認証機能を使用すると、オペレータ ユーザーとエンタープライズ ユーザーの両方の認証モードを設定できます。また、既存の API トークンを表示することもできます。

[認証 (Authentication)] タブにアクセスするには、次の手順を実行します。
  1. オペレータ ポータルで、上部のメニューから [管理 (Administration)] をクリックします。
  2. 左側のメニューで [ユーザー管理 (User Management)] をクリックしてから、[認証 (Authentication)] タブをクリックします。次の画面が表示されます。

[API トークン (API Tokens)]

認証モードに関係なく、トークンベースの認証を使用して Orchestrator API にアクセスできます。適切な権限を持つオペレータ管理者は、パートナー ユーザーおよびカスタマー ユーザーに発行されたトークンを含む、Orchestrator ユーザーに対して発行された API トークンを表示できます。必要に応じて、オペレータ管理者は API トークンを取り消すことができます。

デフォルトでは、API トークンはアクティベーションされています。これらを無効にするには、[Orchestrator (Orchestrator)] > [システム プロパティ (System Properties)] の順に移動し、システム プロパティ session.options.enableApiTokenAuth の値を [False] として設定します。

注: オペレータ スーパー ユーザーは、API トークンを介した不正アクセスを防ぐために、非アクティブな ID プロバイダ (IdP) ユーザーを Orchestrator から手動で削除する必要があります。
このセクションで使用可能なオプションは次のとおりです。
オプション 説明
検索 (Search) 検索語句を入力して、テーブル全体で一致するテキストを検索します。詳細検索オプションを使用して、検索結果を絞り込みます。
API トークンの取り消し (Revoke API Token) トークンを選択し、このオプションをクリックして取り消します。トークンを取り消すことができるのは、オペレータ スーパー ユーザーか、API トークンに関連付けられたユーザーに限られます。
CSV このオプションをクリックして、.csv ファイル形式の API トークンの完全なリストをダウンロードします。
列 (Columns) ページで表示または非表示にする列をクリックして選択します。
更新 (Refresh) クリックしてページを更新し、最新のデータを表示します。

オペレータ スーパー ユーザーは、エンタープライズ ユーザーの API トークンを管理できます。API トークンの作成とダウンロードについては、API トークンを参照してください。

[オペレータ認証 / エンタープライズ認証]

次のいずれかの認証モードを選択してください。
  • [ローカル (Local)]:これはデフォルトのオプションで、追加の設定は不要です。
  • [シングル サインオン (Single Sign-On)]:スーパーユーザー権限を持つオペレータ ユーザーは、SASE Orchestrator でシングル サインオン (SSO) を設定できます。シングル サインオン (SSO) は、ユーザーが 1 つの認証情報セットを使用して複数のアプリケーションおよび Web サイトにログインできるセッションおよびユーザー認証サービスです。SSO サービスを SASE Orchestrator と統合すると、SASE Orchestrator は OpenID Connect (OIDC) ベースの ID プロバイダ (IdP) からユーザーを認証できます。
    [前提条件:]
    • オペレータ スーパー ユーザー権限があることを確認します。
    • SASE Orchestrator で SSO 認証を設定する前に、優先 ID プロバイダの Web サイトで、ユーザー、サービス権限、OpenID Connect (OIDC) アプリケーションを SASE Orchestrator に設定していることを確実にしています。
    注:
    • オペレータ ポータルで、[シングル サインオン (Single Sign-On)] モードは [オペレータ認証 (Operator Authentication)] にのみ使用できます。
    • トークンベースの認証が SSO ユーザーに対して無効になります。
    • VMware ホスト型 Orchestrator のオペレータ管理レベルでの SSO 統合は、VMware SD-WAN TechOPS オペレータ用に予約されています。ホスト型 Orchestrator のオペレータ レベルのアクセス権を持つパートナーには、SSO サービスに統合するオプションはありません。
    SASE Orchestrator のシングル サインオン (SSO) を有効にするには、ID プロバイダ (IdP) に Orchestrator アプリケーションの詳細を入力する必要があります。次のリンクをクリックして、それぞれのサポートされている IdP を設定する手順を確認します。
    [認証モード (Authentication Mode)][シングル サインオン (Single Sign-on)] として選択する場合、次のオプションを設定できます。
    オプション 説明
    ID プロバイダ テンプレート (Identity Provider Template) ドロップダウン メニューから、シングル サインオン用に設定した優先 ID プロバイダ (IdP) を選択します。これにより、IDP に固有のフィールドが事前に入力されます。
    注:
    • VMwareCSP を優先 IdP に選択する場合は、組織 ID を /csp/gateway/am/api/orgs/<full organization ID> の形式で指定しておきます。
    • VMware CSP コンソール にログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示できます。この情報は、組織の詳細にも表示されます。「長い組織 ID」を使用します。

    また、ドロップダウン メニューから [その他 (Others)] を選択して、独自の IdP を手動で設定することもできます。
    組織 ID (Organization Id) このフィールドは、[VMware CSP] テンプレートを選択した場合にのみ使用できます。IdP によって提供された組織 ID を次の形式で入力します:/csp/gateway/am/api/orgs/<full organization ID>VMware CSP コンソール にログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示できます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。
    OIDC の既知の設定 URL (OIDC well-known config URL) IdP の OpenID Connect (OIDC) 設定 URL を入力します。たとえば、Okta の URL 形式は次のようになります。https://{oauth-provider-url}/.well-known/openid-configuration
    発行者 (Issuer) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    認証エンドポイント (Authorization Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    トークン エンドポイント (Token Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    JSON Web キーセット URI (JSON Web KeySet URI) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    ユーザー情報エンドポイント (User Information Endpoint) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    クライアント ID (Client ID) IdP によって提供されるクライアント ID を入力します。
    クライアント シークレット (Client Secret) IdP によって提供されるクライアント シークレット コードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。
    スコープ (Scopes) このフィールドは、選択した IdP に基づいて自動的に入力されます。
    ロール タイプ (Role Type) 次の 2 つのオプションのいずれかを選択します。
    • デフォルトのロールを使用 (Use default role)
    • ID プロバイダ ロールを使用
    ロール属性 (Role Attribute) ロールを返す IdP で設定されている属性の名前を入力します。
    オペレータ ロール マップ (Operator Role Map) IdP によって提供されたロールを各オペレータ ユーザー ロールにマッピングします。

    [更新 (Update)] をクリックして、入力した値を保存します。SASE Orchestrator での SSO 認証の設定は完了です。

  • [RADIUS]:Remote Authentication Dial-In User Service (RADIUS) とは、クライアントとサーバとの間のプロトコルであり、リモート アクセス サーバから中央サーバへ通信できるようにするものです。RADIUS 認証によって、ユーザーの一元管理が可能になります。RADIUS モードで Orchestrator 認証を設定すると、オペレータ カスタマーおよびエンタープライズ カスタマーが RADIUS サーバを使用してポータルにログインできるようになります。適切な詳細を次のフィールドに入力します。
    • [プロトコル (Protocol)] の値は、[システム プロパティ (System Properties)] でのみ編集できます。[Orchestrator] > [システム プロパティ (System Properties)] に移動して、システム プロパティ vco.operator.authentication.radius[値 (Value)] フィールドのプロトコルを編集します。
    • [オペレータ ドメイン (Operator Domain)] フィールドを使用できるのは、オペレータのみです。
    • [オペレータ ロール マップ / エンタープライズ ロール マップ (Operator Role Map / Enterprise Role Map)] セクションで、RADIUS サーバの属性をそれぞれのオペレータまたはエンタープライズ ユーザー ロールにマッピングします。このロール マッピングは、ユーザーが RADIUS サーバを使用して Orchestrator に初めてログインするときに、ユーザーに割り当てられるロールを決定するために使用されます。
    • [更新 (Update)] をクリックして、入力した値を保存します。

[SSH キー]

ユーザーごとに作成できる SSH キーは 1 つだけです。画面の右側にある [ユーザー情報 (User Information)] アイコンをクリックして[マイ アカウント (My Account)] > [SSH キー (SSH Keys)] の順にクリックして、SSH キーを作成します。

オペレータは、SSH キーを取り消すこともできます。

[更新 (Refresh)] オプションをクリックしてセクションを更新し、最新のデータを表示します。

詳細については、ユーザー アカウントの詳細設定を参照してください。

[セッション制限]

注: このセクションを表示するには、オペレータ ユーザーは [Orchestrator] > [システム プロパティ (System Properties)] の順に移動し、システム プロパティ session.options.enableSessionTracking の値を [True] に設定する必要があります。

このセクションで使用可能なオプションは次のとおりです。

オプション 説明
同時ログイン数 (Concurrent logins) ユーザーごとの同時ログイン数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはユーザーに無制限の同時ログイン数が許可されていることを示します。
各ロールのセッション制限 (Session limits for each role) ユーザー ロールに基づいて同時セッション数の制限を設定できます。デフォルトでは、[制限なし (Unlimited)] が選択されています。これはロールに無制限のセッションが許可されていることを示します。
注: このセクションには、 [ロール (Roles)] タブでオペレータによってすでに作成されているロールが表示されます。

[更新 (Update)] をクリックして、選択した値を保存します。