Gli utenti operatore con autorizzazione superuser possono implementare e configurare Single Sign-on (SSO) in SD-WAN Orchestrator. Per configurare l'autenticazione SSO per l'utente operatore, attenersi alle procedura seguente.

Per configurare Single Sign-On per un utente operatore:

Prerequisiti

  • Assicurarsi di disporre dell'autorizzazione superuser operatore.
  • Prima di configurare l'autenticazione SSO in SD-WAN Orchestrator, assicurarsi di aver configurato i ruoli, gli utenti e l'applicazione OpenID Connect (OIDC) per SD-WAN Orchestrator nel sito Web del provider di identità preferito. Per ulteriori informazioni, vedere Configurazione di un IDP per Single Sign-On.
Nota: L'integrazione di SSO a livello di gestione degli operatori di un Orchestrator ospitato in VMware è riservata agli operatori TechOPS di VMware SD-WAN. I partner che dispongono dell'accesso a livello di operatore di un Orchestrator in hosting non dispongono dell'opzione per l'integrazione in un servizio SSO.

Procedura

  1. Accedere all'applicazione SD-WAN Orchestrator come superuser operatore.
  2. Fare clic su Autenticazione Orchestrator (Orchestrator Authentication).
    Viene visualizzata la schermata Configura autenticazione (Configure Authentication).
  3. Dal menu a discesa Modalità di autenticazione (Authentication Mode), selezionare SSO.
  4. Dal menu a discesa Modello provider di identità (Identity Provider template), selezionare il provider di identità (IDP) preferito configurato per Single Sign-On.
    Nota: Quando si seleziona VMwareCSP come IDP preferito, assicurarsi di fornire l'ID dell'organizzazione nel formato seguente: /csp/gateway/am/api/orgs/<ID completo organizzazione>.

    Quando si accede alla console di VMware CSP, è possibile visualizzare l'ID organizzazione a cui si è connessi facendo clic sul proprio nome utente. Sotto il nome dell'organizzazione viene visualizzata una versione abbreviata dell'ID. Fare clic sull'ID per visualizzare l'ID dell'organizzazione completo.

    È inoltre possibile configurare manualmente i propri IDP selezionando Altri (Others) dal menu a discesa Modello provider di identità (Identity Provider template).
  5. Nella casella di testo URL di configurazione OIDC noto (OIDC well-known config URL), immettere l'URL di configurazione di OpenID Connect (OIDC) per il proprio IDP. Ad esempio, il formato dell'URL per Okta sarà: https://{oauth-provider-url}/.well-known/openid-configuration
  6. L'applicazione SD-WAN Orchestrator compila automaticamente i dettagli dell'endpoint come l'emittente, l'endpoint di autorizzazione, l'endpoint di token e l'endpoint di informazioni utente per l'IDP.
  7. Nella casella di testo ID client (Client Id), immettere l'identificatore del client fornito dall'IDP.
  8. Nella casella di testo Segreto client (Client Secret), immettere il codice del client segreto specificato dal proprio IDP, utilizzato dal client per scambiare un codice di autorizzazione per un token.
  9. Per determinare il ruolo dell'utente in SD-WAN Orchestrator, selezionare una delle opzioni seguenti:
    • Usa ruolo predefinito (Use Default Role): consente all'utente di configurare un ruolo statico come predefinito utilizzando la casella di testo Ruolo predefinito (Default Role) visualizzata quando si seleziona questa opzione. I ruoli supportati sono: superuser operatore, amministratore standard operatore, supporto operatore e business operatore.
      Nota: In una configurazione di SSO, se è selezionata l'opzione Usa ruolo predefinito (Use Default Role) e viene definito un ruolo utente predefinito, a tutti gli utenti di SSO verrà assegnato il ruolo predefinito specificato. Anziché assegnare un utente con il ruolo predefinito, un superuser operatore può pre-registrare un utente specifico come utente non nativo e definire un ruolo utente specifico utilizzando la scheda Utenti operatore (Operator Users). Per configurare un nuovo utente operatore, vedere Creazione di un nuovo utente operatore.
    • Usa ruoli provider di identità (Use Identity Provider Roles): utilizza i ruoli impostati nell'IDP.
  10. Quando si seleziona l'opzione Usa ruoli provider di identità (Use Identity Provider Roles), immettere il nome dell'attributo impostato nell'IDP per la restituzione dei ruoli nella casella di testo Attributo ruolo (Role Attribute).
  11. Nell'area Mappa ruoli (Role Map), mappare i ruoli forniti dall'IDP a ciascuno dei ruoli utente operatore, separandoli con virgole.
    I ruoli in VMware CSP seguiranno questo formato: external/<uuid definizione servizio>/<nome ruolo servizio menzionato durante la creazione del modello del servizio>.
  12. Aggiornare gli URL di reindirizzamento consentiti nel sito Web del provider di OIDC con l'URL di SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
  13. Fare clic su Salva modifiche (Save Changes) per salvare la configurazione SSO.
  14. Fare clic su Test configurazione (Test Configuration) per convalidare la configurazione di OpenID Connect (OIDC) specificata.
    L'utente viene portato sul sito Web dell'IDP con la possibilità di immettere le credenziali. Una volta verificato l'IDP ed effettuato il reindirizzamento alla richiamata di prova di SD-WAN Orchestrator, viene visualizzato un messaggio di convalida riuscita.

risultati

La configurazione dell'autenticazione SSO è completa in SD-WAN Orchestrator.

Operazioni successive

Accesso a SD-WAN Orchestrator utilizzando Single Sign-On