Per configurare l'autenticazione SSO (Single Sign-On) per l'utente aziendale, eseguire i passaggi descritti in questa procedura.
Prerequisiti
Assicurarsi di disporre delle autorizzazioni di superuser aziendale.
Prima di configurare l'autenticazione SSO, assicurarsi di aver configurato i ruoli, gli utenti e l'applicazione OpenID Connect (OIDC) per SD-WAN Orchestrator nel sito Web del provider di identità preferito. Per ulteriori informazioni, vedere Configurazione di un IDP per Single Sign-On.
Procedura
Accedere all'applicazione SD-WAN Orchestrator come superuser aziendale con le proprie credenziali di accesso.
Fare clic su Amministrazione (Administration) > Impostazioni di sistema (System Settings)
Viene visualizzata la schermata
Impostazioni di sistema (System Settings).
Fare clic sulla scheda Informazioni generali (General Information) e immettere il nome del dominio della propria azienda nella casella di testo Dominio (Domain), se non è già stato impostato.
Nota: Per abilitare l'autenticazione SSO per
SD-WAN Orchestrator, è necessario configurare il nome del dominio per l'azienda.
Fare clic sulla scheda Autenticazione (Authentication) e dal menu a discesa Modalità di autenticazione (Authentication Mode), selezionare SSO.
Dal menu a discesa Modello provider di identità (Identity Provider template), selezionare il provider di identità (IDP) preferito configurato per Single Sign-On.
Nota: Se si seleziona VMwareCSP come provider di identità preferito, assicurarsi di specificare l'ID organizzazione nel formato seguente:
/csp/gateway/am/api/orgs/<ID organizzazione completo>.
Quando si accede alla console di VMware CSP, è possibile visualizzare l'ID organizzazione a cui si è connessi facendo clic sul proprio nome utente. Sotto il nome dell'organizzazione viene visualizzata una versione abbreviata dell'ID. Fare clic sull'ID per visualizzare l'ID dell'organizzazione completo.
È inoltre possibile configurare manualmente i propri IDP selezionando
Altri (Others) dal menu a discesa
Modello provider di identità (Identity Provider template).
Nella casella di testo URL di configurazione OIDC noto (OIDC well-known config URL), immettere l'URL di configurazione di OpenID Connect (OIDC) per il proprio IDP. Ad esempio, il formato dell'URL per Okta sarà: https://{oauth-provider-url}/.well-known/openid-configuration.
L'applicazione SD-WAN Orchestrator compila automaticamente i dettagli dell'endpoint come l'emittente, l'endpoint di autorizzazione, l'endpoint di token e l'endpoint di informazioni utente per l'IDP.
Nella casella di testo ID client (Client Id), immettere l'identificatore del client fornito dall'IDP.
Nella casella di testo Segreto client (Client Secret), immettere il codice del client segreto specificato dal proprio IDP, utilizzato dal client per scambiare un codice di autorizzazione per un token.
Per determinare il ruolo dell'utente in SD-WAN Orchestrator, selezionare una delle opzioni seguenti:
Usa ruolo predefinito (Use Default Role): consente all'utente di configurare un ruolo statico come predefinito utilizzando la casella di testo Ruolo predefinito (Default Role) visualizzata quando si seleziona questa opzione. I ruoli supportati sono: Superuser aziendale (Enterprise superuser), Amministratore standard aziendale (Enterprise standard admin), Supporto aziendale (Enterprise Support) e Sola lettura aziendale (Enterprise Read only).
Nota: In una configurazione di SSO, se è selezionata l'opzione
Usa ruolo predefinito (Use Default Role) e viene definito un ruolo utente predefinito, a tutti gli utenti di SSO verrà assegnato il ruolo predefinito specificato. Anziché assegnare un utente con il ruolo predefinito, un superuser amministratore standard o un amministratore standard può pre-registrare un utente specifico come utente non nativo e definire un ruolo utente specifico facendo clic sulla scheda
Amministrazione (Administration) > Amministratori (Administrators) nel portale dell'azienda. Per i passaggi di configurazione di un nuovo utente amministratore, vedere
Creazione di un nuovo utente amministratore.
Usa ruoli provider di identità (Use Identity Provider Roles): utilizza i ruoli impostati nell'IDP.
Quando si seleziona l'opzione Usa ruoli provider di identità (Use Identity Provider Roles), immettere il nome dell'attributo impostato nell'IDP per la restituzione dei ruoli nella casella di testo Attributo ruolo (Role Attribute).
Nell'area Mappa ruoli (Role Map), mappare i ruoli forniti dall'IDP a ciascuno dei ruoli di SD-WAN Orchestrator, separandoli con virgole.
I ruoli in VMware CSP seguiranno questo formato:
external/<uuid definizione servizio>/<nome ruolo servizio menzionato durante la creazione del modello del servizio>.
Aggiornare gli URL di reindirizzamento consentiti nel sito Web del provider di OIDC con l'URL di SD-WAN Orchestrator (https://<URL Orchestrator>/login/ssologin/openidCallback).
Fare clic su Salva modifiche (Save Changes) per salvare la configurazione SSO.
Fare clic su Test configurazione (Test Configuration) per convalidare la configurazione di OpenID Connect (OIDC) immessa.
L'utente viene portato sul sito Web dell'IDP con la possibilità di immettere le credenziali. Sulla verifica del partner di identità e sul reindirizzamento corretto alla richiamata di prova di
SD-WAN Orchestrator, viene visualizzato un messaggio di convalida riuscita.
risultati
La configurazione dell'autenticazione SSO è stata completata.