スーパー ユーザー権限を持つオペレータ ユーザーは、SD-WAN Orchestrator でシングル サインオン (SSO) を設定できます。オペレータ ユーザーの SSO 認証を設定するには、以下の手順を実行します。

オペレータ ユーザーにシングル サインオンを設定するには、次の手順を実行します。

前提条件

  • オペレータ スーパー ユーザー権限があることを確認します。
  • SD-WAN Orchestrator で SSO 認証を設定する前に、優先 ID プロバイダの Web サイトで、ロール、ユーザー、および OpenID Connect (OIDC) アプリケーションを SD-WAN Orchestrator 用に設定していることを確認します。詳細については、シングル サインオン用の IDP の設定を参照してください。
注: VMware ホスト型 Orchestrator のオペレータ管理レベルでの SSO 統合は、VMware SD-WAN TechOPS オペレータ用に予約されています。ホスト型 Orchestrator のオペレータ レベルのアクセス権を持つパートナーには、SSO サービスに統合するオプションはありません。

手順

  1. オペレータ スーパー ユーザーとして SD-WAN Orchestrator アプリケーションにログインします。
  2. [Orchestrator 認証 (Orchestrator Authentication)] をクリックします。
    [認証の設定 (Configure Authentication)] 画面が表示されます。
  3. [認証モード (Authentication Mode)] ドロップダウン メニューから [SSO] を選択します。
  4. [ID プロバイダ テンプレート (Identity Provider template)] ドロップダウン メニューから、シングル サインオン用に設定した優先 ID プロバイダ (IDP) を選択します。
    注: 優先 IDP として VMwareCSP を選択する場合は、 /csp/gateway/am/api/orgs/<full organization ID> の形式で組織 ID を指定します。

    VMware CSP コンソール にログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示できます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。

    また、 [ID プロバイダ テンプレート (Identity Provider template)] ドロップダウン メニューから [その他 (Others)] を選択して、独自の IDP を手動で設定することもできます。
  5. [OIDC の既知の設定 URL (OIDC well-known config URL)] テキスト ボックスに、IDP の OpenID Connect (OIDC) 設定 URL を入力します。たとえば、Okta の URL 形式は次のようになります:https://{oauth-provider-url}/.well-known/openid-configuration
  6. SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細(IDP の発行者、認証エンドポイント、トークン エンドポイント、ユーザー情報エンドポイントなど)を自動的に入力します。
  7. [クライアント ID (Client Id)] テキスト ボックスに、IDP によって提供されるクライアント ID を入力します。
  8. [クライアント シークレット (Client Secret)] テキスト ボックスに、IDP によって提供されるクライアント シークレット コードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。
  9. SD-WAN Orchestrator でユーザーのロールを決定するには、次のいずれかのオプションを選択します。
    • [デフォルトのロールを使用 (Use Default Role)] - このオプションを選択したときに表示される [デフォルトのロール (Default Role)] テキスト ボックスを使用して、ユーザーが静的なロールをデフォルトとして設定できるようにします。サポートされているロールは、オペレータ スーパー ユーザー、オペレータ標準管理者、オペレータ サポート、およびオペレータ ビジネスです。
      注: SSO 設定のセットアップで [デフォルトのロールを使用 (Use Default Role)] オプションが選択され、デフォルトのユーザー ロールが定義されている場合、すべての SSO ユーザーに指定されたデフォルト ロールが割り当てられます。オペレータ スーパー ユーザーは、ユーザーにデフォルトのロールを割り当てるのではなく、 [オペレータ ユーザー (Operator Users)] タブを使用して特定のユーザーを非ネイティブ ユーザーとして事前登録し、特定のユーザー ロールを定義できます。新しいオペレータ ユーザーを設定するには、 新しいオペレータ ユーザーの作成を参照してください。
    • [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] - IDP で設定されたロールを使用します。
  10. [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキスト ボックスに、ロールを返す IDP に設定されている属性の名前を入力します。
  11. [ロール マップ (Role Map)] 領域で、IDP によって提供されたロールを、カンマ区切りでそれぞれのオペレータ ユーザー ロールにマッピングします。
    VMware CSP のロールは、 external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。
  12. SD-WAN Orchestrator URL (https://<vco>/login/ssologin/openidCallback) を使用して、OIDC プロバイダの Web サイトで許可されたリダイレクト URL を更新します。
  13. [変更の保存 (Save Changes)] をクリックして、SSO 設定を保存します。
  14. [設定のテスト (Test Configuration)] をクリックして、指定した OpenID Connect (OIDC) 設定を検証します。
    ユーザーは IDP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SD-WAN Orchestrator テスト コール バックに正常にリダイレクトされると、検証に成功したことを示すメッセージが表示されます。

結果

SD-WAN Orchestrator での SSO 認証の設定は完了です。

次のタスク

シングル サインオンを使用した SD-WAN Orchestrator へのログイン