Οι υπερχρήστες-χειριστές μπορούν να ρυθμίσουν και να διαμορφώσουν την καθολική σύνδεση (SSO) στο SD-WAN Orchestrator. Για να ρυθμίσετε τον έλεγχο ταυτότητας SSO για τον χρήστη-χειριστή, εκτελέστε τα βήματα αυτής της διαδικασίας.
Για να διαμορφώσετε την καθολική σύνδεση για ένα χρήστη-χειριστή:
Προϋποθέσεις
Βεβαιωθείτε ότι έχετε το δικαίωμα υπερχρήστη-χειριστή.
Πριν ρυθμίσετε τον έλεγχο ταυτότητας SSO στο SD-WAN Orchestrator, βεβαιωθείτε ότι έχετε ορίσει ρόλους, χρήστες και την εφαρμογή σύνδεσης OpenID (OIDC) για το SD-WAN Orchestrator στον ιστότοπο του παρόχου ταυτότητας της επιλογής σας. Για περισσότερες πληροφορίες, βλ. Διαμόρφωση IDP για Καθολική σύνδεση.
Σημείωση: Η ενσωμάτωση SSO σε επίπεδο διαχείρισης χειριστή ενός Orchestrator που φιλοξενείται στο VMware δεσμεύεται για τους χειριστές VMware SD-WAN TechOPS. Οι συνεργάτες με πρόσβαση σε επίπεδο χειριστή ενός φιλοξενούμενου Orchestrator δεν έχουν τη δυνατότητα ενσωμάτωσης σε μια υπηρεσία SSO.
Διαδικασία
Συνδεθείτε στην εφαρμογή SD-WAN Orchestrator ως υπερχρήστης-χειριστής.
Κάντε κλικ στην επιλογή Έλεγχος ταυτότητας Orchestrator (Orchestrator Authentication).
Εμφανίζεται η οθόνη
Διαμόρφωση ελέγχου ταυτότητας (Configure Authentication).
Από το αναπτυσσόμενο μενού Λειτουργία ελέγχου ταυτότητας (Authentication Mode), επιλέξτε SSO.
Από το αναπτυσσόμενο μενού Πρότυπο παρόχου ταυτότητας (Identity Provider template), επιλέξτε τον προτιμώμενο πάροχο ταυτότητας (IDP) που έχετε διαμορφώσει για καθολική σύνδεση.
Σημείωση: Όταν επιλέγετε το VMwareCSP ως προτιμώμενο IDP, βεβαιωθείτε ότι έχετε παράσχει το αναγνωριστικό οργανισμού σας με την ακόλουθη μορφή:
/csp/gateway/am/api/orgs/<πλήρες αναγνωριστικό οργανισμού>.
Όταν συνδέεστε στην Κονσόλα VMware CSP, μπορείτε να δείτε το αναγνωριστικό οργανισμού με το οποίο είστε συνδεδεμένοι κάνοντας κλικ στο όνομα χρήστη σας. Μια συντομευμένη έκδοση του αναγνωριστικού εμφανίζεται κάτω από το όνομα του οργανισμού. Κάντε κλικ στο αναγνωριστικό για να εμφανίσετε το πλήρες αναγνωριστικό οργανισμού.
Μπορείτε επίσης να διαμορφώσετε τα δικά σας IDP με μη αυτόματο τρόπο επιλέγοντας
Άλλα (Others) από το αναπτυσσόμενο μενού
Πρότυπο παρόχου ταυτότητας (Identity Provider template).
Στο πλαίσιο κειμένου Γνωστή URL διαμόρφωσης OIDC (OIDC well-known config URL), εισαγάγετε τη διεύθυνση URL διαμόρφωσης OpenID Connect (OIDC) για το IDP σας. Για παράδειγμα, η μορφή URL για το Okta θα είναι: https://{oauth-provider-url}/.well-known/openid-configuration
Η εφαρμογή SD-WAN Orchestrator συμπληρώνει αυτόματα τις λεπτομέρειες τελικού σημείου, όπως τον εκδότη, το τελικό σημείο εξουσιοδότησης, το τελικό σημείο διακριτικού και το τελικό σημείο πληροφοριών χρήστη για το IDP σας.
Στο πλαίσιο κειμένου Αναγνωριστικό πελάτη (Client Id), εισαγάγετε το αναγνωριστικό πελάτη που παρέχεται από το IDP σας.
Στο πλαίσιο κειμένου Μυστικό πελάτη (Client Secret), εισαγάγετε τον μυστικό κωδικό πελάτη που παρέχεται από το IDP σας, ο οποίος χρησιμοποιείται από τον πελάτη για ανταλλαγή ενός κωδικού εξουσιοδότησης για ένα διακριτικό.
Για να προσδιορίσετε τον ρόλο του χρήστη στο SD-WAN Orchestrator, επιλέξτε ένα από τα παρακάτω:
Χρήση προεπιλεγμένου ρόλου (Use Default Role) – Επιτρέπει στον χρήστη να διαμορφώσει έναν στατικό ρόλο ως προεπιλογή, χρησιμοποιώντας το πλαίσιο κειμένου Προεπιλεγμένος ρόλος (Default Role) που εμφανίζεται κατά την επιλογή αυτής της δυνατότητας. Οι υποστηριζόμενοι ρόλοι είναι: Υπερχρήστης-χειριστής (Operator Superuser), Τυπικός διαχειριστής (Operator Standard Admin), Υποστήριξη χειριστών (Operator Support) και Επιχείρηση χειριστή (Operator Business).
Σημείωση: Σε μια διαμόρφωση SSO, εάν είναι ενεργοποιημένη η επιλογή
Χρήση προεπιλεγμένου ρόλου (Use Default Role) και οριστεί ένας προεπιλεγμένος ρόλος χρήστη, τότε θα εκχωρηθεί σε όλους τους χρήστες SSO ο καθορισμένος προεπιλεγμένος ρόλος. Αντί να εκχωρηθεί ο προεπιλεγμένος ρόλος σε έναν χρήστη, ένας υπερχρήστης-χειριστής μπορεί να προεγγράψει έναν συγκεκριμένο χρήστη ως μη εγγενή χρήστη και να ορίσει έναν συγκεκριμένο ρόλο χρήστη χρησιμοποιώντας την καρτέλα
Χρήστες-χειριστές. Για να διαμορφώσετε έναν νέο χρήστη-χειριστή, ανατρέξτε στο θέμα
Δημιουργία νέου χειριστή.
Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles) – Χρησιμοποιεί τους ρόλους που έχουν ρυθμιστεί στο IDP.
Επιλέγοντας Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles), στο πλαίσιο κειμένου Χαρακτηριστικό ρόλων (Role Attribute), εισαγάγετε το όνομα του χαρακτηριστικού που έχει οριστεί στο IDP για την επιστροφή ρόλων.
Στην περιοχή Αντιστοίχιση ρόλων (Role Map), αντιστοιχίστε τους ρόλους που παρέχονται από το IDP σε κάθε ρόλο χρήστη-χειριστή, διαχωρισμένους με κόμματα.
Οι ρόλοι στο VMware CSP ακολουθούν αυτήν τη μορφή:
external/<uuid ορισμού υπηρεσίας>/<όνομα ρόλου υπηρεσίας που αναφέρεται κατά τη δημιουργία του προτύπου υπηρεσίας>.
Ενημερώστε τις επιτρεπόμενες διευθύνσεις URL ανακατεύθυνσης στην τοποθεσία web του παρόχου OIDC με τη διεύθυνση URL SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) για να αποθηκεύσετε τη διαμόρφωση SSO.
Κάντε κλικ στην επιλογή Δοκιμή διαμόρφωσης (Test Configuration) για να επικυρώσετε την καθορισμένη διαμόρφωση OpenID Connect (OIDC).
Ο χρήστης θα μεταβεί στην τοποθεσία web του IDP όπου θα έχει τη δυνατότητα να εισαγάγει τα διαπιστευτήρια. Όταν ολοκληρωθεί η επαλήθευση IDP και η επιτυχής ανακατεύθυνση στη δοκιμαστική επανάκληση
SD-WAN Orchestrator, εμφανίζεται ένα μήνυμα επιτυχημένης επαλήθευσης.
Αποτελέσματα
Η ρύθμιση ελέγχου ταυτότητας SSO ολοκληρώθηκε στο SD-WAN Orchestrator.