En tant qu'opérateur, vous pouvez ajouter ou modifier les valeurs des propriétés système.

Les tableaux suivants décrivent certaines des propriétés système. En tant qu'opérateur, vous pouvez définir les valeurs de ces propriétés.

Tableau 1. E-mails d'alerte
Propriété système Description
vco.alert.mail.to

Lorsqu'une alerte est déclenchée, une notification est immédiatement envoyée à la liste des adresses e-mail fournies dans le champ Valeur (Value) de cette propriété système. Vous pouvez entrer plusieurs ID d'e-mail séparés par des virgules.

Si la propriété ne contient aucune valeur, la notification n'est pas envoyée.

La notification est conçue pour alerter le personnel en charge du support ou des opérations de VMware des problèmes imminents avant d'en informer le client.

vco.alert.mail.cc Lorsque des e-mails d'alerte sont envoyés à un client, une copie est envoyée aux adresses e-mail indiquées dans le champ Valeur (Value) de cette propriété système. Vous pouvez entrer plusieurs ID d'e-mail séparés par des virgules.
mail.* Plusieurs propriétés système sont disponibles pour contrôler les e-mails d'alerte. Vous pouvez définir les paramètres de messagerie tels que les propriétés SMTP, le nom d'utilisateur, le mot de passe, etc.
Tableau 2. Alertes (Alerts)
Propriété système Description
vco.alert.enable Active ou désactive globalement la génération d'alertes pour les opérateurs et les clients d'entreprise.
vco.enterprise.alert.enable Active ou désactive globalement la génération d'alertes pour les clients d'entreprise.
vco.operator.alert.enable Active ou désactive globalement la génération d'alertes pour les opérateurs.
Tableau 3. Configuration du dispositif Orchestrator de bastion
Propriété système Description
session.options.enableBastionOrchestrator Active la fonctionnalité du dispositif Orchestrator de bastion.

Pour plus d'informations, reportez-vous au Guide de configuration du dispositif Orchestrator de bastion disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

vco.bastion.private.enable Permet à Orchestrator d'être le dispositif Orchestrator privé de la paire de bastions.
vco.bastion.public.enable Permet à Orchestrator d'être le dispositif Orchestrator public de la paire de bastions.
Tableau 4. Autorité de certification
Propriété système Description
edge.certificate.renewal.window Cette propriété système facultative permet à l'opérateur de définir une ou plusieurs fenêtres de maintenance au cours desquelles le renouvellement du certificat du dispositif Edge est activé. Les certificats planifiés pour le renouvellement en dehors des fenêtres sont différés jusqu'à ce que l'heure actuelle s'affiche dans l'une des fenêtres activées.

Activer la propriété système :

Pour activer cette propriété système, entrez « true » pour « enabled » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de la première partie de cette propriété système, lorsqu'elle est activée, s'affiche ci-dessous.

Les opérateurs peuvent définir plusieurs fenêtres pour limiter les jours et les heures du jour durant lesquels les renouvellements du dispositif Edge sont activés. Vous pouvez définir chaque fenêtre selon un jour ou une liste de jours (séparés par une virgule) et des heures de début et de fin. Vous pouvez spécifier les heures de début et de fin par rapport au fuseau horaire local d'un dispositif Edge ou par rapport à l'heure UTC. Reportez-vous à l'image ci-dessous à titre d'exemple.

Note : Si les attributs sont absents, la valeur par défaut est activée « false ».
Lors de la définition des attributs de fenêtres, respectez les points suivants :
  • Utilisez les fuseaux horaires IANA, et non PDT ou PST (par exemple, Amérique/Los_Angeles). Pour plus d'informations, reportez-vous à la section https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Utilisez UTC pour les jours (par exemple, SAM, DIM).
    • Séparés par une virgule.
    • Jours en trois lettres en anglais.
    • Non sensible à la casse.
  • Utilisez le format de l'heure militaire 24 heures uniquement (HH:MM) pour les heures de début (par exemple, 01:30) et les heures de fin (par exemple, 05:30).

Si les valeurs susmentionnées sont manquantes, les valeurs par défaut des attributs dans chaque définition de fenêtre sont les suivantes :

  • Si le paramètre « enabled » est manquant, la valeur par défaut = false.
  • Si le paramètre « timezone » est manquant, la valeur par défaut = « local ».
  • Si l'un des paramètres « days » ou les heures de début et de fin sont manquants, les valeurs par défaut sont les suivantes :
    • Si le paramètre « days » est manquant, le début ou la fin est appliqué à chaque jour de la semaine (lun, mar, mer, jeu, ven, sam, dim).
    • Si les heures de début et de fin sont manquantes, n'importe quelle heure du jour spécifié correspond (début = 00:00 et fin = 23:59).
    • REMARQUE : l'un des paramètres « days » ou les heures de début et de fin doivent être présents. S'ils sont toutefois manquants, les valeurs par défaut sont indiquées ci-dessus.

Désactiver la propriété système :

Cette propriété système est désactivée par défaut, ce qui signifie que le certificat est renouvelé automatiquement après son expiration. Le paramètre « enabled » est défini sur « false » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de cette propriété, lorsqu'elle est désactivée, s'affiche ci-dessous.

{

« enabled » : false,

« windows » : [

{

REMARQUE : cette propriété système nécessite l'activation de PKI.

gateway.certificate.renewal.window Cette propriété système facultative permet à l'opérateur de définir une ou plusieurs fenêtres de maintenance au cours desquelles le renouvellement du certificat de la passerelle est activé. Les certificats planifiés pour le renouvellement en dehors des fenêtres sont différés jusqu'à ce que l'heure actuelle s'affiche dans l'une des fenêtres activées.

Activer la propriété système :

Pour activer cette propriété système, entrez « true » pour « enabled » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Reportez-vous à l'image ci-dessous à titre d'exemple.

Les opérateurs peuvent définir plusieurs fenêtres pour limiter les jours et les heures du jour durant lesquels les renouvellements du dispositif Edge sont activés. Vous pouvez définir chaque fenêtre selon un jour ou une liste de jours (séparés par une virgule) et des heures de début et de fin. Vous pouvez spécifier les heures de début et de fin par rapport au fuseau horaire local d'un dispositif Edge ou par rapport à l'heure UTC. Reportez-vous à l'image ci-dessous à titre d'exemple.

Note : Si les attributs sont absents, la valeur par défaut est activée « false ».
Lors de la définition des attributs de fenêtres, respectez les points suivants :
  • Utilisez les fuseaux horaires IANA, et non PDT ou PST (par exemple, Amérique/Los_Angeles). Pour plus d'informations, reportez-vous à la section https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Utilisez UTC pour les jours (par exemple, SAM, DIM).
    • Séparés par une virgule.
    • Jours en trois lettres en anglais.
    • Non sensible à la casse.
  • Utilisez le format de l'heure militaire 24 heures uniquement (HH:MM) pour les heures de début (par exemple, 01:30) et les heures de fin (par exemple, 05:30).

Si les valeurs susmentionnées sont manquantes, les valeurs par défaut des attributs dans chaque définition de fenêtre sont les suivantes :

  • Si le paramètre « enabled » est manquant, la valeur par défaut = false.
  • Si le paramètre « timezone » est manquant, la valeur par défaut = « local ».
  • Si l'un des paramètres « days » ou les heures de début et de fin sont manquants, les valeurs par défaut sont les suivantes :
    • Si le paramètre « days » est manquant, le début ou la fin est appliqué à chaque jour de la semaine (lun, mar, mer, jeu, ven, sam, dim).
    • Si les heures de début et de fin sont manquantes, n'importe quelle heure du jour spécifié correspond (début = 00:00 et fin = 23:59).
    • REMARQUE : l'un des paramètres « days » ou (fin et début) doivent être présents. S'ils sont toutefois manquants, les valeurs par défaut sont indiquées ci-dessus.

Désactiver la propriété système :

Cette propriété système est désactivée par défaut, ce qui signifie que le certificat est renouvelé automatiquement après son expiration. Le paramètre « enabled » est défini sur « false » dans la première partie de la zone de texte Valeur (Value) dans la boîte de dialogue Modifier la propriété système (Modify System Property). Un exemple de cette propriété, lorsqu'elle est désactivée, s'affiche ci-dessous.

{

« enabled » : false,

« windows » : [

{

Note : Cette propriété système nécessite l'activation du PKI.
Tableau 5. Configuration du client
Propriété système Description
session.options.enableServiceLicenses Cette propriété système permet aux utilisateurs opérateurs de gérer la configuration du service sous Paramètres globaux (Global Settings) > Configuration du client (Customer Configuration) et est définie sur Vrai (True) par défaut.
Tableau 6. Rétention des données
Propriété système Description
retention.highResFlows.days Cette propriété système permet aux opérateurs de configurer la rétention des données de statistiques de flux haute résolution n'importe où entre 1 et 90 jours.
retention.lowResFlows.months Cette propriété système permet aux opérateurs de configurer la rétention des données de statistiques de flux faible résolution n'importe où entre 1 et 365 jours.
session.options.maxFlowstatsRetentionDays Cette propriété permet aux opérateurs d'interroger plus de deux semaines de données de statistiques de flux.
retentionWeeks.enterpriseEvents Période de rétention des événements d'entreprise (-1 définit la rétention sur la période maximale autorisée)
retentionWeeks.operatorEvents Période de rétention des événements d'opérateur (-1 définit la rétention sur la période maximale autorisée)
retentionWeeks.proxyEvents Période de rétention des événements du proxy (-1 définit la rétention sur la période maximale autorisée)
retentionWeeks.firewallLogs Période de rétention des journaux de pare-feu (-1 définit la rétention sur la période maximale autorisée)
retention.linkstats.days Période de rétention des statistiques de lien (-1 définit la rétention sur la période maximale autorisée)
retention.linkquality.days Période de rétention des événements de qualité de lien (-1 définit la rétention sur la période maximale autorisée)
retention.healthstats.days Période de rétention des statistiques de santé du dispositif Edge (-1 définit la rétention sur la période maximale autorisée)
retention.pathstats.days Période de rétention des statistiques de chemin (-1 définit la rétention sur la période maximale autorisée)
Tableau 7. Rétention des données de SD-WAN
Données de SD-WAN Propriété système Par défaut Maximum Avant la version 4.0
Événements d'entreprise retentionWeeks.enterpriseEvents 40 semaines 1 an 40 semaines
Alertes d'entreprise S/O 40 semaines 1 an Aucune stratégie
Événements d'opérateur (Operator Events) retentionWeeks.operatorEvents 40 semaines 1 an 40 semaines
Événements de proxy d'entreprise retentionWeeks.proxyEvents 40 semaines 1 an 40 semaines
Journaux de pare-feu retentionWeeks.firewallLogs Non pris en charge Non pris en charge 40 semaines
Statistiques de liaison retention.linkstats.days 40 semaines 1 an 40 semaines
QoE de liaison retention.linkquality.days 40 semaines 1 an 40 semaines
Statistiques de chemin retention.pathstats.days 2 semaines 2 semaines S/O
statistiques sur les flux retention.lowResFlows.months

retention.highResFlows.days

1 an – cumul de 1 heure

2 semaines – 5 min

1 an – cumul de 1 heure

3 mois – 5 min

1 an avec cumul
Statistiques de santé du dispositif Edge (version 5.0 et ultérieures) retention.healthstats.days 1 an 1 an S/O
Tableau 8. Dispositifs Edge (Edges)
Propriété système Description
edge.offline.limit.sec Si Orchestrator ne détecte pas de pulsation sur un dispositif Edge pendant la durée spécifiée, l'état du dispositif Edge passe en mode hors ligne.
edge.link.unstable.limit.sec Lorsqu'Orchestrator ne reçoit pas de statistiques de lien pour un lien pendant la durée spécifiée, le lien passe en mode instable.
edge.link.disconnected.limit.sec Lorsqu'Orchestrator ne reçoit pas de statistiques de lien pour un lien pendant la durée spécifiée, le lien est déconnecté.
edge.deadbeat.limit.days Si un dispositif Edge n'est pas actif pendant le nombre de jours spécifié, le dispositif Edge n'est pas pris en compte pour la génération des alertes.
vco.operator.alert.edgeLinkEvent.enable Active ou désactive globalement les alertes d'opérateur pour les événements de liaison du dispositif Edge.
vco.operator.alert.edgeLiveness.enable Active ou désactive globalement les alertes d'opérateur pour les événements de réactivité du dispositif Edge.
Tableau 9. Activation du dispositif Edge (Edge Activation)
Propriété système Description
edge.activation.key.encode.enable Base64 encode les paramètres de l'URL d'activation pour masquer les valeurs lorsque l'e-mail d'activation du dispositif Edge est envoyé au contact du site.
edge.activation.trustedIssuerReset.enable Réinitialise la liste d'émetteurs de certificats approuvés du dispositif Edge pour qu'elle ne contienne que l'autorité de certification Orchestrator. L'ensemble du trafic TLS à partir du dispositif Edge est limité par la nouvelle liste d'émetteurs.
network.public.certificate.issuer Définissez la valeur de network.public.certificate.issuer sur celle du codage PEM de l'émetteur de certificats de serveur Orchestrator, lorsque edge.activation.trustedIssuerReset.enable est défini sur Vrai (True). Cette action ajoute l'émetteur de certificats de serveur à l'émetteur approuvé du dispositif Edge, en plus de l'autorité de certification Orchestrator.
Tableau 10. Gestion des dispositifs Edge
Propriété système Description
edge.link.show.limit.sec Permet de définir la valeur de Limite de lien du dispositif Edge inactif (Edge Link Down Limit) pour chaque dispositif Edge.
Tableau 11. Règles NAT côté LAN (LAN-Side NAT Rules)
Propriété système Description
session.options.enableLansidePortRules Permet de configurer les paramètres Port interne (Inside Port) et Port externe (Outside Port) sous l'onglet Paramètres du périphérique (Device Settings) > Routage et NAT (Routing and NAT) > Règles NAT côté LAN (LAN-Side NAT Rules) pour un dispositif Edge ou un profil.
Tableau 12. Surveillance
Propriété système Description
vco.monitor.enable Active ou désactive globalement la surveillance des états des entités d'entreprise et d'opérateur. Définir la valeur sur False empêche SASE Orchestrator de modifier les états d'entité et de déclencher des alertes.
vco.enterprise.monitor.enable Active ou désactive globalement la surveillance des états des entités d'entreprise.
vco.operator.monitor.enable Active ou désactive globalement la surveillance des états d'entité d'opérateur.
Tableau 13. Notifications
Propriété système Description
vco.notification.enable Active ou désactive globalement la remise des notifications d'alerte à l'opérateur et aux entreprises.
vco.enterprise.notification.enable Active ou désactive globalement la remise des notifications d'alerte aux entreprises.
vco.operator.notification.enable Active ou désactive globalement la remise des notifications d'alerte à l'opérateur.
Tableau 14. Réinitialisation et verrouillage du mot de passe
Propriété système Description
vco.enterprise.resetPassword.token.expirySeconds Durée après laquelle le lien de réinitialisation du mot de passe pour un utilisateur d'entreprise expire.
vco.enterprise.authentication.passwordPolicy

Définit le niveau de sécurité, l'historique et la stratégie d'expiration des mots de passe pour les utilisateurs clients.

Modifiez le modèle JSON dans le champ Valeur (Value) pour définir les éléments suivants :

strength

  • Minlength : longueur minimale de caractères du mot de passe. La longueur minimale du mot de passe par défaut est de 8 caractères.
  • maxlength : longueur maximale de caractères du mot de passe. La longueur maximale du mot de passe par défaut est de 32 caractères.
  • requireNumber : le mot de passe doit contenir au moins un chiffre. La condition requise numérique est activée par défaut.
  • requireLower : le mot de passe doit contenir au moins une minuscule. La condition requise de minuscules est activée par défaut.
  • requireUpper : le mot de passe doit contenir au moins une majuscule. La condition requise de majuscules n'est pas activée par défaut.
  • requireSpecial : le mot de passe doit contenir au moins un caractère spécial (par exemple, _@!). La condition requise de caractères spéciaux n'est pas activée par défaut.
  • excludeTop : le mot de passe ne doit pas figurer sur la liste des mots de passe les plus utilisés. La valeur par défaut est de 1 000, ce qui représente les premiers 1 000 mots de passe les plus utilisés et peut être configurée sur un maximum de 10 000 des mots de passe les plus utilisés.
  • maxRepeatingCharacters : le mot de passe ne doit pas inclure un nombre configurable de caractères répétés. Par exemple, si maxRepeatingCharacters est défini sur « 2 », Orchestrator rejette tout mot de passe comportant au moins 3 caractères répétitifs, tels que « Passwordaaa ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • maxSequenceCharacters : le mot de passe ne doit pas inclure un nombre configurable de caractères séquentiels. Par exemple, si maxSequenceCharacters est défini sur « 3 », Orchestrator rejette tout mot de passe contenant au moins 4 caractères séquentiels, tels que « Password1234 ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • disallowUsernameCharacters : le mot de passe ne doit pas correspondre à une partie configurable de l'ID d'utilisateur. Par exemple, si disallowUsernameCharacters est défini sur 5 et si un utilisateur avec un nom d'utilisateur [email protected] tente de configurer un nouveau mot de passe qui inclut « usern » ou « serna », ou toute chaîne de cinq caractères qui correspond à une section du nom d'utilisateur de l'utilisateur, ce nouveau mot de passe est rejeté par Orchestrator. La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • variationValidationCharacters : le nouveau mot de passe doit différer de l'ancien par un nombre de caractères configurable. Orchestrator utilise la distance de Levenshtein entre deux mots pour déterminer la modification entre le nouveau mot de passe et l'ancien mot de passe. La distance de Levenshtein est le nombre minimal de modifications de caractère unique (insertions, suppressions ou substitutions) requises pour remplacer un mot par un autre.
  • Si variationValidationCharacters est défini sur 4, la distance de Levenshtein entre le nouveau mot de passe et l'ancien mot de passe doit être d'au moins 4. En d'autres termes, le nouveau mot de passe doit comporter au moins 4 modifications par rapport à l'ancien mot de passe. Par exemple, si l'ancien mot de passe utilisé était « kitten » et que le nouveau mot de passe est « sitting », la distance de Levenshtein pour ces derniers est de 3, car il ne nécessite que trois modifications pour remplacer kitten par sitting :
    • kitten → sitten (remplacement de « k » par « s »)
    • sitten → sittin (remplacement de « e » par « i »)
    • sittin → sitting (insertion de « g » à la fin).

Étant donné que le nouveau mot de passe ne varie que de 3 caractères par rapport à l'ancien, le mot de passe « sitting » est rejeté comme nouveau mot de passe pour remplacer « kitten ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.

expiration (expiry) :
  • activer (enable) : définissez cette option sur true pour activer l'expiration automatique des mots de passe des utilisateurs clients.
  • jours (days) : entrez le nombre de jours pendant lesquels un mot de passe client peut être utilisé avant l'expiration forcée.
historique (history) :
  • activer (enable) : définissez cette option sur true pour activer l'enregistrement des mots de passe précédents des utilisateurs clients.
  • nombre (count) : entrez le nombre de mots de passe précédents à enregistrer dans l'historique. Lorsqu'un utilisateur client tente de modifier le mot de passe, le système ne lui permet pas d'entrer un mot de passe déjà enregistré dans l'historique.
enterprise.user.lockout.defaultAttempts Nombre de fois que l'utilisateur d'entreprise peut essayer de se connecter. Si la connexion échoue pendant le nombre de fois spécifié, le compte est verrouillé.
enterprise.user.lockout.defaultDurationSeconds Durée de verrouillage du compte d'utilisateur d'entreprise.
enterprise.user.lockout.enabled Active ou désactive l'option de verrouillage pour les échecs de connexion de l'entreprise.
vco.operator.resetPassword.token.expirySeconds Durée après laquelle le lien de réinitialisation du mot de passe pour un utilisateur opérateur expire.
vco.operator.authentication.passwordPolicy

Définit le niveau de sécurité, l'historique et la stratégie d'expiration des mots de passe pour les utilisateurs opérateurs.

Modifiez le modèle JSON dans le champ Valeur (Value) pour définir les éléments suivants :

strength

  • Minlength : longueur minimale de caractères du mot de passe. La longueur minimale du mot de passe par défaut est de 8 caractères.
  • maxlength : longueur maximale de caractères du mot de passe. La longueur maximale du mot de passe par défaut est de 32 caractères.
  • requireNumber : le mot de passe doit contenir au moins un chiffre. La condition requise numérique est activée par défaut.
  • requireLower : le mot de passe doit contenir au moins une minuscule. La condition requise de minuscules est activée par défaut.
  • requireUpper : le mot de passe doit contenir au moins une majuscule. La condition requise de majuscules n'est pas activée par défaut.
  • requireSpecial : le mot de passe doit contenir au moins un caractère spécial (par exemple, _@!). La condition requise de caractères spéciaux n'est pas activée par défaut.
  • excludeTop : le mot de passe ne doit pas figurer sur la liste des mots de passe les plus utilisés. La valeur par défaut est de 1 000, ce qui représente les premiers 1 000 mots de passe les plus utilisés et peut être configurée sur un maximum de 10 000 des mots de passe les plus utilisés.
  • maxRepeatingCharacters : le mot de passe ne doit pas inclure un nombre configurable de caractères répétés. Par exemple, si maxRepeatingCharacters est défini sur « 2 », Orchestrator rejette tout mot de passe comportant au moins 3 caractères répétitifs, tels que « Passwordaaa ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • maxSequenceCharacters : le mot de passe ne doit pas inclure un nombre configurable de caractères séquentiels. Par exemple, si maxSequenceCharacters est défini sur « 3 », Orchestrator rejette tout mot de passe contenant au moins 4 caractères séquentiels, tels que « Password1234 ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • disallowUsernameCharacters : le mot de passe ne doit pas correspondre à une partie configurable de l'ID d'utilisateur. Par exemple, si disallowUsernameCharacters est défini sur 5 et si un utilisateur avec un nom d'utilisateur [email protected] tente de configurer un nouveau mot de passe qui inclut « usern » ou « serna », ou toute chaîne de cinq caractères qui correspond à une section du nom d'utilisateur de l'utilisateur, ce nouveau mot de passe est rejeté par Orchestrator. La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.
  • variationValidationCharacters : le nouveau mot de passe doit différer de l'ancien par un nombre de caractères configurable. Orchestrator utilise la distance de Levenshtein entre deux mots pour déterminer la modification entre le nouveau mot de passe et l'ancien mot de passe. La distance de Levenshtein est le nombre minimal de modifications de caractère unique (insertions, suppressions ou substitutions) requises pour remplacer un mot par un autre.
  • Si variationValidationCharacters est défini sur 4, la distance de Levenshtein entre le nouveau mot de passe et l'ancien mot de passe doit être d'au moins 4. En d'autres termes, le nouveau mot de passe doit comporter au moins 4 modifications par rapport à l'ancien mot de passe. Par exemple, si l'ancien mot de passe utilisé était « kitten » et que le nouveau mot de passe est « sitting », la distance de Levenshtein pour ces derniers est de 3, car il ne nécessite que trois modifications pour remplacer kitten par sitting :
    • kitten → sitten (remplacement de « k » par « s »)
    • sitten → sittin (remplacement de « e » par « i »)
    • sittin → sitting (insertion de « g » à la fin).

Étant donné que le nouveau mot de passe ne varie que de 3 caractères par rapport à l'ancien, le mot de passe « sitting » est rejeté comme nouveau mot de passe pour remplacer « kitten ». La valeur par défaut de -1 signifie que cette fonctionnalité n'est pas activée.

expiration (expiry) :
  • activer (enable) : définissez cette option sur true pour activer l'expiration automatique des mots de passe des utilisateurs opérateurs.
  • jours (days) : entrez le nombre de jours pendant lesquels un mot de passe d'opérateur peut être utilisé avant l'expiration forcée.
historique (history) :
  • activer (enable) : définissez cette option sur true pour activer l'enregistrement des mots de passe précédents des utilisateurs opérateurs.
  • nombre (count) : entrez le nombre de mots de passe précédents à enregistrer dans l'historique. Lorsqu'un utilisateur opérateur tente de modifier le mot de passe, le système ne lui permet pas d'entrer un mot de passe déjà enregistré dans l'historique.
operator.user.lockout.defaultAttempts Nombre de fois que l'utilisateur opérateur peut essayer de se connecter. Si la connexion échoue pendant le nombre de fois spécifié, le compte est verrouillé.
operator.user.lockout.defaultDurationSeconds Durée de verrouillage du compte de l'utilisateur opérateur.
operator.user.lockout.enabled Active ou désactive l'option de verrouillage pour les échecs de connexion de l'opérateur.
Tableau 15. API de limite de débit
Propriété système Description
vco.api.rateLimit.enabled Autorise les super utilisateurs opérateurs à activer ou désactiver la fonctionnalité de limite de débit au niveau du système. Par défaut, cette valeur est définie sur Faux (False).
Note : Le limiteur de débit n'est pas réellement activé, c'est-à-dire qu'il ne rejette pas les demandes d'API qui dépassent les limites configurées, sauf si le paramètre vco.api.rateLimit.mode.logOnly est désactivé.
vco.api.rateLimit.mode.logOnly

Permet au super utilisateur opérateur d'utiliser la limite de débit dans un mode LOG_ONLY. Lorsque la valeur est définie sur Vrai (True) et si une limite de débit est dépassée, cette option journalise uniquement l'erreur et déclenche des mesures correspondantes permettant aux clients d'effectuer des demandes sans limite de débit.

Lorsque la valeur est définie sur Faux (False), l'API de demande est limitée par des stratégies définies et HTTP 429 est renvoyé.

vco.api.rateLimit.rules.global

Permet de définir un ensemble de stratégies applicables globalement utilisées par le limiteur de débit dans un tableau JSON. Par défaut, la valeur est un tableau vide.

Chaque type d'utilisateur (opérateur, partenaire et client) peut effectuer jusqu'à 500 demandes toutes les 5 secondes. Le nombre de demandes est soumis à une modification en fonction du modèle de comportement des demandes limitées du débit.

Le tableau JSON comporte les paramètres suivants :

Types : les objets de type représentent des contextes différents dans lesquels les limites de débit sont appliquées. Vous trouverez ci-après les différents objets de type disponibles :
  • SYSTEM : spécifie une limite globale partagée par tous les utilisateurs.
  • OPERATOR_USER : limite pouvant être définie en général pour tous les utilisateurs opérateurs.
  • ENTERPRISE_USER : limite pouvant être définie en général pour tous les utilisateurs d'entreprise.
  • MSP_USER : limite pouvant être définie en général pour tous les utilisateurs MSP.
  • ENTERPRISE : limite pouvant être partagée entre tous les utilisateurs d'une entreprise et qui s'applique à toutes les entreprises du réseau.
  • PROXY : limite pouvant être partagée entre tous les utilisateurs d'un proxy et qui s'applique à tous les proxies.
Stratégies (Policies) : ajoutez des règles aux stratégies pour appliquer les demandes qui correspondent à la règle, en configurant les paramètres suivants :
  • Correspondance (Match) : entrez le type de demandes à mettre en correspondance :
    • Tout (All) : limitez le débit de toutes les demandes correspondant à l'un des objets de type.
    • METHOD : limitez le débit de toutes les demandes correspondant au nom de méthode spécifié.
    • METHOD_PREFIX : limitez le débit de toutes les demandes correspondant au groupe de méthodes spécifié.
  • Règles (Rules) : entrez les valeurs des paramètres suivants :
    • maxConcurrent : nombre de tâches pouvant être effectuées simultanément.
    • reservoir : nombre de tâches pouvant être effectuées avant que le limiteur n'arrête leur exécution.
    • reservoirRefreshAmount : valeur permettant de définir le réservoir sur le moment d'utilisation du paramètre reservoirRefreshInterval.
    • reservoirRefreshInterval : pour chaque milliseconde de reservoirRefreshInterval, la valeur reservoir est automatiquement mise à jour sur la valeur de reservoirRefreshAmount. La valeur reservoirRefreshInterval doit être un multiple de 250 (5 000 pour le clustering).

Activé (Enabled) : vous pouvez activer ou désactiver chaque type de limite en incluant la clé enabled dans APIRateLimiterTypeObject. Par défaut, la valeur du paramètre enabled est Vrai (True), même si la clé n'est pas incluse. Vous devez inclure la clé "enabled": false pour désactiver les limites de type individuelles.

L'exemple suivant montre un exemple de fichier JSON avec les valeurs par défaut :

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
Note : Il est recommandé de ne pas modifier les valeurs par défaut des paramètres de configuration.
vco.api.rateLimit.rules.enterprise.default Comprend l'ensemble par défaut de stratégies spécifiques à l'entreprise appliquées aux clients récemment créés. Les propriétés spécifiques au client sont stockées dans la propriété vco.api.rateLimit.rules.enterprise d'entreprise.
vco.api.rateLimit.rules.enterpriseProxy.default Comprend l'ensemble par défaut de stratégies spécifiques à l'entreprise appliquées aux partenaires récemment créés. Les propriétés spécifiques au partenaire sont stockées dans la propriété vco.api.rateLimit.rules.enterpriseProxy de proxy d'entreprise.

Pour plus d'informations sur la limite du débit, reportez-vous à la section Demandes d'API de limite de débit.

Tableau 16. Diagnostics à distance (Remote Diagnostics)
Propriété système Description
network.public.address Spécifie l'adresse d'origine du navigateur/le nom d'hôte DNS qui est utilisé(e) pour accéder à l'interface utilisateur de SASE Orchestrator.
network.portal.websocket.address Permet de définir un(e) autre nom d'hôte DNS/adresse pour accéder à l'interface utilisateur de SASE Orchestrator à partir d'un navigateur, si l'adresse du navigateur n'est pas la même que la valeur de la propriété système network.public.address.

Comme les diagnostics à distance utilisent désormais une connexion WebSocket, pour garantir la sécurité Web, l'adresse d'origine du navigateur qui est utilisée pour accéder à l'interface utilisateur d'Orchestrator est validée pour les demandes entrantes. Dans la plupart des cas, cette adresse est identique à la propriété système network.public.address. Dans de rares cas, l'interface utilisateur d'Orchestrator est accessible à l'aide d'un(e) autre nom d'hôte DNS/adresse différent(e) de la valeur définie dans la propriété système network.public.address. Dans ce cas, vous pouvez définir cette propriété système sur l'autre nom d'hôte DNS/adresse. Par défaut, cette valeur n'est pas définie.

session.options.websocket.portal.idle.timeout Permet de définir la durée totale (en secondes) pendant laquelle la connexion WebSocket du navigateur reste active même si elle ne présente aucune activité. Par défaut, la connexion du navigateur WebSocket reste active pendant 300 secondes même si elle ne présente aucune activité.
Tableau 17. Security Service Edge (SSE)
Propriété système Description
session.options.enableSseService Active ou désactive la fonctionnalité Security Service Edge (SSE) pour les utilisateurs d'entreprise.
Tableau 18. Segmentation
Propriété système Description
enterprise.capability.enableSegmentation Active ou désactive la capacité de segmentation pour les utilisateurs d'entreprise.
enterprise.segments.system.maximum Spécifie le nombre maximal de segments autorisés pour tout utilisateur d'entreprise. Assurez-vous que vous modifiez la valeur de cette propriété système sur 128 si vous souhaitez activer 128 segments sur SASE Orchestrator pour un utilisateur d'entreprise.
enterprise.segments.maximum Spécifie la valeur par défaut du nombre maximal de segments autorisés pour un nouvel utilisateur d'entreprise ou l'utilisateur actuel. La valeur par défaut de tout utilisateur d'entreprise est de 16.
Note : Cette valeur doit être inférieure ou égale au nombre défini dans la propriété système, enterprise.segments.system.maximum.
Il n'est pas recommandé de modifier la valeur de cette propriété système si vous souhaitez activer 128 segments pour un utilisateur d'entreprise. Au lieu de cela, vous pouvez activer Capacités du client (Customer Capabilities) dans Configuration du client (Customer Configuration) pour configurer le nombre de segments requis. Pour obtenir des instructions, reportez-vous à la section « Configurer les capacités des clients » du Guide de l'opérateur de VMware SD-WAN disponible dans la Documentation de VMware SD-WAN.
enterprise.subinterfaces.maximum Spécifie le nombre maximal de sous-interfaces qui peuvent être configurées pour un utilisateur d'entreprise. La valeur par défaut est de 32.
enterprise.vlans.maximum Spécifie le nombre maximal de réseaux VLAN qui peuvent être configurés pour un utilisateur d'entreprise. La valeur par défaut est de 32.
session.options.enableAsyncAPI Lorsque l'échelle de segment est augmentée à 128 segments pour tout utilisateur d'entreprise, vous pouvez activer la prise en charge des API asynchrones sur l'interface utilisateur à l'aide de cette propriété système pour éviter les délais d'expiration de l'interface utilisateur. La valeur par défaut est true.
session.options.asyncPollingMilliSeconds Spécifie l'intervalle d'interrogation des API asynchrones sur l'interface utilisateur. La valeur par défaut est de 5 000 millisecondes.
session.options.asyncPollingMaxCount Spécifie le nombre maximal d'appels vers l'API getStatus à partir de l'interface utilisateur. La valeur par défaut est de 10.
vco.enterprise.events.configuration.diff.enable Active ou désactive la journalisation des événements diff de configuration. Chaque fois que le nombre de segments d'un utilisateur d'entreprise est supérieur à 4, la journalisation des événements diff de configuration est désactivée. Vous pouvez activer la journalisation des événements diff de configuration à l'aide de cette propriété système.
Tableau 19. Réinitialisation du mot de passe en libre-service
Propriété système Description
vco.enterprise.resetPassword.twoFactor.mode Définit le mode de l'authentification de second niveau de la réinitialisation du mot de passe pour tous les utilisateurs d'entreprise. Actuellement, seul le mode SMS est pris en charge.
vco.enterprise.resetPassword.twoFactor.required Active ou désactive l'authentification à deux facteurs pour la réinitialisation du mot de passe des utilisateurs d'entreprise.
vco.enterprise.selfResetPassword.enabled Active ou désactive la réinitialisation du mot de passe en libre-service pour les utilisateurs d'entreprise.
vco.enterprise.selfResetPassword.token.expirySeconds Durée après laquelle le lien de réinitialisation du mot de passe en libre-service pour un utilisateur d'entreprise expire.
vco.operator.resetPassword.twoFactor.required Active ou désactive l'authentification à deux facteurs pour la réinitialisation du mot de passe des utilisateurs opérateurs.
vco.operator.selfResetPassword.enabled Active ou désactive la réinitialisation du mot de passe en libre-service pour les utilisateurs opérateurs.
vco.operator.selfResetPassword.token.expirySeconds Durée après laquelle le lien de réinitialisation du mot de passe en libre-service pour un utilisateur opérateur expire.
Tableau 20. Transfert Syslog (Syslog Forwarding)
Propriété système Description
log.syslog.backend Configuration de l'intégration Syslog du service principal.
log.syslog.portal Configuration de l'intégration Syslog du service de portail.
log.syslog.upload Charger la configuration de l'intégration Syslog du service.
log.syslog.lastFetchedCRL.backend Conserve la dernière liste de révocation des certificats (CRL, Certificate Revocation List) mise à jour comme chaîne au format PEM pour le Syslog de service et mise à jour régulièrement.
log.syslog.lastFetchedCRL.portal Conserve la dernière liste de révocation des certificats (CRL, Certificate Revocation List) mise à jour comme chaîne au format PEM pour le Syslog de service et mise à jour régulièrement.
log.syslog.lastFetchedCRL.upload Conserve la dernière CRL mise à jour comme chaîne au format PEM pour le Syslog de service et mise à jour régulièrement.
Tableau 21. Services TACACS (TACACS Services)
Propriété système Description
session.options.enableTACACS Active ou désactive les services TACACS pour les utilisateurs d'entreprise.
Tableau 22. Authentification à deux facteurs
Propriété système Description
vco.enterprise.authentication.twoFactor.enable Active ou désactive l'authentification à deux facteurs pour les utilisateurs d'entreprise.
vco.enterprise.authentication.twoFactor.mode Définit le mode de l'authentification de second niveau pour les utilisateurs d'entreprise. Actuellement, seul SMS est pris en charge en tant que mode d'authentification de second niveau.
vco.enterprise.authentication.twoFactor.require Définit l'authentification à deux facteurs comme obligatoire pour les utilisateurs d'entreprise.
vco.operator.authentication.twoFactor.enable Active ou désactive l'authentification à deux facteurs pour les utilisateurs opérateurs.
vco.operator.authentication.twoFactor.mode Définit le mode de l'authentification de second niveau pour les utilisateurs opérateurs. Actuellement, seul SMS est pris en charge en tant que mode d'authentification de second niveau.
vco.operator.authentication.twoFactor.require Définit l'authentification à deux facteurs comme obligatoire pour les utilisateurs opérateurs.
Tableau 23. Paramètres de tunnel pour les dispositifs Edge
Propriété système Description
session.options.enableNsdPkiIPv6Config Active Certificat (Certificate) comme Mode d'authentification (Authentication mode) et IPv6 comme Type d'identification locale (Local Identification Type).
Tableau 24. Configuration VNF
Propriété système Description
edge.vnf.extraImageInfos Définit les propriétés d'une image VNF.
Vous pouvez entrer les informations suivantes pour une image VNF, au format JSON dans le champ Valeur (Value) :
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Exemple de fichier JSON pour l'image de pare-feu Check Point :
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Exemple de fichier JSON de système d'exploitation pour l'image de pare-feu Fortinet :
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit Définit le nombre d'enregistrements à stocker dans la base de données.
enterprise.capability.edgeVnfs.enable Permet le déploiement de la VNF sur les modèles d'Edge pris en charge.
enterprise.capability.edgeVnfs.securityVnf.checkPoint Active la VNF du pare-feu de réseaux Check Point.
enterprise.capability.edgeVnfs.securityVnf.fortinet Active la VNF du pare-feu de réseaux Fortinet.
enterprise.capability.edgeVnfs.securityVnf.paloAlto Active la VNF du pare-feu de Palo Alto Networks.
session.options.enableVnf Active la fonctionnalité VNF.
vco.operator.alert.edgeVnfEvent.enable Active ou désactive globalement les alertes d'opérateur pour les événements VNF des dispositifs Edge.
vco.operator.alert.edgeVnfInsertionEvent.enable Active ou désactive globalement les alertes d'opérateur pour les événements d'insertion de la VNF des dispositifs Edge.
edge.vnf.extraImageInfos. Permet la sélection de l'image de la VNF Check Point.
Tableau 25. VPN
Propriété système Description
vpn.disconnect.wait.sec Intervalle de temps pendant lequel le système doit attendre avant de déconnecter un tunnel VPN.
vpn.reconnect.wait.sec Intervalle de temps pendant lequel le système doit attendre avant de reconnecter un tunnel VPN.
Tableau 26. Bannière d'avertissement
Propriété système Description
login.warning.banner.message Cette propriété système facultative permet à l'opérateur de configurer et d'afficher un avis d'information et un message d'avertissement relatif au consentement spécifiés par l'administrateur de sécurité concernant l'utilisation de SASE Orchestrator. Le message d'avertissement s'affiche dans SASE Orchestrator avant la connexion de l'utilisateur.

Pour obtenir des instructions sur la configuration de cette propriété système, reportez-vous à la section Configurer l'avis d'information et le message d'avertissement relatif au consentement pour SD-WAN Orchestrator.

Tableau 27. Zscaler
Propriété système Description
session.options.enableZscalerProfileAutomation Permet de configurer les paramètres Zscaler au niveau du profil.