シングル サインオン (SSO) のための VMware Cloud Services プラットフォーム (CSP) を設定するには、次の手順を実行します。

前提条件

VMware アカウント ID を使用して、VMware CSP コンソール(ステージングまたは本番環境)にログインします。VMware Cloud を使用するのが初めてで、VMware アカウントを持っていない場合は、サインアップ時に作成することができます。詳細については、『VMware Cloud の使用』ドキュメントの「VMware CSP へのサインアップ」のセクションを参照してください。

手順

  1. SASE Orchestrator アプリケーションを VMware CSP に登録するためのサービス招待 URL リンクを受け取る方法については、VMware サポート プロバイダにお問い合わせください。サポート プロバイダへのお問い合わせ方法については、https://kb.vmware.com/s/article/53907およびhttps://www.vmware.com/support/contacts/us_support.htmlを参照してください。
    VMware サポート プロバイダは次を作成して共有します。
    • カスタマーの組織に使用される必要があるサービス招待 URL
    • Orchestrator のロール マッピングに使用されるサービス定義 UUID とサービス ロール名
  2. 既存のカスタマー組織にサービス招待 URL を使用するか、ユーザー インターフェイス画面の手順に従って新しいカスタマー組織を作成します。
    既存のカスタマー組織に対してサービス招待 URL を使用するには、組織の所有者である必要があります。
  3. サービス招待 URL を使用した後、VMware CSP コンソールにログインすると、[VMware Cloud Services] ページの [マイ サービス (My Services)] 領域にアプリケーション タイルを表示できます。
    ログインしている組織が、メニュー バーのユーザー名の下に表示されます。ユーザー名をクリックして、Orchestrator の設定時に使用する組織 ID をメモしておきます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。
  4. VMware CSP コンソール にログインし、OAuth アプリケーションを作成します。手順については、Web アプリケーションでの OAuth 2.0 の使用を参照してください。リダイレクト URI を、Orchestrator の [認証の設定 (Configure Authentication)] 画面に表示される URL に設定します。
    VMware CSP コンソールで OAuth アプリケーションを作成した後、クライアント ID やクライアント シークレットなどの IDP 統合の詳細をメモしておきます。これらの詳細は Orchestrator の SSO 設定に必要です。
  5. SASE Orchestrator アプリケーションにスーパー管理者ユーザーとしてログインし、次のように IDP 統合の詳細を使用して SSO を設定します。
    1. [管理 (Administration)] > [ユーザー管理 (User Management)] の順にクリックします。
      注: SASE Orchestrator の SSO 認証を有効にするには、エンタープライズのドメイン名を設定する必要があります。
    2. [認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウン メニューから [SSO] を選択します。
    3. [ID プロバイダ テンプレート (Identity Provider template)] ドロップダウン メニューから、[VMwareCSP] を選択します。
    4. [組織 ID (Organization Id)] テキスト ボックスに、/csp/gateway/am/api/orgs/<full organization ID> の形式で(手順 3 で書き留めた)組織 ID を入力します。
    5. [OIDC の既知の設定 URL (OIDC well-known config URL)] テキスト ボックスに、IDP の OpenID Connect (OIDC) 設定 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) を入力します。
      SASE Orchestrator アプリケーションは、エンドポイントの詳細(IDP の発行者、認証エンドポイント、トークン エンドポイント、ユーザー情報エンドポイントなど)を自動的に入力します。
    6. [クライアント ID (Client Id)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント ID を入力します。
    7. [クライアント シークレット (Client Secret)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント シークレット コードを入力します。
    8. SASE Orchestrator でのユーザーのロールを決定するには、[デフォルトのロールを使用 (Use Default Role)] または [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] のいずれかを選択します。
    9. [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキスト ボックスに、ロールを返す VMware CSP に設定されている属性の名前を入力します。
    10. [ロール マップ (Role Map)] 領域で、VMwareCSP によって提供されたロールを、カンマ区切りでそれぞれの SASE Orchestrator ロールにマッピングします。
      VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。サポート プロバイダから受け取ったものと同じサービス定義 UUID とサービス ロール名を使用します。
  6. [変更の保存 (Save Changes)] をクリックして、SSO 設定を保存します。
  7. [設定のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 設定を検証します。
    ユーザーは VMware CSP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SASE Orchestrator テスト コール バックに正常にリダイレクトされると、検証に成功したことを示すメッセージが表示されます。

結果

SSO を使用するための VMware CSP での SASE Orchestrator アプリケーションの統合が完了しました。VMware CSP コンソールにログインして SASE Orchestrator アプリケーションにアクセスできます。

次のタスク

  • 組織内で、新しいユーザーを追加し、ユーザーに適切なロールを割り当てることで、ユーザーを管理します。詳細については、『VMware Cloud の使用』ドキュメントの「ID とアクセス管理」セクションを参照してください。