Para configurar la autenticación de Single Sign On (SSO) de un usuario empresarial, realice los pasos de este procedimiento.

Requisitos previos

  • Asegúrese de tener el permiso de superusuario empresarial.
  • Antes de configurar la autenticación de SSO, asegúrese de haber configurado funciones, usuarios y la aplicación OpenID Connect (OIDC) para SD-WAN Orchestrator en el sitio web del proveedor de identidades preferido. Para obtener más información, consulte Configurar un IDP para Single Sign-On.

Procedimiento

  1. Inicie sesión en una aplicación de SD-WAN Orchestrator como superusuario empresarial con sus credenciales de inicio de sesión.
  2. Haga clic en Administración (Administration) > Configuración del sistema (System Settings).
    Se mostrará la pantalla Configuración del sistema (System Settings).
  3. Haga clic en la pestaña Información general (General Information) y, en el cuadro de texto Dominio (Domain), introduzca el nombre de dominio de su empresa, si aún no se estableció.
    Nota: Para habilitar la autenticación de SSO para SD-WAN Orchestrator, debe configurar el nombre de dominio de su empresa.
  4. Haga clic en la pestaña Autenticación (Authentication) y, en el menú desplegable Modo de autenticación (Authentication Mode), seleccione Inicio de sesión único (Single Sign-On).
  5. En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.
    Nota: Si selecciona VMware CSP como IDP preferido, asegúrese de proporcionar el identificador de la organización con el siguiente formato: /csp/gateway/am/api/orgs/<ID de organización completo>.

    Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

    También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).
  6. En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato de URL para Okta será: https://{oauth-provider-url}/.well-known/openid-configuration.
  7. La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.
  8. En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.
  9. En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.
  10. Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:
    • Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: Superusuario empresarial (Enterprise Superuser), Administrador estándar empresarial (Enterprise Standard Admin), Soporte empresarial (Enterprise Support) y Solo lectura empresarial (Enterprise Read Only).
      Nota: En una configuración de SSO, si se selecciona la opción Usar función predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario de administrador estándar o un administrador estándar pueden registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica. Para ello, debe hacer clic en Administración (Administration) > Administradores (Administrators) del portal de empresas. Para conocer los pasos para configurar un nuevo usuario administrador, consulte Crear un nuevo usuario administrador.
    • Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.
  11. Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.
  12. En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de usuario empresarial, separadas por comas.
    Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.
  13. Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<URL de Orchestrator>/login/ssologin/openidCallback).
  14. Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.
  15. Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) introducida.
    El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Una vez verificado el IDP y obtenida la devolución de llamada de la prueba sobre redireccionamiento correcto a SD-WAN Orchestrator, se mostrará un mensaje de validación correcta.

Resultados

Se completó la configuración de la autenticación de SSO.

Qué hacer a continuación

Iniciar sesión en SD-WAN Orchestrator mediante Single Sign-On.