Um VMware Cloud Services Platform (CSP) für Single Sign-On (SSO) zu konfigurieren, führen Sie die Schritte in diesem Verfahren aus.
Voraussetzungen
Melden Sie sich bei der VMware CSP-Konsole (Bereitstellungs- oder Produktionsumgebung) mit Ihrer VMware-Konto-ID an. Wenn Sie neu bei VMware Cloud sind und noch kein VMware-Konto haben, können Sie bei der Anmeldung ein Konto erstellen. Weitere Informationen finden Sie im Abschnitt „Anmelden bei VMware CSP“ in der Dokumentation Verwenden von VMware Cloud.
Der
VMware-Supportanbieter erstellt und teilt Folgendes:
Eine Diensteinladungs-URL, die für Ihre Kundenorganisation eingelöst werden muss
Eine Dienstdefinitions-UUID und ein Dienstrollenname, die für die Rollenzuordnung in Orchestrator verwendet werden sollen
Lösen Sie die Einladungs-URL für Ihre bestehende Kundenorganisation ein oder erstellen Sie eine neue Kundenorganisation, indem Sie die Schritte auf dem Benutzeroberflächen-Bildschirm befolgen.
Sie müssen ein Organisationsbesitzer sein, um die Diensteinladungs-URL für Ihre bestehende Kundenorganisation einzulösen.
Nachdem Sie die Einladung für den Dienst eingelöst haben, können Sie bei der Anmeldung bei der VMware CSP-Konsole die Anwendungskachel im Bereich Meine Dienste (My Services) auf der Seite VMware Cloud Services anzeigen.
Die Organisation, bei der Sie angemeldet sind, wird in der Menüleiste unter Ihrem Benutzernamen angezeigt. Notieren Sie sich die ID der Organisation, indem Sie auf Ihren Benutzernamen klicken, der bei der Konfiguration von Orchestrator verwendet werden soll. Eine verkürzte Version der ID wird unter dem Organisationsnamen angezeigt. Klicken Sie auf die ID, um die vollständige Organisations-ID anzuzeigen.
Melden Sie sich bei der VMware CSP-Konsole an und erstellen Sie eine OAuth-Anwendung. Die Schritte dazu finden Sie unter Verwenden von OAuth 2.0 für Web-Apps. Legen Sie den Umleitungs-URI unbedingt auf die im Bildschirm Authentifizierung konfigurieren (Configure Authentication) in Orchestrator angezeigte URL fest.
Nachdem die OAuth-Anwendung in der VMware CSP-Konsole erstellt wurde, notieren Sie sich die IDP-Integrationsdetails wie Client-ID und geheimen Clientschlüssel. Diese Details werden für die Konfiguration von SSO in Orchestrator benötigt.
Melden Sie sich bei Ihrer SASE Orchestrator-Anwendung als Super-Admin-Benutzer an und konfigurieren Sie SSO mithilfe der IDP-Integrationsdetails wie folgt:
Klicken Sie auf Verwaltung (Administration) > Benutzerverwaltung (User Management).
Hinweis: Um die SSO-Authentifizierung für die
SASE Orchestrator-Instanz zu aktivieren, müssen Sie den Domänennamen für Ihr Unternehmen einrichten.
Klicken Sie auf die Registerkarte Authentifizierung (Authentication) und wählen Sie im Dropdown-Menü Authentifizierungsmodus (Authentication Mode) den Eintrag SSO aus.
Wählen Sie im Dropdown-Menü Identitätsanbietervorlage (Identity Provider template) die Option VMwareCSP aus.
Geben Sie im Textfeld Organisations-ID (Organization Id) die Organisations-ID (die Sie in Schritt 3 notiert haben) im folgenden Format ein: /csp/gateway/am/api/orgs/<vollständige Organisations-ID>.
In der
SASE Orchestrator-Anwendung werden Endpoint-Details, wie z. B. Aussteller, Autorisierungs-Endpoint, Token-Endpoint und Benutzerinformations-Endpoint, für Ihren IDP automatisch befüllt.
Geben Sie im Textfeld Client-ID (Client Id) die Client-ID ein, die Sie im Schritt zur Erstellung der OAuth-Anwendung notiert haben.
Geben Sie im Textfeld Geheimer Clientschlüssel (Client Secret) den Code für den geheimen Clientschlüssel ein, den Sie im Schritt zur Erstellung der OAuth-Anwendung notiert haben.
Um die Rolle des Benutzers in SASE Orchestrator zu ermitteln, wählen Sie entweder Standardrolle verwenden (Use Default Role) oder Identitätsanbieterrollen verwenden (Use Identity Provider Roles) aus.
Geben Sie bei Auswahl der Option Identitätsanbieterrollen verwenden (Use Identity Provider Roles) im Textfeld Rollenattribut (Role Attribute) den Namen des Attributs ein, das in VMware CSP festgelegt ist, um Rollen zurückzugeben.
Ordnen Sie im Bereich Rollenzuordnung (Role Map) die von VMwareCSP bereitgestellten Rollen zu allen SASE Orchestrator-Rollen zu, die durch Kommas getrennt sind.
Rollen in VMware CSP haben folgendes Format: external/<Dienstdefinitions-UUID>/<Name der Dienstrolle, der bei der Erstellung der Dienstvorlage erwähnt wurde>. Verwenden Sie dieselbe Dienstdefinitions-UUID und denselben Dienstrollennamen, den Sie von Ihrem Supportanbieter erhalten haben.
Klicken Sie auf Änderungen speichern (Save Changes), um die SSO-Konfiguration zu speichern.
Klicken Sie auf Konfiguration testen (Test Configuration), um die eingegebene OIDC-Konfiguration (OpenID Connect) zu validieren.
Der Benutzer wird zur VMware CSP-Website geleitet und kann die Zugangsdaten eingeben. Nach der IDP-Verifizierung und erfolgreichen Weiterleitung zum
SASE Orchestrator-Test-Callback wird eine erfolgreiche Validierungsmeldung angezeigt.
Ergebnisse
Sie haben die Integration der SASE Orchestrator-Anwendung in VMware CSP für SSO abgeschlossen und können auf die SASE Orchestrator-Anwendung zugreifen, indem Sie sich bei der VMware CSP-Konsole anmelden.
Nächste Maßnahme
Verwalten Sie die Benutzer innerhalb der Organisation, indem Sie neue Benutzer hinzufügen und den Benutzern die entsprechende Rolle zuweisen. Weitere Informationen finden Sie im Abschnitt Identitäts- und Zugriffsverwaltung in der Dokumentation Verwenden von VMware Cloud.