若要設定 VMware Cloud Services Platform (CSP) 以進行單一登入 (SSO),請執行此程序的步驟。

必要條件

使用您的 VMware 帳戶識別碼登入 VMware CSP 主控台 (預備或生產環境)。如果您開始接觸 VMware Cloud,且沒有 VMware 帳戶,則可以在註冊時建立一個。如需詳細資訊,請參閱使用 VMware Cloud 說明文件中的〈如何註冊 VMware CSP〉一節。

程序

  1. 請連絡 VMware 支援提供者,以取得向 VMware CSP 登錄 SASE Orchestrator 應用程式的服務邀請 URL 連結。如需如何連絡支援提供者的相關資訊,請參閱 https://kb.vmware.com/s/article/53907https://www.vmware.com/support/contacts/us_support.html
    VMware 支援提供者將會建立和共用:
    • 需要兌換給客戶組織的服務邀請 URL
    • 用於 Orchestrator 中角色對應的服務定義 UUID 和服務角色名稱
  2. 請依照 UI 畫面中的步驟,將服務邀請 URL 兌換給您現有的客戶組織,或建立新的客戶組織。
    您必須是組織擁有者,才能將服務邀請 URL 兌換給您現有的客戶組織。
  3. 兌換服務邀請後,當您登入 VMware CSP 主控台時,您可以在 VMware Cloud Services 頁面中的我的服務 (My Services) 區域下檢視應用程式動態磚。
    您登入的組織會顯示在功能表列上的使用者名稱下。請按一下您的使用者名稱以記下組織識別碼,以便在 Orchestrator 設定期間使用。組織名稱下方會顯示縮短版本的識別碼。按一下識別碼以顯示完整的組織識別碼。
  4. 登入 VMware CSP 主控台,並建立 OAuth 應用程式。如需步驟,請參閱使用適用於 Web 應用程式的 OAuth 2.0。請務必將重新導向 URI 設定為在 Orchestrator 的設定驗證 (Configure Authentication) 畫面中顯示的 URL。
    在 VMware CSP 主控台中建立 OAuth 應用程式後,請記下 IDP 整合詳細資料,例如用戶端識別碼和用戶端密碼。在 Orchestrator 中設定 SSO 時將需要這些詳細資料。
  5. 以超級管理員使用者身分登入 SASE Orchestrator 應用程式,並使用 IDP 整合詳細資料設定 SSO,如下所示:
    1. 按一下管理 (Administration) > 使用者管理 (User Management)
      備註: 若要為 SASE Orchestrator 啟用 SSO 驗證,您必須設定企業的網域名稱。
    2. 按一下驗證 (Authentication) 索引標籤,然後從驗證模式 (Authentication Mode) 下拉式功能表中,選取 SSO
    3. 身分識別提供者範本 (Identity Provider template) 下拉式功能表中,選取 VMwareCSP
    4. 組織識別碼 (Organization Id) 文字方塊中,以下列格式輸入 (您在步驟 3 中記下的) 組織識別碼:/csp/gateway/am/api/orgs/<完整組織識別碼>
    5. OIDC 知名組態 URL (OIDC well-known config URL) 文字方塊中,輸入 IDP 的 OpenID Connect (OIDC) 組態 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration)。
      SASE Orchestrator 應用程式會自動填入 IDP 的端點詳細資料,例如簽發者、授權端點、Token 端點及使用者資訊端點。
    6. 用戶端識別碼 (Client Id) 文字方塊中,輸入您在 OAuth 應用程式建立步驟中記下的用戶端識別碼。
    7. 用戶端密碼 (Client Secret) 文字方塊中,輸入您在 OAuth 應用程式建立步驟中記下的用戶端密碼。
    8. 若要決定使用者在 SASE Orchestrator 中的角色,請選取使用預設角色 (Use Default Role)使用身分識別提供者角色 (Use Identity Provider Roles)
    9. 選取使用身分識別提供者角色 (Use Identity Provider Roles) 選項時,在角色屬性 (Role Attribute) 文字方塊中輸入 VMware CSP 中設定的屬性名稱,以傳回角色。
    10. 角色對應 (Role Map) 區域中,將 VMwareCSP 提供的角色對應至每個 SASE Orchestrator 角色,並使用逗點分隔。
      VMware CSP 中的角色遵循以下格式:external/<服務定義 UUID>/<建立服務範本期間提及的服務角色名稱>。請使用您從支援提供者收到的相同服務定義 UUID 和服務角色名稱。
  6. 按一下儲存變更 (Save Changes) 以儲存 SSO 組態。
  7. 按一下測試組態 (Test Configuration),以驗證輸入的 OpenID Connect (OIDC) 組態。
    使用者會導覽至 VMware CSP 站台,並且能夠輸入認證。在 IDP 驗證和成功重新導向至 SASE Orchestrator 測試回呼時,將會顯示成功驗證訊息。

結果

您已在 VMware CSP 中完成 SSO 的 SASE Orchestrator 應用程式整合,並且可以存取登入 VMware CSP 主控台的 SASE Orchestrator 應用程式。

下一步

  • 在組織內,藉由新增使用者並且為使用者指派適當的角色以管理使用者。如需詳細資訊,請參閱使用 VMware Cloud 說明文件中的〈身分識別與存取管理〉一節。