Pokud budete chtít nastavit autentizaci jednotným přihlášením (SSO) pro uživatele partnerů, postupujte podle následujících kroků.
Požadavky
Ujistěte se, že máte oprávnění primárního uživatele partnera.
Před nastavením autentizace SSO v systému SD-WAN Orchestrator se ujistěte, že jste nastavili role, uživatele a aplikaci OpenID Connect (OIDC) pro SD-WAN Orchestrator na webu vámi preferovaného poskytovatele identity. Další informace naleznete v tématu Konfigurace IDP pro potřeby jednotného přihlašování.
Procedura
Přihlaste se pomocí svých přihlašovacích údajů k aplikaci SD-WAN Orchestrator jako primární uživatel partnera.
Klikněte na tlačítko Nastavení (Settings).
Otevře se obrazovka
Nastavení partnera (Partner Settings).
Klikněte na kartu Obecné informace (General Information) a v textovém poli Doména (Domain) zadejte název domény partnera (pokud ještě není nastaven).
Poznámka: Aktivace autentizace jednotného přihlašování k aplikaci
SD-WAN Orchestrator vyžaduje nastavení názvu domény partnera.
Klikněte na kartu Autentizace (Authentication) a v rozevírací nabídce Režim autentizace (Authentication Mode) vyberte možnost Jednotné přihlášení (Single Sign-On).
Z rozevírací nabídky Šablona poskytovatele identity (Identity Provider template) vyberte preferovaného poskytovatele identity (IDP), kterého jste nakonfigurovali pro jednotné přihlašování.
Poznámka: Pokud jste jako preferovaného poskytovatele identity zvolili VMwareCSP, ujistěte se, že jste ID organizace uvedli v následujícím formátu:
/csp/gateway/am/api/orgs/<celé ID organizace>.
Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Pod názvem organizace se zobrazí zkrácená verze ID. Kliknutím na ID zobrazíte celé ID organizace.
Svého vlastního IDP můžete také nakonfigurovat ručně výběrem položky
Ostatní (Others) z rozevírací nabídky
Šablona poskytovatele identity (Identity Provider template).
Do textového pole URL prověřené konfigurace OIDC (OIDC well-known config URL) zadejte adresu URL konfigurace OpenID Connect vašeho poskytovatele identity. Formát adresy URL pro poskytovatele Okta bude například tento: https://{oauth-provider-url}/.well-known/openid-configuration.
Aplikace SD-WAN Orchestrator automaticky vyplní detaily koncových bodů, jako je vydavatel, koncový bod autorizace, koncový bod tokenu a koncový bod uživatelských informací vašeho poskytovatele identity.
Do textového pole ID klienta (Client Id) zadejte identifikátor klienta, který jste obdrželi od svého IDP.
V textovém poli Tajný klíč klienta (Client Secret) zadejte tajný kód klienta, který jste získali od svého IDP. Tento kód je používán klientem při výměně autorizačního kódu pro token.
Chcete-li určit uživatelskou roli v SD-WAN Orchestrator, vyberte jednu z možností:
Použít výchozí roli (Use Default Role) – umožňuje uživateli nakonfigurovat statickou roli jako výchozí pomocí textového pole Výchozí role (Default Role), které se zobrazí při zvolení této možnosti. Podporované role jsou tyto: primární uživatel MSP (MSP Superuser), standardní administrátor MSP (MSP Standard Admin), podpora MSP (MSP Support) a obchodní uživatel MSP (MSP Business).
Poznámka: Pokud v nastavení konfigurace SSO vyberete možnost
Použít výchozí roli (Use Default Role) a bude definována výchozí role uživatele, bude všem uživatelům SSO přiřazena specifikovaná výchozí role. Namísto přiřazení výchozí role uživateli může primární uživatel partnera předem zaregistrovat konkrétního uživatele jako nenativního a definovat konkrétní uživatelskou roli pomocí záložky
Administrátoři (Admins) v portálu partnera. Postup konfigurace nového uživatele partnera v roli administrátora naleznete v části
Vytvoření nového administrátora partnera.
Použít role poskytovatele identity (Use Identity Provider Roles) – používá role nastavené v IDP.
Při výběru možnosti Použít role poskytovatele identity (Use Identity Provider Roles) zadejte do textového pole Atribut role (Role Attribute) název atributu nastaveného v IDP, který vrátí požadované role.
V oblasti Mapa rolí (Role Map) namapujte role poskytnuté IDP na každou z uživatelských rolí partnera. Jednotlivé role oddělte čárkami.
Role v rámci VMware CSP budou mít následující formát:
external/<uuid definice služby>/<název role služby uvedený během vytváření šablony služby>.
Povolené adresy URL pro přesměrování na webu poskytovatele OIDC nahraďte adresou URL SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
Kliknutím na tlačítko Uložit změny (Save Changes) uložíte konfiguraci jednotného přihlašování.
Uživatel přejde na web IDP, kde má nyní možnost zadat přihlašovací údaje. Po ověření poskytovatelem identity a úspěšném přesměrování do aplikace
SD-WAN Orchestrator s cílem otestovat zpětné volání se zobrazí zpráva o úspěšném dokončení ověření.
Výsledek
Nastavení autentizace SSO je tímto v systému SD-WAN Orchestrator dokončeno.