Los usuarios operadores con permiso de superusuario pueden configurar el inicio de sesión único (SSO) en SD-WAN Orchestrator. Para configurar la autenticación de SSO para el usuario operador, realice los pasos de este procedimiento.

Para configurar el inicio de sesión único para un usuario operador:

Requisitos previos

  • Asegúrese de tener permiso de superusuario operador.
  • Antes de configurar la autenticación de SSO en SD-WAN Orchestrator, asegúrese de haber configurado las funciones, los usuarios y la aplicación OIDC (OpenID Connect) para SD-WAN Orchestrator en el sitio web del proveedor de identidades preferido. Para obtener más información, consulte Configurar un IDP para Single Sign On.
Nota: La integración de SSO en el nivel de administración del operador de una instancia de Orchestrator alojada en VMware está reservada a los operadores técnicos de VMware SD-WAN. Los socios con acceso de nivel operador de un Orchestrator alojado no tienen la opción de integrarse en un servicio de SSO.

Procedimiento

  1. Inicie sesión en la aplicación SD-WAN Orchestrator como superusuario operador.
  2. Haga clic en Autenticación de Orchestrator (Orchestrator Authentication).
    Aparecerá la pantalla Configurar autenticación (Configure Authentication).
  3. En el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.
  4. En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.
    Nota: Cuando seleccione VMwareCSP como IDP preferido, asegúrese de proporcionar el identificador de la organización con el siguiente formato: /csp/gateway/am/api/orgs/<ID organización completo>.

    Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

    También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).
  5. En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato de la URL de Okta será: https://{oauth-provider-url}/.well-known/openid-configuration
  6. La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.
  7. En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.
  8. En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.
  9. Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:
    • Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: superusuario operador, administrador estándar de operador, soporte técnico de operador y empresa de operador.
      Nota: En una configuración de SSO, si se selecciona la opción Usar función predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario operador puede registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica mediante la pestaña Usuarios operadores (Operator Users). Para configurar un nuevo usuario operador, consulte Crear un nuevo usuario operador.
    • Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.
  10. Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.
  11. En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de usuario operador, separadas por comas.
    Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.
  12. Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
  13. Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.
  14. Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) especificada.
    El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Tras la verificación de IDP y el redireccionamiento correcto a la devolución de llamada de prueba de SD-WAN Orchestrator, se muestra un mensaje de validación correcto.

Resultados

Se completó la configuración de la autenticación de SSO en SD-WAN Orchestrator.

Qué hacer a continuación

Iniciar sesión en SD-WAN Orchestrator mediante el inicio de sesión único