Para configurar a autenticação de início de sessão único (SSO) para um utilizador empresarial, execute os passos neste procedimento.
Pré-requisitos
Certifique-se de que tem a permissão de superutilizador de empresa.
Antes de configurar a autenticação SSO, certifique-se de que configura as funções, os utilizadores e a aplicação OpenID connect (OIDC) para o SD-WAN Orchestrator no site do fornecedor de identidades preferido. Para obter mais informações, consulte Configurar um IDP para início de sessão único.
Procedimento
Inicie sessão numa aplicação SD-WAN Orchestrator como superutilizador de empresa, com as suas credenciais de início de sessão.
Clique em Administração > Definições do sistema (Administration > System Settings)
É apresentado o ecrã
Definições do sistema (System Settings).
Clique no separador Informação geral (General Information) e, na caixa de texto Domínio (Domain), introduza o nome de domínio para a sua empresa, se ainda não estiver definido.
Nota: Para ativar a autenticação SSO para o
SD-WAN Orchestrator, deve configurar o nome de domínio para a sua empresa.
Clique no separador Autenticação (Authentication) e, no menu pendente Modo de autenticação (Authentication Mode), selecione Início de sessão único (Single Sign-On).
No menu pendente Modelo de fornecedor de identidade (Identity Provider template), selecione o fornecedor de identidade (IDP) preferencial que configurou para o início de sessão único.
Nota: Se selecionar VMwareCSP como o IDP preferencial, certifique-se de que fornece o ID da organização no seguinte formato:
/csp/gateway/am/api/orgs/<full organization ID>.
Quando inicia sessão na consola CSP VMware (VMware CSP console), pode ver o ID da organização na qual tem sessão iniciada clicando no nome de utilizador. É apresentada uma versão abreviada do ID sob o nome da organização. Clique no ID para apresentar o ID da organização completo.
Também pode configurar manualmente os seus próprios IDPs selecionando
Outros (Others) no menu pendente
Modelo de fornecedor de identidade (Identity Provider template).
Na caixa de texto URL config bem conhecido OIDC (OIDC well-known config URL), introduza o URL de configuração do OpenID Connect (OIDC) para o IDP. Por exemplo, o formato URL para Okta será: https://{oauth-provider-url}/.well-known/openid-configuration.
A aplicação SD-WAN Orchestrator preenche automaticamente os detalhes do ponto final, tais como o emissor, ponto final de autorização, ponto final de token e ponto final de informação do utilizador para o IDP.
Na caixa de texto ID do cliente (Client Id), introduza o identificador do cliente fornecido pelo IDP.
Na caixa de texto Segredo do cliente (Client Secret), introduza o código secreto do cliente fornecido pelo IDP, que é utilizado pelo cliente para trocar um código de autorização por um token.
Para determinar o papel do utilizador no SD-WAN Orchestrator, selecione uma das opções:
Utilizar função predefinida (Use Default Role) – Permite ao utilizador predefinir uma função estática utilizando a caixa de texto Função predefinida (Default Role) que aparece na seleção desta opção. As funções suportadas são: superutilizador de empresa, administrador padrão de empresa, suporte de empresa e só de leitura de empresa.
Nota: Numa configuração SSO, se a opção
Utilizar função predefinida (Use Default Role) estiver selecionada e estiver definida uma função de utilizador predefinida, será atribuída a função predefinida especificada a todos os utilizadores SSO. Em vez de atribuir um utilizador com a função predefinida, um superutilizador administrador padrão ou administrador padrão pode pré-registar um utilizador específico como utilizador não nativo e definir uma função específica do utilizador clicando no separador
Administração > Administradores (Administration > Administrators) no portal da empresa. Para obter os passos para configurar um novo utilizador administrador, consulte
Criar um novo utilizador de administração.
Utilizar funções do fornecedor de identidade (Use Identity Provider Roles) – Utiliza as funções configuradas no IDP.
Ao selecionar a opção Utilizar funções do fornecedor de identidade (Use Identity Provider Roles), na caixa de texto Atributo de função (Role Attribute), introduza o nome do atributo definido no IDP para devolver funções.
Na área Mapa de função (Role Map), mapeie as funções fornecidas pelo IDP para cada uma das funções de utilizador empresarial, separadas por vírgulas.
As funções no CSP VMware seguirão este formato:
externo/<UUID de definição do serviço>/<nome da função do serviço mencionado durante a criação do modelo de serviço>.
Atualize os URLs de redirecionamento permitidos no site do fornecedor OIDC com o URL do SD-WAN Orchestrator (https://<Orchestrator URL>/login/ssologin/openidCallback)
Clique em Guardar alterações (Save Changes) para guardar a configuração do SSO.
Clique em Configuração de teste (Test Configuration) para validar a configuração do OpenId Connect (OIDC) introduzida.
O utilizador é transportado para o site do IDP e é autorizado a introduzir as credenciais. Na verificação do IDP e no redirecionamento com sucesso para a chamada de volta de teste do
SD-WAN Orchestrator, será apresentada uma mensagem de validação com sucesso.
Nota: Numa configuração SSO, se a opção Utilizar função predefinida (Use Default Role) estiver selecionada e estiver definida uma função de utilizador predefinida, será atribuída a função predefinida especificada a todos os utilizadores SSO. Em vez de atribuir um utilizador com a função predefinida, um superutilizador administrador padrão ou administrador padrão pode pré-registar um utilizador específico como utilizador não nativo e definir uma função específica do utilizador clicando no separador (Administration > Administrators) no portal da empresa. Para obter os passos para configurar um novo utilizador administrador, consulte Criar um novo utilizador de administração.