Η δυνατότητα «Έλεγχος ταυτότητας» σάς επιτρέπει να ορίζετε τις λειτουργίες ελέγχου ταυτότητας τόσο για τον Χειριστή όσο και για τους εταιρικούς χρήστες. Μπορείτε επίσης να προβάλλετε τα υπάρχοντα διακριτικά API.
- Στην πύλη χειριστή, κάντε κλικ στην επιλογή Διαχείριση (Administration) από το επάνω μενού.
- Από το αριστερό μενού, κάντε κλικ στην επιλογή Διαχείριση χρηστών (User Management) και, στη συνέχεια, κάντε κλικ στην καρτέλα Έλεγχος ταυτότητας (Authentication). Εμφανίζεται η παρακάτω οθόνη:
Διακριτικά API (API Tokens)
Μπορείτε να αποκτήσετε πρόσβαση στα API του Orchestrator χρησιμοποιώντας έλεγχο ταυτότητας που βασίζεται σε διακριτικά, ανεξάρτητα από τη λειτουργία ελέγχου ταυτότητας. Οι χειριστές-διαχειριστές με κατάλληλα δικαιώματα μπορούν να προβάλλουν τα διακριτικά API που εκδίδονται σε χρήστες του Orchestrator, συμπεριλαμβανομένων των διακριτικών που εκδίδονται στους χρήστες-συνεργάτες και χρήστες-πελάτες. Εάν απαιτείται, ένας διαχειριστής-χειριστής μπορεί να ανακαλέσει τα διακριτικά API.
Από προεπιλογή, τα διακριτικά API είναι ενεργοποιημένα. Εάν θέλετε να τα απενεργοποιήσετε, μεταβείτε στις επιλογές session.options.enableApiTokenAuth
σε Ψευδές (False).
Επιλογή | Περιγραφή |
---|---|
Αναζήτηση (Search) | Εισαγάγετε έναν όρο αναζήτησης για να αναζητήσετε ένα αντίστοιχο κείμενο σε όλο τον πίνακα. Χρησιμοποιήστε την επιλογή σύνθετης αναζήτησης, για να περιορίσετε τα αποτελέσματα της αναζήτησης. |
Ανάκληση διακριτικού API (Revoke API Token) | Επιλέξτε το διακριτικό και κάντε κλικ σε αυτήν την επιλογή για να το ανακαλέσετε. Μόνο ο υπερχρήστης-χειριστής ή ο χρήστης που σχετίζεται με ένα διακριτικό API μπορεί να ανακαλέσει το διακριτικό. |
CSV | Κάντε κλικ σε αυτήν την επιλογή για να κάνετε λήψη της πλήρους λίστας διακριτικών API σε μορφή αρχείου .csv. |
Στήλες (Columns) | Κάντε κλικ και επιλέξτε τις στήλες που θα εμφανίζονται ή θα αποκρύπτονται στη σελίδα. |
Ανανέωση (Refresh) | Κάντε κλικ για να ανανεώσετε τη σελίδα για να εμφανίσετε τα πιο πρόσφατα δεδομένα. |
Ως υπερχρήστης-χειριστής, μπορείτε να διαχειριστείτε τα διακριτικά API για εταιρικούς χρήστες. Για πληροφορίες σχετικά με τη δημιουργία και λήψη διακριτικών API, ανατρέξτε στην ενότητα Διακριτικά API (API tokens).
Έλεγχος ταυτότητας χειριστή / Έλεγχος ταυτότητας επιχείρησης (Operator Authentication / Enterprise Authentication)
- Τοπικό (Local): Αυτή είναι η προεπιλεγμένη επιλογή και δεν απαιτεί πρόσθετη διαμόρφωση.
- Καθολική σύνδεση (Single Sign-On): Οι χρήστες-χειριστές με δικαιώματα υπερχρήστη μπορούν να ρυθμίσουν και να διαμορφώσουν την καθολική σύνδεση (SSO) στο SASE Orchestrator. Η καθολική σύνδεση (SSO) είναι μια υπηρεσία περιόδου λειτουργίας και ελέγχου ταυτότητας χρήστη που επιτρέπει στους χρήστες να συνδέονται σε πολλές εφαρμογές και ιστότοπους με ένα μόνο σύνολο διαπιστευτηρίων. Η ενσωμάτωση μιας υπηρεσίας SSO με το SASE Orchestrator επιτρέπει στο SASE Orchestrator να ελέγχει την ταυτότητα χρηστών από υπηρεσίες παροχής ταυτότητας (IdP) που βασίζονται στο OpenID Connect (OIDC).
Προϋποθέσεις:
- Βεβαιωθείτε ότι έχετε το δικαίωμα υπερχρήστη χειριστή.
- Πριν να ρυθμίσετε τον έλεγχο ταυτότητας SSO στο SASE Orchestrator, βεβαιωθείτε ότι έχετε ορίσει χρήστες, δικαιώματα υπηρεσίας και την εφαρμογή OpenID Connect (OIDC) για το SASE Orchestrator στον ιστότοπο του παρόχου ταυτότητας της επιλογής σας.
Σημείωση:- Η λειτουργία Καθολική σύνδεση (Single Sign-On) είναι διαθέσιμη μόνο για Έλεγχο ταυτότητας χειριστή (Operator Authentication) στην πύλη χειριστή.
- Ο έλεγχος ταυτότητας που βασίζεται σε διακριτικά απενεργοποιείται για χρήστες SSO.
- Η ενσωμάτωση SSO σε επίπεδο διαχείρισης χειριστή ενός Orchestrator που φιλοξενείται στο VMware δεσμεύεται για τους χειριστές VMware SD-WAN TechOPS. Οι συνεργάτες με πρόσβαση σε επίπεδο χειριστή ενός φιλοξενούμενου Orchestrator δεν έχουν τη δυνατότητα ενσωμάτωσης σε μια υπηρεσία SSO.
Για να ενεργοποιήσετε την καθολική σύνδεση (SSO) για SASE Orchestrator, πρέπει να εισαγάγετε τα στοιχεία της εφαρμογής Orchestrator στον πάροχο ταυτότητας (IdP). Κάντε κλικ σε καθεμία από τις παρακάτω συνδέσεις για οδηγίες βήμα προς βήμα προκειμένου να ρυθμίσετε τις παραμέτρους των ακόλουθων υποστηριζόμενων IdP:Μπορείτε να διαμορφώσετε τις ακόλουθες επιλογές όταν επιλέγετε τη Λειτουργία ελέγχου ταυτότητας (Authentication Mode) ως Καθολική σύνδεση (Single Sign-on).Επιλογή Περιγραφή Πρότυπο παρόχου ταυτότητας (Identity Provider Template) Από το αναπτυσσόμενο μενού, επιλέξτε τον προτιμώμενο πάροχο ταυτότητας (IdP) που έχετε διαμορφώσει για την καθολική σύνδεση. Αυτό προσυμπληρώνει πεδία ειδικά για τον πάροχο IDP. Σημείωση:- Εάν επιλέξετε VMwareCSP ως προτιμώμενο IdP, βεβαιωθείτε ότι έχετε συμπληρώσει το αναγνωριστικό οργανισμού σας με την ακόλουθη μορφή: /csp/gateway/am/api/orgs/<πλήρες αναγνωριστικό οργανισμού>
- Όταν συνδέεστε στην Κονσόλα VMware CSP, μπορείτε να δείτε το αναγνωριστικό οργανισμού με το οποίο είστε συνδεδεμένοι κάνοντας κλικ στο όνομα χρήστη σας. Αυτές οι πληροφορίες εμφανίζονται επίσης στην ενότητα λεπτομερειών του οργανισμού. Χρησιμοποιήστε το «Μεγάλο αναγνωριστικό οργανισμού» (Long Organization ID).
Μπορείτε επίσης να διαμορφώσετε χειροκίνητα τους δικούς σας παρόχους IDP επιλέγοντας Άλλα (Others) από το αναπτυσσόμενο μενού.
Αναγνωριστικό οργανισμού (Organization Id) Αυτό το πεδίο είναι διαθέσιμο μόνον όταν επιλέγετε το πρότυπο CSP από τη VMware (VMware CSP). Εισαγάγετε το αναγνωριστικό οργανισμού που παρέχεται από τον IDP με τη μορφή: /csp/gateway/am/api/orgs/<full organization ID>
. Όταν συνδέεστε στην Κονσόλα VMware CSP, μπορείτε να δείτε το αναγνωριστικό οργανισμού με το οποίο είστε συνδεδεμένοι κάνοντας κλικ στο όνομα χρήστη σας. Μια συντομευμένη έκδοση του αναγνωριστικού εμφανίζεται κάτω από το όνομα του οργανισμού. Κάντε κλικ στο αναγνωριστικό για να εμφανίσετε το πλήρες αναγνωριστικό οργανισμού.Γνωστή URL διαμόρφωσης OIDC (OIDC well-known config URL) Εισαγάγετε τη διεύθυνση URL διαμόρφωσης OpenID Connect (OIDC) για τον IdP. Για παράδειγμα, η μορφή URL για το Okta θα είναι: https://{oauth-provider-url}/.well-known/openid-configuration
.Εκδότης (Issuer) Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. Τελικό σημείο εξουσιοδότησης (Authorization Endpoint) Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. Τελικό σημείο διακριτικού (Token Endpoint) Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. JSON Web KeySet URI Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. Τελικό σημείο πληροφοριών χρήστη (User Information Endpoint) Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. Αναγνωριστικό πελάτη (Client ID) Εισαγάγετε το αναγνωριστικό πελάτη που παρέχεται από τον IdP. Μυστικό πελάτη (Client Secret) Εισαγάγετε τον μυστικό κωδικό πελάτη που παρέχεται από τον IdP, ο οποίος χρησιμοποιείται από τον πελάτη για ανταλλαγή ενός κωδικού εξουσιοδότησης για ένα διακριτικό. Εύρος (Scopes) Αυτό το πεδίο συμπληρώνεται αυτόματα με βάση τον IdP που επιλέξατε. Τύπος ρόλων (Role Type) Επιλέξτε μία από τις ακόλουθες δύο επιλογές: - Χρήση προεπιλεγμένου ρόλου (Use default role)
- Χρήση ρόλων παρόχου ταυτότητας (Use identity provider roles)
Χαρακτηριστικό ρόλων (Role Attribute) Εισαγάγετε το όνομα του χαρακτηριστικού που έχει οριστεί στον IdP για να επιστρέψετε ρόλους. Αντιστοίχιση ρόλων χειριστή (Operator Role Map) Αντιστοιχίστε τους ρόλους που παρέχονται από τον IdP σε καθέναν από τους ρόλους χρήστη-χειριστή. Κάντε κλικ στην επιλογή Ενημέρωση (Update) για να αποθηκεύσετε τις τιμές που εισαγάγατε. Η ρύθμιση ελέγχου ταυτότητας SSO ολοκληρώθηκε στο SASE Orchestrator.
- RADIUS: Η υπηρεσία κλήσης απομακρυσμένου ελέγχου ταυτότητας χρήστη μέσω κλήσης (RADIUS) είναι ένα πρωτόκολλο πελάτη-διακομιστή που επιτρέπει στους διακομιστές απομακρυσμένης πρόσβασης να επικοινωνούν με έναν κεντρικό διακομιστή. Ο έλεγχος ταυτότητας RADIUS παρέχει μια κεντρική διαχείριση για χρήστες. Μπορείτε να διαμορφώσετε τον έλεγχο ταυτότητας Orchestrator σε λειτουργία RADIUS, έτσι ώστε ο χειριστής και οι εταιρικοί πελάτες να συνδέονται στις πύλες χρησιμοποιώντας τους διακομιστές RADIUS. Εισαγάγετε τα κατάλληλα στοιχεία στα ακόλουθα πεδία:
- Μπορείτε να επεξεργαστείτε την τιμή Πρωτόκολλο (Protocol) μόνο στις Ιδιότητες συστήματος (System Properties). Μεταβείτε στις επιλογές και επεξεργαστείτε το πρωτόκολλο στο πεδίο Τιμή (Value) της ιδιότητας συστήματος
vco.operator.authentication.radius
. - Το πεδίο Τομέας χειριστή (Operator Domain) είναι διαθέσιμο μόνο για χειριστές.
- Στην ενότητα Αντιστοίχιση ρόλων χειριστή / Αντιστοίχιση ρόλων επιχείρησης (Operator Role Map / Enterprise Role Map), αντιστοιχίστε τις ιδιότητες του διακομιστή RADIUS σε καθέναν από τους ρόλους χειριστή ή εταιρικού χρήστη. Αυτή η αντιστοίχιση ρόλων χρησιμοποιείται για τον προσδιορισμό του ρόλου στον οποίο θα αντιστοιχιστούν οι χρήστες όταν συνδεθούν στο Orchestrator χρησιμοποιώντας τον διακομιστή RADIUS για πρώτη φορά.
- Κάντε κλικ στην επιλογή Ενημέρωση (Update) για να αποθηκεύσετε τις τιμές που εισαγάγατε.
- Μπορείτε να επεξεργαστείτε την τιμή Πρωτόκολλο (Protocol) μόνο στις Ιδιότητες συστήματος (System Properties). Μεταβείτε στις επιλογές και επεξεργαστείτε το πρωτόκολλο στο πεδίο Τιμή (Value) της ιδιότητας συστήματος
Κλειδιά SSH (SSH Keys)
Μπορείτε να δημιουργήσετε μόνο ένα κλειδί SSH ανά χρήστη. Κάντε κλικ στο εικονίδιο Πληροφορίες χρήστη (User Information) που βρίσκεται στην επάνω δεξιά πλευρά της οθόνης και, στη συνέχεια, κάντε κλικ στις επιλογές για να δημιουργήσετε ένα κλειδί SSH.
Ως χειριστής, μπορείτε επίσης να ανακαλέσετε ένα κλειδί SSH.
Κάντε κλικ στην επιλογή Ανανέωση (Refresh) για να ανανεώσετε την ενότητα και να εμφανίσετε τα πιο πρόσφατα δεδομένα.
Για περισσότερες πληροφορίες, δείτε Διαμόρφωση λεπτομερειών λογαριασμού χρήστη.
Όρια περιόδου λειτουργίας (Session Limits)
session.options.enableSessionTracking
σε
Αληθές (True).
Ακολουθούν οι επιλογές που είναι διαθέσιμες σε αυτήν την ενότητα:
Επιλογή | Περιγραφή |
---|---|
Ταυτόχρονες συνδέσεις (Concurrent logins) | Σας επιτρέπει να ορίσετε ένα όριο για ταυτόχρονες συνδέσεις ανά χρήστη. Από προεπιλογή, είναι επιλεγμένο το Απεριόριστα (Unlimited), υποδεικνύοντας ότι επιτρέπονται απεριόριστες ταυτόχρονες συνδέσεις για τον χρήστη. |
Όρια περιόδου λειτουργίας για κάθε ρόλο (Session limits for each role) | Σας επιτρέπει να ορίσετε ένα όριο στον αριθμό των ταυτόχρονων περιόδων λειτουργίας με βάση τον ρόλο του χρήστη. Από προεπιλογή, είναι επιλεγμένο το Απεριόριστα (Unlimited), υποδεικνύοντας ότι επιτρέπονται απεριόριστες περίοδοι λειτουργίας για τον ρόλο.
Σημείωση: Οι ρόλοι που έχουν ήδη δημιουργηθεί από τον χειριστή στην καρτέλα
Ρόλοι (Roles), εμφανίζονται σε αυτήν την ενότητα.
|
Κάντε κλικ στην επιλογή Ενημέρωση (Update) για να αποθηκεύσετε τις τιμές που επιλέξατε.