認証機能を使用すると、エンタープライズ ユーザーの認証モードを設定し、既存の API トークンを表示できます。
[認証 (Authentication)] タブにアクセスするには、次の手順を実行します。
- エンタープライズ ポータルのグローバル ナビゲーション バーで、[エンタープライズ アプリケーション (Enterprise Applications)] ドロップダウン メニューを展開します。
- [グローバル設定 (Global Settings)] サービスを選択します。
- 左側のメニューで [ユーザー管理 (User Management)] をクリックしてから、[認証 (Authentication)] タブをクリックします。次の画面が表示されます。
[API トークン (API Tokens)]
認証モードに関係なく、トークンベースの認証を使用して Orchestrator API にアクセスできます。エンタープライズ ユーザーに発行された API トークンを表示できます。必要に応じて、API トークンを取り消すことができます。
デフォルトでは、API トークンはアクティベーションされています。無効にする必要がある場合は、オペレータにお問い合わせください。
注: エンタープライズ管理者は、API トークンを介した不正アクセスを防ぐために、非アクティブな ID プロバイダ (IdP) ユーザーを Orchestrator から手動で削除する必要があります。
このセクションで使用可能なオプションは次のとおりです。
| オプション | 説明 |
|---|---|
| 検索 (Search) | 検索語句を入力して、テーブル全体で一致するテキストを検索します。詳細検索オプションを使用して、検索結果を絞り込みます。 |
| API トークンの取り消し (Revoke API Token) | トークンを選択し、このオプションをクリックして取り消します。トークンを取り消すことができるのは、オペレータ スーパー ユーザーか、API トークンに関連付けられたユーザーに限られます。 |
| CSV | このオプションをクリックして、.csv ファイル形式の API トークンの完全なリストをダウンロードします。 |
| 列 (Columns) | ページで表示または非表示にする列をクリックして選択します。 |
| 更新 (Refresh) | クリックしてページを更新し、最新のデータを表示します。 |
API トークンの作成とダウンロードについては、API トークンを参照してください。
[エンタープライズ認証 (Enterprise Authentication)]
次のいずれかの認証モードを選択してください。
- [ローカル (Local)]:これはデフォルトのオプションで、追加の設定は不要です。
- [シングル サインオン (Single Sign-On)]:シングル サインオン (SSO) は、ユーザーが 1 つの認証情報セットを使用して複数のアプリケーションおよび Web サイトにログインできるセッションおよびユーザー認証サービスです。SSO サービスを SASE Orchestrator と統合すると、SASE Orchestrator は OpenID Connect (OIDC) ベースの ID プロバイダ (IdP) からユーザーを認証できます。
エンタープライズ ユーザーのシングル サインオンを設定する方法については、エンタープライズ設定を参照してください。
SASE Orchestrator のシングル サインオン (SSO) を有効にするには、ID プロバイダ (IdP) に Orchestrator アプリケーションの詳細を入力する必要があります。次のリンクをクリックして、それぞれのサポートされている IdP を設定する手順を確認します。[認証モード (Authentication Mode)] を [シングル サインオン (Single Sign-on)] として選択する場合、次のオプションを設定できます。
オプション 説明 ID プロバイダ テンプレート (Identity Provider Template) ドロップダウン メニューから、シングル サインオン用に設定した優先 ID プロバイダ (IdP) を選択します。これにより、IDP に固有のフィールドが事前に入力されます。 注: また、ドロップダウン メニューから [その他 (Others)] を選択して、独自の IdP を手動で設定することもできます。組織 ID (Organization Id) このフィールドは、[VMware CSP] テンプレートを選択した場合にのみ使用できます。IdP によって提供された組織 ID を次の形式で入力します: /csp/gateway/am/api/orgs/<full organization ID>。VMware CSP コンソール にログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示できます。この情報は、組織の詳細にも表示されます。「長い組織 ID」を使用します。OIDC の既知の設定 URL (OIDC well-known config URL) IdP の OpenID Connect (OIDC) 設定 URL を入力します。たとえば、Okta の URL 形式は次のようになります。 https://{oauth-provider-url}/.well-known/openid-configuration発行者 (Issuer) このフィールドは、選択した IdP に基づいて自動的に入力されます。 認証エンドポイント (Authorization Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。 トークン エンドポイント (Token Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。 JSON Web キーセット URI (JSON Web KeySet URI) このフィールドは、選択した IdP に基づいて自動的に入力されます。 ユーザー情報エンドポイント (User Information Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。 クライアント ID (Client ID) IdP によって提供されるクライアント ID を入力します。 クライアント シークレット (Client Secret) IdP によって提供されるクライアント シークレット コードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。 スコープ (Scopes) このフィールドは、選択した IdP に基づいて自動的に入力されます。 ロール タイプ (Role Type) 次の 2 つのオプションのいずれかを選択します。 - デフォルトのロールを使用 (Use default role)
- ID プロバイダ ロールを使用
ロール属性 (Role Attribute) ロールを返す IdP で設定されている属性の名前を入力します。 エンタープライズ ロール マップ (Enterprise Role Map) IdP によって提供されたロールを各エンタープライズ ユーザー ロールにマッピングします。 [更新 (Update)] をクリックして、入力した値を保存します。SASE Orchestrator での SSO 認証の設定は完了です。
[ユーザー認証]
ユーザーに
[2 要素認証 (Two factor authentication)] 機能を有効または無効にすることができます。
[セルフサービス パスワード リセット (Self service password reset)] により、ログイン ページでリンクを使用してパスワードを変更できます。
注: この機能は、携帯電話番号がユーザー アカウントに関連付けられているユーザーに対してのみ有効にすることができます。
[セッション制限]
注: このセクションを表示するには、オペレータ ユーザーは
の順に移動し、システム プロパティ
session.options.enableSessionTracking の値を
[True] に設定する必要があります。
このセクションで使用可能なオプションは次のとおりです。
| オプション | 説明 |
|---|---|
| 同時ログイン数 (Concurrent logins) | ユーザーごとの同時ログイン数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはユーザーに無制限の同時ログイン数が許可されていることを示します。 |
| 各ロールのセッション制限 (Session limits for each role) | ユーザー ロールに基づいて同時セッション数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはロールに無制限のセッションが許可されていることを示します。
注: このセクションには、
[ロール (Roles)] タブでエンタープライズによってすでに作成されているロールが表示されます。
|
[更新 (Update)] をクリックして、選択した値を保存します。
