Uživatelé typu operátor s oprávněními primárního uživatele mohou v systému SD-WAN Orchestrator nastavit a konfigurovat jednotné přihlašování (SSO). Pokud budete chtít nastavit autentizace SSO pro uživatele typu operátor, postupujte podle následujících kroků.

Postup konfigurace jednotného přihlášení pro uživatele typu operátor:

Požadavky

  • Ujistěte se, že máte oprávnění na úrovni primárního uživatele typu operátor.
  • Před nastavením autentizace SSO v systému SD-WAN Orchestrator se ujistěte, že jste nastavili role, uživatele a aplikaci OpenID Connect (OIDC) pro SD-WAN Orchestrator na webu vámi preferovaného poskytovatele identity. Další informace naleznete v tématu Konfigurace IDP pro potřeby jednotného přihlašování.
Poznámka: Integrace SSO u hostovaného nástroje Orchestrator VMware na úrovni správy operátora je vyhrazena pro technické operátory VMware SD-WAN. Partneři hostované aplikace Orchestrator s přístupem na úrovni operátora nemají možnost integrace služby pro autentizaci SSO.

Procedura

  1. Přihlaste se do aplikace SD-WAN Orchestrator jako primární uživatel typu operátor.
  2. Klikněte na tlačítko Autentizace pro systém Orchestrator (Orchestrator Authentication).
    Otevře se obrazovka Konfigurace autentizace (Configure Authentication).
  3. Z rozevírací nabídky Režim autentizace (Authentication Mode) vyberte možnost SSO.
  4. Z rozevírací nabídky Šablona poskytovatele identity (Identity Provider template) vyberte preferovaného poskytovatele identity (IDP), kterého jste nakonfigurovali pro jednotné přihlašování.
    Poznámka: Pokud jste jako preferovaného poskytovatele identity zvolili VMwareCSP, ujistěte se, že jste ID organizace uvedli v následujícím formátu: /csp/gateway/am/api/orgs/<celé ID organizace>.

    Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Pod názvem organizace se zobrazí zkrácená verze ID. Kliknutím na ID zobrazíte celé ID organizace.

    Svého vlastního IDP můžete také nakonfigurovat ručně výběrem položky Ostatní (Others) z rozevírací nabídky Šablona poskytovatele identity (Identity Provider template).
  5. Do textového pole URL prověřené konfigurace OIDC (OIDC well-known config URL) zadejte adresu URL konfigurace OpenID Connect vašeho poskytovatele identity. Formát adresy URL pro poskytovatele Okta bude například tento: https://{oauth-provider-url}/.well-known/openid-configuration
  6. Aplikace SD-WAN Orchestrator automaticky vyplní detaily koncových bodů, jako je vydavatel, koncový bod autorizace, koncový bod tokenu a koncový bod uživatelských informací vašeho poskytovatele identity.
  7. Do textového pole ID klienta (Client Id) zadejte identifikátor klienta, který jste obdrželi od svého IDP.
  8. V textovém poli Tajný klíč klienta (Client Secret) zadejte tajný kód klienta, který jste získali od svého IDP. Tento kód je používán klientem při výměně autorizačního kódu pro token.
  9. Chcete-li určit uživatelskou roli v SD-WAN Orchestrator, vyberte jednu z možností:
    • Použít výchozí roli (Use Default Role) – umožňuje uživateli nakonfigurovat statickou roli jako výchozí pomocí textového pole Výchozí role (Default Role), které se zobrazí při zvolení této možnosti. Podporované role jsou tyto: Primární uživatel typu operátor (Operator Superuser), standardní administrátor typu operátor (Operator Standard Admin), operátor podpory (Operator Support) a obchodní operátor (Operator Business).
      Poznámka: Pokud v nastavení konfigurace SSO vyberete možnost Použít výchozí roli (Use Default Role) a bude definována výchozí role uživatele, bude všem uživatelům SSO přiřazena specifikovaná výchozí role. Namísto přiřazení výchozí role uživateli může primární uživatel operátora předem registrovat konkrétního uživatele jako nenativního uživatele a definovat konkrétní uživatelskou roli pomocí karty Uživatelé operátora (Operator Users) v podnikovém portálu. Konfigurace nového uživatele operátora jsou popsány v tématu Vytvoření nového uživatele typu operátor.
    • Použít role poskytovatele identity (Use Identity Provider Roles) – používá role nastavené v IDP.
  10. Při výběru možnosti Použít role poskytovatele identity (Use Identity Provider Roles) zadejte do textového pole Atribut role (Role Attribute) název atributu nastaveného v IDP, který vrátí požadované role.
  11. V oblasti Mapa rolí (Role Map) namapujte role poskytnuté IDP na každou z uživatelských rolí operátora. Jednotlivé role oddělte čárkami.
    Role v rámci VMware CSP budou mít následující formát: external/<uuid definice služby>/<název role služby uvedený během vytváření šablony služby>.
  12. Povolené adresy URL pro přesměrování na webu poskytovatele OIDC nahraďte adresou URL SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
  13. Kliknutím na tlačítko Uložit změny (Save Changes) uložíte konfiguraci jednotného přihlašování.
  14. Kliknutím na tlačítko Testovat konfiguraci (Test Configuration) ověříte zadanou konfiguraci OpenID Connect (OIDC).
    Uživatel přejde na web IDP, kde má nyní možnost zadat přihlašovací údaje. Po ověření poskytovatelem identity a úspěšném přesměrování na aplikaci SD-WAN Orchestrator s cílem otestovat zpětné volání se zobrazí zpráva o úspěšném dokončení ověření.

Výsledek

Nastavení autentizace SSO je tímto v systému SD-WAN Orchestrator dokončeno.

Jak pokračovat dále

Přihlaste se do systému SD-WAN Orchestrator za pomoci jednotného přihlašování.