La función Autenticación (Authentication) permite establecer el modo de autenticación para un usuario empresarial y ver los tokens de API existentes.

Para acceder a la pestaña Autenticación (Authentication):
  1. En el portal de empresas, en la barra de navegación global, expanda el menú desplegable Aplicaciones empresariales (Enterprise Applications).
  2. Seleccione el servicio Configuración global (Global Settings).
  3. En el menú de la izquierda, haga clic en Administración de usuarios (User Management) y, a continuación, haga clic en la pestaña Autenticación (Authentication). Se mostrará la pantalla siguiente:

Tokens de API

Puede acceder a las API de Orchestrator mediante la autenticación basada en token, independientemente del modo de autenticación. Puede ver los tokens de API emitidos para los usuarios empresariales. Si es necesario, puede revocar los tokens de API.

De forma predeterminada, los tokens de API están activados. Si desea desactivarlos, póngase en contacto con el operador.
Nota: El administrador empresarial debe eliminar manualmente los usuarios del proveedor de identidad (IdP) inactivos de Orchestrator para evitar el acceso no autorizado a través del token de API.
Las siguientes son las opciones disponibles en esta sección:
Opción Descripción
Buscar (Search) Introduzca un término de búsqueda para buscar el texto que coincide en la tabla. Utilice la opción de búsqueda avanzada para delimitar los resultados de la búsqueda.
Revocar token de API (Revoke API Token) Seleccione el token y haga clic en esta opción para revocarlo. Solo un superusuario operador o el usuario asociado a un token de API pueden revocar el token.
CSV Haga clic en esta opción para descargar la lista completa de tokens de API en formato de archivo .csv.
Columnas (Columns) Haga clic y seleccione las columnas que se mostrarán o se ocultarán en la página.
Actualizar (Refresh) Haga clic para actualizar la página y mostrar los datos más recientes.

Para obtener información sobre cómo crear y descargar tokens de API, consulte Tokens de API.

Autenticación empresarial

Seleccione uno de los siguientes modos de autenticación:
  • Local: esta es la opción predeterminada y no requiere ninguna configuración adicional.
  • Inicio de sesión único (Single Sign-On): el inicio de sesión único (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios iniciar sesión en varias aplicaciones y sitios web con un único conjunto de credenciales. La integración de un servicio de SSO con SASE Orchestrator permite a SASE Orchestrator autenticar usuarios de proveedores de identidad (IdP) basados en OpenID Connect (OIDC).

    Para obtener información sobre cómo configurar el SSO para el usuario empresarial, consulte Configuración empresarial.

    Para habilitar el inicio de sesión único (SSO) para SASE Orchestrator, debe introducir los detalles de la aplicación Orchestrator en el proveedor de identidad (IdP). Haga clic en cada uno de los siguientes vínculos para obtener instrucciones paso a paso para configurar los siguientes IDP compatibles:
    Puede configurar las siguientes opciones cuando seleccione el Modo de autenticación (Authentication Mode) como Inicio de sesión único (Single Sign-on).
    Opción Descripción
    Plantilla de proveedor de identidad (Identity Provider Template) En el menú desplegable, seleccione el proveedor de identidad (IdP) preferido que haya configurado para el Inicio de sesión único (Single Sign-On). Esta acción rellenará previamente los campos específicos de su IdP.
    Nota: También puede configurar manualmente sus propios IdP seleccionando Otros (Others) en el menú desplegable.
    Identificador de organización (Organization Id) Este campo solo está disponible cuando se selecciona la plantilla de VMware CSP. Introduzca el ID de organización proporcionado por el IdP con el formato: /csp/gateway/am/api/orgs/<full organization ID>. Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Esta información también aparece en los detalles de la organización. Utilice el "Identificador de organización largo" (Long Organization ID).
    URL de configuración conocida de OIDC (OIDC well-known config URL) Introduzca la URL de configuración de OpenID Connect (OIDC) para el proveedor de identidad. Por ejemplo, el formato de la URL de Okta será: https://{oauth-provider-url}/.well-known/openid-configuration.
    Emisor de problemas (Issuer) Este campo se rellena automáticamente en función de los IdP seleccionados.
    Endpoint de autorización (Authorization Endpoint) Este campo se rellena automáticamente en función de los IdP seleccionados.
    Endpoint de token (Token Endpoint) Este campo se rellena automáticamente en función de los IdP seleccionados.
    URI de conjunto de claves web de JSON (JSON Web KeySet URI) Este campo se rellena automáticamente en función de los IdP seleccionados.
    Endpoint de información del usuario (User Information Endpoint) Este campo se rellena automáticamente en función de los IdP seleccionados.
    Identificador de cliente (Client ID) Introduzca el identificador de cliente proporcionado por el proveedor de identidad.
    Secreto de cliente (Client Secret) introduzca el código secreto de cliente proporcionado por el IdP, que el cliente utiliza para intercambiar un código de autorización para un token.
    Ámbitos (Scopes) Este campo se rellena automáticamente en función de los IdP seleccionados.
    Tipo de función (Role Type) Seleccione una de las siguientes dos opciones:
    • Usar función predeterminada (Use default role)
    • Usar funciones de proveedor de identidad
    Atributo de función (Role Attribute) Introduzca el nombre del atributo establecido en el IdP para devolver las funciones.
    Asignación de función empresarial Asigne las funciones proporcionadas por el IdP a cada una de las funciones de usuario empresarial.

    Haga clic en Actualizar (Update) para guardar los valores introducidos. Se completó la configuración de la autenticación de SSO en SASE Orchestrator.

Autenticación de usuario

Puede activar o desactivar la función Autenticación en dos fases (Two factor authentication) para el usuario. Restablecimiento de contraseña de autoservicio (Self service password reset) permite cambiar la contraseña mediante un vínculo en la página de inicio de sesión.
Nota: Esta función solo se puede activar para aquellos usuarios cuyos números de teléfono móvil estén asociados a sus cuentas de usuario.

Límites de sesión

Nota: Para ver esta sección, un usuario operador debe ir a Orchestrator > Propiedades del sistema (System Properties) y establecer el valor de la propiedad del sistema session.options.enableSessionTracking en Verdadero (True).
Las siguientes son las opciones disponibles en esta sección:
Opción Descripción
Inicios de sesión simultáneos (Concurrent logins) Permite establecer un límite de inicios de sesión simultáneos para un usuario. De forma predeterminada, se selecciona la opción Sin límite (Unlimited), lo cual indica que se permiten inicios de sesión simultáneos para el usuario.
Límites de sesión para cada función (Session limits for each role) Permite establecer un límite para el número de sesiones simultáneas en base a la función del usuario. De forma predeterminada, se selecciona la opción Sin límite (Unlimited), lo cual indica que se permiten sesiones ilimitadas para la función.
Nota: En esta sección se muestran las funciones que ya creó el usuario empresarial en la pestaña Funciones (Roles).

Haga clic en Actualizar (Update) para guardar los valores seleccionados.