Os utilizadores operadores com permissão de superutilizador podem preparar e configurar o início de sessão único (SSO) no SD-WAN Orchestrator. Para configurar a autenticação SSO para um utilizador operador, execute os passos neste procedimento.
Para configurar o início de sessão único para um utilizador operador:
Pré-requisitos
Certifique-se de que tem a permissão de superutilizador operador.
Antes de configurar a autenticação SSO no SD-WAN Orchestrator, certifique-se de que configura as funções, os utilizadores e a aplicação OpenID connect (OIDC) para o SD-WAN Orchestrator no site do fornecedor de identidades preferido. Para obter mais informações, consulte Configurar um IDP para início de sessão único.
Nota: A integração SSO ao nível de gestão do operador de um Orchestrator alojado em VMware está reservada aos operadores TechOPS do VMware SD-WAN. Os parceiros com acesso ao nível de operador de um Orchestrator alojado não têm a opção de integrar um serviço SSO.
Procedimento
Inicie sessão na aplicação SD-WAN Orchestrator como superutilizador operador.
Clique em Autenticação do Orchestrator (Orchestrator Authentication).
É apresentado o ecrã
Configurar autenticação (Configure Authentication).
No menu pendente Modo de autenticação (Authentication Mode), selecione SSO.
No menu pendente Modelo de fornecedor de identidade (Identity Provider template), selecione o fornecedor de identidade (IDP) preferencial que configurou para o início de sessão único.
Nota: Quando selecionar VMwareCSP como o IDP preferencial, certifique-se de que fornece o ID da organização no seguinte formato:
/csp/gateway/am/api/orgs/<full organization ID>.
Quando inicia sessão na consola CSP VMware (VMware CSP console), pode ver o ID da organização na qual tem sessão iniciada clicando no nome de utilizador. É apresentada uma versão abreviada do ID sob o nome da organização. Clique no ID para apresentar o ID da organização completo.
Também pode configurar manualmente os seus próprios IDPs selecionando
Outros (Others) no menu pendente
Modelo de fornecedor de identidade (Identity Provider template).
Na caixa de texto URL config bem conhecido OIDC (OIDC well-known config URL), introduza o URL de configuração do OpenID Connect (OIDC) para o IDP. Por exemplo, o formato URL para Okta será: https://{oauth-provider-url}/.well-known/openid-configuration
A aplicação SD-WAN Orchestrator preenche automaticamente os detalhes do ponto final, tais como o emissor, ponto final de autorização, ponto final de token e ponto final de informação do utilizador para o IDP.
Na caixa de texto ID do cliente (Client Id), introduza o identificador do cliente fornecido pelo IDP.
Na caixa de texto Segredo do cliente (Client Secret), introduza o código secreto do cliente fornecido pelo IDP, que é utilizado pelo cliente para trocar um código de autorização por um token.
Para determinar o papel do utilizador no SD-WAN Orchestrator, selecione uma das opções:
Utilizar função predefinida (Use Default Role) – Permite ao utilizador predefinir uma função estática utilizando a caixa de texto Função predefinida (Default Role) que aparece na seleção desta opção. As funções suportadas são: superutilizador operador, administrador padrão operador, suporte operador e empresa operador.
Nota: Numa configuração SSO, se a opção
Utilizar função predefinida (Use Default Role) estiver selecionada e estiver definida uma função de utilizador predefinida, será atribuída a função predefinida especificada a todos os utilizadores SSO. Em vez de atribuir um utilizador com a função predefinida, um superutilizador operador pode pré-registar um utilizador específico como utilizador não nativo e definir uma função específica do utilizador utilizando o separador
Utilizadores operadores (Operator Users). Para configurar um novo utilizador operador, consulte
Criar um novo utilizador do operador.
Utilizar funções do fornecedor de identidade (Use Identity Provider Roles) – Utiliza as funções configuradas no IDP.
Ao selecionar a opção Utilizar funções do fornecedor de identidade (Use Identity Provider Roles), na caixa de texto Atributo de função (Role Attribute), introduza o nome do atributo definido no IDP para devolver funções.
Na área Mapa de função (Role Map), mapeie as funções fornecidas pelo IDP para cada uma das funções de utilizador operador, separadas por vírgulas.
As funções no CSP VMware seguirão este formato:
externo/<UUID de definição do serviço>/<nome da função do serviço mencionado durante a criação do modelo de serviço>.
Atualize os URLs de redirecionamento permitidos no site do fornecedor OIDC com o URL do SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
Clique em Guardar alterações (Save Changes) para guardar a configuração do SSO.
Clique em Configuração de teste (Test Configuration) para validar a configuração do OpenId Connect (OIDC) especificada.
O utilizador é transportado para o site do IDP e é autorizado a introduzir as credenciais. Na verificação do IDP e no redirecionamento com sucesso para a chamada de volta de teste do
SD-WAN Orchestrator, aparece uma mensagem de validação com sucesso.
Resultados
A configuração de autenticação SSO está completa no SD-WAN Orchestrator.