通过使用“身份验证”(Authentication) 功能,您可以为企业用户设置身份验证模式。
要访问
身份验证 (Authentication) 选项卡,请执行以下操作:
- 在企业门户中,转到。
- 从左侧菜单中,单击用户管理 (User Management),然后单击身份验证 (Authentication) 选项卡。将显示以下屏幕:
API 令牌 (API Tokens)
您可以使用基于令牌的身份验证访问 Orchestrator API,而不考虑身份验证模式。您可以查看颁发给企业用户的 API 令牌。如果需要,您可以吊销这些 API 令牌。
默认情况下,将激活 API 令牌。如果要停用这些令牌,请导航到操作员门户中的
,并将
session.options.enableApiTokenAuth 系统属性的值设置为
False。
注: 企业管理员应手动从 Orchestrator 中删除非活动身份提供程序 (IdP) 用户,以防止用户通过 API 令牌进行未经授权访问。
以下是该部分中提供的选项:
| 选项 | 描述 |
|---|---|
| 搜索 | 输入搜索词以在表格中搜索匹配的文本。使用高级搜索选项可缩小搜索结果的范围。 |
| 新建 API 令牌 | 单击以创建新的 API 令牌。在新建令牌 (New Token) 窗口中,输入令牌的名称 (Name) 和描述 (Description),然后从下拉菜单中选择生命周期 (Lifetime)。单击保存 (Save)。 |
| 吊销 API 令牌 | 选择令牌,然后单击该选项以吊销令牌。仅操作员超级用户或与 API 令牌关联的用户可以吊销该令牌。 |
| CSV | 单击该选项以使用 .csv 文件格式下载完整的 API 令牌列表。 |
| 列 | 单击并选择要在页面上显示或隐藏的列。 |
| 刷新 (Refresh) | 单击以刷新页面,从而显示最新的数据。 |
有关创建和下载 API 令牌的信息,请参阅《VMware SD-WAN 操作员指南》中的 API 令牌主题。
企业身份验证
选择以下身份验证模式之一:
- 本地 (Local):这是默认选项,不需要进行任何额外的配置。
- 单点登录 (Single Sign-On):单点登录 (SSO) 是一种会话和用户身份验证服务,它允许 SD-WAN Orchestrator 用户使用一组登录凭据登录到 SD-WAN Orchestrator 以访问多个应用程序。将 SSO 服务与 SD-WAN Orchestrator 集成可以提高 SD-WAN Orchestrator 用户的用户身份验证安全性,并允许 SD-WAN Orchestrator 从基于 OpenID Connect (OIDC) 的其他身份提供程序 (IDP) 中对用户进行身份验证。
要为 SD-WAN Orchestrator 启用单点登录 (SSO),您必须使用 SD-WAN Orchestrator 详细信息配置身份提供程序 (Identity Provider, IDP)。目前,支持以下 IDP。单击每个以下链接以了解在各种 IDP 中为 SD-WAN Orchestrator 配置 OpenID Connect (OIDC) 应用程序的分步说明:在选择单点登录 (Single Sign-on) 以作为身份验证模式 (Authentication Mode) 时,您可以配置以下选项。
选项 描述 身份提供程序模板 从该下拉菜单中,选择您为单点登录配置的首选身份提供程序 (IDP)。 注: 您也可以从该下拉菜单中选择 其他 (Others),以手动配置您自己的 IDP。组织 ID 只有在您选择 VMware CSP 模板时,该字段才可用。输入 IDP 提供的组织 ID,格式为: /csp/gateway/am/api/orgs/<full organization ID>。在登录到 VMware CSP 控制台时,可以单击您的用户名以查看您登录到的组织 ID。将在组织名称下面显示该 ID 的缩写版本。可以单击该 ID 以显示完整的组织 ID。OIDC 已知的配置 URL 输入您的 IDP 的 OpenID Connect (OIDC) 配置 URL。例如,Okta 的 URL 格式为: https://{oauth-provider-url}/.well-known/openid-configuration。颁发者 该字段是根据您选择的 IDP 自动填充的。 授权端点 该字段是根据您选择的 IDP 自动填充的。 令牌端点 该字段是根据您选择的 IDP 自动填充的。 JSON Web 密钥集 URI 该字段是根据您选择的 IDP 自动填充的。 用户信息端点 该字段是根据您选择的 IDP 自动填充的。 客户端 ID 输入您的 IDP 提供的客户端标识符。 客户端密钥 输入您的 IDP 提供的客户端密钥代码,客户端使用该代码将授权代码替换为令牌。 范围 该字段是根据您选择的 IDP 自动填充的。 角色类型 选择以下两个选项之一: - 使用默认角色
- 使用身份提供程序角色
角色属性 输入在 IDP 中设置的属性的名称以返回角色。 企业角色映射 将 IDP 提供的角色映射到每个企业用户角色。 单击更新 (Update) 以保存输入的值。SD-WAN Orchestrator 中的 SSO 身份验证设置完成。
用户身份验证
您可以选择为用户激活或停用
双因素身份验证 (Two factor authentication) 功能。通过使用
自助密码重置 (Self service password reset),您可以使用登录页面上的链接更改密码。
注: 只能为手机号码与其用户帐户关联的用户激活该功能。
SSH 密钥
您只能为每个用户创建一个 SSH 密钥。单击位于屏幕右上角的用户信息 (User Information) 图标,然后单击 以创建 SSH 密钥。
作为客户,您还可以吊销 SSH 密钥。
单击刷新 (Refresh) 选项以刷新该部分,从而显示最新的数据。
有关更多信息,请参阅添加 SSH 密钥。
会话限制
注: 要查看该部分,操作员用户必须转到
,并将
session.options.enableSessionTracking 系统属性的值设置为
True。
以下是该部分中提供的选项:
| 选项 | 描述 |
|---|---|
| 并发登录数 | 用于设置每个用户的并发登录数限制。默认情况下,将选择无限制 (Unlimited),这表示允许用户进行无限制的并发登录。 |
| 每个角色的会话限制 | 用于根据用户角色设置并发会话数限制。默认情况下,将选择无限制 (Unlimited),这表示允许角色建立无限制的会话。
注: 企业已在
角色 (Roles) 选项卡中创建的角色显示在该部分中。
|
单击更新 (Update) 以保存选定的值。
