[驗證 (Authentication)] 功能可讓您同時為操作員和企業使用者,設定驗證模式。您也可以檢視現有的 API Token。

若要存取 驗證 (Authentication) 索引標籤,請執行以下動作:
  1. 在操作員入口網站中,按一下頂端功能表中的管理 (Administration)
  2. 從左側功能表中,按一下使用者管理 (User Management),然後按一下驗證 (Authentication) 索引標籤。將顯示以下畫面:

API Token

無論什麼驗證模式,您都可以使用 Token 型驗證來存取 Orchestrator API。具有適當權限的操作員管理員,可以檢視對 Orchestrator 使用者核發的 API Token,包括對合作夥伴和客戶使用者核發的 Token。如有需要,操作員管理員可以撤銷 API Token。

依預設,會啟用 API Token。如果您想要停用這些 Token,請移至 Orchestrator > 系統內容 (System Properties),並將系統內容 session.options.enableApiTokenAuth 的值設為 False

備註: 操作員超級使用者應手動從 Orchestrator 中刪除非作用中身分識別提供者 (IdP) 使用者,以阻止使用者透過 API Token 進行未經授權的存取。
以下是此區段中的可用選項:
選項 說明
搜尋 (Search) 輸入一個搜尋詞彙,以在資料表中搜尋相符的文字。使用進階搜尋選項,可縮小搜尋結果的範圍。
撤銷 API Token (Revoke API Token) 選取 Token,然後按一下此選項以撤銷 Token。只有操作員超級使用者或與 API Token 相關聯的使用者才能撤銷 Token。
CSV 按一下這個選項,以使用 .csv 檔案格式來下載完整的 API Token 清單。
資料行 (Columns) 按一下並選取要在頁面上顯示或隱藏的資料行。
重新整理 (Refresh) 按一下以重新整理頁面,從而顯示最新的資料。

身為操作員超級使用者,您可以管理企業使用者的 API Token。如需建立和下載 API Token 的資訊,請參閱 API Token

操作員驗證/企業驗證

選取下列其中一個驗證模式:
  • 本機 (Local):這是預設選項,不需要任何其他組態。
  • 單一登入 (Single Sign-On):具有超級使用者權限的操作員使用者可以在 SASE Orchestrator 中設定單一登入 (SSO)。單一登入 (SSO) 是一種工作階段和使用者驗證服務,可讓使用者使用一組認證來登入至多個應用程式和網站。藉由整合 SSO 服務與 SASE OrchestratorSASE Orchestrator 能夠從 OpenID Connect (OIDC) 身分識別提供者 (IdP) 對使用者進行驗證。
    必要條件:
    • 確定您具有操作員超級使用者權限。
    • SASE Orchestrator 中設定 SSO 驗證之前,請確定您已在慣用身分識別提供者的網站中為 SASE Orchestrator 設定使用者、服務權限和 OpenID Connect (OIDC) 應用程式。
    備註:
    • 單一登入 (Single Sign-On) 模式僅適用於操作員入口網站中的操作員驗證 (Operator Authentication)
    • 為 SSO 使用者停用 Token 型驗證。
    • VMware 主控 Orchestrator 的操作員管理層級的 SSO 整合,已針對 VMware SD-WAN TechOPS 操作員進行保留。具有主控 Orchestrator 的操作員層級存取權的合作夥伴,無法選擇整合到 SSO 服務。
    若要為 SASE Orchestrator 啟用單一登入 (SSO),您必須在身分識別提供者 (IdP) 中輸入 Orchestrator 應用程式詳細資料。請按一下下列每一個連結,取得設定下列所支援 IdP 的逐步指示:
    當您選取 單一登入 (Single Sign-on) 以作為 驗證模式 (Authentication Mode) 時,您可以設定以下選項。
    選項 說明
    身分識別提供者範本 (Identity Provider Template) 從下拉式功能表中,選取您設定給單一登入的慣用身分識別提供者 (IdP)。這將預先填入您的 IdP 的特定欄位。
    備註:
    • 當您選取 VMwareCSP 作為慣用的 IdP 時,務必依下列格式提供組織識別碼:/csp/gateway/am/api/orgs/<完整組織識別碼>
    • 當您登入 VMware CSP 主控台時,您可以按一下使用者名稱來檢視您登入的組織識別碼。此資訊還會顯示在組織詳細資料下。請使用「完整組織識別碼」。

    您也可以從下拉式功能表中,選取其他 (Others),以手動設定自己的 IdP。

    組織識別碼 (Organization Id) 只有在您選取 VMware CSP 範本時,此欄位才可供使用。輸入 IdP 提供的組織識別碼,格式為:/csp/gateway/am/api/orgs/<full organization ID>。當您登入 VMware CSP 主控台時,您可以按一下使用者名稱來檢視您登入的組織識別碼。組織名稱下方會顯示縮短版本的識別碼。按一下識別碼以顯示完整的組織識別碼。
    OIDC 知名組態 URL (OIDC well-known config URL) 輸入您的 IdP 的 OpenID Connect (OIDC) 組態 URL。例如,Okta 的 URL 格式將是:https://{oauth-provider-url}/.well-known/openid-configuration
    簽發者 (Issuer) 此欄位是根據您選取的 IdP 自動填入的。
    授權端點 (Authorization Endpoint) 此欄位是根據您選取的 IdP 自動填入的。
    Token 端點 (Token Endpoint) 此欄位是根據您選取的 IdP 自動填入的。
    JSON Web KeySet URI 此欄位是根據您選取的 IdP 自動填入的。
    使用者資訊端點 (User Information Endpoint) 此欄位是根據您選取的 IdP 自動填入的。
    用戶端識別碼 (Client ID) 輸入 IdP 提供的用戶端識別碼。
    用戶端密碼 (Client Secret) 輸入您的 IdP 提供的用戶端密碼,以供用戶端將授權碼交換為 Token。
    範圍 (Scopes) 此欄位是根據您選取的 IdP 自動填入的。
    角色類型 (Role Type) 選取下列兩個選項之一:
    • 使用預設角色 (Use default role)
    • 使用身分識別提供者角色 (Use identity provider roles)
    角色屬性 (Role Attribute) 輸入在 IdP 中設定的屬性名稱,以傳回角色。
    操作員角色對應 (Operator Role Map) 將 IdP 提供的角色對應至每個操作員使用者角色。

    按一下更新 (Update),以儲存輸入的值。已在 SASE Orchestrator 中完成 SSO 驗證設定。

  • RADIUS:遠端驗證撥入使用者服務 (RADIUS) 是一種「用戶端-伺服器」通訊協定,可讓遠端存取伺服器與中央伺服器進行通訊。RADIUS 驗證可讓使用者進行集中式管理。您可以在 RADIUS 模式中設定 Orchestrator 驗證,以便操作員和企業客戶可以使用 RADIUS 伺服器登入入口網站。在以下欄位中輸入適當的詳細資料:
    • 您只能在系統內容中編輯通訊協定值。導覽至 Orchestrator > 系統內容 (System Properties),然後在 系統內容的值 (Value)vco.operator.authentication.radius 欄位中編輯通訊協定。
    • 操作員網域 (Operator Domain) 欄位僅適用於操作員。
    • 操作員角色對應 / 企業角色對應 (Operator Role Map / Enterprise Role Map) 區段中,將 RADIUS 伺服器屬性對應至每個操作員或企業使用者角色。此角色對應用來決定使用者第一次使用 RADIUS 伺服器登入 Orchestrator 時會被指派的角色。
    • 按一下更新 (Update),以儲存輸入的值。

SSH 金鑰 (SSH Keys)

對於每個使用者,您只能建立一個 SSH 金鑰。按一下畫面右上角的使用者資訊 (User Information) 圖示,然後按一下我的帳戶 (My Account) > SSH 金鑰 (SSH Keys),以建立 SSH 金鑰。

身為操作員,您還可以撤銷 SSH 金鑰。

按一下重新整理 (Refresh) 選項,以重新整理該區段,從而顯示最新的資料。

如需詳細資訊,請參閱設定使用者帳戶詳細資料

工作階段限制 (Session Limits)

備註: 若要檢視此區段,操作員使用者必須移至 Orchestrator > 系統內容 (System Properties),並將 session.options.enableSessionTracking 系統內容值設定為 True

以下是此區段中的可用選項:

選項 說明
並行登入 (Concurrent logins) 可讓您設定每個使用者的並行登入數限制。依預設,會選取無限制 (Unlimited),這表示允許使用者無數次並行登入。
每個角色的工作階段限制 (Session limits for each role) 可讓您根據使用者角色,來設定並行工作階段數限制。依預設,會選取無限制 (Unlimited),這表示允許角色建立無數個工作階段。
備註: 操作員已在 角色 (Roles) 索引標籤中建立的角色會顯示在此區段中。

按一下更新 (Update),儲存您選取的值。