Dieser Abschnitt beschäftigt sich mit VMware SD-WAN-Kunden, die ihre Benutzerkonten über die VMware Cloud Services Platform (CSP) als Identitätsanbieter für Single Sign-On (SSO) verwalten.

Übersicht

Kunden, die für die Verwendung von Single Sign-On (SSO) konfiguriert sind, können mehrere Identitätsanbieter für die Verwaltung ihrer Benutzer verwenden. Dieser Abschnitt befasst sich mit VMware-Identitätsanbietern: Cloud Services Platform (CSP).
Tipp: CSP ist eine gemeinsame Lebenszyklusverwaltungsplattform für alle VMware SaaS-Angebote. CSP umfasst bei anderen VMware SaaS-Angeboten Onboarding, Authentifizierung, Abrechnung, Bestellung, Support und Kundenbenachrichtigung. Die CSP-Integration in VMware SASE (einschließlich SD-WAN) in Version 5.2.0 beschränkt sich auf Authentifizierung und Autorisierung mit zusätzlicher Integration in späteren Versionen.

CSP konsolidiert und vereinfacht die Benutzerverwaltung über mehrere Orchestrator-Instanzen hinweg bei gleichzeitiger Integration mit Identitätsanbietern, die SAML und OIDC unterstützen, und stellt eine zentrale Anlaufstelle zur Gewährleistung der Einhaltung behördlicher Vorschriften dar.

Wichtig: Kunden, die in einem Orchestrator der Version 5.2.0 erstellt wurden und keinem Partner zugewiesen sind, werden automatisch mithilfe von CSP für SSO als Identitätsanbieter konfiguriert. Ergebnis:
  • Neue Administratoren werden von einem Administrator mit einer Superuser-Rolle über das CSP-Portal erstellt.
  • Bei einem CSP-Ausfall wird dem Kunden ein Administratorkonto für den Notfallzugriff (Break Glass Account) mit lokaler Authentifizierung (Benutzername/Kennwort) gewährt, damit er auf sein Portal zugreifen kann.
  • Neue Direktkunden müssen tokenbasierte Authentifizierung für den API-Zugriff verwenden. Cookiebasierte Authentifizierung kann nicht verwendet werden, da die Benutzererstellung an CSP übergeben wird.

In einer späteren SD-WAN-Version müssen alle VMware-Kunden, die einen gehosteten Orchestrator (neu oder vorhanden) verwenden, ihr Unternehmen für die Verwendung von CSP als Identitätsanbieter konfigurieren.

Lokale Orchestrator-Instanzen unterliegen nicht den CSP-Anforderungen, und ihre Kunden verwenden weiterhin Orchestrator-basierte Authentifizierung.

Voraussetzungen

Bevor Sie Ihr SD-WAN-Konto auf dem entsprechenden VMware SASE Orchestrator konfigurieren können, müssen Sie zuerst SD-WAN erwerben.

Erstellen einer Kundenorganisation auf der Cloud Services-Plattform

Nach der Bestätigung der SD-WAN-Bestellung des Kunden:
  1. VMware sendet Ihnen eine Einladungs-E-Mail ähnlich der unten angezeigten:

    Diese E-Mail enthält einen Link zu dem Orchestrator, den Sie zur Verwaltung Ihres Unternehmens verwenden, sowie einen Link zum Erstellen der Organisation auf CSP.
    Hinweis: Ihre Kundendomänendetails bilden die Grundlage für Ihr Kundenkonto auf dem Orchestrator sowie für die Ermittlung des Orchestrators, dem Ihr Unternehmen auf Basis des Geostandorts zugewiesen wird.
  2. Klicken Sie in der E-Mail bei dem Satz „Folgen Sie diesem Link, um Ihr CSP-Konto einzurichten“ auf den Link, um Ihre CSP-Organisation einzurichten.
  3. Durch Klicken auf den Link werden Sie an die CSP-Site umgeleitet, auf der Sie Ihr CSP-Konto konfigurieren. Dabei kann es sich um eine vorhandene oder eine neue Organisation handeln.
  4. Konfigurieren Sie unter Organisation (Organization) > Details die Details Ihres Kontos, einschließlich der Organisations-ID, die Ihnen von VMware SASE im Rahmen der Bestellung zur Verfügung gestellt wurde.
    Wichtig: Während des Onboardings von CSP-Kunden müssen Sie eine physische Adresse angeben. Darüber hinaus wird der Kundendomänenname vor der Konfiguration des Verbunds validiert.
    Klicken Sie dann auf die Registerkarte Organisation (Organization) > OAuth-Apps (OAuth Apps), um Mit Identitätsanbieter verknüpfte Domänen (Domains Linked to Identity Provider) zusammen mit den anderen Feldern und Optionen auf dieser Seite zu konfigurieren.

  5. Nach Abschluss der Konfiguration Ihrer CSP-Organisation können Sie dieser neue Benutzer hinzufügen.

Hinzufügen von Benutzern zur CSP-Organisation

  1. Klicken Sie auf die Registerkarte Identitäts- und Zugriffsverwaltung (Identity & Access Management) auf der Seite „VMware Cloud Services“, dann auf Aktive Benutzer (Active Users) und anschließend auf Neue Benutzer hinzufügen (Add New Users).

  2. Auf der Seite Neue Benutzer hinzufügen (Add New Users) können Sie neue Benutzer nach E-Mail-Adresse hinzufügen. Den Benutzern müssen zwei Rollen zugewiesen werden:
    1. Weisen Sie ihnen eine Organisationsrolle (Organization Role) (oder Rollen) zu. Dies ist die Rolle des Benutzers in der CSP-Organisation.
    2. Weisen Sie ihnen eine Dienstrolle (Service Role) zu. Dies ist die Rolle eines Benutzers, wenn er beim Orchestrator angemeldet ist.
  3. Nach der Konfiguration aller Rollen, klicken Sie auf HINZUFÜGEN (ADD), um diese Benutzer zu Ihrer CSP-Organisation hinzuzufügen.

Anmelden beim SASE Orchestrator mithilfe von CSP

Jeder, der im vorherigen Schritt als Benutzer hinzugefügt wurde, kann sich jetzt bei seinem Unternehmen auf dem SASE Orchestrator anmelden. So melden Sie sich beim Orchestrator an:
  1. Navigieren Sie zur Anmeldeseite des Orchestrators, indem Sie in der empfangenen E-Mail-Einladung auf den URL-Link im unten hervorgehobenen Abschnitt klicken:

  2. Klicken Sie im Anmeldebildschirm des Orchestrators auf BEIM IDENTITÄTSANBIETER ANMELDEN (SIGN IN WITH YOUR IDENTITY PROVIDER).

  3. Geben Sie auf der Seite „Beim Identitätsanbieter anmelden (Sign in using Identity Provider)“ die Domäne für Ihr Konto ein und klicken Sie auf ANMELDEN (SIGN IN).

  4. Sie werden dann zurück zum CSP weitergeleitet.

  5. Geben Sie im CSP-Anmeldebildschirm Ihre E-Mail-Adresse ein und klicken Sie auf WEITER (NEXT).

    Hinweis: Die Zwei-Faktor-Authentifizierung (2FA) wird mithilfe von Google Authenticator durchgeführt. Twilio wird nicht für neue Direktkunden bereitgestellt.
  6. Bei erfolgreicher Anmeldung bei Ihrem CSP-Konto werden Sie an die Startseite Ihres Unternehmens auf dem Orchestrator umgeleitet. Ihre Ansicht stimmt mit der Ansicht überein, die Ihnen in CSP zugewiesen wurde.

Zusätzliche Ressourcen

Weitere Informationen zur Verwendung von CSP als Identitätsanbieter in VMware SD-WAN finden Sie unter Konfigurieren von VMware CSP für Single Sign-On.

Weitere Informationen zum Hinzufügen neuer Benutzer zur Cloud Services Platform finden Sie unter Verwenden der VMware Cloud Services-Konsole – Identitäts- und Zugriffsverwaltung.