Führen Sie die Schritte in diesem Verfahren aus, um die SSO-Authentifizierung (Single Sign-On) für Partner-Benutzer einzurichten.
Voraussetzungen
Stellen Sie sicher, dass Sie über die Berechtigung für Partner-Superuser verfügen.
Stellen Sie vor dem Einrichten der SSO-Authentifizierung in SD-WAN Orchestrator sicher, dass Sie Rollen, Benutzer und die OIDC-Anwendung (OpenID Connect) für SD-WAN Orchestrator auf der Website Ihres bevorzugten Identitätsanbieters eingerichtet haben. Weitere Informationen finden Sie unter Konfigurieren eines IDP für Single Sign-On.
Prozedur
Melden Sie sich bei der SD-WAN Orchestrator-Anwendung mit Ihren Anmeldedaten als Partner-Superuser an.
Klicken Sie auf Einstellungen (Settings).
Der Bildschirm
Partnereinstellungen (Partner Settings) wird angezeigt.
Klicken Sie auf die Registerkarte Allgemeine Informationen (General Information) und geben Sie im Textfeld Domäne (Domain) den Domänennamen für Ihren Partner ein, sofern er noch nicht festgelegt ist.
Hinweis: Um die SSO-Authentifizierung für den
SD-WAN Orchestrator zu aktivieren, müssen Sie den Domänennamen für Ihren Partner einrichten.
Klicken Sie auf die Registerkarte Authentifizierung (Authentication) und wählen Sie im Dropdown-Menü Authentifizierungsmodus (Authentication Mode) den Eintrag Single Sign-On aus.
Wählen Sie im Dropdown-Menü Identitätsanbietervorlage (Identity Provider template) den bevorzugten Identitätsanbieter (Identity Provider, IDP) aus, den Sie für Single Sign-On konfiguriert haben.
Hinweis: Wenn Sie VMwareCSP als bevorzugten IDP auswählen, müssen Sie Ihre Organisations-ID im folgenden Format angeben:
/csp/gateway/am/api/orgs/<vollständige Organisations-ID>.
Wenn Sie sich bei der VMware CSP-Konsole anmelden, können Sie durch Klicken auf Ihren Benutzernamen die ID der Organisation anzeigen, bei der Sie angemeldet sind. Eine verkürzte Version der ID wird unter dem Organisationsnamen angezeigt. Klicken Sie auf die ID, um die vollständige Organisations-ID anzuzeigen.
Sie können Ihre eigenen IDPs auch manuell konfigurieren, indem Sie
Sonstige (Others) im Dropdown-Menü
Identitätsanbietervorlage (Identity Provider template) auswählen.
Geben Sie im Textfeld Bekannte URL für die Konfiguration von OIDC (OIDC well-known config URL) die OIDC-Konfigurations-URL (OpenID Connect) für Ihren IDP ein. Das URL-Format für Okta lautet beispielsweise: https://{oauth-provider-url}/.well-known/openid-configuration.
In der SD-WAN Orchestrator-Anwendung werden Endpoint-Details, wie z. B. Aussteller, Autorisierungs-Endpoint, Token-Endpoint und Benutzerinformations-Endpoint, für Ihren IDP automatisch befüllt.
Geben Sie im Textfeld Client-ID (Client ID) die vom IDP bereitgestellte Client-ID ein.
Geben Sie im Textfeld Geheimer Clientschlüssel (Client Secret) den vom IDP bereitgestellten Code des geheimen Client-Schlüssels ein, der vom Client zum Austauschen eines Autorisierungscodes für ein Token verwendet wird.
Wählen Sie eine der folgenden Optionen aus, um die Rolle des Benutzers in SD-WAN Orchestrator zu ermitteln:
Standardrolle verwenden (Use Default Role) – Ermöglicht Benutzern die Konfiguration einer statischen Rolle als Standardwert mithilfe des Textfelds Standardrolle (Default Role), das bei Auswahl dieser Option angezeigt wird. Folgende Rollen werden unterstützt: MSP Superuser, MSP Standard Admin, MSP Support und MSP Business.
Hinweis: Wenn bei der Einrichtung einer SSO-Konfiguration die Option
Standardrolle verwenden (Use Default Role) ausgewählt wird und eine Standardbenutzerrolle definiert wird, wird allen SSO-Benutzern die angegebene Standardrolle zugewiesen. Anstatt einen Benutzer mit der Standardrolle zuzuweisen, kann ein Partner-Superuser einen bestimmten Benutzer im Vorhinein als nicht nativen Benutzer registrieren und über die Registerkarte
Admins im Partnerportal eine bestimmte Benutzerrolle definieren. Schritte zum Konfigurieren eines neuen Partner-Administratorbenutzers finden Sie unter
Erstellen eines neuen Partner-Admins.
Identitätsanbieterrollen verwenden (Use Identity Provider Roles) – Verwendet die in einem IDP eingerichteten Rollen.
Geben Sie bei Auswahl der Option Identitätsanbieterrollen verwenden (Use Identity Provider Roles) im Textfeld Rollenattribut (Role Attribute) den Namen des im IDP festgelegten Attributs ein, um Rollen zurückzugeben.
Ordnen Sie im Bereich Rollenzuordnung (Role Map) jeder Partnerbenutzerrolle die vom IDP bereitgestellten Rollen zu und trennen Sie diese durch Kommas.
Rollen in VMware CSP weisen folgendes Format auf:
external/<service definition uuid>/<service role name mentioned during service template creation>.
Aktualisieren Sie die zulässigen Weiterleitungs-URLs auf der Website des OIDC-Anbieters mit der SD-WAN Orchestrator-URL (https://<vco>/login/ssologin/openidCallback).
Klicken Sie auf Änderungen speichern (Save Changes), um die SSO-Konfiguration zu speichern.
Klicken Sie auf Konfiguration testen (Test Configuration), um die eingegebene OIDC-Konfiguration (OpenID Connect) zu validieren.
Der Benutzer wird an die Website des IDP weitergeleitet und kann dort die Anmeldedaten eingeben. Nach der IDP-Verifizierung und erfolgreichen Weiterleitung zum
SD-WAN Orchestrator-Test-Callback wird eine erfolgreiche Validierungsmeldung angezeigt.
Ergebnisse
Die Einrichtung der SSO-Authentifizierung ist in SD-WAN Orchestrator abgeschlossen.