수퍼유저 권한이 있는 운영자는 SD-WAN Orchestrator에서 SSO(싱글 사인온)를 설정하고 구성할 수 있습니다. 운영자 사용자에 대해 SSO 인증을 설정하려면 이 절차의 단계를 수행합니다.

운영자 사용자에 대해 SSO(싱글 사인온)를 구성하려면 다음을 수행합니다.

사전 요구 사항

  • 운영자 수퍼유저 권한이 있는지 확인합니다.
  • SD-WAN Orchestrator에서 SSO 인증을 설정하기 전에 기본 ID 제공자의 웹 사이트에서 SD-WAN Orchestrator에 대한 역할, 사용자 및 OIDC(OpenID Connect) 애플리케이션을 설정했는지 확인합니다. 자세한 내용은 싱글 사인온에 대해 IDP 구성을 참조하십시오.
참고: 운영자 관리 수준의 VMware 호스팅된 Orchestrator에서 SSO 통합은 VMware SD-WAN TechOPS 운영자용으로 예약되어 있습니다. 호스팅된 Orchestrator에 대한 운영자 수준 액세스 권한이 있는 파트너는 SSO 서비스에 통합하는 옵션을 사용할 수 없습니다.

프로시저

  1. 운영자 수퍼유저 권한으로 SD-WAN Orchestrator 애플리케이션에 로그인합니다.
  2. Orchestrator 인증(Orchestrator Authentication)을 클릭합니다.
    인증 구성(Configure Authentication) 화면이 나타납니다.
  3. 인증 모드(Authentication Mode) 드롭다운 메뉴에서 SSO를 선택합니다.
  4. ID 제공자 템플릿(Identity Provider template) 드롭다운 메뉴에서 SSO(싱글 사인온)에 대해 구성한 IDP(기본 ID 제공자)를 선택합니다.
    참고: VMwareCSP를 기본 IDP로 선택하는 경우 조직 ID를 " /csp/gateway/am/api/orgs/<full organization ID>" 형식으로 제공해야 합니다.

    VMware CSP 콘솔에 로그인하면 사용자 이름을 클릭하여 로그인한 조직 ID를 볼 수 있습니다. ID의 축약 버전이 조직 이름 아래에 표시됩니다. ID를 클릭하여 전체 조직 ID를 표시합니다.

    ID 제공자 템플릿(Identity Provider template) 드롭다운 메뉴에서 기타(Others)를 선택하여 고유한 IDP를 수동으로 구성할 수도 있습니다.
  5. OIDC 잘 알려진 구성 URL(OIDC well-known config URL) 텍스트 상자에 IDP에 대한 OIDC(OpenID Connect) 구성 URL을 입력합니다. 예를 들어, Okta의 URL 형식은 https://{oauth-provider-url}/.well-known/openid-configuration이 됩니다.
  6. SD-WAN Orchestrator 애플리케이션은 IDP에 대한 발급자, 인증 끝점, 토큰 끝점 및 사용자 정보 끝점과 같은 끝점 세부 정보를 자동으로 채웁니다.
  7. 클라이언트 ID(Client Id) 텍스트 상자에 IDP가 제공하는 클라이언트 식별자를 입력합니다.
  8. 클라이언트 암호(Client Secret) 텍스트 상자에 IDP에서 제공하는 클라이언트 암호 코드를 입력합니다. 이 코드는 클라이언트가 인증 코드를 토큰으로 바꾸는 데 사용합니다.
  9. SD-WAN Orchestrator에서 사용자의 역할을 확인하려면 다음 옵션 중 하나를 선택합니다.
    • 기본 역할 사용(Use Default Role) – 이 옵션을 선택하면 표시되는 기본 역할(Default Role) 텍스트 상자를 사용하여 정적 역할을 기본값으로 구성할 수 있습니다. 지원되는 역할은 운영자 수퍼유저, 운영자 표준 관리자, 운영자 지원 및 운영자 회사입니다.
      참고: SSO 구성 설정에서 기본 역할 사용(Use Default Role) 옵션을 선택하고 기본 사용자 역할이 정의되면 모든 SSO 사용자에게 지정된 기본 역할이 할당됩니다. 사용자에게 기본 역할을 할당하는 대신, 운영자 수퍼 사용자는 특정 사용자를 비네이티브 사용자로 미리 등록하고 운영자 사용자(Operator Users) 탭을 사용하여 특정 사용자 역할을 정의할 수 있습니다. 새 운영자 사용자를 구성하려면 새 운영자 사용자 생성을 참조하십시오.
    • ID 제공자 역할 사용(Use Identity Provider Roles) – IDP에 설정된 역할을 사용합니다.
  10. ID 제공자 역할 사용(Use Identity Provider Roles) 옵션을 선택하면 역할 특성(Role Attribute) 텍스트 상자에 IDP에 설정된 특성의 이름을 입력하여 역할을 반환합니다.
  11. 역할 맵(Role Map) 영역에서 쉼표로 구분하여 각 운영자 사용자 역할에 IDP 제공 역할을 매핑합니다.
    VMware CSP의 역할은 " external/<서비스 정의 UUID>/<서비스 템플릿 생성 중에 언급한 서비스 역할 이름>" 형식을 따릅니다.
  12. OIDC 제공자 웹 사이트에서 허용되는 리디렉션 URL을 SD-WAN Orchestrator URL(https://<vco>/login/ssologin/openidCallback)로 업데이트합니다.
  13. 변경 내용 저장(Save Changes)을 클릭하여 SSO 구성을 저장합니다.
  14. 구성 테스트(Test Configuration)를 클릭하여 지정된 OIDC(OpenID Connect) 구성이 유효한지 검사합니다.
    사용자가 IDP 웹 사이트로 이동되며 자격 증명을 입력하도록 허용합니다. IDP 확인과 SD-WAN Orchestrator 테스트 호출로의 성공적인 리디렉션 시 유효성 검사 성공 메시지가 표시됩니다.

결과

SSO 인증 설정이 SD-WAN Orchestrator에서 완료되었습니다.

다음에 수행할 작업

SSO(싱글 사인온)를 사용하여 SD-WAN Orchestrator에 로그인