Per configurare l'autenticazione Single Sign-On (SSO) per l'utente partner, attenersi alle procedura seguente.
Prerequisiti
Assicurarsi di disporre dell'autorizzazione superuser partner.
Prima di configurare l'autenticazione SSO in SD-WAN Orchestrator, assicurarsi di aver configurato i ruoli, gli utenti e l'applicazione OpenID Connect (OIDC) per SD-WAN Orchestrator nel sito Web del provider di identità preferito. Per ulteriori informazioni, vedere Configurazione di un IDP per Single Sign-On.
Procedura
Accedere all'applicazione SD-WAN Orchestrator come superuser partner, con le credenziali di accesso.
Fare clic su Impostazioni (Settings).
Viene visualizzata la schermata
Impostazioni partner (Partner Settings).
Fare clic sulla scheda Informazioni generali (General Information) e immettere il nome del dominio del proprio partner nella casella di testo Dominio (Domain), se non è già stato impostato.
Nota: Per abilitare l'autenticazione SSO per
SD-WAN Orchestrator, è necessario impostare il nome del dominio per il partner.
Fare clic sulla scheda Autenticazione (Authentication) e dal menu a discesa Modalità di autenticazione (Authentication Mode), selezionare Single Sign-On.
Dal menu a discesa Modello provider di identità (Identity Provider template), selezionare il provider di identità (IDP) preferito configurato per Single Sign-On.
Nota: Quando si seleziona VMwareCSP come IDP preferito, assicurarsi di fornire l'ID dell'organizzazione nel formato seguente:
/csp/gateway/am/api/orgs/<ID completo organizzazione>.
Quando si accede alla console di VMware CSP, è possibile visualizzare l'ID organizzazione a cui si è connessi facendo clic sul proprio nome utente. Sotto il nome dell'organizzazione viene visualizzata una versione abbreviata dell'ID. Fare clic sull'ID per visualizzare l'ID dell'organizzazione completo.
È inoltre possibile configurare manualmente i propri IDP selezionando
Altri (Others) dal menu a discesa
Modello provider di identità (Identity Provider template).
Nella casella di testo URL di configurazione OIDC noto (OIDC well-known config URL), immettere l'URL di configurazione di OpenID Connect (OIDC) per il proprio IDP. Ad esempio, il formato dell'URL per Okta sarà: https://{oauth-provider-url}/.well-known/openid-configuration.
L'applicazione SD-WAN Orchestrator compila automaticamente i dettagli dell'endpoint come l'emittente, l'endpoint di autorizzazione, l'endpoint di token e l'endpoint di informazioni utente per l'IDP.
Nella casella di testo ID client (Client Id), immettere l'identificatore del client fornito dall'IDP.
Nella casella di testo Segreto client (Client Secret), immettere il codice del client segreto specificato dal proprio IDP, utilizzato dal client per scambiare un codice di autorizzazione per un token.
Per determinare il ruolo dell'utente in SD-WAN Orchestrator, selezionare una delle opzioni seguenti:
Usa ruolo predefinito (Use Default Role): consente all'utente di configurare un ruolo statico come predefinito utilizzando la casella di testo Ruolo predefinito (Default Role) visualizzata quando si seleziona questa opzione. I ruoli supportati sono: superuser MSP, amministratore standard MSP, assistenza MSP e business MSP.
Nota: In una configurazione di SSO, se è selezionata l'opzione
Usa ruolo predefinito (Use Default Role) e viene definito un ruolo utente predefinito, a tutti gli utenti di SSO verrà assegnato il ruolo predefinito specificato. Anziché assegnare un utente con il ruolo predefinito, il superuser partner può preregistrare un utente specifico come utente non nativo e definire un ruolo utente specifico utilizzando la scheda
Amministratori (Admins) nel portale partner. Per la procedura di configurazione di un nuovo utente amministratore partner, vedere
Creazione di un nuovo amministratore partner.
Usa ruoli provider di identità (Use Identity Provider Roles): utilizza i ruoli impostati nell'IDP.
Quando si seleziona l'opzione Usa ruoli provider di identità (Use Identity Provider Roles), immettere il nome dell'attributo impostato nell'IDP per la restituzione dei ruoli nella casella di testo Attributo ruolo (Role Attribute).
Nell'area Mappa ruoli (Role Map), mappare i ruoli forniti dall'IDP a ciascuno dei ruoli utente partner, separandoli con virgole.
I ruoli in VMware CSP seguiranno questo formato:
external/<uuid definizione servizio>/<nome ruolo servizio menzionato durante la creazione del modello del servizio>.
Aggiornare gli URL di reindirizzamento consentiti nel sito Web del provider di OIDC con l'URL di SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
Fare clic su Salva modifiche (Save Changes) per salvare la configurazione SSO.
Fare clic su Test configurazione (Test Configuration) per convalidare la configurazione di OpenID Connect (OIDC) immessa.
L'utente viene portato sul sito Web dell'IDP con la possibilità di immettere le credenziali. Sulla verifica del partner di identità e sul reindirizzamento corretto alla richiamata di prova di
SD-WAN Orchestrator, viene visualizzato un messaggio di convalida riuscita.
risultati
La configurazione dell'autenticazione SSO è completa in SD-WAN Orchestrator.