Pour configurer l'authentification unique (Single Sign-On, SSO) pour l'utilisateur partenaire, suivez les étapes de cette procédure.
Conditions préalables
Assurez-vous que vous disposez de l'autorisation de super utilisateur partenaire.
Avant de configurer l'authentification SSO dans SD-WAN Orchestrator, vérifiez que vous avez configuré les rôles, les utilisateurs et l'application OpenID Connect (OIDC) pour SD-WAN Orchestrator sur le site Web de votre fournisseur d'identité préféré. Pour plus d'informations, reportez-vous à la section Configurer un IDP pour l'authentification unique.
Procédure
Connectez-vous à l'application SD-WAN Orchestrator en tant que super utilisateur partenaire, avec vos informations d'identification de connexion.
Cliquez sur Paramètres (Settings).
L'écran
Paramètres du partenaire (Partner Settings) s'affiche.
Cliquez sur l'onglet Informations générales (General Information) et, dans la zone de texte Domaine (Domain), entrez le nom de domaine de votre partenaire, s'il n'est pas déjà défini.
Note : Pour activer l'authentification SSO pour
SD-WAN Orchestrator, vous devez configurer le nom de domaine de votre partenaire.
Cliquez sur l'onglet Authentification (Authentication) et, dans le menu déroulant Mode d'authentification (Authentication Mode), sélectionnez Single Sign-On.
Dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template), sélectionnez votre fournisseur d'identité (IDP) préféré que vous avez configuré pour Single Sign On.
Note : Lorsque vous sélectionnez VMware CSP comme fournisseur d'identité préféré, veillez à fournir votre ID d'organisation au format suivant :
/csp/gateway/am/api/orgs/<ID d'organisation complet>.
Lorsque vous vous connectez à la Console VMware CSP (VMware CSP console), vous pouvez afficher l'ID d'organisation avec lequel vous êtes connecté en cliquant sur votre nom d'utilisateur. Une version abrégée de l'ID s'affiche sous le nom de l'organisation. Cliquez sur l'ID pour afficher l'ID d'organisation complet.
Vous pouvez également configurer manuellement vos propres fournisseurs d'identité en sélectionnant
Autres (Others) dans le menu déroulant
Modèle de fournisseur d'identité (Identity Provider template).
Dans la zone de texte URL de configuration connue d'OIDC (OIDC well-known config URL), entrez l'URL de configuration OpenID Connect (OIDC) pour votre fournisseur d'identité. Par exemple, le format d'URL pour Okta sera : https://{oauth-provider-url}/.well-known/openid-configuration.
L'application SD-WAN Orchestrator renseigne automatiquement les informations du point de terminaison, par exemple l'émetteur, le point de terminaison d'autorisation, le point de terminaison de jeton et le point de terminaison d'informations utilisateur de votre fournisseur d'identité.
Dans la zone de texte ID de client (Client Id), entrez l'identifiant du client fourni par votre fournisseur d'identité.
Dans la zone de texte Clé secrète client (Client Secret), entrez le code secret client fourni par votre fournisseur d'identité, qui est utilisé par le client pour échanger un code d'autorisation pour un jeton.
Pour déterminer le rôle de l'utilisateur dans SD-WAN Orchestrator, sélectionnez l'une des options suivantes :
Utiliser le rôle par défaut (Use Default Role) : permet à l'utilisateur de configurer un rôle statique par défaut à l'aide de la zone de texte Rôle par défaut (Default Role) qui s'affiche en sélectionnant cette option. Les rôles pris en charge sont les suivants : Super utilisateur MSP (MSP Superuser), Administrateur standard MSP (MSP Standard Admin), Support MSP (MSP Support) et Activité MSP (MSP Business).
Note : Dans une configuration SSO, si l'option
Utiliser le rôle par défaut (Use Default Role) est sélectionnée et qu'un rôle d'utilisateur par défaut est défini, ce rôle par défaut est attribué à tous les utilisateurs SSO. Au lieu d'attribuer le rôle par défaut à un utilisateur, un super utilisateur partenaire peut pré-enregistrer un utilisateur spécifique en tant qu'utilisateur non natif et définir un rôle d'utilisateur spécifique dans l'onglet
Administrateurs (Admins) du portail partenaire. Pour obtenir les étapes de configuration d'un nouvel utilisateur administrateur partenaire, reportez-vous à la section
Créer un administrateur partenaire.
Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles) : utilise les rôles configurés dans le fournisseur d'identité.
Lorsque vous sélectionnez l'option Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles), dans la zone de texte Attribut de rôle (Role Attribute), entrez le nom de l'attribut défini dans le fournisseur d'identité pour renvoyer les rôles.
Dans la zone Mappage de rôle (Role Map), mappez les rôles fournis par le fournisseur d'identité à chacun des rôles d'utilisateur partenaire séparés par des virgules.
Les rôles de VMware CSP suivent le format suivant :
external/<uuid de définition de service>/<nom de rôle de service mentionné lors de la création du modèle de service>.
Mettez à jour les URL de redirection autorisées dans le site Web du fournisseur OIDC avec l'URL de SD-WAN Orchestrator ( https://<vco>/login/ssologin/openidCallback ).
Pour enregistrer la configuration SSO, cliquez sur Enregistrer les modifications (Save Changes).
Cliquez sur Tester la configuration (Test Configuration) pour valider la configuration OpenID Connect (OIDC) entrée.
L'utilisateur accède au site Web du fournisseur d'identité et est autorisé à entrer les informations d'identification. Lors de la vérification du fournisseur d'identité et de la redirection réussie vers le rappel de test
SD-WAN Orchestrator, un message signalant la réussite de la validation s'affiche.
Résultats
La configuration de l'authentification SSO est terminée dans SD-WAN Orchestrator.