Funkce autentizace umožňuje nastavit režimy ověřování pro podnikové uživatele i uživatele operátora. Podle potřeby můžete také zobrazit existující tokeny API.

Přístup na kartu Autentizace (Authentication):
  1. Na portálu operátora klikněte v horní nabídce na možnost Správa (Administration).
  2. V nabídce vlevo klikněte na položku Správa uživatelů (User Management) a poté na kartu Autentizace (Authentication). Zobrazí se následující obrazovka:

Tokeny API (API Tokens)

K rozhraní API systému Orchestrator můžete získat přístup prostřednictvím autentizace založené na tokenech bez ohledu na použitý režim autentizace. Administrátoři operátora se správným oprávněním si mohou prohlédnout tokeny API vydané uživatelům systému Orchestrator, stejně jako tokeny vydané partnerům a zákaznickým uživatelům. Podle potřeby může operátor s rolí administrátora tokeny API libovolně odvolat.

Ve výchozím nastavení jsou tokeny API aktivované. Pokud je chcete deaktivovat, přejděte do nabídky Orchestrator > Systémové vlastnosti (System Properties) a nastavte hodnotu systémové vlastnosti session.options.enableApiTokenAuth na Není pravda (False).

Poznámka: Superuživatel v roli operátora by měl ručně odstranit uživatele neaktivního poskytovatele identity (IdP) ze služby Orchestrator, aby se zabránilo neautorizovanému přístupu prostřednictvím tokenu API.
V této části jsou k dispozici následující možnosti:
Možnost Popis
Vyhledat (Search) Zadejte výraz pro vyhledání odpovídajícího textu v tabulce. Pomocí možnosti rozšířeného vyhledávání můžete zúžit výsledky vyhledávání.
Odvolat token rozhraní API (Revoke API Token) Vyberte token a kliknutím na tuto možnost ho odvolejte. Token může odvolat pouze primární uživatel operátora nebo uživatel, kterému byl token API přiřazen.
CSV Kliknutím na tuto možnost stáhnete kompletní seznam tokenů API ve formátu souboru .csv.
Sloupce (Columns) Klikněte a vyberte sloupce, které se mají na stránce zobrazit nebo skrýt.
Obnovit (Refresh) Kliknutím obnovíte stránku a zobrazíte nejaktuálnější data.

Jako primární uživatel operátora můžete spravovat tokeny API pro podnikové uživatele. Informace o vytváření a stahování tokenů API najdete v článku Tokeny API.

Autentizace operátora / Autentizace podniku (Operator Authentication / Enterprise Authentication)

Vyberte jeden z následujících režimů autentizace:
  • Místní (Local): Toto je výchozí možnost nevyžadující žádnou další konfiguraci.
  • Jednotné přihlášení (Single Sign-On): Uživatelé typu operátor s oprávněním primárního uživatele mohou v aplikaci SASE Orchestratornastavit a nakonfigurovat jednotné přihlašování (SSO). Jednotné přihlášení představuje relaci a službu pro autentizaci uživatelů, která uživatelům umožňuje přihlašovat se k více aplikacím a webovým stránkám pomocí stejných přihlašovacích údajů. Integrace služby jednotného přihlašování se systémem SASE Orchestrator umožňuje službě SASE Orchestrator ověřovat uživatele od poskytovatelů identity (IdP) využívajících OpenID Connect (OIDC).
    Požadavky:
    • Ujistěte se, že máte oprávnění na úrovni primárního uživatele typu operátor.
    • Před nastavením autentizace SSO v systému SASE Orchestrator se ujistěte, že jste nastavili uživatele, oprávnění ke službě a aplikaci OpenID Connect (OIDC) pro systém SASE Orchestrator na webu vámi preferovaného poskytovatele identity.
    Poznámka:
    • Režim Jednotné přihlášení (Single Sign-On) je na portálu operátora k dispozici pouze pro Autentizaci operátora (Operator Autenthication).
    • Autentizace na základě tokenu je pro uživatele SSO deaktivována.
    • Integrace SSO u hostovaného nástroje Orchestrator VMware na úrovni správy operátora je vyhrazena pro technické operátory VMware SD-WAN. Partneři hostované aplikace Orchestrator s přístupem na úrovni operátora nemají možnost integrace služby pro autentizaci SSO.
    Chcete-li aktivovat jednotné přihlašování (SSO) pro SASE Orchestrator, musíte zadat podrobnosti o aplikaci Orchestrator pro poskytovatele identity (IdP). Kliknutím na každý z následujících odkazů zobrazíte podrobné pokyny ke konfiguraci následujících podporovaných poskytovatelů identity:
    Pokud vyberete Režim autentizace (Authentication Mode) jako Jednotné přihlášení (Single Sign-On), můžete nakonfigurovat následující možnosti.
    Možnost Popis
    Šablona poskytovatele identity (Identity Provider Template) Z rozbalovací nabídky vyberte preferovaného poskytovatele identity (IdP), kterého jste nakonfigurovali pro jednotné přihlašování. Tím dojde k předběžnému vyplnění pole pro vašeho poskytovatele identity.
    Poznámka:
    • Pokud jste jako preferovaného poskytovatele identity zvolili VMwareCSP, ujistěte se, že jste ID organizace uvedli v následujícím formátu: /csp/gateway/am/api/orgs/<celé ID organizace>
    • Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Tyto informace se také zobrazují v detailech organizace. Použijte „Dlouhé ID organizace“ (Long Organization ID).

    Svého vlastního poskytovatele identity můžete také nakonfigurovat ručně výběrem položky Ostatní (Others) z rozbalovací nabídky.

    ID organizace (Organization Id) Toto pole je dostupné pouze v případě, že vyberete šablonu VMware CSP. Zadejte ID organizace poskytnuté poskytovatelem identity ve formátu /csp/gateway/am/api/orgs/<full organization ID>. Po přihlášení ke konzole Když se přihlásíte ke konzole VMware CSP si můžete kliknutím na své uživatelské jméno prohlédnout ID organizace, pod kterým jste přihlášeni. Pod názvem organizace se zobrazí zkrácená verze ID. Kliknutím na ID zobrazíte celé ID organizace.
    Adresa URL dobře známé konfigurace OIDC (OIDC well-known config URL) Zadejte adresu URL konfigurace OpenID Connect (OIDC) vašeho poskytovatele identity. Formát adresy URL pro poskytovatele Okta bude například tento: https://{oauth-provider-url}/.well-known/openid-configuration.
    Vydavatel (Issuer) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod autorizace (Authorization Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod tokenu (Token Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    JSON Web KeySet URI Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Koncový bod informací o uživateli (User Information Endpoint) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    ID klienta (Client ID) Zadejte identifikátor klienta, který vám poskytl váš IdP.
    Tajný klíč klienta (Client Secret) Zadejte tajný kód klienta, který jste získali od svého IdP, který je používán klientem při výměně autorizačního kódu pro token.
    Rámce (Scopes) Toto pole se automaticky vyplní na základě vámi vybraného IdP.
    Typ role (Role Type) Vyberte jednu z následujících dvou možností:
    • Použít výchozí roli (Use default role)
    • Použít role poskytovatele identity
    Atribut role (Role Attribute) Zadejte název atributu nastaveného v IdP, který vrátí role.
    Mapa role operátora (Operator Role Map) Namapujte role poskytnuté poskytovatelem identity na každou z rolí uživatelů operátora.

    Kliknutím na tlačítko Aktualizovat (Update) uložíte zadané hodnoty. Nastavení autentizace SSO je tímto v systému SASE Orchestrator dokončeno.

  • RADIUS: (Remote Authentication Dial-In User Service) představuje protokol na úrovni klienta-serveru, který umožňuje serverům se vzdáleným přístupem komunikovat s centrálním serverem. Autentizace pomocí protokolu RADIUS nabízí možnost centralizované správy uživatelů. Autentizaci systému Orchestrator můžete nakonfigurovat v režimu RADIUS, kdy se operátor a podnikový zákazník přihlašují k portálům přes servery RADIUS. Do následujících polí zadejte příslušné údaje:
    • Protokol (Protocol) můžete upravit pouze v Systémových vlastnostech (System Properties). Přejděte do nabídky Orchestrator > Systémové vlastnosti (System Properties) a upravte protokol v poli Hodnota (Value) systémové vlastnosti vco.operator.authentication.radius.
    • Pole Doména operátora (Operator Domain) je dostupné pouze pro operátory.
    • V části Mapa rolí operátora / Mapa podnikových rolí (Operator Role Map / Enterprise Role Map) můžete namapovat atributy serveru RADIUS pro každou z uživatelských rolí pro operátora nebo podnik. Mapování rolí slouží k určení role, která bude uživatelům přiřazena při prvním přihlášení do systému Orchestrator pomocí serveru RADIUS.
    • Kliknutím na tlačítko Aktualizovat (Update) uložíte zadané hodnoty.

Klíče SSH

Pro každého uživatele můžete vytvořit pouze jeden klíč SSH. Klikněte na ikonu Informace o uživateli (User Information) v pravém horním rohu obrazovky a poté kliknutím na položky nabídky Můj účet (My Account) > Klíče SSH (SSH Keys) vytvořte klíč SSH.

Z pozice operátora můžete klíč SSH rovněž odvolat.

Kliknutím na možnost Obnovit (Refresh) obnovíte oddíl, aby se zobrazila nejnovější data.

Další informace naleznete v tématu Konfigurace podrobností uživatelského účtu.

Limity relace

Poznámka: Chcete-li zobrazit tuto část, operátor musí přejít do nabídky Orchestrator > Vlastnosti systému (System Properties) a nastavte hodnotu systémové vlastnosti session.options.enableSessionTracking na Je pravda (True).

V této části jsou k dispozici následující možnosti:

Možnost Popis
Souběžná přihlášení (Concurrent logins) Umožňuje nastavit limit souběžných přihlášení na uživatele. Ve výchozím nastavení je vybrána možnost Neomezeně (Unlimited), což znamená, že uživatel má povolený neomezený počet souběžných přihlášení.
Limity relace pro každou roli (Session limits for each role) Umožňuje nastavit limit počtu souběžných relací na základě uživatelské role. Ve výchozím nastavení je vybrána možnost Neomezeně (Unlimited), což znamená, že role má povolený neomezený počet relací.
Poznámka: V této části jsou zobrazeny role, které již operátor vytvořil na záložce Role (Roles).

Kliknutím na tlačítko Aktualizovat (Update) uložíte nastavení.