Cette section traite de la gestion des comptes utilisateur par les clients VMware SD-WAN via VMware Cloud Services Platform (CSP) en tant que fournisseur d'identité (IdP) pour l'authentification Single Sign-On (SSO).

Présentation

Les clients configurés pour utiliser l'authentification Single Sign-On (SSO) peuvent utiliser plusieurs fournisseurs d'identité (IdP) pour gérer leurs utilisateurs. Cette section traite du fournisseur d'identité de VMware : Cloud Services Platform (CSP).
Info-bulle : CSP est une plate-forme de gestion du cycle de vie commune à toutes les offres SaaS de VMware. Avec d'autres offres SaaS de VMware, CSP inclut l'intégration, l'authentification, la facturation, la commande, l'assistance et les notifications des clients. L'intégration de CSP à VMware SASE (y compris SD-WAN) dans la version 5.2.0 est limitée à l'authentification et à l'autorisation. Des intégrations supplémentaires sont prévues dans les versions ultérieures.

CSP consolide et simplifie la gestion des utilisateurs à travers plusieurs instances d'Orchestrator tout en s'intégrant avec les IdP qui prennent en charge SAML et OIDC, et fournit un point de contact unique pour assurer la conformité avec les réglementations gouvernementales.

Important : Les clients créés sur un dispositif Hôte Orchestrator version 5.2.0 qui ne sont pas attribués à un partenaire sont automatiquement configurés pour SSO à l'aide de CSP comme IdP. En conséquence :
  • Les nouveaux administrateurs sont créés par un administrateur disposant d'un rôle de super utilisateur via le portail CSP.
  • En cas de panne de CSP, le client est autorisé à utiliser un compte d'administrateur « break glass » avec une authentification locale (nom d'utilisateur/mot de passe) pour lui permettre d'accéder à son portail.
  • Les nouveaux clients directs devront utiliser l'authentification par jeton pour l'accès à l'API. Ils ne pourront pas utiliser l'authentification basée sur les cookies, car la création des utilisateurs est transférée à CSP.

Dans une version ultérieure de SD-WAN, VMware exigera que tous les clients utilisent un dispositif Orchestrator hébergé, qu'ils soient nouveaux ou existants, afin de configurer leur entreprise pour utiliser CSP comme IdP.

Les instances d'Orchestrator sur site ne sont pas soumises aux exigences CSP et leurs clients continueront à utiliser l'authentification basée sur Orchestrator.

Conditions préalables

Avant de pouvoir configurer votre compte SD-WAN sur VMware SASE Orchestrator qui lui a été attribué, vous devez d'abord acheter un SD-WAN.

Création d'une organisation de clients sur Cloud Services Platform

Une fois la commande de SD-WAN du client confirmée :
  1. VMware vous envoie un e-mail d'invitation semblable à celui illustré ci-dessous :

    Ce mail contient un lien vers le dispositif Orchestrator que vous utiliserez pour gérer votre entreprise, ainsi qu'un lien (link) pour créer votre organisation sur CSP.
    Note : Les détails de votre domaine client constituent la base de votre compte client sur Orchestrator, et déterminent l'instance d'Orchestrator à laquelle votre entreprise sera attribuée en fonction de votre géolocalisation.
  2. Dans la partie « Suivez ce lien pour configurer votre compte CSP » (Follow this link to setup your CSP account), cliquez sur le lien (link) pour configurer votre organisation CSP.
  3. Vous serez redirigé vers le site CSP où vous allez configurer votre compte CSP. Il peut s'agir d'une organisation existante ou d'une nouvelle organisation.
  4. Sous Organisation (Organization) > Détails (Details), configurez les détails de votre compte, y compris l'identifiant de l'organisation que VMware SASE vous a fourni lors de votre commande.
    Important : Lors de l'intégration du client CSP, vous devez fournir une adresse physique. En outre, le nom de domaine de votre client sera validé avant la configuration de la fédération.
    Cliquez ensuite sur l'onglet Organisation (Organization) > Applications OAuth (OAuth Apps) pour configurer les Domaines liés au fournisseur d'identité (Domains Linked to Identity Provider) ainsi que les autres champs et options de cette page.

  5. Une fois que vous avez terminé la configuration de votre organisation CSP, vous pouvez ajouter de nouveaux utilisateurs à celle-ci.

Ajouter des utilisateurs à votre organisation CSP

  1. Cliquez sur l'onglet Gestion des identités et des accès (Identity & Access Management) dans la page VMware Cloud Services, cliquez sur Utilisateurs actifs (Active Users), puis sur Ajouter de nouveaux utilisateurs (Add New Users).

  2. Sur la page Ajouter de nouveaux utilisateurs (Add New Users), vous pouvez ajouter de nouveaux utilisateurs par adresse e-mail. Deux rôles devront être attribués aux utilisateurs :
    1. Attribuez-leur un ou plusieurs Rôles d'organisation (Organization Role). Il s'agit de leur rôle au sein de l'organisation CSP.
    2. Attribuez-leur un Rôle de services. Il s'agit de leur rôle lorsqu'ils sont connectés à Orchestrator.
  3. Une fois que tous les rôles ont été configurés, cliquez sur AJOUTER (ADD) pour ajouter ces utilisateurs à votre organisation CSP.

Connexion à SASE Orchestrator à l'aide de CSP

Toute personne ajoutée en tant qu'utilisateur à l'étape précédente peut désormais se connecter à son entreprise sur SASE Orchestrator. Pour se connecter à Orchestrator :
  1. Accédez à la page de connexion d'Orchestrator en vous référant à l'email d'invitation que vous avez reçu et cliquez sur l'URL dans la section mise en surbrillance ci-dessous :

  2. Dans l'écran de connexion d'Orchestrator, cliquez sur CONNECTEZ-VOUS AVEC VOTRE FOURNISSEUR D'IDENTITÉ (SIGN IN WITH YOUR IDENTITY PROVIDER).

  3. Sur la page Se connecter à l'aide d'un fournisseur d'identité (Sign in using Identity Provider), entrez le domaine de votre compte, puis cliquez sur SE CONNECTER (SIGN IN).

  4. Vous serez alors redirigé vers CSP.

  5. Dans l'écran de connexion de CSP, entrez votre adresse e-mail et cliquez sur SUIVANT (NEXT).

    Note : L'authentification à deux facteurs (2FA) est effectuée à l'aide de Google Authenticator. Twilio n'est pas utilisé pour les nouveaux clients directs.
  6. Une connexion réussie avec votre compte CSP vous redirigera vers la page d'accueil de votre entreprise sur Orchestrator. La vue correspondra à celle qui vous a été attribuée dans CSP.

Ressources supplémentaires

Pour plus d'informations sur l'utilisation de CSP en tant que fournisseur d'identité dans VMware SD-WAN, reportez-vous à la section Configurer VMware CSP pour l'authentification unique.

Pour plus d'informations sur l'ajout de nouveaux utilisateurs sur Cloud Services Platform, reportez-vous à la section Utilisation de la console VMware Cloud Services - Gestion des identités et des accès.