認証機能を使用すると、オペレータ ユーザーとエンタープライズ ユーザーの両方の認証モードを設定できます。また、既存の API トークンを表示することもできます。
[認証 (Authentication)] タブにアクセスするには、次の手順を実行します。
- オペレータ ポータルで、上部のメニューから [管理 (Administration)] をクリックします。
- 左側のメニューで [ユーザー管理 (User Management)] をクリックしてから、[認証 (Authentication)] タブをクリックします。次の画面が表示されます。
[API トークン (API Tokens)]
認証モードに関係なく、トークンベースの認証を使用して Orchestrator API にアクセスできます。適切な権限を持つオペレータ管理者は、パートナー ユーザーおよびカスタマー ユーザーに発行されたトークンを含む、Orchestrator ユーザーに対して発行された API トークンを表示できます。必要に応じて、オペレータ管理者は API トークンを取り消すことができます。
デフォルトでは、API トークンはアクティベーションされています。これらを無効にするには、 の順に移動し、システム プロパティ session.options.enableApiTokenAuth の値を [False] として設定します。
注: オペレータ スーパー ユーザーは、API トークンを介した不正アクセスを防ぐために、非アクティブな ID プロバイダ (IdP) ユーザーを Orchestrator から手動で削除する必要があります。
このセクションで使用可能なオプションは次のとおりです。
| オプション | 説明 |
|---|---|
| 検索 (Search) | 検索語句を入力して、テーブル全体で一致するテキストを検索します。詳細検索オプションを使用して、検索結果を絞り込みます。 |
| API トークンの取り消し (Revoke API Token) | トークンを選択し、このオプションをクリックして取り消します。トークンを取り消すことができるのは、オペレータ スーパー ユーザーか、API トークンに関連付けられたユーザーに限られます。 |
| CSV | このオプションをクリックして、.csv ファイル形式の API トークンの完全なリストをダウンロードします。 |
| 列 (Columns) | ページで表示または非表示にする列をクリックして選択します。 |
| 更新 (Refresh) | クリックしてページを更新し、最新のデータを表示します。 |
オペレータ スーパー ユーザーは、エンタープライズ ユーザーの API トークンを管理できます。API トークンの作成とダウンロードについては、API トークンを参照してください。
[オペレータ認証 / エンタープライズ認証]
次のいずれかの認証モードを選択してください。
- [ローカル (Local)]:これはデフォルトのオプションで、追加の設定は不要です。
- [シングル サインオン (Single Sign-On)]:スーパーユーザー権限を持つオペレータ ユーザーは、SD-WAN Orchestrator でシングル サインオン (SSO) を設定できます。SSO は、SD-WAN Orchestrator ユーザーが 1 組のログイン認証情報を使用して SD-WAN Orchestrator にログインし、複数のアプリケーションにアクセスすることを可能にする、セッションおよびユーザー認証サービスです。SSO サービスと SD-WAN Orchestrator を統合することにより、SD-WAN Orchestrator ユーザーのユーザー認証のセキュリティが強化され、SD-WAN Orchestrator で他の OpenID Connect (OIDC) ベースの ID プロバイダ (IDP) のユーザーを認証できるようになります。
注:
- オペレータ ポータルで、[シングル サインオン (Single Sign-On)] モードは [オペレータ認証 (Operator Authentication)] にのみ使用できます。
- トークンベースの認証が SSO ユーザーに対して無効になります。
- VMware ホスト型 Orchestrator のオペレータ管理レベルでの SSO 統合は、VMware SD-WAN TechOPS オペレータ用に予約されています。ホスト型 Orchestrator のオペレータ レベルのアクセス権を持つパートナーには、SSO サービスに統合するオプションはありません。
SD-WAN Orchestrator のシングル サインオン (SSO) を有効にするには、 SD-WAN Orchestrator の詳細を使用して ID パートナー (IDP) を設定する必要があります。現在、次の IDP がサポートされています。さまざまな IDP で SD-WAN Orchestrator の OpenID Connect (OIDC) アプリケーションを設定する詳細な手順については、以下の各リンクをクリックしてください。[認証モード (Authentication Mode)] を [シングル サインオン (Single Sign-on)] として選択する場合、次のオプションを設定できます。
オプション 説明 ID プロバイダ テンプレート (Identity Provider Template) ドロップダウン メニューから、シングル サインオン用に設定した優先 ID プロバイダ (IDP) を選択します。 注: また、ドロップダウン メニューから [その他 (Others)] を選択して、独自の IDP を手動で設定することもできます。組織 ID (Organization Id) このフィールドは、[VMware CSP] テンプレートを選択した場合にのみ使用できます。IDP によって提供される組織 ID を次の形式で入力します: /csp/gateway/am/api/orgs/<full organization ID>.VMware CSP コンソール にログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示できます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。OIDC の既知の設定 URL (OIDC well-known config URL) IDP の OpenID Connect (OIDC) 設定 URL を入力します。たとえば、Okta の URL 形式は次のようになります。 https://{oauth-provider-url}/.well-known/openid-configuration発行者 (Issuer) このフィールドは、選択した IDP に基づいて自動的に入力されます。 認証エンドポイント (Authorization Endpoint) このフィールドは、選択した IDP に基づいて自動的に入力されます。 トークン エンドポイント (Token Endpoint) このフィールドは、選択した IDP に基づいて自動的に入力されます。 JSON Web キーセット URI (JSON Web KeySet URI) このフィールドは、選択した IDP に基づいて自動的に入力されます。 ユーザー情報エンドポイント (User Information Endpoint) このフィールドは、選択した IDP に基づいて自動的に入力されます。 クライアント ID (Client ID) IDP によって提供されるクライアント ID を入力します。 クライアント シークレット (Client Secret) IDP によって提供されるクライアント シークレット コードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。 スコープ (Scopes) このフィールドは、選択した IDP に基づいて自動的に入力されます。 ロール タイプ (Role Type) 次の 2 つのいずれかのオプションを選択します。 - デフォルトのロールを使用 (Use default role)
- ID プロバイダ ロールを使用
ロール属性 (Role Attribute) ロールを返す IDP で設定されている属性の名前を入力します。 オペレータ ロール マップ (Operator Role Map) IDP によって提供されたロールを各オペレータ ユーザー ロールにマッピングします。 [更新 (Update)] をクリックして、入力した値を保存します。SD-WAN Orchestrator での SSO 認証の設定は完了です。
- [RADIUS]:RADIUS モードで Orchestrator 認証を設定すると、オペレータ カスタマーおよびエンタープライズ カスタマーが RADIUS サーバを使用してポータルにログインできるようになります。適切な詳細を次のフィールドに入力します。
- [プロトコル (Protocol)] の値は、[システム プロパティ (System Properties)] でのみ編集できます。 に移動して、システム プロパティ
vco.operator.authentication.radiusの [値 (Value)] フィールドのプロトコルを編集します。 - [オペレータ ドメイン (Operator Domain)] フィールドを使用できるのは、オペレータのみです。
- [オペレータ ロール マップ / エンタープライズ ロール マップ (Operator Role Map / Enterprise Role Map)] セクションで、RADIUS サーバの属性をそれぞれのオペレータまたはエンタープライズ ユーザー ロールにマッピングします。このロール マッピングは、ユーザーが RADIUS サーバを使用して Orchestrator に初めてログインするときに、ユーザーに割り当てられるロールを決定するために使用されます。
- [更新 (Update)] をクリックして、入力した値を保存します。
- [プロトコル (Protocol)] の値は、[システム プロパティ (System Properties)] でのみ編集できます。 に移動して、システム プロパティ
[SSH キー]
ユーザーごとに作成できる SSH キーは 1 つだけです。画面の右側にある [ユーザー情報 (User Information)] アイコンをクリックして の順にクリックして、SSH キーを作成します。
オペレータは、SSH キーを取り消すこともできます。
[更新 (Refresh)] オプションをクリックしてセクションを更新し、最新のデータを表示します。
詳細については、SSH キーの追加を参照してください。
[セッション制限]
注: このセクションを表示するには、オペレータ ユーザーは
の順に移動し、システム プロパティ
session.options.enableSessionTracking の値を
[True] に設定する必要があります。
このセクションで使用可能なオプションは次のとおりです。
| オプション | 説明 |
|---|---|
| 同時ログイン数 (Concurrent logins) | ユーザーごとの同時ログイン数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはユーザーに無制限の同時ログイン数が許可されていることを示します。 |
| 各ロールのセッション制限 (Session limits for each role) | ユーザー ロールに基づいて同時セッション数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはロールに無制限のセッションが許可されていることを示します。
注: このセクションには、
[ロール (Roles)] タブでオペレータによってすでに作成されているロールが表示されます。
|
[更新 (Update)] をクリックして、選択した値を保存します。
