Chcete-li nastavit autentizaci jednotného přihlášení (SSO) pro podnikového uživatele, postupujte podle následujících kroků.
Požadavky
Ujistěte se, že máte uživatelská oprávnění podnikového primárního uživatele.
Než nastavíte autentizaci jednotného přihlášení, ujistěte se, že jste nastavili role, uživatele a aplikaci OpenID Connect (OIDC) pro SD-WAN Orchestrator na webu vašeho preferovaného poskytovatele identity. Další informace naleznete v tématu Konfigurace služby IDP pro jednotné přihlášení.
Procedura
Přihlaste se do SD-WAN Orchestrator pomocí svých přihlašovacích údajů jako podnikový primární uživatel.
Klikněte na možnost Správa (Administration) > Nastavení systému (System Settings).
Otevře se obrazovka
Nastavení systému (System Settings).
Klikněte na kartu Obecné informace (General Information) a v textovém poli Doména (Domain) zadejte název domény vašeho podniku (pokud ještě není nastaven).
Poznámka: Aktivace autentizace jednotného přihlašování k aplikaci
SD-WAN Orchestrator vyžaduje nastavení názvu domény vašeho podniku.
Klikněte na kartu Autentizace (Authentication) a v rozevírací nabídce Režim autentizace (Authentication Mode) vyberte možnost SSO.
Z rozevírací nabídky Šablona poskytovatele identity (Identity Provider template) vyberte preferovaného poskytovatele identity (IDP), kterého jste nakonfigurovali pro jednotné přihlašování.
Poznámka: Pokud jste jako svého preferovaného IDP zvolili VMwareCSP, ujistěte se, že jste poskytli své ID organizace v tomto formátu:
/csp/gateway/am/api/orgs/<celé ID organizace>.
Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Pod názvem organizace se zobrazí zkrácená verze ID. Kliknutím na ID zobrazíte celé ID organizace.
Svého vlastního IDP můžete také nakonfigurovat ručně výběrem položky
Ostatní (Others) z rozevírací nabídky
Šablona poskytovatele identity (Identity Provider template).
Do textového pole URL prověřené konfigurace OIDC (OIDC well-known config URL) zadejte adresu URL konfigurace OpenID Connect vašeho poskytovatele identity. Formát adresy URL pro poskytovatele Okta bude například tento: https://{oaut-poskytovatel-url}/.známá/openid-konfigurace.
Aplikace SD-WAN Orchestrator automaticky vyplní podrobnosti koncových bodů, jako je vydavatel, koncový bod autorizace, koncový bod tokenu a koncový bod uživatelských informací vašeho poskytovatele identity.
Do textového pole ID klienta (Client Id) zadejte identifikátor klienta, který jste obdrželi od svého IDP.
V textovém poli Tajný klíč klienta (Client Secret) zadejte tajný kód klienta, který jste získali od svého IDP. Tento kód je používán klientem při výměně autorizačního kódu pro token.
Chcete-li určit uživatelskou roli v SD-WAN Orchestrator, vyberte jednu z možností:
Použít výchozí roli (Use Default Role) – umožňuje uživateli nakonfigurovat statickou roli jako výchozí pomocí textového pole Výchozí role (Default Role), které se zobrazí při zvolení této možnosti. Podporovanými rolemi jsou: podnikový primární uživatel, podnikový standardní administrátor, podniková podpora a podnikový uživatel pouze pro čtení.
Poznámka: Pokud v nastavení konfigurace SSO vyberete možnost
Použít výchozí roli (Use Default Role) a bude definována výchozí role uživatele, bude všem uživatelům SSO přiřazena specifikovaná výchozí role. Namísto přiřazení výchozí role uživateli může primární uživatel standardního administrátora nebo standardní administrátor předem registrovat konkrétního uživatele jako nenativního uživatele a definovat konkrétní uživatelskou roli kliknutím na kartu
Správa (Administration) > Administrátoři (Administrators) v podnikovém portálu. Jednotlivé kroky konfigurace nového uživatele administrátora jsou popsány v tématu
Vytvořit nového uživatele – administrátora.
Použít role poskytovatele identity (Use Identity Provider Roles) – používá role nastavené v IDP.
Při výběru možnosti Použít role poskytovatele identity (Use Identity Provider Roles) zadejte do textového pole Atribut role (Role Attribute) název atributu nastaveného v IDP, který vrátí požadované role.
V oblasti Mapa rolí (Role Map) namapujte role poskytnuté IDP na každou z rolí aplikace SD-WAN Orchestrator. Jednotlivé role oddělte čárkami.
Role v rámci VMware CSP budou mít následující formát:
external/<uuid definice služby>/<název role služby uvedený během vytváření šablony služby>.
Povolené adresy URL pro přesměrování na webu poskytovatele OIDC nahraďte adresou URL SD-WAN Orchestrator (https://<URL adresa Orchestratoru>/login/ssologin/openidCallback).
Kliknutím na tlačítko Uložit změny (Save Changes) uložíte konfiguraci jednotného přihlašování.
Uživatel přejde na web IDP, kde má nyní možnost zadat přihlašovací údaje. Po ověření poskytovatelem identity a úspěšném přesměrování do aplikace
SD-WAN Orchestrator s cílem otestovat zpětné volání se zobrazí zpráva o úspěšném dokončení ověření.
Výsledek
Nastavení autentizace jednotného přihlášení (SSO) je dokončeno.