要配置 VMware Cloud Services Platform (CSP) 以进行单点登录,请执行此过程中的步骤。
过程
- 与 VMware 支持提供商联系以接收服务邀请 URL 链接,以便在 VMware CSP 上注册您的 SASE Orchestrator 应用程序。有关如何与支持提供商联系的信息,请参阅 https://kb.vmware.com/s/article/53907 和 https://www.vmware.com/support/contacts/us_support.html。
VMware 支持提供商将创建并共享:
- 需要兑换给您的客户组织的服务邀请 URL
- 要用于 Orchestrator 中的角色映射的服务定义 UUID 和服务角色名称
- 将服务邀请 URL 兑换给现有客户组织,或按照 UI 屏幕中的步骤创建新的客户组织。
您需要是组织所有者,才能将服务邀请 URL 兑换给现有客户组织。
- 兑换服务邀请后,在登录 VMware CSP 控制台时,您可以在 VMware Cloud Services 页面中的我的服务 (My Services) 区域下查看应用程序磁贴。
您登录的组织将显示在菜单栏上您的用户名下。单击您的用户名以记下组织 ID,以便在 Orchestrator 配置期间使用。将在组织名称下面显示该 ID 的缩写版本。可以单击该 ID 以显示完整的组织 ID。
- 登录到 VMware CSP 控制台,并创建一个 OAuth 应用程序。有关步骤,请参阅将 OAuth 2.0 用于 Web 应用程序。确保将重定向 URI 设置为在 Orchestrator 中的配置身份验证 (Configure Authentication) 屏幕上显示的 URL。
在 VMware CSP 控制台中创建 OAuth 应用程序后,记下 IDP 集成详细信息,如客户端 ID 和客户端密钥。需要使用这些详细信息以在 Orchestrator 中进行 SSO 配置。
- 以超级管理员用户身份登录到 SASE Orchestrator 应用程序,并使用 IDP 集成详细信息配置 SSO,如下所示:
- 单击。
注: 要为
SASE Orchestrator 启用 SSO 身份验证,您必须为企业设置域名。
- 单击身份验证 (Authentication) 选项卡,然后从身份验证模式 (Authentication Mode) 下拉菜单中,选择 SSO。
- 从身份提供程序模板 (Identity Provider template) 下拉菜单中,选择 VMwareCSP。
- 在组织 ID (Organization Id) 文本框中,输入以下格式的组织 ID(您在步骤 3 中记下的 ID):/csp/gateway/am/api/orgs/<完整组织 ID>。
- 在 OIDC 已知的配置 URL (OIDC well-known config URL) 文本框中,为您的 IDP 输入 OpenID Connect (OIDC) 配置 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration)。
SASE Orchestrator 应用程序自动填充端点详细信息,如您的 IDP 的颁发者、授权端点、令牌端点和用户信息端点。
- 在客户端 ID (Client Id) 文本框中,输入您在 OAuth 应用程序创建步骤中记下的客户端 ID。
- 在客户端密钥 (Client Secret) 文本框中,输入您在 OAuth 应用程序创建步骤中记下的客户端密钥代码。
- 要在 SASE Orchestrator 中确定用户的角色,请选择使用默认角色 (Use Default Role) 或使用身份提供程序角色 (Use Identity Provider Roles)。
- 选择使用身份提供程序角色 (Use Identity Provider Roles) 选项时,在角色属性 (Role Attribute) 文本框中输入在 VMware CSP 中设置的属性名称以返回角色。
- 在角色映射 (Role Map) 区域中,将 VMware CSP 提供的角色映射到每个 SASE Orchestrator 角色(使用逗号分隔)。
VMware CSP 中的角色将遵循以下格式:external/<服务定义 uuid>/<服务模板创建期间提及的服务角色名称>。使用与您从支持提供商收到的相同服务定义 UUID 和服务角色名称。
- 单击保存更改 (Save Changes) 以保存 SSO 配置。
- 单击测试配置 (Test Configuration) 以验证输入的 OpenID Connect (OIDC) 配置。
用户将导航到 VMware CSP 网站,并允许其输入凭据。在进行 IDP 验证并成功重定向到
SASE Orchestrator 测试回调时,将显示一条成功验证消息。
结果
您已完成在 VMware CSP 中集成 SASE Orchestrator 应用程序以进行 SSO 的过程,您可以登录到 VMware CSP 控制台以访问 SASE Orchestrator 应用程序。