シングル サインオン (SSO) のための VMware Cloud Services プラットフォーム (CSP) を設定するには、次の手順を実行します。
前提条件
VMware アカウント ID を使用して、VMware CSP コンソール(ステージングまたは本番環境)にログインします。VMware Cloud を使用するのが初めてで、VMware アカウントを持っていない場合は、サインアップ時に作成することができます。詳細については、『VMware Cloud の使用』ドキュメントの「VMware CSP へのサインアップ」のセクションを参照してください。
手順
- SD-WAN Orchestrator アプリケーションを VMware CSP に登録するためのサービス招待 URL リンクを受け取る方法については、VMware サポート プロバイダにお問い合わせください。サポート プロバイダへのお問い合わせ方法については、https://kb.vmware.com/s/article/53907およびhttps://www.vmware.com/support/contacts/us_support.htmlを参照してください。
VMware サポート プロバイダは次を作成して共有します。
- カスタマーの組織に使用される必要があるサービス招待 URL
- Orchestrator のロール マッピングに使用されるサービス定義 UUID とサービス ロール名
- 既存のカスタマー組織にサービス招待 URL を使用するか、ユーザー インターフェイス画面の手順に従って新しいカスタマー組織を作成します。
既存のカスタマー組織に対してサービス招待 URL を使用するには、組織の所有者である必要があります。
- サービス招待 URL を使用した後、VMware CSP コンソールにログインすると、[VMware Cloud Services] ページの [マイ サービス (My Services)] 領域にアプリケーション タイルを表示できます。
ログインしている組織が、メニュー バーのユーザー名の下に表示されます。ユーザー名をクリックして、Orchestrator の設定時に使用する組織 ID をメモしておきます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。
- VMware CSP コンソール にログインし、OAuth アプリケーションを作成します。手順については、Web アプリケーションでの OAuth 2.0 の使用を参照してください。リダイレクト URI を、Orchestrator の [認証の設定 (Configure Authentication)] 画面に表示される URL に設定します。
VMware CSP コンソールで OAuth アプリケーションを作成した後、クライアント ID やクライアント シークレットなどの IDP 統合の詳細をメモしておきます。これらの詳細は Orchestrator の SSO 設定に必要です。
- SD-WAN Orchestrator アプリケーションにスーパー管理者ユーザーとしてログインし、次のように IDP 統合の詳細を使用して SSO を設定します。
- [管理 (Administration)] > [システム設定 (System Settings)] をクリックします。
[システム設定 (System Settings)] 画面が表示されます。
- [全般情報 (General Information)] タブをクリックし、[ドメイン (Domain)] テキスト ボックスにエンタープライズのドメイン名を入力します(まだ設定されていない場合)。
注:
SD-WAN Orchestrator の SSO 認証を有効にするには、エンタープライズのドメイン名を設定する必要があります。
- [認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウン メニューから [SSO] を選択します。
- [ID プロバイダ テンプレート (Identity Provider template)] ドロップダウン メニューから、[VMwareCSP] を選択します。
- [組織 ID (Organization Id)] テキスト ボックスに、/csp/gateway/am/api/orgs/<full organization ID> の形式で(手順 3 で書き留めた)組織 ID を入力します。
- [OIDC の既知の設定 URL (OIDC well-known config URL)] テキスト ボックスに、IDP の OpenID Connect (OIDC) 設定 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) を入力します。
SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細(IDP の発行者、認証エンドポイント、トークン エンドポイント、ユーザー情報エンドポイントなど)を自動的に入力します。
- [クライアント ID (Client Id)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント ID を入力します。
- [クライアント シークレット (Client Secret)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント シークレット コードを入力します。
- SD-WAN Orchestrator でのユーザーのロールを決定するには、[デフォルトのロールを使用 (Use Default Role)] または [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] のいずれかを選択します。
- [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキスト ボックスに、ロールを返す VMware CSP に設定されている属性の名前を入力します。
- [ロール マップ (Role Map)] 領域で、VMwareCSP によって提供されたロールを、カンマ区切りでそれぞれの SD-WAN Orchestrator ロールにマッピングします。
VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。サポート プロバイダから受け取ったものと同じサービス定義 UUID とサービス ロール名を使用します。
- [変更の保存 (Save Changes)] をクリックして、SSO 設定を保存します。
- [設定のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 設定を検証します。
ユーザーは VMware CSP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に
SD-WAN Orchestrator テスト コール バックに正常にリダイレクトされると、検証に成功したことを示すメッセージが表示されます。
結果
SSO を使用するための VMware CSP での SD-WAN Orchestrator アプリケーションの統合が完了しました。VMware CSP コンソールにログインして SD-WAN Orchestrator アプリケーションにアクセスできます。
次のタスク
- 組織内で、新しいユーザーを追加し、ユーザーに適切なロールを割り当てることで、ユーザーを管理します。詳細については、『VMware Cloud の使用』ドキュメントの「ID とアクセス管理」セクションを参照してください。