Les utilisateurs opérateurs disposant d'une autorisation de super utilisateur peuvent installer et configurer Single Sign On (SSO) dans SD-WAN Orchestrator. Pour configurer l'authentification SSO pour l'utilisateur opérateur, suivez les étapes de cette procédure.

Pour configurer Single Sign On pour un utilisateur opérateur :

Conditions préalables

  • Veillez à disposer de l'autorisation de super utilisateur opérateur.
  • Avant de configurer l'authentification SSO dans SD-WAN Orchestrator, vérifiez que vous avez configuré les rôles, les utilisateurs et l'application OpenID Connect (OIDC) pour SD-WAN Orchestrator sur le site Web de votre fournisseur d'identité préféré. Pour plus d'informations, reportez-vous à la section Configurer un IDP pour l'authentification unique.
Note : L'intégration SSO au niveau de la gestion des opérateurs d'une instance d'Orchestrator hébergée par VMware est réservée aux opérateurs TechOPS de VMware SD-WAN. Les partenaires disposant d'un accès au niveau de l'opérateur d'une instance d'Orchestrator hébergée n'ont pas la possibilité de s'intégrer à un service SSO.

Procédure

  1. Connectez-vous à l'application SD-WAN Orchestrator en tant que super utilisateur opérateur.
  2. Cliquez sur Authentification d'Orchestrator (Orchestrator Authentication).
    L'écran Configurer l'authentification (Configure Authentication) s'affiche.
  3. Dans le menu déroulant Mode d'authentification (Authentication Mode), sélectionnez SSO.
  4. Dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template), sélectionnez votre fournisseur d'identité (IDP) préféré que vous avez configuré pour Single Sign On.
    Note : Lorsque vous sélectionnez VMwareCSP comme fournisseur d'identité préféré, veillez à fournir votre ID d'organisation au format suivant : /csp/gateway/am/api/orgs/<ID d'organisation complet>.

    Lorsque vous vous connectez à la Console VMware CSP (VMware CSP console), vous pouvez afficher l'ID d'organisation avec lequel vous êtes connecté en cliquant sur votre nom d'utilisateur. Une version abrégée de l'ID s'affiche sous le nom de l'organisation. Cliquez sur l'ID pour afficher l'ID d'organisation complet.

    Vous pouvez également configurer manuellement vos propres fournisseurs d'identité en sélectionnant Autres (Others) dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template).
  5. Dans la zone de texte URL de configuration connue d'OIDC (OIDC well-known config URL), entrez l'URL de configuration OpenID Connect (OIDC) pour votre fournisseur d'identité. Par exemple, le format d'URL pour Okta est le suivant : https://{oauth-provider-url}/.well-known/openid-configuration
  6. L'application SD-WAN Orchestrator renseigne automatiquement les informations du point de terminaison, par exemple l'émetteur, le point de terminaison d'autorisation, le point de terminaison de jeton et le point de terminaison d'informations utilisateur de votre fournisseur d'identité.
  7. Dans la zone de texte ID de client (Client Id), entrez l'identifiant du client fourni par votre fournisseur d'identité.
  8. Dans la zone de texte Clé secrète client (Client Secret), entrez le code secret client fourni par votre fournisseur d'identité, qui est utilisé par le client pour échanger un code d'autorisation pour un jeton.
  9. Pour déterminer le rôle de l'utilisateur dans SD-WAN Orchestrator, sélectionnez l'une des options suivantes :
    • Utiliser le rôle par défaut (Use Default Role) : permet à l'utilisateur de configurer un rôle statique par défaut à l'aide de la zone de texte Rôle par défaut (Default Role) qui s'affiche en sélectionnant cette option. Les rôles pris en charge sont les suivants : Super utilisateur opérateur, Administrateur opérateur standard, Support opérateur et Activité opérateur.
      Note : Dans une configuration SSO, si l'option Utiliser le rôle par défaut (Use Default Role) est sélectionnée et qu'un rôle d'utilisateur par défaut est défini, ce rôle par défaut est attribué à tous les utilisateurs SSO. Plutôt que d'attribuer le rôle par défaut à un utilisateur, un super utilisateur opérateur peut préenregistrer un utilisateur spécifique en tant qu'utilisateur non natif et définir un rôle d'utilisateur spécifique à l'aide de l'onglet Utilisateurs opérateurs (Operator Users). Pour configurer un nouvel utilisateur opérateur, reportez-vous à la section Créer un utilisateur opérateur.
    • Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles) : utilise les rôles configurés dans le fournisseur d'identité.
  10. Lorsque vous sélectionnez l'option Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles), dans la zone de texte Attribut de rôle (Role Attribute), entrez le nom de l'attribut défini dans le fournisseur d'identité pour renvoyer les rôles.
  11. Dans la zone Mappage de rôle (Role Map), mappez les rôles fournis par le fournisseur d'identité à chacun des rôles d'utilisateur opérateur.
    Les rôles de VMware CSP suivent le format suivant : external/<uuid de définition de service>/<nom de rôle de service mentionné lors de la création du modèle de service>.
  12. Mettez à jour les URL de redirection autorisées sur le site Web du fournisseur OIDC avec URL de SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
  13. Pour enregistrer la configuration SSO, cliquez sur Enregistrer les modifications (Save Changes).
  14. Cliquez sur Tester la configuration (Test Configuration) pour valider la configuration OpenID Connect (OIDC) spécifiée.
    L'utilisateur accède au site Web du fournisseur d'identité et est autorisé à entrer les informations d'identification. Lors de la vérification du fournisseur d'identité et de la redirection réussie vers le rappel de test de SD-WAN Orchestrator, un message de validation réussi s'affiche.

Résultats

La configuration de l'authentification SSO est terminée dans SD-WAN Orchestrator.

Que faire ensuite

Connectez-vous à SD-WAN Orchestrator à l'aide de Single Sign On