La funzionalità Autenticazione (Authentication) consente di impostare la modalità di autenticazione per un utente aziendale e di visualizzare i token API esistenti.

Per accedere alla scheda Autenticazione (Authentication):
  1. Nel portale dell'azienda, nella barra di navigazione globale espandere il menu a discesa Applicazioni aziendali (Enterprise Applications).
  2. Selezionare il servizio Impostazioni globali (Global Settings).
  3. Nel menu a sinistra, fare clic su Gestione utenti (User Management) e quindi sulla scheda Autenticazione (Authentication). Viene visualizzata la schermata seguente:

Token API (API Tokens)

È possibile accedere alle API di Orchestrator utilizzando l'autenticazione basata su token, indipendentemente dalla modalità di autenticazione. È possibile visualizzare i token API emessi per gli utenti aziendali. Se necessario, è possibile revocare i token API.

Per impostazione predefinita, i token API sono attivati. Se si desidera disattivarli, contattare l'operatore.
Nota: L'amministratore aziendale deve eliminare manualmente gli utenti del provider di identità inattivi da Orchestrator per impedire accessi non autorizzati tramite token API.
Le opzioni disponibili in questa sezione sono le seguenti:
Opzione Descrizione
Cerca (Search) Immettere un termine di ricerca per cercare il testo corrispondente nella tabella. Utilizzare l'opzione di ricerca avanzata per limitare i risultati della ricerca.
Revoca token API (Revoke API Token) Selezionare il token e fare clic su questa opzione per revocarlo. Solo un superuser operatore o l'utente associato a un token API può revocare il token.
CSV Fare clic su questa opzione per scaricare l'elenco completo dei token API nel formato di file .csv.
Colonne (Columns) Fare clic e selezionare le colonne da visualizzare o nascondere nella pagina.
Aggiorna (Refresh) Fare clic per aggiornare la pagina in modo da visualizzare i dati più recenti.

Per informazioni sulla creazione e il download dei token API, vedere Token API.

Autenticazione Enterprise (Enterprise Authentication)

Selezionare una delle modalità di autenticazione seguenti:
  • Locale (Local): questa è l'opzione predefinita e non richiede alcuna configurazione aggiuntiva.
  • Single Sign-on: Single Sign-on (SSO) è una sessione e un servizio di autenticazione utente che consente agli utenti di accedere a più applicazioni e siti Web con un solo set di credenziali. L'integrazione di un servizio SSO con SASE Orchestrator consente a SASE Orchestrator di autenticare gli utenti dai fornitori di identità (IdPs) basati su OpenID Connect (OIDC).

    Per informazioni su come configurare Single Sign-On per l'utente aziendale, vedere Impostazioni aziendali.

    Per abilitare Single Sign-on (SSO) per SASE Orchestrator è necessario immettere i dettagli dell'applicazione Orchestrator nel provider di identità (IdP). Fare clic su ciascuno dei seguenti collegamenti per istruzioni dettagliate su come configurare i seguenti provider di identità supportati:
    È possibile configurare le opzioni seguenti quando si imposta la Modalità di autenticazione (Authentication Mode) su Single Sign-On.
    Opzione Descrizione
    Modello provider di identità (Identity Provider Template) Dal menu a discesa selezionare il provider di identità (IdP) preferito configurato per Single Sign-on. Questa azione precompila i campi in base al proprio provider di identità.
    Nota: È inoltre possibile configurare manualmente i propri provider di identità selezionando Altri (Others) dal menu a discesa.
    ID organizzazione (Organization Id) Questo campo è disponibile solo quando si seleziona il modello VMware CSP. Immettere l'ID dell'organizzazione fornito dal provider di identità nel formato: /csp/gateway/am/api/orgs/<full organization ID>. Quando si accede alla console di VMware CSP, è possibile visualizzare l'ID organizzazione a cui si è connessi facendo clic sul proprio nome utente. Queste informazioni vengono visualizzate anche nei dettagli dell'organizzazione. Utilizzare l'"ID dell'organizzazione completo".
    URL di configurazione OIDC noto (OIDC well-known config URL) Immettere l'URL di configurazione di OpenID Connect (OIDC) per il proprio provider di identità. Ad esempio, il formato dell'URL per Okta sarà: https://{oauth-provider-url}/.well-known/openid-configuration.
    Emittente (Issuer) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    Endpoint di autorizzazione (Authorization Endpoint) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    Endpoint token (Token Endpoint) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    URI set di chiavi Web JSON (JSON Web KeySet URI) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    Endpoint informazioni utente (User Information Endpoint) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    ID client (Client ID) Immettere l'identificatore del client fornito dal proprio provider di identità.
    Segreto client (Client Secret) Immettere il codice del segreto client fornito dal proprio provider di identità, utilizzato dal client per scambiare un codice di autorizzazione per un token.
    Ambiti (Scopes) Questo campo viene compilato automaticamente in base al provider di identità selezionato.
    Tipo di ruolo (Role Type) Selezionare una delle due opzioni seguenti:
    • Usa ruolo predefinito (Use default role)
    • Usa ruoli provider di identità
    Attributo ruolo (Role Attribute) Immettere il nome del set di attributi nel provider di identità per restituire i ruoli.
    Mappa ruoli aziendali (Enterprise Role Map) Mappare i ruoli forniti dal provider di identità a ciascuno dei ruoli utente aziendali.

    Fare clic su Aggiorna (Update) per salvare i valori immessi. La configurazione dell'autenticazione SSO è completa in SASE Orchestrator.

Autenticazione utente (User Authentication)

È possibile scegliere di attivare o disattivare la funzionalità Autenticazione a due fattori (Two factor authentication) per l'utente. Reimpostazione autonoma della password (Self service password reset) consente di modificare la password utilizzando un link nella pagina di accesso.
Nota: Questa funzionalità può essere attivata solo per gli utenti i cui numeri di telefono cellulare sono associati ai loro account utente.

Limiti di sessione (Session Limits)

Nota: Per visualizzare questa sezione, un utente operatore deve passare a Orchestrator > Proprietà di sistema (System Properties) e impostare il valore della proprietà di sistema session.options.enableSessionTracking su True.
Le opzioni disponibili in questa sezione sono le seguenti:
Opzione Descrizione
Accessi simultanei (Concurrent logins) Consente di impostare il limite di accessi simultanei per utente. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited) che significa che sono consentiti accessi simultanei illimitati.
Limite di sessione per ogni ruolo (Session limits for each role) Consente di impostare un limite per il numero di sessioni simultanee in base al ruolo utente. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited), a indicare che per il ruolo sono consentite sessioni illimitate.
Nota: In questa sezione vengono visualizzati i ruoli già creati dall'azienda nella scheda Ruoli (Roles).

Fare clic su Aggiorna (Update) per salvare i valori selezionati.