通过使用“身份验证”(Authentication) 功能,您可以为企业用户设置身份验证模式并查看现有的 API 令牌。

要访问 身份验证 (Authentication) 选项卡,请执行以下操作:
  1. 在企业门户的全局导航栏中,展开企业应用程序 (Enterprise Applications) 下拉菜单。
  2. 选择全局设置 (Global Settings) 服务。
  3. 从左侧菜单中,单击用户管理 (User Management),然后单击身份验证 (Authentication) 选项卡。将显示以下屏幕:

API 令牌 (API Tokens)

您可以使用基于令牌的身份验证访问 Orchestrator API,而不考虑身份验证模式。您可以查看颁发给企业用户的 API 令牌。如果需要,您可以吊销这些 API 令牌。

默认情况下,将激活 API 令牌。如果要停用这些令牌,请与您的操作员联系。
注: 企业管理员应手动从 Orchestrator 中删除非活动身份提供程序 (IdP) 用户,以防止用户通过 API 令牌进行未经授权访问。
以下是该部分中提供的选项:
选项 描述
搜索 (Search) 输入搜索词以在表格中搜索匹配的文本。使用高级搜索选项可缩小搜索结果的范围。
吊销 API 令牌 (Revoke API Token) 选择令牌,然后单击该选项以吊销令牌。仅操作员超级用户或与 API 令牌关联的用户可以吊销该令牌。
CSV 单击该选项以使用 .csv 文件格式下载完整的 API 令牌列表。
列 (Columns) 单击并选择要在页面上显示或隐藏的列。
刷新 (Refresh) 单击以刷新页面,从而显示最新的数据。

有关创建和下载 API 令牌的信息,请参阅API 令牌

企业身份验证

选择以下身份验证模式之一:
  • 本地 (Local):这是默认选项,不需要进行任何额外的配置。
  • 单点登录 (Single Sign-On):单点登录 (SSO) 是一种会话和用户身份验证服务,允许用户使用一组凭据登录到多个应用程序和网站。通过将 SSO 服务与 SASE Orchestrator 集成,SASE Orchestrator 能够从基于 OpenID Connect (OIDC) 的身份提供程序 (IdP) 对用户进行身份验证。

    有关如何为企业用户配置单点登录的信息,请参阅企业设置

    要为 SASE Orchestrator 启用单点登录 (SSO),您必须在身份提供程序 (IdP) 中输入 Orchestrator 应用程序详细信息。请单击以下每个链接,了解配置以下受支持 IdP 的分步说明:
    在选择单点登录 (Single Sign-on) 以作为身份验证模式 (Authentication Mode) 时,您可以配置以下选项。
    选项 描述
    身份提供程序模板 (Identity Provider Template) 从该下拉菜单中,选择您为单点登录配置的首选身份提供程序 (IdP)。这将预填充特定于您的 IdP 的字段。
    注: 您也可以从该下拉菜单中选择 其他 (Others),以手动配置自己的 IdP。
    组织 ID (Organization Id) 只有在您选择 VMware CSP 模板时,该字段才可用。输入 IdP 提供的组织 ID,格式为:/csp/gateway/am/api/orgs/<full organization ID>。在登录到 VMware CSP 控制台时,可以单击您的用户名以查看您登录到的组织 ID。此信息还会显示在组织详细信息下。请使用“长组织 ID”。
    OIDC 已知的配置 URL (OIDC well-known config URL) 输入您的 IdP 的 OpenID Connect (OIDC) 配置 URL。例如,Okta 的 URL 格式为:https://{oauth-provider-url}/.well-known/openid-configuration
    颁发者 (Issuer) 该字段将根据您选择的 IdP 自动填充。
    授权端点 (Authorization Endpoint) 该字段将根据您选择的 IdP 自动填充。
    令牌端点 (Token Endpoint) 该字段将根据您选择的 IdP 自动填充。
    JSON Web 密钥集 URI (JSON Web KeySet URI) 该字段将根据您选择的 IdP 自动填充。
    用户信息端点 (User Information Endpoint) 该字段将根据您选择的 IdP 自动填充。
    客户端 ID (Client ID) 输入您的 IdP 提供的客户端标识符。
    客户端密钥 (Client Secret) 输入您的 IdP 提供的客户端密钥代码,客户端使用该代码交换令牌的授权代码。
    范围 (Scopes) 该字段将根据您选择的 IdP 自动填充。
    角色类型 (Role Type) 选择以下两个选项之一:
    • 使用默认角色
    • 使用身份提供程序角色
    角色属性 (Role Attribute) 输入在 IdP 中设置的属性的名称以返回角色。
    企业角色映射 (Enterprise Role Map) 将 IdP 提供的角色映射到每个企业用户角色。

    单击更新 (Update) 以保存输入的值。SASE Orchestrator 中的 SSO 身份验证设置完成。

用户身份验证

您可以选择为用户激活或停用 双因素身份验证 (Two factor authentication) 功能。通过使用 自助密码重置 (Self service password reset),您可以使用登录页面上的链接更改密码。
注: 只能为手机号码与其用户帐户关联的用户激活该功能。

会话限制

注: 要查看该部分,操作员用户必须转到 Orchestrator > 系统属性 (System Properties),并将 session.options.enableSessionTracking 系统属性的值设置为 True
以下是该部分中提供的选项:
选项 描述
并发登录数 (Concurrent logins) 用于设置每个用户的并发登录数限制。默认情况下,将选择无限制 (Unlimited),这表示允许用户进行无限制的并发登录。
每个角色的会话限制 (Session limits for each role) 用于根据用户角色设置并发会话数限制。默认情况下,将选择无限制 (Unlimited),这表示允许角色建立无限制的会话。
注: 企业已在 角色 (Roles) 选项卡中创建的角色显示在该部分中。

单击更新 (Update) 以保存选定的值。