Για να ρυθμίσετε τον έλεγχο ταυτότητας καθολικής σύνδεσης (SSO) για έναν εταιρικό χρήστη, εκτελέστε τα βήματα αυτής της διαδικασίας.
Προϋποθέσεις
Βεβαιωθείτε ότι έχετε δικαίωμα υπερχρήστη επιχείρησης.
Πριν από τη ρύθμιση του ελέγχου ταυτότητας SSO, βεβαιωθείτε ότι έχετε ορίσει ρόλους, χρήστες και την εφαρμογή OpenID Connect (OIDC) για το SD-WAN Orchestrator από τον ιστότοπο του προτιμώμενου παρόχου ταυτότητας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαμόρφωση IDP για καθολική σύνδεση.
Διαδικασία
Συνδεθείτε σε μια εφαρμογή SD-WAN Orchestrator ως εταιρικός υπερχρήστης με τα διαπιστευτήρια σύνδεσής σας.
Θα εμφανιστεί η οθόνη
Ρυθμίσεις συστήματος (System Settings).
Κάντε κλικ στην καρτέλα Γενικές πληροφορίες (General Information) και στο πλαίσιο κειμένου Τομέας (Domain), εισαγάγετε το όνομα τομέα για την επιχείρησή σας, εάν δεν έχει ήδη οριστεί.
Σημείωση: Για να ενεργοποιήσετε τον έλεγχο ταυτότητας SSO για το
SD-WAN Orchestrator, πρέπει να ορίσετε το όνομα τομέα για την επιχείρησή σας.
Κάντε κλικ στην καρτέλα Έλεγχος ταυτότητας (Authentication) και από το αναπτυσσόμενο μενού Λειτουργία ελέγχου ταυτότητας (Authentication Mode) επιλέξτε Καθολική σύνδεση (Single Sign-On).
Από το αναπτυσσόμενο μενού Πρότυπο παρόχου ταυτότητας (Identity Provider template), επιλέξτε τον προτιμώμενο πάροχο ταυτότητας (IDP) που έχετε διαμορφώσει για καθολική σύνδεση.
Σημείωση: Εάν επιλέξετε VMwareCSP ως προτιμώμενο IDP, βεβαιωθείτε ότι έχετε συμπληρώσει το αναγνωριστικό οργανισμού σας με την ακόλουθη μορφή:
/csp/gateway/am/api/orgs/<πλήρες αναγνωριστικό οργανισμού>.
Όταν συνδέεστε στην Κονσόλα VMware CSP, μπορείτε να δείτε το αναγνωριστικό οργανισμού με το οποίο είστε συνδεδεμένοι κάνοντας κλικ στο όνομα χρήστη σας. Μια συντομευμένη έκδοση του αναγνωριστικού εμφανίζεται κάτω από το όνομα του οργανισμού. Κάντε κλικ στο αναγνωριστικό για να εμφανίσετε το πλήρες αναγνωριστικό οργανισμού.
Μπορείτε επίσης να διαμορφώσετε τα δικά σας IDP με μη αυτόματο τρόπο επιλέγοντας
Άλλα (Others) από το αναπτυσσόμενο μενού
Πρότυπο παρόχου ταυτότητας (Identity Provider template).
Στο πλαίσιο κειμένου Γνωστή URL διαμόρφωσης OIDC (OIDC well-known config URL), εισαγάγετε τη διεύθυνση URL διαμόρφωσης OpenID Connect (OIDC) για το IDP σας. Για παράδειγμα, η μορφή URL για το Okta θα είναι: https://{oauth-provider-url}/.known/openid-configuration.
Η εφαρμογή SD-WAN Orchestrator συμπληρώνει αυτόματα τις λεπτομέρειες τελικού σημείου, όπως τον εκδότη, το τελικό σημείο εξουσιοδότησης, το τελικό σημείο διακριτικού και το τελικό σημείο πληροφοριών χρήστη για το IDP σας.
Στο πλαίσιο κειμένου Αναγνωριστικό πελάτη (Client Id), εισαγάγετε το αναγνωριστικό πελάτη που παρέχεται από το IDP σας.
Στο πλαίσιο κειμένου Μυστικό πελάτη (Client Secret), εισαγάγετε τον μυστικό κωδικό πελάτη που παρέχεται από το IDP σας, ο οποίος χρησιμοποιείται από τον πελάτη για ανταλλαγή ενός κωδικού εξουσιοδότησης για ένα διακριτικό.
Για να προσδιορίσετε τον ρόλο του χρήστη στο SD-WAN Orchestrator, επιλέξτε ένα από τα παρακάτω:
Χρήση προεπιλεγμένου ρόλου (Use Default Role) – Επιτρέπει στον χρήστη να διαμορφώσει έναν στατικό ρόλο ως προεπιλογή, χρησιμοποιώντας το πλαίσιο κειμένου Προεπιλεγμένος ρόλος (Default Role) που εμφανίζεται κατά την επιλογή αυτής της δυνατότητας. Οι υποστηριζόμενοι ρόλοι είναι: Εταιρικός υπερχρήστης, Τυπικός εταιρικός χρήστης, Υποστήριξη επιχείρησης και Επιχείρηση Μόνο για ανάγνωση.
Σημείωση: Σε μια διαμόρφωση SSO, εάν είναι ενεργοποιημένη η επιλογή
Χρήση προεπιλεγμένου ρόλου (Use Default Role) και οριστεί ένας προεπιλεγμένος ρόλος χρήστη, τότε θα εκχωρηθεί σε όλους τους χρήστες SSO ο καθορισμένος προεπιλεγμένος ρόλος. Αντί για την αντιστοίχιση ενός χρήστη με τον προεπιλεγμένο ρόλο, ένας Υπερχρήστης βασικός διαχειριστής ή ένας Βασικός διαχειριστής μπορεί να προεγγράψει έναν συγκεκριμένο χρήστη ως μη εγγενή και να ορίσει έναν συγκεκριμένο ρόλο χρήστη κάνοντας κλικ στην καρτέλα
Administration (Διαχείριση) > Administrators (Διαχειριστές) στην πύλη επιχείρησης. Για τη διαμόρφωση ενός νέου χρήστη διαχειριστή, ανατρέξτε στο θέμα
Δημιουργία νέου χρήστη-διαχειριστή.
Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles) – Χρησιμοποιεί τους ρόλους που έχουν ρυθμιστεί στο IDP.
Επιλέγοντας Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles), στο πλαίσιο κειμένου Χαρακτηριστικό ρόλων (Role Attribute), εισαγάγετε το όνομα του χαρακτηριστικού που έχει οριστεί στο IDP για την επιστροφή ρόλων.
Στην περιοχή Αντιστοίχιση ρόλων (Role Map), αντιστοιχίστε τους ρόλους που παρέχονται από το IDP σε καθέναν από τους ρόλους εταιρικού χρήστη, διαχωρισμένους με χρήση κόμματων.
Οι ρόλοι στο VMware CSP ακολουθούν αυτήν τη μορφή:
external/<uuid ορισμού υπηρεσίας>/<όνομα ρόλου υπηρεσίας που αναφέρεται κατά τη δημιουργία του προτύπου υπηρεσίας>.
Ενημερώστε τις επιτρεπόμενες διευθύνσεις URL ανακατεύθυνσης στον ιστότοπο του παρόχου OIDC με τη διεύθυνση URL SD-WAN Orchestrator (https://<Orchestrator URL>/login/ssologin/openidCallback).
Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) για να αποθηκεύσετε τη διαμόρφωση SSO.
Κάντε κλικ στην επιλογή Δοκιμή διαμόρφωσης (Test Configuration) για να επικυρώσετε τη διαμόρφωση OpenID Connect (OIDC) που έχει εισαχθεί.
Ο χρήστης θα μεταβεί στην τοποθεσία web του IDP όπου θα έχει τη δυνατότητα να εισαγάγει τα διαπιστευτήρια. Μετά την επικύρωση του IDP και την επιτυχή ανακατεύθυνση σε δοκιμαστική επιστροφή κλήσης
SD-WAN Orchestrator, θα εμφανιστεί ένα μήνυμα επιτυχούς επικύρωσης.
Σημείωση: Σε μια διαμόρφωση SSO, εάν είναι ενεργοποιημένη η επιλογή Χρήση προεπιλεγμένου ρόλου (Use Default Role) και οριστεί ένας προεπιλεγμένος ρόλος χρήστη, τότε θα εκχωρηθεί σε όλους τους χρήστες SSO ο καθορισμένος προεπιλεγμένος ρόλος. Αντί για την αντιστοίχιση ενός χρήστη με τον προεπιλεγμένο ρόλο, ένας Υπερχρήστης βασικός διαχειριστής ή ένας Βασικός διαχειριστής μπορεί να προεγγράψει έναν συγκεκριμένο χρήστη ως μη εγγενή και να ορίσει έναν συγκεκριμένο ρόλο χρήστη κάνοντας κλικ στην καρτέλα στην πύλη επιχείρησης. Για τη διαμόρφωση ενός νέου χρήστη διαχειριστή, ανατρέξτε στο θέμα Δημιουργία νέου χρήστη-διαχειριστή.