Après avoir créé un client, configurez les options et les paramètres des fonctionnalités auxquelles il peut accéder. En tant que super utilisateur partenaire, vous pouvez choisir les paramètres que le client partenaire peut modifier.

Lorsque vous créez un client, vous êtes redirigé vers la page Configuration du client (Customer Configuration) sur laquelle vous pouvez configurer les paramètres du client. Vous pouvez également accéder à la page Configuration en suivant les étapes ci-dessous :

Procédure

  1. Connectez-vous à SASE Orchestrator en tant que partenaire.
  2. Dans le portail partenaire, sélectionnez un client partenaire et, dans l'en-tête supérieur, cliquez sur SD-WAN > Paramètres globaux (Global Settings).
  3. Dans le menu de gauche, cliquez sur Configuration du client (Customer Configuration). La page suivante s'affiche :
    La section Configuration du service (Service Configuration) comprend les services suivants :
    • SD-WAN
    • Edge Intelligence
    • Cloud Web Security
    • Secure Access
    • Hub de cloud (Cloud Hub)

    Cliquez sur le bouton Activer (Turn On) pour activer chaque service. Cliquez sur les trois points verticaux situés dans le coin supérieur droit de chaque vignette pour désactiver ou configurer le service. Vous pouvez également utiliser l'option Configurer (Configure) située dans le coin inférieur droit de chaque vignette pour configurer le service correspondant. Chaque vignette affiche le résumé de la configuration.

    Note : Si vous sélectionnez l'option Désactiver (Turn off), une fenêtre contextuelle s'affiche et vous demande de confirmer. Cochez la case et cliquez sur Désactiver le service (Turn Off Service).
    1. SD-WAN : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
      Option Description
      Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Intelligence pour le client.
      Authentification Edge par défaut (Default Edge Authentication)

      Choisissez l'option par défaut dans le menu déroulant pour authentifier les dispositifs Edge associés au client.

      • Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
      • Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut et demande au dispositif Edge d'obtenir un certificat auprès de l'autorité de certification du dispositif SASE Orchestrator en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour l'authentification auprès de SASE Orchestrator et pour l'établissement de tunnels VCMP.
        Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required).
      • Certificat requis (Certificate Required) : le dispositif Edge utilise le certificat PKI. Vous pouvez modifier la fenêtre temporelle de renouvellement du certificat pour les dispositifs Edge à l'aide de la propriété système edge.certificate.renewal.window.
      Gestion des licences Edge (Edge Licensing) Les licences Edge existantes s'affichent. Cliquez sur Ajouter (Add) pour ajouter ou supprimer les licences.
      Note : Vous pouvez utiliser les types de licences sur plusieurs dispositifs Edge. Il est recommandé de fournir à vos clients l'accès à tous les types de licences pour faire correspondre leur édition et leur région. Pour plus d'informations, reportez-vous à la section Gestion des licences Edge.
      Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) Cochez cette case si vous souhaitez autoriser un super utilisateur d'entreprise à gérer les images logicielles disponibles pour l'entreprise. Pour plus d'informations, reportez-vous à la section Gestion des images Edge dans le Guide d'administration de VMware SD-WAN.
      Profil d'opérateur (Operator Profile) Sélectionnez un profil d'opérateur à associer au client dans le menu déroulant disponible. Ce champ n'est pas disponible si l'option Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) est sélectionnée. Pour plus d'informations sur les profils d'opérateur, reportez-vous à la section « Gérer les profils d'opérateur » du Guide de l'opérateur de VMware SD-WAN, disponible dans la documentation de VMware SD-WAN.
      Nombre maximal de segments (Maximum Number of Segments) Entrez le nombre maximal de segments pouvant être configuré. La plage valide est comprise entre 1 et 16. La valeur par défaut est de 16.
    2. Edge Intelligence : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
      Note : Vous pouvez sélectionner cette option uniquement lorsque le service SD-WAN est activé.
      Option Description
      Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Intelligence pour le client.
      Nœuds d'analyse (Analytics Nodes) Entrez le nombre maximal de dispositifs Edge qui peuvent être provisionnés comme nœuds d'analyse. Par défaut, l'option Illimité (Unlimited) est sélectionnée.
      Accès à la fonctionnalité (Feature Access) Cochez la case Réparation spontanée (Self Healing) pour permettre à Edge Intelligence de fournir des recommandations afin d'améliorer les performances.
    3. Cloud Web Security : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. Cloud Web Security est un service hébergé dans le cloud qui protège les utilisateurs et l'infrastructure accédant aux applications SaaS et Internet. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Cloud Web Security. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :

      Sélectionnez l'édition requise, puis cliquez sur Mettre à jour (Update). Édition Standard (Standard Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base et la visibilité CASB en ligne. Édition avancée (Advanced Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base, la visibilité et les contrôles CASB en ligne, ainsi que la visibilité et les contrôles DLP en ligne

    4. Secure Access : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. La solution Secure Access combine les services VMware SD-WAN et Workspace ONE pour fournir un accès aux applications cloud cohérent, optimal et sécurisé aux applications cloud via un réseau de nœuds de service gérés mondialement. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Secure Access. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :

      Entrez le nombre maximal de PoP, puis cliquez sur Mettre à jour (Update).

  4. Les paramètres de configurations supplémentaires suivants sont disponibles sur la page Configuration du client (Customer Configuration) :
    Option Description
    Global
    Affichage du contrat d'utilisateur (User Agreement Display) Sélectionnez l'une des options suivantes dans le menu déroulant :
    • Hériter
    • Remplacer pour masquer
    • Remplacer pour afficher (Remplacer pour afficher)
    Note :
    Ce champ n'est disponible que lorsque la propriété système session.options.enableUserAgreements est définie sur Vrai (True).
    Accès à la fonctionnalité (Feature Access) Permet l'accès aux fonctionnalités sélectionnées. Cochez une ou plusieurs cases dans la liste ci-dessous pour activer ces fonctionnalités pour le client partenaire :
    • Authentification d'entreprise (Enterprise Auth) : par défaut, seul l'opérateur peut activer ou désactiver l'authentification à deux facteurs pour une entreprise. Lorsque vous cochez cette case, les administrateurs d'entreprise peuvent configurer eux-mêmes l'authentification à deux facteurs.
    • Activer le service Premium (Enable Premium Service) : permet d'accéder aux services Premium disponibles. Cette option est sélectionnée par défaut.
    • Personnalisation des rôles (Role Customization) : permet d'activer ou de désactiver un super utilisateur d'entreprise afin de personnaliser les privilèges de rôle des autres utilisateurs d'entreprise.
    • Retour arrière de route (Route Backtracking) : si cette option est sélectionnée, le périphérique choisit la meilleure route dans l'ordre de longueur du préfixe.
    • Panneau d'aide contextuelle intégré au produit (In-product Contextual Help Panel) : fournit un accès au panneau d'aide intégré à Orchestrator. Cette fonctionnalité est désactivée par défaut. Un administrateur partenaire doit activer cette option pour les clients partenaires.
    • Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall Logging to Orchestrator) : par défaut les dispositifs Edge ne peuvent pas envoyer leurs journaux de pare-feu à Orchestrator. Cochez cette case pour autoriser un dispositif Edge à envoyer les journaux de pare-feu à Orchestrator.
    • QoE personnalisable (Customizable QoE) : permet au client de configurer les valeurs de seuil de latence minimale et maximale pour les catégories d'application Voix (Voice), Vidéo (Video) et Transactionnel (Transactional) d'un dispositif Edge.
    • Activer l'interface utilisateur classique d'Orchestrator (Enable Classic Orchestrator UI) : permet au client de passer de l'interface utilisateur Angular d'Orchestrator à l'interface utilisateur classique d'Orchestrator. Cette option n'est disponible que lorsque la propriété système session.options.enableClassicOrchestrator est définie sur Vrai (True).
    Déléguer la gestion au client (Delegate Management To Customer) Permet au client partenaire de modifier les paramètres de la propriété sélectionnée. Les clients partenaires peuvent toujours voir les deux propriétés suivantes :
    • Activer le mappage CoS (Enable CoS Mapping) : permet de configurer le mappage CoS lors de la configuration d'une business policy.
    • Activer la limitation du débit pour les services (Enable Service Rate Limiting) : permet de limiter le débit des services dans une business policy.
    Pool de passerelles (Gateway Pool)
    Pool de passerelles actuel (Current Gateway Pool) Sélectionnez un pool de passerelles existant dans le menu déroulant.
    Passerelles dans ce pool (Gateways in this Pool) Affiche les détails de la passerelle dans le pool actuel.
    Transfert aux partenaires (Partner Hand Off) L'activation de cette option affiche la section Configurer le transfert (Configure Hand Off). Pour plus d'informations, reportez-vous à la section Configurer le transfert aux partenaires.
    Stratégie de sécurité (Security Policy)
    Hachage (Hash) Par défaut, aucun algorithme d'authentification n'est configuré pour l'en-tête VPN, car AES-GCM est un algorithme de chiffrement authentifié. Lorsque vous cochez la case Désactiver GCM (Turn off GCM), vous pouvez sélectionner dans le menu déroulant l'un des algorithmes d'authentification suivants pour l'en-tête VPN :
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithme AES pour le chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21.
    Note :
    • Les groupes DH 19, 20 et 21 sont disponibles à partir de la version 5.2.0.
    • Il est recommandé d'utiliser le groupe DH 14, qui est la valeur par défaut.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. Par défaut, PFS est désactivé.
    Désactiver GCM (Turn off GCM) Cochez cette case pour activer Hachage (Hash) et sélectionnez un algorithme d'authentification pour l'en-tête VPN.
    Durée de vie de SA IPSec (min) (IPSec SA Lifetime Time|min]) Moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la durée de vie IPsec maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    Note : Il n'est pas recommandé de configurer une valeur de durée de vie faible pour IPsec (moins de 10 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.
    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et durée de vie IKE maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Note : Il n'est pas recommandé de configurer des valeurs de durée de vie faibles IKE (moins de 30 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.
    Remplacement de route par défaut sécurisé (Secure Default Route Override) Cochez cette case pour remplacer la destination du trafic correspondant à une route sécurisée par défaut (Route statique [Static Route] ou Route BGP [BGP Route]) d'une passerelle partenaire à l'aide de la Business Policy.
    Note : Pour obtenir des instructions sur l'activation du routage sécurisé sur un dispositif Edge, reportez-vous à la section Configurer le transfert aux partenaires. Pour plus d'informations sur la configuration du service réseau pour la règle de Business Policy, reportez-vous à la section « Configurer un service réseau pour la règle de Business Policy » du Guide d'administration de VMware SD-WAN disponible dans la Documentation de VMware SD-WAN.
    Virtualisation de fonction réseau Edge (Edge Network Function Virtualization)
    NFV d'Edge (Edge NFV) Sélectionnez cette option pour activer la capacité de déploiement des VNF sur des dispositifs Edge. Après le déploiement d'une ou de plusieurs VNF sur des dispositifs Edge, vous ne pouvez plus désactiver cette option.
    VNF de sécurité (Security VNFs) Cochez les cases appropriées pour déployer les VNF de sécurité correspondantes sur les dispositifs Edge.
    Paramètres de SD-WAN (SD-WAN Settings)
    Calcul du coût d'OFC (OFC Cost Calculation) Cochez la case requise :
    • Calcul du coût distribué (Distributed Cost Calculation) : cochez cette case pour déléguer le calcul du coût de route aux dispositifs Edge/passerelle.
      Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 3.4.0 et les version ultérieures.
    • Utiliser la stratégie NSD (Use NSD Policy) : cochez cette case pour utiliser la stratégie NSD pour le calcul du coût de route vers les dispositifs Edge/passerelles.
      Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 4.2.0 et ultérieures.
    Plusieurs balises DSCP par calcul de chemin de flux (Multiple-DSCP tags per Flow Path Calculation) Cochez cette case pour inclure la valeur DSCP dans la recherche de flux.
    Note : Ce champ n'est disponible que lorsque la propriété système session.options.enableFlowParametersConfig est définie sur Vrai (True).
    Accès à la fonctionnalité (Feature Access) Cochez la case Pare-feu avec état (Stateful Firewall) ou Protection avancée contre les menaces (Advanced Threat Protection) pour remplacer les paramètres correspondants activés sur le dispositif Edge d'entreprise.
  5. Cliquez sur Enregistrer les modifications (Save Changes).
    Note : Lorsque vous modifiez les paramètres de Stratégie de sécurité (Security Policy), les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique site distant vers site distant et la récupération après une défaillance du dispositif Edge dans un cluster.