Funkce autentizace umožňuje nastavit režim ověřování pro podnikového uživatele a zobrazit existující tokeny rozhraní API.

Přístup na kartu Autentizace (Authentication):
  1. Na podnikovém portálu rozbalte na globálním navigačním panelu rozevírací nabídku Podnikové aplikace (Enterprise Applications).
  2. Vyberte službu Globální nastavení (Global Settings).
  3. V nabídce vlevo klikněte na položku Správa uživatelů (User Management) a poté na kartu Autentizace (Authentication). Zobrazí se následující obrazovka:

Tokeny API (API Tokens)

K rozhraní API systému Orchestrator můžete získat přístup prostřednictvím autentizace založené na tokenech bez ohledu na použitý režim autentizace. Můžete zobrazit tokeny rozhraní API vydané podnikovým uživatelům. Je-li třeba, můžete tokeny API zrušit.

Ve výchozím nastavení jsou tokeny API aktivované. Pokud je budete chtít deaktivovat, obraťte se na operátora.
Poznámka: Podnikový administrátor by měl ručně odstranit uživatele neaktivního poskytovatele identity (IdP) ze služby Orchestrator, aby se zabránilo neautorizovanému přístupu prostřednictvím tokenu API.
V této části jsou k dispozici následující možnosti:
Možnost Popis
Vyhledat (Search) Zadejte výraz pro vyhledání odpovídajícího textu v tabulce. Pomocí možnosti rozšířeného vyhledávání můžete zúžit výsledky vyhledávání.
Odvolat token rozhraní API (Revoke API Token) Vyberte token a kliknutím na tuto možnost ho odvolejte. Token může odvolat pouze primární uživatel operátora nebo uživatel, kterému byl token API přiřazen.
CSV Kliknutím na tuto možnost stáhnete kompletní seznam tokenů API ve formátu souboru .csv.
Sloupce (Columns) Klikněte a vyberte sloupce, které se mají na stránce zobrazit nebo skrýt.
Obnovit (Refresh) Kliknutím obnovíte stránku a zobrazíte nejaktuálnější data.

Informace o vytváření a stahování tokenů API naleznete v článku Tokeny API.

Autentizace podniku

Vyberte jeden z následujících režimů autentizace:
  • Místní (Local): Toto je výchozí možnost nevyžadující žádnou další konfiguraci.
  • Jednotné přihlášení (Single Sign-On): představuje relaci a službu pro autentizaci uživatelů, která uživatelům umožňuje přihlašovat se k více aplikacím a webovým stránkám pomocí stejných přihlašovacích údajů. Integrace služby jednotného přihlašování se systémem SASE Orchestrator umožňuje službě SASE Orchestrator ověřovat uživatele od poskytovatelů identity (IdP) využívajících OpenID Connect (OIDC).

    Informace o konfiguraci jednotného přihlašování pro podnikového uživatele naleznete v tématu Podniková nastavení.

    Chcete-li aktivovat jednotné přihlašování (SSO) pro SASE Orchestrator, musíte zadat podrobnosti o aplikaci Orchestrator pro poskytovatele identity (IdP). Kliknutím na každý z následujících odkazů zobrazíte podrobné pokyny ke konfiguraci následujících podporovaných poskytovatelů identity:
    Pokud vyberete Režim autentizace (Authentication Mode) jako Jednotné přihlášení (Single Sign-On), můžete nakonfigurovat následující možnosti.
    Možnost Popis
    Šablona poskytovatele identity (Identity Provider Template) Z rozbalovací nabídky vyberte preferovaného poskytovatele identity (IdP), kterého jste nakonfigurovali pro jednotné přihlašování. Tím dojde k předběžnému vyplnění pole pro vašeho poskytovatele identity.
    Poznámka: Svého vlastního poskytovatele identity můžete také nakonfigurovat ručně výběrem položky Ostatní (Others) z rozbalovací nabídky.
    ID organizace (Organization Id) Toto pole je dostupné pouze v případě, že vyberete šablonu VMware CSP. Zadejte ID organizace poskytnuté poskytovatelem identity ve formátu /csp/gateway/am/api/orgs/<full organization ID>. Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Tyto informace se také zobrazují v detailech organizace. Použijte „Dlouhé ID organizace“ (Long Organization ID).
    Adresa URL dobře známé konfigurace OIDC (OIDC well-known config URL) Zadejte adresu URL konfigurace OpenID Connect (OIDC) vašeho poskytovatele identity. Formát adresy URL pro poskytovatele Okta bude například tento: https://{oauth-provider-url}/.well-known/openid-configuration.
    Vydavatel (Issuer) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod autorizace (Authorization Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod tokenu (Token Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    JSON Web KeySet URI Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod informací o uživateli (User Information Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    ID klienta (Client ID) Zadejte identifikátor klienta, který vám poskytl váš IdP.
    Tajný klíč klienta (Client Secret) Zadejte tajný kód klienta, který jste získali od svého IdP, který je používán klientem při výměně autorizačního kódu pro token.
    Rámce (Scopes) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Typ role (Role Type) Vyberte jednu z následujících dvou možností:
    • Použít výchozí roli (Use default role)
    • Použít role poskytovatele identity
    Atribut role (Role Attribute) Zadejte název atributu nastaveného v IdP, který vrátí role.
    Mapa podnikové role Namapujte role poskytnuté IdP na každou z rolí podnikových uživatelů.

    Kliknutím na tlačítko Aktualizovat (Update) uložíte zadané hodnoty. Nastavení autentizace SSO je tímto v systému SASE Orchestrator dokončeno.

Autentizace uživatele

Pro uživatele můžete aktivovat nebo deaktivovat funkci Dvoufaktorové ověření (Two factor authentication). Funkce Samoobslužné resetování hesla (Self service password reset) vám umožňuje změnit heslo pomocí odkazu na přihlašovací stránce.
Poznámka: Tuto funkci lze aktivovat pouze uživatelům, jejichž mobilní telefonní čísla jsou spojena s jejich uživatelskými účty.

Limity relace

Poznámka: Chcete-li zobrazit tuto část, operátor musí přejít do nabídky Orchestrator > Vlastnosti systému (System Properties) a nastavte hodnotu systémové vlastnosti session.options.enableSessionTracking na Je pravda (True).
V této části jsou k dispozici následující možnosti:
Možnost Popis
Souběžná přihlášení (Concurrent logins) Umožňuje nastavit limit souběžných přihlášení na uživatele. Ve výchozím nastavení je vybrána možnost Neomezeně (Unlimited), což znamená, že uživatel má povolený neomezený počet souběžných přihlášení.
Limity relace pro každou roli (Session limits for each role) Umožňuje nastavit limit počtu souběžných relací na základě uživatelské role. Ve výchozím nastavení je vybrána možnost Neomezeně (Unlimited), což znamená, že role má povolený neomezený počet relací.
Poznámka: V této části jsou zobrazeny role, které již podnik vytvořil na záložce Role (Roles).

Kliknutím na tlačítko Aktualizovat (Update) uložíte nastavení.