Si desea configurar la autenticación de inicio de sesión único con SSO para los usuarios asociados, siga los pasos de este procedimiento.

Requisitos previos

  • Asegúrese de tener el permiso de superusuario asociado.
  • Antes de configurar la autenticación de SSO en SD-WAN Orchestrator, asegúrese de que se configuraron previamente las funciones, los usuarios y la aplicación de OpenID Connect (OIDC) para SD-WAN Orchestrator en el sitio web de su proveedor de identidad preferido. Para obtener más información, consulte Configurar un IDP para Single Sign-On.

Procedimiento

  1. Inicie sesión en la aplicación SD-WAN Orchestrator como superusuario asociado con sus credenciales de inicio de sesión.
  2. Haga clic en Configuración (Settings).
    Al realizar esta acción, aparece la pantalla Configuración de socios (Partner Settings).
  3. Haga clic en la pestaña Información general (General Information) y, en el cuadro de texto Dominio (Domain), introduzca el nombre de dominio del socio si aún no se ha indicado.
    Nota: Si desea habilitar la autenticación de SSO para SD-WAN Orchestrator, debe configurar el nombre de dominio del socio.
  4. Haga clic en la pestaña Autenticación (Authentication) y, en el menú desplegable Modo de autenticación (Authentication Mode), seleccione Inicio de sesión único (Single Sign-On).
  5. En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.
    Nota: Si selecciona VMwareCSP como IDP preferido, asegúrese de proporcionar el identificador de organización con el siguiente formato: /csp/gateway/am/api/orgs/<identificador de organización completo>.

    Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

    También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).
  6. En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato URL de Okta sería: https://{oauth-provider-url}/.well-known/openid-configuration.
  7. La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.
  8. En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.
  9. En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.
  10. Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:
    • Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: Superusuario MSP (MSP Superuser), Administrador estándar MSP (MSP Standard Admin), Soporte técnico MSP (MSP Support) y Empresa MSP (MSP Business).
      Nota: En una configuración de SSO, si se selecciona la opción Usar función predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario asociado puede registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica mediante la pestaña Administradores (Admins) del portal de socios. Para conocer los pasos para configurar un nuevo usuario administrador asociado, consulte Crear un nuevo administrador de socio.
    • Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.
  11. Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.
  12. En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de usuario de socio, separadas por comas.
    Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.
  13. Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<vCO>/login/ssologin/openidCallback).
  14. Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.
  15. Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) introducida.
    El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Una vez verificado el IDP y obtenida la devolución de llamada de la prueba sobre redireccionamiento correcto a SD-WAN Orchestrator, se mostrará un mensaje de validación correcta.

Resultados

Se completó la configuración de la autenticación de SSO en SD-WAN Orchestrator.

Qué hacer a continuación

Iniciar sesión en SD-WAN Orchestrator mediante el inicio de sesión único