Führen Sie die Schritte in diesem Verfahren aus, um Single Sign-On (SSO)-Authentifizierung für Unternehmensbenutzer einzurichten.
Voraussetzungen
Stellen Sie sicher, dass Sie über die Berechtigung für Unternehmens-Superuser verfügen.
Stellen Sie vor dem Einrichten der SSO-Authentifizierung sicher, dass Sie Rollen, Benutzer und OpenID Connect (OIDC)-Anwendung für SD-WAN Orchestrator auf der Website Ihres bevorzugten Identitätsanbieters eingerichtet haben. Weitere Informationen finden Sie unter Konfigurieren eines Identitätsanbieters für Single Sign-On.
Prozedur
Melden Sie sich bei einer SD-WAN Orchestrator-Anwendung als Unternehmens-Superuser mit Ihren Anmeldedaten an.
Klicken Sie auf Verwaltung (Administration) > Systemeinstellungen (System Settings).
Der Bildschirm
Systemeinstellungen (System Settings) wird angezeigt.
Klicken Sie auf die Registerkarte Allgemeine Informationen (General Information) und geben Sie im Textfeld Domäne (Domain) den Domänennamen für Ihr Unternehmen ein, sofern er noch nicht festgelegt ist.
Hinweis: Um die SSO-Authentifizierung für die
SD-WAN Orchestrator-Instanz zu aktivieren, müssen Sie den Domänennamen für Ihr Unternehmen einrichten.
Klicken Sie auf die Registerkarte Authentifizierung (Authentication) und wählen Sie im Dropdown-Menü Authentifizierungsmodus (Authentication Mode) den Eintrag Single Sign-On aus.
Wählen Sie im Dropdown-Menü Identitätsanbietervorlage (Identity Provider template) den bevorzugten Identitätsanbieter (Identity Provider, IDP) aus, den Sie für Single Sign-On konfiguriert haben.
Hinweis: Wenn Sie VMwareCSP als bevorzugten Identitätsanbieter auswählen, stellen Sie sicher, dass Sie Ihre Organisations-ID im folgenden Format angeben:
/csp/gateway/am/api/orgs/<full organization ID>.
Wenn Sie sich bei der VMware CSP-Konsole anmelden, können Sie durch Klicken auf Ihren Benutzernamen die ID der Organisation anzeigen, bei der Sie angemeldet sind. Eine verkürzte Version der ID wird unter dem Organisationsnamen angezeigt. Klicken Sie auf die ID, um die vollständige Organisations-ID anzuzeigen.
Sie können Ihre eigenen IDPs auch manuell konfigurieren, indem Sie
Sonstige (Others) im Dropdown-Menü
Identitätsanbietervorlage (Identity Provider template) auswählen.
Geben Sie im Textfeld Bekannte URL für die Konfiguration von OIDC (OIDC well-known config URL) die OIDC-Konfigurations-URL (OpenID Connect) für Ihren IDP ein. Beispielsweise lautet das URL-Format für Okta: https://{oauth-provider-url}/.well-known/openid-configuration.
In der SD-WAN Orchestrator-Anwendung werden Endpoint-Details, wie z. B. Aussteller, Autorisierungs-Endpoint, Token-Endpoint und Benutzerinformations-Endpoint, für Ihren IDP automatisch befüllt.
Geben Sie im Textfeld Client-ID (Client ID) die vom IDP bereitgestellte Client-ID ein.
Geben Sie im Textfeld Geheimer Clientschlüssel (Client Secret) den vom IDP bereitgestellten Code des geheimen Client-Schlüssels ein, der vom Client zum Austauschen eines Autorisierungscodes für ein Token verwendet wird.
Wählen Sie eine der folgenden Optionen aus, um die Rolle des Benutzers in SD-WAN Orchestrator zu ermitteln:
Standardrolle verwenden (Use Default Role) – Ermöglicht Benutzern die Konfiguration einer statischen Rolle als Standardwert mithilfe des Textfelds Standardrolle (Default Role), das bei Auswahl dieser Option angezeigt wird. Zu den unterstützten Rollen gehören: Unternehmens-Superuser (Enterprise Superuser), Unternehmens-Standardadministrator (Enterprise Standard Admin), Unternehmenssupport (Enterprise Support) und Unternehmensbenutzer mit Lesezugriff (Enterprise Read Only).
Hinweis: Wenn bei der Einrichtung einer SSO-Konfiguration die Option
Standardrolle verwenden (Use Default Role) ausgewählt wird und eine Standardbenutzerrolle definiert wird, wird allen SSO-Benutzern die angegebene Standardrolle zugewiesen. Statt einen Benutzer mit der Standardrolle zuzuweisen, kann ein Standardadministrator-Superuser oder ein Standardadministrator einen bestimmten Benutzer im Vorhinein als nicht nativen Benutzer registrieren und eine bestimmte Benutzerrolle definieren, indem er auf die Registerkarte
Verwaltung (Administration) > Administratoren (Administrators) im Unternehmensportal klickt. Schritte zum Konfigurieren eines neuen Administratorbenutzers finden Sie unter
Erstellen von neuen Admin-Benutzern.
Identitätsanbieterrollen verwenden (Use Identity Provider Roles) – Verwendet die in einem IDP eingerichteten Rollen.
Geben Sie bei Auswahl der Option Identitätsanbieterrollen verwenden (Use Identity Provider Roles) im Textfeld Rollenattribut (Role Attribute) den Namen des im IDP festgelegten Attributs ein, um Rollen zurückzugeben.
Ordnen Sie im Bereich Rollenzuordnung (Role Map) jeder Enterprise-Benutzerrolle die vom IDP bereitgestellten Rollen zu und trennen Sie diese durch Kommas.
Rollen in VMware CSP weisen folgendes Format auf:
external/<service definition uuid>/<service role name mentioned during service template creation>.
Aktualisieren Sie die zulässigen Weiterleitungs-URLs auf der Website des OIDC-Anbieters mit der SD-WAN Orchestrator-URL (https://<Orchestrator URL>/login/ssologin/openidCallback).
Klicken Sie auf Änderungen speichern (Save Changes), um die SSO-Konfiguration zu speichern.
Klicken Sie auf Konfiguration testen (Test Configuration), um die eingegebene OIDC-Konfiguration (OpenID Connect) zu validieren.
Der Benutzer wird an die Website des IDP weitergeleitet und kann dort die Anmeldedaten eingeben. Nach der IDP-Verifizierung und erfolgreichen Weiterleitung zum
SD-WAN Orchestrator-Test-Callback wird eine erfolgreiche Validierungsmeldung angezeigt.
Ergebnisse
Die Einrichtung der SSO-Authentifizierung ist abgeschlossen.