La fonctionnalité d'authentification vous permet de définir le mode d'authentification d'un utilisateur d'entreprise.

Pour accéder à l'onglet Authentification (Authentication) :
  1. Dans le portail d'entreprise, accédez à Applications d'entreprise (Enterprise Applications) > Paramètres globaux (Global Settings).
  2. Dans le menu de gauche, cliquez sur Gestion des utilisateurs (User Management), puis cliquez sur l'onglet Authentification (Authentication). L'écran suivant s'affiche :

Jetons d'API (API Tokens)

Vous pouvez accéder aux API Orchestrator à l'aide de l'authentification basée sur les jetons, quel que soit le mode d'authentification. Vous pouvez afficher les jetons d'API émis pour les utilisateurs d'entreprise. Si nécessaire, vous pouvez révoquer les jetons d'API.

Par défaut, les jetons d'API sont activés. Pour les désactiver, accédez à Orchestrator > Propriétés système (System Properties) dans le portail opérateur et définissez la valeur de la propriété système session.options.enableApiTokenAuth sur Faux (False).
Note : L'administrateur d'entreprise doit supprimer manuellement les utilisateurs de fournisseur d'identité (IdP) inactifs d'Orchestrator pour empêcher tout accès non autorisé via un jeton d'API.
Options disponibles dans cette section :
Option Description
Rechercher (Search) Entrez un terme de recherche pour rechercher le texte correspondant dans le tableau. Utilisez l'option de recherche avancée pour affiner les résultats de la recherche.
Nouveau jeton d'API (New API Token) Cliquez pour créer un jeton d'API. Dans la fenêtre Nouveau jeton (New Token), entrez un Nom (Name) et une Description pour le jeton, puis choisissez Durée de vie (Lifetime) dans le menu déroulant. Cliquez sur Enregistrer (Save).
Révoquer le jeton d'API (Revoke API Token) Sélectionnez le jeton et cliquez sur cette option pour le révoquer. Seul un super utilisateur opérateur ou un utilisateur associé à un jeton d'API peut révoquer le jeton.
CSV Cliquez sur cette option pour télécharger la liste complète des jetons d'API au format de fichier .csv.
Colonnes (Columns) Cliquez sur cette option et sélectionnez les colonnes à afficher ou à masquer sur la page.
Actualiser (Refresh) Cliquez sur cette option pour actualiser la page afin d'afficher les données les plus récentes.

Pour plus d'informations sur la création et le téléchargement de jetons d'API, reportez-vous à la section Jetons d'API du Guide de l'opérateur de VMware SD-WAN.

Authentification de l'entreprise (Enterprise Authentication)

Sélectionnez l'un des modes d'authentification suivants :
  • Locale (Local) : il s'agit de l'option par défaut et elle ne nécessite aucune configuration supplémentaire.
  • Single Sign-On : Single Sign-On (SSO) est un service d'authentification utilisateur et de session qui permet aux utilisateurs SD-WAN Orchestrator de se connecter à SD-WAN Orchestrator avec un ensemble d'informations d'identification pour accéder à plusieurs applications. L'intégration du service SSO à SD-WAN Orchestrator améliore la sécurité de l'authentification utilisateur SD-WAN Orchestrator et permet à SD-WAN Orchestrator d'authentifier les utilisateurs à partir d'autres fournisseurs d'identité basés sur OpenID Connect (OIDC).
    Pour activer l'authentification unique Single Sign On (SSO) pour SD-WAN Orchestrator, vous devez configurer un fournisseur d'identité (IDP) avec les détails de SD-WAN Orchestrator. Les IDP suivants sont actuellement pris en charge. Cliquez sur chacun des liens suivants pour obtenir des instructions détaillées afin de configurer une application OpenID Connect (OIDC) pour SD-WAN Orchestrator dans différents IDP :
    Vous pouvez configurer les options suivantes lorsque vous sélectionnez le Mode d'authentification (Authentication Mode) comme Single Sign-on.
    Option Description
    Modèle de fournisseur d'identité (Identity Provider Template) Dans le menu déroulant, sélectionnez votre fournisseur d'identité (IDP) préféré que vous avez configuré pour Single Sign On.
    Note : Vous pouvez également configurer manuellement vos propres IDP en sélectionnant Autres (Others) dans le menu déroulant.
    ID de l'organisation (Organization Id) Ce champ n'est disponible que lorsque vous sélectionnez le modèle VMware CSP. Entrez l'ID de l'organisation fourni par l'IDP au format : /csp/gateway/am/api/orgs/<full organization ID>. Lorsque vous vous connectez à la Console VMware CSP (VMware CSP console), vous pouvez afficher l'ID d'organisation avec lequel vous êtes connecté en cliquant sur votre nom d'utilisateur. Une version abrégée de l'ID s'affiche sous le nom de l'organisation. Cliquez sur l'ID pour afficher l'ID d'organisation complet.
    URL de configuration connue d'OIDC (OIDC well-known config URL) Entrez l'URL de configuration d'OpenID Connect (OIDC) pour votre IDP. Par exemple, le format d'URL pour Okta est le suivant : https://{oauth-provider-url}/.well-known/openid-configuration.
    Émetteur (Issuer) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    Point de terminaison d'autorisation (Authorization Endpoint) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    Point de terminaison de jeton (Token Endpoint) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    URI de jeu de clés Web JSON (JSON Web KeySet URI) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    Point de terminaison d'informations utilisateur (User Information Endpoint) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    ID du client (Client ID) Entrez l'identifiant client fourni par votre IDP.
    Clé secrète client (Client Secret) Entrez le code secret client fourni par votre IDP, qui est utilisé par le client pour échanger un code d'autorisation pour un jeton.
    Étendues (Scopes) Ce champ est renseigné automatiquement selon votre IDP sélectionné.
    Type de rôle (Role Type) Sélectionnez l'une des deux options suivantes :
    • Utiliser le rôle par défaut (Use default role)
    • Utiliser les rôles de fournisseur d'identité (Use identity provider roles)
    Attribut de rôle (Role Attribute) Entrez le nom de l'attribut défini dans l'IDP pour renvoyer les rôles.
    Mappage des rôles d'entreprise (Enterprise Role Map) Mappez les rôles fournis par l'IDP à chacun des rôles d'utilisateur d'entreprise.

    Cliquez sur Mettre à jour (Update) pour enregistrer les valeurs entrées. La configuration de l'authentification SSO est terminée dans SD-WAN Orchestrator.

Authentification utilisateur

Vous pouvez choisir d'activer ou de désactiver la fonctionnalité Authentification à deux facteurs (Two factor authentication) pour l'utilisateur. L'option Réinitialisation du mot de passe en libre-service (Self service password reset) permet de modifier le mot de passe à l'aide d'un lien sur la page de connexion (Login).
Note : Cette fonctionnalité ne peut être activée que pour les utilisateurs dont les numéros de téléphone portable sont associés à leurs comptes d'utilisateur.

Clés SSH

Vous ne pouvez créer qu'une seule clé SSH par utilisateur. Cliquez sur l'icône Informations utilisateur (User Information) située en haut à droite de l'écran, puis cliquez sur Mon compte (My Account) > Clés SSH (Keys SSH) pour créer une clé SSH.

En tant que client, vous pouvez également révoquer une clé SSH.

Cliquez sur l'option Actualiser (Refresh) pour actualiser la section afin d'afficher les données les plus récentes.

Pour plus d'informations, reportez-vous à la section Ajouter une clé SSH.

Limites de sessions (Session Limits)

Note : Pour afficher cette section, un utilisateur opérateur doit accéder à Orchestrator > Propriétés système (System Properties) et définir la valeur de la propriété système session.options.enableSessionTracking sur Vrai (True).
Options disponibles dans cette section :
Option Description
Connexions simultanées (Concurrent logins) Vous permet de définir une limite sur les connexions simultanées par utilisateur. Par défaut, l'option Illimité (Unlimited) est sélectionnée, ce qui indique qu'un nombre illimité de connexions simultanées est autorisé pour l'utilisateur.
Limites de sessions pour chaque rôle (Limites de sessions pour chaque rôle) Vous permet de définir une limite sur le nombre de sessions simultanées en fonction du rôle d'utilisateur. Par défaut, l'option Illimité (Unlimited) est sélectionnée, ce qui indique qu'un nombre illimité de sessions est autorisé pour le rôle.
Note : Les rôles déjà créés par l'entreprise dans l'onglet Rôles (Roles) s'affichent dans cette section.

Cliquez sur Mettre à jour (Update) pour enregistrer les valeurs sélectionnées.