站点,这可以是现有组织,也可以是新组织。
  4. 组织 (Organization) > 详细信息 (Details) 下,配置您的帐户的详细信息,包括 VMware SASE 在订单中提供给您的组织 ID。
    重要说明: 在 CSP 客户载入期间,必须提供物理地址。此外,在配置联合之前,将验证您的客户域名。
    然后,单击组织 (Organization) > OAuth 应用程序 (OAuth Apps) 选项卡,以配置链接到身份提供程序的域 (Domains Linked to Identity Provider),以及此页面上的其他字段和选项。

  5. 配置完 CSP 组织后,现在可以向 CSP 组织中添加新用户。

向 CSP 组织中添加用户

  1. 单击 VMware Cloud Services 页面上的身份和访问管理 (Identity & Access Management) 选项卡,再单击活动用户 (Active Users),然后单击添加新用户 (Add New Users)

  2. 添加新用户 (Add New Users) 页面上,您可以通过电子邮件地址添加新用户。需要为用户分配两种角色:
    1. 分配一个或多个组织角色 (Organization Role),这是用户在 CSP 组织中的角色。
    2. 分配一个服务角色 (Service Role),这是用户在登录到 Orchestrator 时的角色。
  3. 配置所有角色后,单击添加 (ADD),以将这些用户添加到 CSP 组织。

使用 CSP 登录到 SASE Orchestrator

在上一步中添加为用户的任何人现在都可以在 SASE Orchestrator 上登录到他们的企业。要登录到 Orchestrator,请执行以下操作:
  1. 返回您收到的电子邮件邀请,并单击下面突出显示的部分中的 URL 链接,以导航到 Orchestrator 的登录页面。

  2. 在 Orchestrator 登录屏幕上,单击使用身份提供程序登录 (SIGN IN WITH YOUR IDENTITY PROVIDER)

  3. 在“使用身份提供程序登录”(Sign in using Identity Provider) 页面上,输入您帐户的域,然后单击登录 (SIGN IN)

  4. 系统随后会将您重定向回 CSP。

  5. 在 CSP 登录屏幕上,输入您的电子邮件地址,然后单击下一步 (NEXT)

    注: 双因素身份验证 (2FA) 将使用 Google Authenticator 完成。Twilio 不用于新的直接客户。
  6. 使用 CSP 帐户成功登录会将您重定向回 Orchestrator 上的企业主页。您的视图将与 CSP 中为您分配的视图保持一致。

其他资源

有关在 VMware SD-WAN 中使用 CSP 作为 IdP 的更多信息,请参阅针对单点登录配置 VMware CSP

有关在 Cloud Services 平台上添加新用户的更多信息,请参阅使用 VMware Cloud Services 控制台 - 身份和访问管理