Pour configurer l'authentification unique (Single Sign-On, SSO) pour l'utilisateur d'entreprise, suivez les étapes de cette procédure.
Conditions préalables
Assurez-vous de disposer de l'autorisation de super utilisateur d'entreprise.
Avant de configurer l'authentification unique, assurez-vous d'avoir configuré les rôles, les utilisateurs et l'application OpenID Connect (OIDC) pour SD-WAN Orchestrator sur le site Web de votre fournisseur d'identité préféré. Pour plus d'informations, reportez-vous à la section Configurer un fournisseur d'identité pour Single Sign On.
Procédure
Connectez-vous à une application SD-WAN Orchestrator en tant que super utilisateur d'entreprise à l'aide de vos informations d'identification.
Cliquez sur Administration > Paramètres système (System Settings).
L'écran
Paramètres système (System Settings) s'affiche.
Cliquez sur l'onglet Informations générales (General Information) et, dans la zone de texte Domaine (Domain), entrez le nom de domaine de votre entreprise, s'il n'est pas déjà défini.
Note : Pour activer l'authentification unique pour
SD-WAN Orchestrator, vous devez configurer le nom de domaine de votre entreprise.
Cliquez sur l'onglet Authentification (Authentication) et, dans le menu déroulant Mode d'authentification (Authentication Mode), sélectionnez Single Sign-On.
Dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template), sélectionnez votre fournisseur d'identité (IDP) préféré que vous avez configuré pour Single Sign On.
Note : Si vous sélectionnez VMwareCSP comme fournisseur d'identité préféré, veillez à indiquer votre ID d'organisation au format suivant :
/csp/gateway/am/api/orgs/<full organization ID>.
Lorsque vous vous connectez à la Console VMware CSP (VMware CSP console), vous pouvez afficher l'ID d'organisation avec lequel vous êtes connecté en cliquant sur votre nom d'utilisateur. Une version abrégée de l'ID s'affiche sous le nom de l'organisation. Cliquez sur l'ID pour afficher l'ID d'organisation complet.
Vous pouvez également configurer manuellement vos propres fournisseurs d'identité en sélectionnant
Autres (Others) dans le menu déroulant
Modèle de fournisseur d'identité (Identity Provider template).
Dans la zone de texte URL de configuration connue d'OIDC (OIDC well-known config URL), entrez l'URL de configuration OpenID Connect (OIDC) pour votre fournisseur d'identité. Par exemple, le format de l'URL d'Okta sera : https://{oauth-provider-url}/.well-known/openid-configuration.
L'application SD-WAN Orchestrator renseigne automatiquement les informations du point de terminaison, par exemple l'émetteur, le point de terminaison d'autorisation, le point de terminaison de jeton et le point de terminaison d'informations utilisateur de votre fournisseur d'identité.
Dans la zone de texte ID de client (Client Id), entrez l'identifiant du client fourni par votre fournisseur d'identité.
Dans la zone de texte Clé secrète client (Client Secret), entrez le code secret client fourni par votre fournisseur d'identité, qui est utilisé par le client pour échanger un code d'autorisation pour un jeton.
Pour déterminer le rôle de l'utilisateur dans SD-WAN Orchestrator, sélectionnez l'une des options suivantes :
Utiliser le rôle par défaut (Use Default Role) : permet à l'utilisateur de configurer un rôle statique par défaut à l'aide de la zone de texte Rôle par défaut (Default Role) qui s'affiche en sélectionnant cette option. Les rôles pris en charge sont les suivants : super utilisateur de l'entreprise, administrateur standard de l’entreprise, support de l'entreprise et lecture d'entreprise uniquement.
Note : Dans une configuration SSO, si l'option
Utiliser le rôle par défaut (Use Default Role) est sélectionnée et qu'un rôle d'utilisateur par défaut est défini, ce rôle par défaut est attribué à tous les utilisateurs SSO. Plutôt que d'attribuer le rôle par défaut à un utilisateur, un super utilisateur administrateur standard ou un administrateur standard peut préenregistrer un utilisateur spécifique en tant qu'utilisateur non natif et définir un rôle d'utilisateur spécifique en cliquant sur
Administration > onglet Administrateurs (Administrators) du portail de l'entreprise. Pour connaître les étapes de configuration d'un nouvel utilisateur administrateur, reportez-vous à la section
Créer un utilisateur Admin.
Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles) : utilise les rôles configurés dans le fournisseur d'identité.
Lorsque vous sélectionnez l'option Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles), dans la zone de texte Attribut de rôle (Role Attribute), entrez le nom de l'attribut défini dans le fournisseur d'identité pour renvoyer les rôles.
Dans la zone Mappage de rôle (Role Map), mappez les rôles fournis par le fournisseur d'identité à chacun des rôles d'utilisateur d'entreprise séparés par des virgules.
Les rôles de VMware CSP suivent le format suivant :
external/<uuid de définition de service>/<nom de rôle de service mentionné lors de la création du modèle de service>.
Mettez à jour les URL de redirection autorisées sur le site Web du fournisseur OIDC à l'aide de l'URL de SD-WAN Orchestrator (https://<Orchestrator URL>/login/ssologin/openidCallback).
Pour enregistrer la configuration SSO, cliquez sur Enregistrer les modifications (Save Changes).
Cliquez sur Tester la configuration (Test Configuration) pour valider la configuration OpenID Connect (OIDC) entrée.
L'utilisateur accède au site Web du fournisseur d'identité et est autorisé à entrer les informations d'identification. Lors de la vérification du fournisseur d'identité et de la redirection réussie vers le rappel de test
SD-WAN Orchestrator, un message signalant la réussite de la validation s'affiche.
Résultats
La configuration de l'authentification unique est terminée.