Per configurare VMware Cloud Services Platform (CSP) per Single Sign-On (SSO), eseguire i passaggi descritti in questa procedura.

Prerequisiti

Accedere alla console di VMware CSP (ambiente di gestione temporanea o di produzione) con l'ID dell'account VMware. Se è il primo utilizzo di VMware Cloud e non si dispone di un account VMware, è possibile crearne uno mentre si effettua la registrazione. Per ulteriori informazioni, vedere la sezione relativa alla registrazione per VMware CSP nella documentazione sull'utilizzo di VMware Cloud.

Procedura

  1. Contattare il provider del supporto di VMware per ricevere il link di un URL di invito al servizio per registrare l'applicazione SASE Orchestrator in VMware CSP. Per informazioni su come contattare il provider di servizi di supporto, vedere https://kb.vmware.com/s/article/53907 e https://www.vmware.com/support/contacts/us_support.html.
    Il provider del supporto di VMware creerà e condividerà:
    • un URL di invito al servizio che deve essere riscattato nell'organizzazione del cliente
    • un UUID di definizione del servizio e il nome del ruolo di servizio da utilizzare per la mappatura del ruolo in Orchestrator
  2. Riscattare l'URL di invito al servizio per l'organizzazione del cliente esistente o creare una nuova organizzazione del cliente seguendo i passaggi presentati nella schermata dell'interfaccia utente.
    È necessario essere proprietari dell'organizzazione per riscattare l'URL dell'invito al servizio inviato all'organizzazione del cliente esistente.
  3. Dopo aver riscattato l'invito al servizio, quando si accede alla console di VMware CSP, è possibile visualizzare il riquadro dell'applicazione nell'area Servizi personali (My Services) nella pagina VMware Cloud Services.
    L'organizzazione in cui è stato effettuato l'accesso viene visualizzata sotto il proprio nome utente nella barra dei menu. Facendo clic sul proprio nome utente prendere nota dell'ID dell'organizzazione da utilizzare durante la configurazione di Orchestrator. Sotto il nome dell'organizzazione viene visualizzata una versione abbreviata dell'ID. Fare clic sull'ID per visualizzare l'ID dell'organizzazione completo.
  4. Accedere alla console di VMware CSP e creare un'applicazione OAuth. Per informazioni sui passaggi, vedere Utilizzo di OAuth 2.0 per le app Web. Assicurarsi di impostare l'URI di reindirizzamento sull'URL visualizzato nella schermata Configura autenticazione (Configure Authentication) in Orchestrator.
    Una volta creata l'applicazione OAuth nella console di VMware CSP, prendere nota dei dettagli dell'integrazione del provider di identità, come l'ID client e il segreto client. Questi dettagli saranno necessari per la configurazione di SSO in Orchestrator.
  5. Accedere all'applicazione SASE Orchestrator come amministratore super e configurare SSO utilizzando i dettagli dell'integrazione del provider di identità come indicato di seguito:
    1. Fare clic su Amministrazione (Administration) > Gestione utenti (User Management).
      Nota: Per abilitare l'autenticazione SSO per SASE Orchestrator, è necessario configurare il nome del dominio per l'azienda.
    2. Fare clic sulla scheda Autenticazione (Authentication) e dal menu a discesa Modalità di autenticazione (Authentication Mode), selezionare SSO.
    3. Dal menu a discesa Modello provider di identità (Identity Provider template), selezionare VMwareCSP.
    4. Nella casella di testo ID organizzazione (Organization Id), immettere l'ID dell'organizzazione (annotato nel passaggio 3) nel formato seguente: /csp/gateway/am/api/orgs/<ID organizzazione completo>.
    5. Nella casella di testo URL di configurazione OIDC noto (OIDC well-known config URL), immettere l'URL di configurazione di OpenID Connect (OIDC) (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) per il proprio IDP.
      L'applicazione SASE Orchestrator compila automaticamente i dettagli dell'endpoint come l'emittente, l'endpoint di autorizzazione, l'endpoint di token e l'endpoint di informazioni utente per l'IDP.
    6. Nella casella di testo ID client (Client Id) immettere l'ID client annotato durante il passaggio di creazione dell'applicazione OAuth.
    7. Nella casella di testo Segreto client (Client Secret), immettere il codice del segreto client annotato durante il passaggio di creazione dell'applicazione OAuth.
    8. Per determinare il ruolo dell'utente in SASE Orchestrator, selezionare Usa ruolo predefinito (Use Default Role) o Usa ruoli provider di identità (Use Identity Provider Roles).
    9. Quando si seleziona l'opzione Usa ruoli provider di identità (Use Identity Provider Roles), immettere il nome dell'attributo impostato in VMware CSP per la restituzione dei ruoli nella casella di testo Attributo ruolo (Role Attribute).
    10. Nell'area Mappa ruoli (Role Map), mappare i ruoli forniti da VMwareCSP a ciascuno dei ruoli di SASE Orchestrator, separandoli con virgole.
      I ruoli in VMware CSP seguiranno questo formato: external/<uuid definizione servizio>/<nome ruolo servizio menzionato durante la creazione del modello del servizio>. Utilizzare l'UUID della definizione del servizio e il nome del ruolo del servizio ricevuti dal provider del supporto.
  6. Fare clic su Salva modifiche (Save Changes) per salvare la configurazione SSO.
  7. Fare clic su Test configurazione (Test Configuration) per convalidare la configurazione di OpenID Connect (OIDC) immessa.
    L'utente viene portato sul sito Web di VMware CSP con la possibilità di immettere le credenziali. Sulla verifica del partner di identità e sul reindirizzamento corretto alla richiamata di prova di SASE Orchestrator, viene visualizzato un messaggio di convalida riuscita.

risultati

È stata completata l'integrazione dell'applicazione SASE Orchestrator in VMware CSP per SSO ed è possibile accedere all'applicazione SASE Orchestrator effettuando l'accesso alla console di VMware CSP.

Operazioni successive

  • All'interno dell'organizzazione, gestire gli utenti aggiungendo nuovi utenti e assegnando loro il ruolo appropriato. Per ulteriori informazioni, vedere la sezione relativa alla gestione di identità e accessi nella documentazione sull'utilizzo di VMware Cloud.