Operator-Benutzer mit der Berechtigung „Superuser“ können Single Sign-On (SSO) in SD-WAN Orchestrator einrichten und konfigurieren. Führen Sie zum Einrichten von SSO-Authentifizierung für einen Operator-Benutzer die Schritte in diesem Verfahren durch.

So konfigurieren Sie Single Sign-On für einen Operator-Benutzer:

Voraussetzungen

  • Stellen Sie sicher, dass Sie über die Superuser-Berechtigung „Operator“ verfügen.
  • Stellen Sie vor dem Einrichten der SSO-Authentifizierung in SD-WAN Orchestrator sicher, dass auf der Website Ihres bevorzugten Identitätsanbieters Rollen, Benutzer und eine OIDC-Anwendung (OpenID connect) für SD-WAN Orchestrator eingerichtet wurden. Weitere Informationen finden Sie unter Konfigurieren eines IDP für Single Sign-On.
Hinweis: SSO-Integration auf der Operator-Verwaltungsebene eines von VMware gehosteten Orchestrators ist für die VMware SD-WAN TechOps-Operatoren reserviert. Partner, die auf Operator-Ebene auf einen gehosteten Orchestrator zugreifen können, haben keine Möglichkeit zur Integration mit einem SSO-Dienst.

Prozedur

  1. Melden Sie sich bei der SD-WAN Orchestrator-Anwendung als Operator-Superuser an.
  2. Klicken Sie auf Orchestrator-Authentifizierung (Orchestrator Authentication).
    Der Bildschirm Authentifizierung konfigurieren (Configure Authentication) wird angezeigt.
  3. Wählen Sie im Dropdown-Menü Authentifizierungsmodus (Authentication Mode) die Option SSO aus.
  4. Wählen Sie im Dropdown-Menü Identitätsanbietervorlage (Identity Provider template) den bevorzugten Identitätsanbieter (Identity Provider, IDP) aus, den Sie für Single Sign-On konfiguriert haben.
    Hinweis: Wenn Sie VMwareCSP als bevorzugten IDP auswählen, stellen Sie Ihre Organisations-ID in folgendem Format bereit: /csp/gateway/am/api/orgs/<full organization ID>.

    Wenn Sie sich bei der VMware CSP-Konsole anmelden, können Sie durch Klicken auf Ihren Benutzernamen die ID der Organisation anzeigen, bei der Sie angemeldet sind. Eine verkürzte Version der ID wird unter dem Organisationsnamen angezeigt. Klicken Sie auf die ID, um die vollständige Organisations-ID anzuzeigen.

    Sie können Ihre eigenen IDPs auch manuell konfigurieren, indem Sie Sonstige (Others) im Dropdown-Menü Identitätsanbietervorlage (Identity Provider template) auswählen.
  5. Geben Sie im Textfeld Bekannte URL für die Konfiguration von OIDC (OIDC well-known config URL) die OIDC-Konfigurations-URL (OpenID Connect) für Ihren IDP ein. Das URL-Format für Okta lautet beispielsweise folgendermaßen: https://{oauth-provider-url}/.well-known/openid-configuration
  6. In der SD-WAN Orchestrator-Anwendung werden Endpoint-Details, wie z. B. Aussteller, Autorisierungs-Endpoint, Token-Endpoint und Benutzerinformations-Endpoint, für Ihren IDP automatisch befüllt.
  7. Geben Sie im Textfeld Client-ID (Client ID) die vom IDP bereitgestellte Client-ID ein.
  8. Geben Sie im Textfeld Geheimer Clientschlüssel (Client Secret) den vom IDP bereitgestellten Code des geheimen Client-Schlüssels ein, der vom Client zum Austauschen eines Autorisierungscodes für ein Token verwendet wird.
  9. Wählen Sie eine der folgenden Optionen aus, um die Rolle des Benutzers in SD-WAN Orchestrator zu ermitteln:
    • Standardrolle verwenden (Use Default Role) – Ermöglicht Benutzern die Konfiguration einer statischen Rolle als Standardwert mithilfe des Textfelds Standardrolle (Default Role), das bei Auswahl dieser Option angezeigt wird. Zu den unterstützten Rollen gehören: Operator-Superuser, Operator-Standardadministrator, Operator-Support und Operator-Business.
      Hinweis: Wenn bei der Einrichtung einer SSO-Konfiguration die Option Standardrolle verwenden (Use Default Role) ausgewählt wird und eine Standardbenutzerrolle definiert wird, wird allen SSO-Benutzern die angegebene Standardrolle zugewiesen. Anstatt einem Benutzer die Standardrolle zuzuweisen, kann ein Operator-Superuser einen bestimmten Benutzer im Vorhinein als einen nicht nativen Benutzer registrieren und eine bestimmte Benutzerrolle mithilfe der Registerkarte Operator-Benutzer (Operator Users) definieren. Schritte zum Konfigurieren eines neuen Operator-Benutzers finden Sie unter Erstellen eines neuen Operator-Benutzers.
    • Identitätsanbieterrollen verwenden (Use Identity Provider Roles) – Verwendet die in einem IDP eingerichteten Rollen.
  10. Geben Sie bei Auswahl der Option Identitätsanbieterrollen verwenden (Use Identity Provider Roles) im Textfeld Rollenattribut (Role Attribute) den Namen des im IDP festgelegten Attributs ein, um Rollen zurückzugeben.
  11. Ordnen Sie im Bereich Rollenzuordnung (Role Map) jeder SD-WAN Orchestrator-Rolle die vom IDP bereitgestellten Rollen zu und trennen Sie diese durch Kommas.
    Rollen in VMware CSP weisen folgendes Format auf: external/<service definition uuid>/<service role name mentioned during service template creation>.
  12. Aktualisieren Sie die zulässigen Weiterleitungs-URLs auf der Website des OIDC-Anbieters mit der SD-WAN Orchestrator-URL (https://<vco>/login/ssologin/openidCallback).
  13. Klicken Sie auf Änderungen speichern (Save Changes), um die SSO-Konfiguration zu speichern.
  14. Klicken Sie auf Konfiguration testen (Test Configuration), um die angegebene OIDC-Konfiguration (OpenID Connect) zu überprüfen.
    Der Benutzer wird an die Website des IDP weitergeleitet und kann dort die Anmeldedaten eingeben. Bei der Überprüfung des IDP und der erfolgreichen Umleitung an den SD-WAN Orchestrator-Testrückruf wird eine Meldung mit dem Hinweis auf eine erfolgreiche Validierung angezeigt.

Ergebnisse

Die Einrichtung der SSO-Authentifizierung ist in SD-WAN Orchestrator abgeschlossen.

Nächste Maßnahme

Melden Sie sich mithilfe von Single Sign-On bei SD-WAN Orchestrator an.