Για να ρυθμίσετε τον έλεγχο ταυτότητας καθολικής σύνδεσης (SSO) για έναν χρήστη-συνεργάτη, εκτελέστε τα βήματα αυτής της διαδικασίας.
Προϋποθέσεις
Βεβαιωθείτε ότι έχετε δικαίωμα υπερχρήστη-συνεργάτη.
Πριν από τη ρύθμιση του ελέγχου ταυτότητας SSO στο SD-WAN Orchestrator, βεβαιωθείτε ότι έχετε ορίσει ρόλους, χρήστες και την εφαρμογή OpenID Connect (OIDC) για το SD-WAN Orchestrator από τον ιστότοπο του προτιμώμενου παρόχου ταυτότητας. Για περισσότερες πληροφορίες, βλ. Διαμόρφωση IDP για Καθολική σύνδεση.
Διαδικασία
Συνδεθείτε στην εφαρμογή SD-WAN Orchestrator ως υπερχρήστης-συνεργάτης με τα διαπιστευτήρια σύνδεσής σας.
Κάντε κλικ στην επιλογή Ρυθμίσεις (Settings).
Θα εμφανιστεί η οθόνη
Ρυθμίσεις συνεργατών (Partner Settings).
Κάντε κλικ στην καρτέλα Γενικές πληροφορίες (General Information) και στο πλαίσιο κειμένου Τομέας (Domain), εισαγάγετε το όνομα τομέα για τον συνεργάτη σας, εάν δεν έχει ήδη οριστεί.
Σημείωση: Για να ενεργοποιήσετε τον έλεγχο ταυτότητας SSO για το
SD-WAN Orchestrator, πρέπει να ορίσετε το όνομα τομέα για τον συνεργάτη σας.
Κάντε κλικ στην καρτέλα Έλεγχος ταυτότητας (Authentication) και από το αναπτυσσόμενο μενού Λειτουργία ελέγχου ταυτότητας (Authentication Mode) επιλέξτε Καθολική σύνδεση (Single Sign-On).
Από το αναπτυσσόμενο μενού Πρότυπο παρόχου ταυτότητας (Identity Provider template), επιλέξτε τον προτιμώμενο πάροχο ταυτότητας (IDP) που έχετε διαμορφώσει για καθολική σύνδεση.
Σημείωση: Εάν επιλέξετε VMwareCSP ως προτιμώμενο IDP, βεβαιωθείτε ότι έχετε συμπληρώσει το αναγνωριστικό οργανισμού σας με την ακόλουθη μορφή:
/csp/gateway/am/api/orgs/<πλήρες αναγνωριστικό οργανισμού>.
Όταν συνδέεστε στην Κονσόλα VMware CSP, μπορείτε να δείτε το αναγνωριστικό οργανισμού με το οποίο είστε συνδεδεμένοι κάνοντας κλικ στο όνομα χρήστη σας. Μια συντομευμένη έκδοση του αναγνωριστικού εμφανίζεται κάτω από το όνομα του οργανισμού. Κάντε κλικ στο αναγνωριστικό για να εμφανίσετε το πλήρες αναγνωριστικό οργανισμού.
Μπορείτε επίσης να διαμορφώσετε τα δικά σας IDP με μη αυτόματο τρόπο επιλέγοντας
Άλλα (Others) από το αναπτυσσόμενο μενού
Πρότυπο παρόχου ταυτότητας (Identity Provider template).
Στο πλαίσιο κειμένου Γνωστή URL διαμόρφωσης OIDC (OIDC well-known config URL), εισαγάγετε τη διεύθυνση URL διαμόρφωσης OpenID Connect (OIDC) για το IDP σας. Για παράδειγμα, η μορφή URL για το Okta θα είναι: https://{oauth-provider-url}/.known/openid-configuration.
Η εφαρμογή SD-WAN Orchestrator συμπληρώνει αυτόματα τις λεπτομέρειες τελικού σημείου, όπως τον εκδότη, το τελικό σημείο εξουσιοδότησης, το τελικό σημείο διακριτικού και το τελικό σημείο πληροφοριών χρήστη για το IDP σας.
Στο πλαίσιο κειμένου Αναγνωριστικό πελάτη (Client Id), εισαγάγετε το αναγνωριστικό πελάτη που παρέχεται από το IDP σας.
Στο πλαίσιο κειμένου Μυστικό πελάτη (Client Secret), εισαγάγετε τον μυστικό κωδικό πελάτη που παρέχεται από το IDP σας, ο οποίος χρησιμοποιείται από τον πελάτη για ανταλλαγή ενός κωδικού εξουσιοδότησης για ένα διακριτικό.
Για να προσδιορίσετε τον ρόλο του χρήστη στο SD-WAN Orchestrator, επιλέξτε ένα από τα παρακάτω:
Χρήση προεπιλεγμένου ρόλου (Use Default Role) – Επιτρέπει στον χρήστη να διαμορφώσει έναν στατικό ρόλο ως προεπιλογή, χρησιμοποιώντας το πλαίσιο κειμένου Προεπιλεγμένος ρόλος (Default Role) που εμφανίζεται κατά την επιλογή αυτής της δυνατότητας. Οι υποστηριζόμενοι ρόλοι είναι: Υπερχρήστης MSP, Βασικός διαχειριστής MSP, Υποστήριξη MSP και Επιχείρηση MSP.
Σημείωση: Σε μια διαμόρφωση SSO, εάν είναι ενεργοποιημένη η επιλογή
Χρήση προεπιλεγμένου ρόλου (Use Default Role) και οριστεί ένας προεπιλεγμένος ρόλος χρήστη, τότε θα εκχωρηθεί σε όλους τους χρήστες SSO ο καθορισμένος προεπιλεγμένος ρόλος. Αντί για την αντιστοίχιση ενός χρήστη με τον προεπιλεγμένο ρόλο, ένας υπερχρήστης-συνεργάτης μπορεί να προεγγράψει έναν συγκεκριμένο χρήστη ως μη εγγενή και να ορίσει έναν συγκεκριμένο ρόλο χρήστη χρησιμοποιώντας την καρτέλα
Διαχειριστές (Admins) στην πύλη συνεργατών. Για τη διαμόρφωση ενός νέου χρήστη διαχειριστή-συνεργάτη, ανατρέξτε στο θέμα
Δημιουργία νέου διαχειριστή συνεργατών.
Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles) – Χρησιμοποιεί τους ρόλους που έχουν ρυθμιστεί στο IDP.
Επιλέγοντας Χρήση ρόλων παρόχου ταυτότητας (Use Identity Provider Roles), στο πλαίσιο κειμένου Χαρακτηριστικό ρόλων (Role Attribute), εισαγάγετε το όνομα του χαρακτηριστικού που έχει οριστεί στο IDP για την επιστροφή ρόλων.
Στην περιοχή Αντιστοίχιση ρόλων (Role Map), αντιστοιχίστε τους ρόλους που παρέχονται από το IDP σε καθέναν από τους ρόλους χρήστη-συνεργάτη, διαχωρισμένους με χρήση κόμματων.
Οι ρόλοι στο VMware CSP ακολουθούν αυτήν τη μορφή:
external/<uuid ορισμού υπηρεσίας>/<όνομα ρόλου υπηρεσίας που αναφέρεται κατά τη δημιουργία του προτύπου υπηρεσίας>.
Ενημερώστε τις επιτρεπόμενες διευθύνσεις URL ανακατεύθυνσης στον ιστότοπο του παρόχου OIDC με τη διεύθυνση URL SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) για να αποθηκεύσετε τη διαμόρφωση SSO.
Κάντε κλικ στην επιλογή Δοκιμή διαμόρφωσης (Test Configuration) για να επικυρώσετε τη διαμόρφωση OpenID Connect (OIDC) που έχει εισαχθεί.
Ο χρήστης θα μεταβεί στην τοποθεσία web του IDP όπου θα έχει τη δυνατότητα να εισαγάγει τα διαπιστευτήρια. Μετά την επικύρωση του IDP και την επιτυχή ανακατεύθυνση σε δοκιμαστική επιστροφή κλήσης
SD-WAN Orchestrator, θα εμφανιστεί ένα μήνυμα επιτυχούς επικύρωσης.
Αποτελέσματα
Η ρύθμιση ελέγχου ταυτότητας SSO ολοκληρώθηκε στο SD-WAN Orchestrator.
Σημείωση: Σε μια διαμόρφωση SSO, εάν είναι ενεργοποιημένη η επιλογή Χρήση προεπιλεγμένου ρόλου (Use Default Role) και οριστεί ένας προεπιλεγμένος ρόλος χρήστη, τότε θα εκχωρηθεί σε όλους τους χρήστες SSO ο καθορισμένος προεπιλεγμένος ρόλος. Αντί για την αντιστοίχιση ενός χρήστη με τον προεπιλεγμένο ρόλο, ένας υπερχρήστης-συνεργάτης μπορεί να προεγγράψει έναν συγκεκριμένο χρήστη ως μη εγγενή και να ορίσει έναν συγκεκριμένο ρόλο χρήστη χρησιμοποιώντας την καρτέλα Διαχειριστές (Admins) στην πύλη συνεργατών. Για τη διαμόρφωση ενός νέου χρήστη διαχειριστή-συνεργάτη, ανατρέξτε στο θέμα Δημιουργία νέου διαχειριστή συνεργατών.