通过使用“身份验证”(Authentication) 功能,您可以为操作员和企业用户设置身份验证模式。您还可以查看现有的 API 令牌。

要访问 身份验证 (Authentication) 选项卡,请执行以下操作:
  1. 在操作员门户中,单击顶部菜单中的管理 (Administration)
  2. 从左侧菜单中,单击用户管理 (User Management),然后单击身份验证 (Authentication) 选项卡。将显示以下屏幕:

API 令牌 (API Tokens)

您可以使用基于令牌的身份验证访问 Orchestrator API,而不考虑身份验证模式。具有正确权限的操作员管理员可以查看颁发给 Orchestrator 用户的 API 令牌,包括颁发给合作伙伴和客户用户的令牌。如果需要,操作员管理员可以吊销 API 令牌。

默认情况下,将激活 API 令牌。如果要停用这些令牌,请转到 Orchestrator > 系统属性 (System Properties),并将 session.options.enableApiTokenAuth 系统属性的值设置为 False

注: 操作员超级用户应手动从 Orchestrator 中删除非活动身份提供程序 (IdP) 用户,以防止用户通过 API 令牌进行未经授权访问。
以下是该部分中提供的选项:
选项 描述
搜索 (Search) 输入搜索词以在表格中搜索匹配的文本。使用高级搜索选项可缩小搜索结果的范围。
吊销 API 令牌 (Revoke API Token) 选择令牌,然后单击该选项以吊销令牌。仅操作员超级用户或与 API 令牌关联的用户可以吊销该令牌。
CSV 单击该选项以使用 .csv 文件格式下载完整的 API 令牌列表。
列 (Columns) 单击并选择要在页面上显示或隐藏的列。
刷新 (Refresh) 单击以刷新页面,从而显示最新的数据。

作为操作员超级用户,您可以管理企业用户的 API 令牌。有关创建和下载 API 令牌的信息,请参阅 API 令牌

操作员身份验证/企业身份验证

选择以下身份验证模式之一:
  • 本地 (Local):这是默认选项,不需要进行任何额外的配置。
  • 单点登录 (Single Sign-On):具有超级用户权限的操作员用户可以在 SASE Orchestrator 中设置和配置单点登录 (SSO)。单点登录 (SSO) 是一种会话和用户身份验证服务,允许用户使用一组凭据登录到多个应用程序和网站。通过将 SSO 服务与 SASE Orchestrator 集成,SASE Orchestrator 能够从基于 OpenID Connect (OIDC) 的身份提供程序 (IdP) 对用户进行身份验证。
    先决条件:
    • 确保您具有操作员超级用户权限。
    • SASE Orchestrator 中设置 SSO 身份验证之前,请确保您在首选的身份提供程序网站中为 SASE Orchestrator 设置了用户、服务权限和 OpenID Connect (OIDC) 应用程序。
    注:
    • 单点登录 (Single Sign-On) 模式仅适用于操作员门户中的操作员身份验证 (Operator Authentication)
    • 为 SSO 用户禁用了基于令牌的身份验证。
    • VMware 托管的 Orchestrator 的操作员管理级别的 SSO 集成是为 VMware SD-WAN TechOPS 操作员保留的。具有托管的 Orchestrator 的操作员级别访问权限的合作伙伴无法集成到 SSO 服务。
    要为 SASE Orchestrator 启用单点登录 (SSO),您必须在身份提供程序 (IdP) 中输入 Orchestrator 应用程序详细信息。请单击以下每个链接,了解配置以下受支持 IdP 的分步说明:
    在选择 单点登录 (Single Sign-on) 以作为 身份验证模式 (Authentication Mode) 时,您可以配置以下选项。
    选项 描述
    身份提供程序模板 (Identity Provider Template) 从该下拉菜单中,选择您为单点登录配置的首选身份提供程序 (IdP)。这将预填充特定于您的 IdP 的字段。
    注:
    • 在选择 VMwareCSP 作为首选 IdP 时,请确保按以下格式提供您的组织 ID:/csp/gateway/am/api/orgs/<完整的组织 ID>
    • 在登录到 VMware CSP 控制台时,可以单击您的用户名以查看您登录到的组织 ID。此信息还会显示在组织详细信息下。请使用“长组织 ID”。

    您也可以从该下拉菜单中选择其他 (Others),以手动配置自己的 IdP。

    组织 ID (Organization Id) 只有在您选择 VMware CSP 模板时,该字段才可用。输入 IdP 提供的组织 ID,格式为:/csp/gateway/am/api/orgs/<full organization ID>。在登录到 VMware CSP 控制台时,可以单击您的用户名以查看您登录到的组织 ID。将在组织名称下面显示该 ID 的缩写版本。可以单击该 ID 以显示完整的组织 ID。
    OIDC 已知的配置 URL (OIDC well-known config URL) 输入您的 IdP 的 OpenID Connect (OIDC) 配置 URL。例如,Okta 的 URL 格式为:https://{oauth-provider-url}/.well-known/openid-configuration
    颁发者 (Issuer) 该字段将根据您选择的 IdP 自动填充。
    授权端点 (Authorization Endpoint) 该字段将根据您选择的 IdP 自动填充。
    令牌端点 (Token Endpoint) 该字段将根据您选择的 IdP 自动填充。
    JSON Web 密钥集 URI (JSON Web KeySet URI) 该字段将根据您选择的 IdP 自动填充。
    用户信息端点 (User Information Endpoint) 该字段将根据您选择的 IdP 自动填充。
    客户端 ID (Client ID) 输入您的 IdP 提供的客户端标识符。
    客户端密钥 (Client Secret) 输入您的 IdP 提供的客户端密钥代码,客户端使用该代码交换令牌的授权代码。
    范围 (Scopes) 该字段将根据您选择的 IdP 自动填充。
    角色类型 (Role Type) 选择以下两个选项之一:
    • 使用默认角色
    • 使用身份提供程序角色
    角色属性 (Role Attribute) 输入在 IdP 中设置的属性的名称以返回角色。
    操作员角色映射 (Operator Role Map) 将 IdP 提供的角色映射到每个操作员用户角色。

    单击更新 (Update) 以保存输入的值。SASE Orchestrator 中的 SSO 身份验证设置完成。

  • RADIUS:远程身份验证拨入用户服务 (Remote Authentication Dial-In User Service, RADIUS) 是一种客户端-服务器协议,远程访问服务器可以通过该协议与中央服务器进行通信。RADIUS 身份验证为用户提供了集中式管理。您可以将 Orchestrator 身份验证配置为 RADIUS 模式,以便操作员和企业客户使用 RADIUS 服务器登录到门户。在以下字段中输入相应的详细信息:
    • 您只能在系统属性 (System Properties) 中编辑协议 (Protocol) 值。导航到 Orchestrator > 系统属性 (System Properties),然后在 vco.operator.authentication.radius 系统属性的值 (Value) 字段中编辑协议。
    • 操作员域 (Operator Domain) 字段仅适用于操作员。
    • 操作员角色映射/企业角色映射 (Operator Role Map/Enterprise Role Map) 部分中,将 RADIUS 服务器属性映射到每个操作员或企业用户角色。此角色映射用于确定用户首次使用 RADIUS 服务器登录到 Orchestrator 时将分配的角色。
    • 单击更新 (Update) 以保存输入的值。

SSH 密钥

您只能为每个用户创建一个 SSH 密钥。单击位于屏幕右上角的用户信息 (User Information) 图标,然后单击我的帐户 (My Account) > SSH 密钥 (SSH Keys) 以创建 SSH 密钥。

作为操作员,您还可以吊销 SSH 密钥。

单击刷新 (Refresh) 选项以刷新该部分,从而显示最新的数据。

有关更多信息,请参阅配置用户帐户详细信息

会话限制

注: 要查看该部分,操作员用户必须转到 Orchestrator > 系统属性 (System Properties),并将 session.options.enableSessionTracking 系统属性的值设置为 True

以下是该部分中提供的选项:

选项 描述
并发登录数 (Concurrent logins) 用于设置每个用户的并发登录数限制。默认情况下,将选择无限制 (Unlimited),这表示允许用户进行无限制的并发登录。
每个角色的会话限制 (Session limits for each role) 用于根据用户角色设置并发会话数限制。默认情况下,将选择无限制 (Unlimited),这表示允许角色建立无限制的会话。
注: 操作员已在 角色 (Roles) 选项卡中创建的角色显示在该部分中。

单击更新 (Update) 以保存选定的值。