本節說明 VMware SD-WAN 客戶如何透過以 VMware Cloud Services Platform (CSP) 作為身分識別提供者 (IdP) 進行單一登入 (SSO),來管理其使用者帳戶。
概觀
設定為使用單一登入 (SSO) 的客戶可以使用多個身分識別提供者 (IdP) 來管理其使用者。本節說明 VMware 的 IdP:Cloud Services Platform (CSP)。
提示: CSP 是一個適用於所有 VMware SaaS 產品的一般生命週期管理平台。對於其他 VMware SaaS 產品,CSP 包含上線、驗證、計費、訂購、支援和客戶通知。在 5.2.0 版中,CSP 與 VMware SASE (包括 SD-WAN) 的整合僅限於驗證和授權,後續版本中將提供其他整合。
CSP 整併並簡化了跨多個 Orchestrator 的使用者管理,同時還整合了可支援 SAML 和 OIDC 的 IdP,並提供單一接觸點,以確保符合政府法規。
重要: 對於在 5.2.0 版主控 Orchestrator 中建立但未指派給合作夥伴的客戶,系統會自動為其設定使用 CSP 作為 IdP 的 SSO。因此:
- 具有超級使用者角色的管理員會透過 CSP 入口網站,來建立新管理員。
- CSP 中斷時,系統會允許客戶取得一個具有本機驗證 (使用者名稱/密碼) 的「緊急」管理員帳戶,以允許他們存取其入口網站。
- 新的直接客戶則需要使用 Token 型驗證才能存取 API。當使用者建立移至 CSP 時,他們將無法使用 Cookie 型驗證。
在更新的 SD-WAN 版本中,VMware 會要求使用主控 Orchestrator 的所有客戶 (無論是新客戶還是現有客戶),將其企業設定為使用 CSP 作為其 IdP。
內部部署 Orchestrator 不受 CSP 需求的約束,其客戶將繼續使用以 Orchestrator 為基礎的驗證。
必要條件
您必須先購買 SD-WAN,才能在指派的 VMware SASE Orchestrator 上設定 SD-WAN 帳戶。
在 Cloud Services Platform 上建立客戶組織
一旦確認客戶的 SD-WAN 訂單後:
- VMware 會傳送一封類似如下所示的邀請電子郵件給您:此電子郵件含有一個指向您將用來管理企業的 Orchestrator 的連結,以及一個用來在 CSP 上建立組織的連結。
備註: 您的客戶網域詳細資料會成為 Orchestrator 上您客戶帳戶的基礎,且會根據您的地理位置,來決定要將您的企業指派給哪個 Orchestrator。
- 如果電子郵件顯示「請遵循此連結來設定您的 CSP 帳戶 (Follow this link to setup your CSP account)」,請按一下連結 (link),來設定您的 CSP 組織。
- 按一下該連結時,會將您重新導向至 CSP 站台以便在其中設定您的 CSP 帳戶,這可以是現有組織,也可以是新組織。
- 在重要: 在 CSP 客戶上線期間,您必須提供實體位址。此外,在設定聯盟之前,將會驗證您的客戶網域名稱。
之下,設定您帳戶的詳細資料,包括 VMware SASE 在訂單中提供給您的組織識別碼。
- 設定完 CSP 組織後,現在即可在您的 CSP 組織中新增使用者。
將使用者新增至您的 CSP 組織
- 按一下 VMware Cloud Services 頁面上的身分識別與存取管理 (Identity & Access Management) 索引標籤,接著按一下作用中使用者 (Active Users),然後按一下新增使用者 (Add New Users)。
- 在新增使用者 (Add New Users) 頁面上,您可以藉由電子郵件地址來新增使用者。需要為使用者指派兩種角色:
- 指派一或多個組織角色 (Organization Role),這是使用者在 CSP 組織中的角色。
- 指派一個服務角色 (Service Role),這是使用者在登入 Orchestrator 時的角色。
- 設定所有角色後,按一下新增 (ADD),以將這些使用者新增到 CSP 組織。
使用 CSP 登入 SASE Orchestrator
在上一步中新增為使用者的任何人,現在都可以在 SASE Orchestrator 上登入他們的企業。若要登入 Orchestrator,請執行下列動作:
- 再次參照您收到的電子郵件邀請,並按一下下方反白顯示的區段中的 URL 連結,以導覽至 Orchestrator 的登入頁面。
- 在 Orchestrator 登入畫面上,按一下使用您的身分識別提供者登入 (SIGN IN WITH YOUR IDENTITY PROVIDER)。
- 在 [使用身分識別提供者登入 (Sign in using Identity Provider)] 頁面上,輸入您帳戶的網域,然後按一下登入 (SIGN IN)。
- 系統隨後會將您重新導向回 CSP。
- 在 CSP 登入畫面上,輸入您的電子郵件地址,然後按下一步 (NEXT)。
備註: 將使用 Google Authenticator 來完成雙因素驗證 (2FA)。Twilio 不會用於新的直接客戶。
- 使用 CSP 帳戶成功登入後,會將您重新導向回 Orchestrator 上的企業首頁。您的視圖將與 CSP 中指派給您的視圖一致。
其他資源
如需有關在 VMware SD-WAN 中使用 CSP 作為 IdP 的詳細資訊,請參閱設定 VMware CSP 以進行單一登入。
如需有關在 Cloud Services Platform 上新增使用者的詳細資訊,請參閱使用 VMware Cloud Services 主控台 - 身分識別和存取管理。