このセクションでは、VMware SD-WAN カスタマーがシングル サインオン (SSO) の ID プロバイダ (IdP) として VMware Cloud Services Platform (CSP) を使用してユーザー アカウントを管理する方法について説明します。

概要

シングル サインオン (SSO) を使用するように設定されたカスタマーは、複数の ID プロバイダ (IdP) を使用してユーザーを管理できます。このセクションでは、VMware の IdP である Cloud Services Platform (CSP) について説明します。
ヒント: CSP は、すべての VMware SaaS サービスに共通のライフサイクル管理プラットフォームです。他の VMware SaaS サービスでは、CSP にはオンボーディング、認証、請求、注文、サポート、およびカスタマー通知が含まれます。リリース 5.2.0 での CSP と VMware SASE(SD-WAN を含む)の統合は、認証と承認に限定され、以降のリリースで追加の統合が行われます。

CSP は、SAML および OIDC をサポートする IdP と統合しながら複数の Orchestrator 間でユーザー管理を統合および簡素化し、政府の規制を確実に遵守するための単一のタッチ ポイントを提供します。

重要: リリース 5.2.0 のホスト型 Orchestrator で作成された、パートナーに割り当てられていないカスタマーは、CSP を IdP として使用して自動的に設定されます。結果:
  • 新しい管理者は、CSP ポータルを介してスーパー ユーザー ロールを持つ管理者によって作成されます。
  • CSP が停止した場合、カスタマーにはローカル認証(ユーザー名/パスワード)を持つ 1 つの「Break Glass」管理者アカウントが許可され、ポータルにアクセスすることができます。
  • 新しい直接のカスタマーは、API アクセスにトークンベースの認証を使用する必要があります。ユーザー作成が CSP に移動すると、Cookie ベースの認証を使用できなくなります。

以降の SD-WAN リリースでは、VMware は、ホスト型 Orchestrator を使用しているすべてのカスタマー(新規であるか既存であるかに関わらず)が、CSP を IdP として使用するようにエンタープライズを設定することを要求します。

オンプレミス Orchestrator は CSP 要件の対象ではなく、カスタマーは引き続き Orchestrator ベースの認証を使用します。

前提条件

割り当てられた VMware SASE Orchestrator で SD-WAN アカウントを設定するには、まず SD-WAN を購入する必要があります。

Cloud Services プラットフォームでのカスタマー組織の作成

カスタマーの SD-WAN 注文が確認されると、以下のようになります。
  1. VMware は、次のような招待メールを送信します。

    この E メールには、エンタープライズの管理に使用する Orchestrator へのリンクと、CSP で組織を作成するための[リンク]が含まれています。
    注: カスタマー ドメインの詳細は、Orchestrator のカスタマー アカウントの基盤を形成し、位置情報に基づきエンタープライズが割り当てられる Orchestrator を決定します。
  2. E メールに「このリンクに従って CSP アカウントを設定してください」と記載されている場合は、[リンク]をクリックして CSP 組織を設定します。
  3. リンクをクリックすると、CSP アカウントを設定する CSP サイトにリダイレクトされます。これは既存の組織または新しい組織の場合があります。
  4. [組織 (Organization)] > [詳細 (Details)] で、注文の一部として VMware SASE から提供された組織 ID を含むアカウントの詳細を設定します。
    重要: CSP カスタマーのオンボーディング中に、物理アドレスを指定する必要があります。また、フェデレーションを設定する前に、カスタマーのドメイン名が検証されます。
    次に、[組織 (Organization)] > [OAuth アプリ (OAuth Apps)] タブをクリックして、このページの他のフィールドおよびオプションとともに、[ID プロバイダにリンクされたドメイン]を設定します。

  5. CSP 組織の設定が完了したら、CSP 組織に新しいユーザーを追加することができます。

CSP 組織へのユーザーの追加

  1. [VMware Cloud Services] ページの [ID とアクセス管理 (Identity & Access Management)] タブをクリックし、[アクティブなユーザー (Active Users)] をクリックしてから、[新規ユーザーの追加 (Add New Users)] をクリックします。

  2. [新規ユーザーの追加 (Add New Users)] ページでメール アドレスを使用して新規ユーザーを追加できます。ユーザーには、次の 2 つのロールを割り当てる必要があります。
    1. [組織ロール](複数の場合があります)を割り当てます。これは CSP 組織内のロールです。
    2. [サービス ロール]を割り当てます。これは Orchestrator にログインしたときのロールです。
  3. すべてのロールが設定されたら、[追加 (ADD)] をクリックしてこれらのユーザーを CSP 組織に追加します。

CSP を使用した SASE Orchestrator へのログイン

前の手順でユーザーとして追加したユーザーは、SASE Orchestrator でエンタープライズにログインできるようになります。Orchestrator にログインするには、次の手順を実行します。
  1. 受信した招待 E メールを参照して Orchestrator のログイン ページに移動し、以下で強調表示されているセクションの URL リンクをクリックします。

  2. Orchestrator のログイン画面で、[ID プロバイダを使用してサインイン (SIGN IN WITH YOUR IDENTITY PROVIDER)] をクリックします。

  3. [ID プロバイダを使用してサインイン (Sign in using Identity Provider)] ページで、アカウントのドメインを入力し、[サインイン (SIGN IN)] をクリックします。

  4. CSP にリダイレクトされます。

  5. CSP のログイン画面で、メール アドレスを入力し、[次へ (NEXT)] をクリックします。

    注: Google Authenticator を使用して 2 要素認証 (2FA) が実行されます。Twilio は、新しい直接のカスタマーには使用されません。
  6. CSP アカウントでログインに成功すると、Orchestrator のエンタープライズ ホーム ページにリダイレクトされます。ビューは、CSP で割り当てられているビューと一致します。

その他のリソース

VMware SD-WAN で CSP を IdP として使用する方法の詳細については、「シングル サインオン用の VMware CSP の設定」を参照してください。

Cloud Services Platform での新しいユーザーの追加の詳細については、「VMware Cloud Services コンソールの使用 - ID とアクセス管理」を参照してください。