Para configurar a autenticação de início de sessão único (SSO) para um utilizador parceiro, execute os passos neste procedimento.

Pré-requisitos

  • Certifique-se de que tem a permissão de superutilizador de parceiro.
  • Antes de configurar a autenticação SSO no SD-WAN Orchestrator, certifique-se de que configura as funções, os utilizadores e a aplicação OpenID connect (OIDC) para o SD-WAN Orchestrator no site do fornecedor de identidades preferido. Para obter mais informações, consulte Configurar um IDP para início de sessão único.

Procedimento

  1. Inicie sessão na aplicação SD-WAN Orchestrator como superutilizador de parceiro, com as suas credenciais de início de sessão.
  2. Clique em Definições (Settings).
    É apresentado o ecrã Definições de parceiro (Partner Settings).
  3. Clique no separador Informação geral (General Information) e, na caixa de texto Domínio (Domain), introduza o nome de domínio para o parceiro, se ainda não estiver definido.
    Nota: Para ativar a autenticação SSO para o SD-WAN Orchestrator, deve configurar o nome de domínio para o parceiro.
  4. Clique no separador Autenticação (Authentication) e, no menu pendente Modo de autenticação (Authentication Mode), selecione Início de sessão único (Single Sign-On).
  5. No menu pendente Modelo de fornecedor de identidade (Identity Provider template), selecione o fornecedor de identidade (IDP) preferencial que configurou para o início de sessão único.
    Nota: Quando selecionar VMwareCSP como o IDP preferencial, certifique-se de que fornece o ID da organização no seguinte formato: /csp/gateway/am/api/orgs/<full organization ID>.

    Quando inicia sessão na consola CSP VMware (VMware CSP console), pode ver o ID da organização na qual tem sessão iniciada clicando no nome de utilizador. É apresentada uma versão abreviada do ID sob o nome da organização. Clique no ID para apresentar o ID da organização completo.

    Também pode configurar manualmente os seus próprios IDPs selecionando Outros (Others) no menu pendente Modelo de fornecedor de identidade (Identity Provider template).
  6. Na caixa de texto URL config bem conhecido OIDC (OIDC well-known config URL), introduza o URL de configuração do OpenID Connect (OIDC) para o IDP. Por exemplo, o formato URL para Okta será: https://{oauth-provider-url}/.well-known/openid-configuration.
  7. A aplicação SD-WAN Orchestrator preenche automaticamente os detalhes do ponto final, tais como o emissor, ponto final de autorização, ponto final de token e ponto final de informação do utilizador para o IDP.
  8. Na caixa de texto ID do cliente (Client Id), introduza o identificador do cliente fornecido pelo IDP.
  9. Na caixa de texto Segredo do cliente (Client Secret), introduza o código secreto do cliente fornecido pelo IDP, que é utilizado pelo cliente para trocar um código de autorização por um token.
  10. Para determinar o papel do utilizador no SD-WAN Orchestrator, selecione uma das opções:
    • Utilizar função predefinida (Use Default Role) – Permite ao utilizador predefinir uma função estática utilizando a caixa de texto Função predefinida (Default Role) que aparece na seleção desta opção. As funções suportadas são: superutilizador MSP, administrador padrão MSP, suporte MSP e empresa MSP.
      Nota: Numa configuração SSO, se a opção Utilizar função predefinida (Use Default Role) estiver selecionada e estiver definida uma função de utilizador predefinida, será atribuída a função predefinida especificada a todos os utilizadores SSO. Em vez de atribuir um utilizador com a função predefinida, um superutilizador de parceiro pode pré-registar um utilizador específico como utilizador não nativo e definir uma função específica do utilizador utilizando o separador Administradores (Admins). Para obter os passos para configurar um novo utilizador parceiro, consulte Criar um novo administrador de parceiro.
    • Utilizar funções do fornecedor de identidade (Use Identity Provider Roles) – Utiliza as funções configuradas no IDP.
  11. Ao selecionar a opção Utilizar funções do fornecedor de identidade (Use Identity Provider Roles), na caixa de texto Atributo de função (Role Attribute), introduza o nome do atributo definido no IDP para devolver funções.
  12. Na área Mapa de função (Role Map), mapeie as funções fornecidas pelo IDP para cada uma das funções de utilizador parceiro, separadas por vírgulas.
    As funções no CSP VMware seguirão este formato: externo/<UUID de definição do serviço>/<nome da função do serviço mencionado durante a criação do modelo de serviço>.
  13. Atualize os URLs de redirecionamento permitidos no site do fornecedor OIDC com o URL do SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).
  14. Clique em Guardar alterações (Save Changes) para guardar a configuração do SSO.
  15. Clique em Configuração de teste (Test Configuration) para validar a configuração do OpenId Connect (OIDC) introduzida.
    O utilizador é transportado para o site do IDP e é autorizado a introduzir as credenciais. Na verificação do IDP e no redirecionamento com sucesso para a chamada de volta de teste do SD-WAN Orchestrator, será apresentada uma mensagem de validação com sucesso.

Resultados

A configuração de autenticação SSO está completa no SD-WAN Orchestrator.

Como proceder a seguir

Inicie sessão no SD-WAN Orchestrator com o início de sessão único