Questa sezione riguarda i clienti di VMware SD-WAN che gestiscono i propri account utente tramite VMware Cloud Services Platform (CSP) come provider di identità (IdP) per Single Sign-On (SSO).

Panoramica

I clienti configurati per l'utilizzo di Single Sign-On (SSO) possono utilizzare diversi provider di identità (IdP) per gestire i propri utenti. Questa sezione illustra l'IdP di VMware: Cloud Services Platform (CSP).
Suggerimento: CSP è una piattaforma di gestione del ciclo di vita comune per tutte le offerte SaaS VMware. Con altre offerte SaaS VMware, CSP include onboarding, autenticazione, fatturazione, ordini, supporto e notifiche per i clienti. L'integrazione di CSP con VMware SASE (incluso SD-WAN) nella versione 5.2.0 è limitata all'autenticazione e all'autorizzazione con l'integrazione aggiuntiva disponibile nelle versioni successive.

CSP consolida e semplifica la gestione degli utenti in più Orchestrator, integrando con provider di identità (IdP) che supportano SAML e OIDC e fornisce un unico punto di contatto per garantire la conformità alle normative.

Importante: I clienti creati in un Host Orchestrator con versione 5.2.0 che non sono assegnati a un partner vengono configurati automaticamente per SSO utilizzando CSP come IdP. Di conseguenza:
  • I nuovi amministratori vengono creati da un amministratore con ruolo di superuser tramite il portale di CSP.
  • In caso di interruzione di CSP, al cliente è consentito un account amministratore "break glass" con autenticazione locale (nome utente/password) per consentire l'accesso al proprio portale.
  • I nuovi clienti diretti dovranno utilizzare l'autenticazione basata su token per l'accesso all'API. Non potranno utilizzare l'autenticazione basata su cookie quando la creazione dell'utente viene spostata in CSP.

In una versione successiva di SD-WAN, VMware richiederà a tutti i clienti che utilizzano un Hosted Orchestrator, sia nuovi che esistenti, di configurare la propria azienda per utilizzare CSP come IdP.

Gli Orchestrator locali non sono soggetti ai requisiti di CSP e i loro clienti continueranno a utilizzare l'autenticazione basata su Orchestrator.

Prerequisiti

Prima di poter configurare l'account SD-WAN nel VMware SASE Orchestrator a loro assegnato, è necessario acquistare SD-WAN.

Creazione di un'organizzazione cliente sulla Cloud Services Platform

Una volta confermato l'ordine SD-WAN del cliente:
  1. VMware invia un'email di invito simile a quella mostrata di seguito:

    Questo messaggio e-mail include un collegamento all'Orchestrator che verrà utilizzato per gestire l'azienda insieme a un link per creare l'organizzazione in CSP.
    Nota: I dati del dominio del cliente costituiscono la base dell'account cliente sull'Orchestrator e determinano l'Orchestrator a cui verrà assegnata l'azienda in base alla sua geolocalizzazione.
  2. Dove l'e-mail recita "Segui questo link per configurare l'account CSP", fare clic sul link per configurare l'organizzazion CSP.
  3. Se si fa clic sul link, si viene reindirizzati al sito CSP in cui verrà configurato l'account CSP, che può trattarsi di un'organizzazione esistente o di una nuova.
  4. In Organizzazione (Organization) > Dettagli (Details), configurare i dettagli dell'account, incluso l'ID organizzazione che VMware SASE ha fornito come parte dell'ordine.
    Importante: Durante l'onboarding del cliente CSP, è necessario fornire un indirizzo fisico. Inoltre, il nome del dominio del cliente verrà convalidato prima di configurare la federazione.
    Fare quindi clic sulla scheda Organizzazione (Organization) > App OAuth (OAuth Apps) per configurare il Dominio collegato al provider di identità (Domains Linked to Identity Provider) insieme agli altri campi e opzioni di questa pagina.

  5. Dopo aver completato la configurazione dell'organizzazione CSP, è possibile aggiungere nuovi utenti all'organizzazione CSP.

Aggiunta di utenti all'organizzazione CSP

  1. Fare clic sulla scheda Gestione identità e accessi (Identity & Access Management) nella pagina VMware Cloud Services, quindi fare clic su Utenti attivi (Active Users) e su Aggiungi nuovi utenti (Add New Users).

  2. Nella pagina Aggiungi nuovi utenti (Add New Users) è possibile aggiungere nuovi utenti in base all'indirizzo e-mail. Agli utenti devono essere assegnati due ruoli:
    1. Assegnare loro un Ruolo organizzazione (Organization Role) (o ruoli), questo è il loro ruolo all'interno dell'organizzazione CSP.
    2. Assegnare loro un Ruolo servizio (Service Role) questo è il loro ruolo quando si accede a Orchestrator.
  3. Una volta configurati tutti i ruoli, fare clic su AGGIUNGI (ADD) per aggiungere questi utenti all'organizzazione CSP.

Accesso a SASE Orchestrator tramite CSP

Chiunque aggiunto come utente nel passaggio precedente può ora accedere alla propria azienda in SASE Orchestrator. Per accedere a Orchestrator:
  1. Passare alla pagina di accesso di Orchestrator facendo riferimento all'invito ricevuto tramite e-mail e fare clic sul collegamento dell'URL nella sezione evidenziata di seguito:

  2. Nella schermata di accesso a Orchestrator, fare clic su ACCEDI CON IL PROVIDER DI IDENTITÀ (SIGN IN WITH YOUR IDENTITY PROVIDER).

  3. Nella pagina Accedi tramite il provider di identità, immettere il dominio dell'account e fare clic su ACCEDI (SIGN IN).

  4. Si verrà quindi reindirizzati a CSP.

  5. Nella schermata di accesso a CSP, inserire l'indirizzo e-mail e fare clic su AVANTI (NEXT).

    Nota: L'autenticazione a due fattori (2FA) viene eseguita utilizzando Google Authenticator. Twilio non viene utilizzato per i nuovi clienti diretti.
  6. Se si accede correttamente con l'account CSP, si torna alla home page dell'azienda in Orchestrator. La visualizzazione sarà coerente con la visualizzazione che è stata assegnata in CSP.

Risorse aggiuntive

Per ulteriori informazioni sull'utilizzo di CSP come provider di identità in VMware SD-WAN, vedere Configurazione di VMware CSP per Single Sign-On.

Per ulteriori informazioni sull'aggiunta di nuovi utenti in Cloud Services Platform, vedere Utilizzo della console di VMware Cloud Services - Gestione identità e accessi.