要配置 VMware Cloud Services Platform (CSP) 以进行单点登录,请执行此过程中的步骤。
过程
- 与 VMware 支持提供商联系以接收服务邀请 URL 链接,以便在 VMware CSP 上注册您的 SD-WAN Orchestrator 应用程序。有关如何与支持提供商联系的信息,请参阅 https://kb.vmware.com/s/article/53907 和 https://www.vmware.com/support/contacts/us_support.html。
VMware 支持提供商将创建并共享:
- 需要兑换给您的客户组织的服务邀请 URL
- 要用于 Orchestrator 中的角色映射的服务定义 UUID 和服务角色名称
- 将服务邀请 URL 兑换给现有客户组织,或按照 UI 屏幕中的步骤创建新的客户组织。
您需要是组织所有者,才能将服务邀请 URL 兑换给现有客户组织。
- 兑换服务邀请后,在登录 VMware CSP 控制台时,您可以在 VMware Cloud Services 页面中的我的服务 (My Services) 区域下查看应用程序磁贴。
您登录的组织将显示在菜单栏上您的用户名下。单击您的用户名以记下组织 ID,以便在 Orchestrator 配置期间使用。将在组织名称下面显示该 ID 的缩写版本。可以单击该 ID 以显示完整的组织 ID。
- 登录到 VMware CSP 控制台,并创建一个 OAuth 应用程序。有关步骤,请参阅将 OAuth 2.0 用于 Web 应用程序。确保将重定向 URI 设置为在 Orchestrator 中的配置身份验证 (Configure Authentication) 屏幕上显示的 URL。
在 VMware CSP 控制台中创建 OAuth 应用程序后,记下 IDP 集成详细信息,如客户端 ID 和客户端密钥。需要使用这些详细信息以在 Orchestrator 中进行 SSO 配置。
- 以超级管理员用户身份登录到 SD-WAN Orchestrator 应用程序,并使用 IDP 集成详细信息配置 SSO,如下所示。
- 单击管理 (Administration) > 系统设置 (System Settings)
将显示
系统设置 (System Settings) 屏幕。
- 单击常规信息 (General Information) 选项卡,然后在域 (Domain) 文本框中输入企业的域名(如果尚未设置)。
注: 要为
SD-WAN Orchestrator 启用 SSO 身份验证,您必须为企业设置域名。
- 单击身份验证 (Authentication) 选项卡,然后从身份验证模式 (Authentication Mode) 下拉菜单中,选择 SSO。
- 从身份提供程序模板 (Identity Provider template) 下拉菜单中,选择 VMwareCSP。
- 在组织 ID (Organization Id) 文本框中,输入以下格式的组织 ID(您在步骤 3 中记下的 ID):/csp/gateway/am/api/orgs/<完整组织 ID>。
- 在 OIDC 已知的配置 URL (OIDC well-known config URL) 文本框中,为您的 IDP 输入 OpenID Connect (OIDC) 配置 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration)。
SD-WAN Orchestrator 应用程序自动填充端点详细信息,如您的 IDP 的颁发者、授权端点、令牌端点和用户信息端点。
- 在客户端 ID (Client Id) 文本框中,输入您在 OAuth 应用程序创建步骤中记下的客户端 ID。
- 在客户端密钥 (Client Secret) 文本框中,输入您在 OAuth 应用程序创建步骤中记下的客户端密钥代码。
- 要在 SD-WAN Orchestrator 中确定用户的角色,请选择使用默认角色 (Use Default Role) 或使用身份提供程序角色 (Use Identity Provider Roles)。
- 选择使用身份提供程序角色 (Use Identity Provider Roles) 选项时,在角色属性 (Role Attribute) 文本框中输入在 VMware CSP 中设置的属性名称以返回角色。
- 在角色映射 (Role Map) 区域中,将 VMware CSP 提供的角色映射到每个 SD-WAN Orchestrator 角色(使用逗号分隔)。
VMware CSP 中的角色将遵循以下格式:external/<服务定义 uuid>/<服务模板创建期间提及的服务角色名称>。使用与您从支持提供商收到的相同服务定义 UUID 和服务角色名称。
- 单击保存更改 (Save Changes) 以保存 SSO 配置。
- 单击测试配置 (Test Configuration) 以验证输入的 OpenID Connect (OIDC) 配置。
用户将导航到 VMware CSP 网站,并允许其输入凭据。在进行 IDP 验证并成功重定向到
SD-WAN Orchestrator 测试回调时,将显示一条成功验证消息。
结果
您已完成在 VMware CSP 中集成 SD-WAN Orchestrator 应用程序以进行 SSO 的过程,您可以登录到 VMware CSP 控制台以访问 SD-WAN Orchestrator 应用程序。