シングル サインオン (SSO) のための VMware Cloud Services プラットフォーム (CSP) を設定するには、次の手順を実行します。
前提条件
VMware アカウント ID を使用して、VMware CSP コンソール (ステージングまたは本番環境)にログインします。VMware Cloud を使用するのが初めてで、VMware アカウントを持っていない場合は、サインアップ時に作成することができます。詳細については、『VMware Cloud の使用 』ドキュメントの「VMware CSP へのサインアップ」のセクションを参照してください。
手順
SASE Orchestrator アプリケーションを VMware CSP に登録するためのサービス招待 URL リンクを受け取る方法については、VMware サポート プロバイダにお問い合わせください。サポート プロバイダへのお問い合わせ方法については、https://kb.vmware.com/s/article/53907 およびhttps://www.vmware.com/support/contacts/us_support.html を参照してください。
VMware サポート プロバイダは次を作成して共有します。
カスタマーの組織に使用される必要があるサービス招待 URL
Orchestrator のロール マッピングに使用されるサービス定義 UUID とサービス ロール名
既存のカスタマー組織にサービス招待 URL を使用するか、ユーザー インターフェイス画面の手順に従って新しいカスタマー組織を作成します。
既存のカスタマー組織に対してサービス招待 URL を使用するには、組織の所有者である必要があります。
サービス招待 URL を使用した後、VMware CSP コンソール にログインすると、[VMware Cloud Services] ページの [マイ サービス (My Services)] 領域にアプリケーション タイルを表示できます。
ログインしている組織が、メニュー バーのユーザー名の下に表示されます。ユーザー名をクリックして、Orchestrator の設定時に使用する組織 ID をメモしておきます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。
VMware CSP コンソール にログインし、OAuth アプリケーションを作成します。手順については、Web アプリケーションでの OAuth 2.0 の使用 を参照してください。リダイレクト URI を、Orchestrator の [認証の設定 (Configure Authentication)] 画面に表示される URL に設定します。
VMware CSP コンソールで OAuth アプリケーションを作成した後、クライアント ID やクライアント シークレットなどの IDP 統合の詳細をメモしておきます。これらの詳細は Orchestrator の SSO 設定に必要です。
SASE Orchestrator アプリケーションにスーパー管理者ユーザーとしてログインし、次のように IDP 統合の詳細を使用して SSO を設定します。
の順にクリックします。
注:
SASE Orchestrator の SSO 認証を有効にするには、エンタープライズのドメイン名を設定する必要があります。
[認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウン メニューから [SSO] を選択します。
[ID プロバイダ テンプレート (Identity Provider template)] ドロップダウン メニューから、[VMwareCSP] を選択します。
[組織 ID (Organization Id)] テキスト ボックスに、/csp/gateway/am/api/orgs/<full organization ID> の形式で(手順 3 で書き留めた)組織 ID を入力します。
[OIDC の既知の設定 URL (OIDC well-known config URL)] テキスト ボックスに、IDP の OpenID Connect (OIDC) 設定 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration ) を入力します。
SASE Orchestrator アプリケーションは、エンドポイントの詳細(IDP の発行者、認証エンドポイント、トークン エンドポイント、ユーザー情報エンドポイントなど)を自動的に入力します。
[クライアント ID (Client Id)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント ID を入力します。
[クライアント シークレット (Client Secret)] テキスト ボックスに、OAuth アプリケーションの作成手順から書き留めたクライアント シークレット コードを入力します。
SASE Orchestrator でのユーザーのロールを決定するには、[デフォルトのロールを使用 (Use Default Role)] または [ID プロバイダ ロールを使用 (Use Identity Provider Roles)] のいずれかを選択します。
[ID プロバイダ ロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキスト ボックスに、ロールを返す VMware CSP に設定されている属性の名前を入力します。
[ロール マップ (Role Map)] 領域で、VMwareCSP によって提供されたロールを、カンマ区切りでそれぞれの SASE Orchestrator ロールにマッピングします。
VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。サポート プロバイダから受け取ったものと同じサービス定義 UUID とサービス ロール名を使用します。
[変更の保存 (Save Changes)] をクリックして、SSO 設定を保存します。
[設定のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 設定を検証します。
ユーザーは VMware CSP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に
SASE Orchestrator テスト コール バックに正常にリダイレクトされると、検証に成功したことを示すメッセージが表示されます。
結果
SSO を使用するための VMware CSP での SASE Orchestrator アプリケーションの統合が完了しました。VMware CSP コンソールにログインして SASE Orchestrator アプリケーションにアクセスできます。
次のタスク
組織内で、新しいユーザーを追加し、ユーザーに適切なロールを割り当てることで、ユーザーを管理します。詳細については、『VMware Cloud の使用 』ドキュメントの「ID とアクセス管理 」セクションを参照してください。