要为企业用户设置单点登录 (SSO) 身份验证,请执行该过程中的步骤。
前提条件
- 确保您具有企业超级用户权限。
- 在设置 SSO 身份验证之前,请确保您在首选的身份提供程序网站中为 SD-WAN Orchestrator 设置了角色、用户和 OpenID Connect (OIDC) 应用程序。有关更多信息,请参阅为单点登录配置 IDP。
过程
- 使用您的登录凭据以企业超级用户身份登录到 SD-WAN Orchestrator 应用程序。
- 单击管理 (Administration) > 系统设置 (System Settings)
将显示
系统设置 (System Settings) 屏幕。
- 单击常规信息 (General Information) 选项卡,然后在域 (Domain) 文本框中输入企业的域名(如果尚未设置)。
注: 要为
SD-WAN Orchestrator 启用 SSO 身份验证,您必须为企业设置域名。
- 单击身份验证 (Authentication) 选项卡,然后从身份验证模式 (Authentication Mode) 下拉菜单中,选择 SSO。
- 从身份提供程序模板 (Identity Provider template) 下拉菜单中,选择您为单点登录配置的首选身份提供程序 (Identity Provider, IDP)。
注: 如果选择 VMwareCSP 以作为首选 IDP,请确保按以下格式提供您的组织 ID:
/csp/gateway/am/api/orgs/<完整的组织 ID>。
在登录到 VMware CSP 控制台时,可以单击您的用户名以查看您登录到的组织 ID。将在组织名称下面显示该 ID 的缩写版本。可以单击该 ID 以显示完整的组织 ID。
您也可以从
身份提供程序模板 (Identity Provider template) 下拉菜单中选择
其他 (Others),以手动配置您自己的 IDP。
- 在 OIDC 已知的配置 URL (OIDC well-known config URL) 文本框中,为您的 IDP 输入 OpenID Connect (OIDC) 配置 URL。例如,Okta 的 URL 格式将为:https://{oauth-provider-url}/.well-known/openid-configuration。
- SD-WAN Orchestrator 应用程序自动填充端点详细信息,如您的 IDP 的颁发者、授权端点、令牌端点和用户信息端点。
- 在客户端 ID (Client Id) 文本框中,输入您的 IDP 提供的客户端标识符。
- 在客户端密钥 (Client Secret) 文本框中,输入您的 IDP 提供的客户端密钥代码,客户端使用该代码以将授权代码交换为令牌。
- 要在 SD-WAN Orchestrator 中确定用户的角色,请选择以下选项之一:
- 使用默认角色 (Use Default Role) - 允许用户使用在选择该选项时显示的默认角色 (Default Role) 文本框,将静态角色配置为默认角色。支持的角色包括:企业超级用户、企业标准管理员、企业支持和企业只读。
注: 在 SSO 配置设置中,如果选择了
使用默认角色 (Use Default Role) 选项并定义了默认用户角色,将为所有 SSO 用户分配指定的默认角色。标准管理员超级用户或标准管理员可以单击企业门户中的
选项卡,以将特定用户预注册为非本机用户并定义特定的用户角色,而不是分配具有默认角色的用户。有关配置新的管理员用户的步骤,请参阅
创建新的管理员用户。
- 使用身份提供程序角色 (Use Identity Provider Roles) - 使用在 IDP 中设置的角色。
- 在选择使用身份提供程序角色 (Use Identity Provider Roles) 选项时,请在角色属性 (Role Attribute) 文本框中输入在 IDP 中设置的属性名称以返回角色。
- 在角色映射 (Role Map) 区域中,将 IDP 提供的角色映射到每个 SD-WAN Orchestrator 角色(使用逗号分隔)。
VMware CSP 中的角色将采用以下格式:
external/<服务定义 uuid>/<在创建服务模板期间提及的服务角色名称>。
- 使用 SD-WAN Orchestrator URL (https://<Orchestrator URL>/login/ssologin/openidCallback) 更新 OIDC 提供程序网站中允许的重定向 URL。
- 单击保存更改 (Save Changes) 以保存 SSO 配置。
- 单击测试配置 (Test Configuration) 以验证输入的 OpenID Connect (OIDC) 配置。
用户将导航到 IDP 网站,并允许其输入凭据。在进行 IDP 验证并成功重定向到
SD-WAN Orchestrator 测试回调时,将显示一条成功验证消息。