Guía de socios de VMware SD-WAN VMware SD-WAN 3.4

(1)

Guía de socios de VMware SD-WAN

2020

VMware SD-WAN 3.4

(2)

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

VMware, Inc.

3401 Hillview Ave.

Palo Alto, CA 94304 www.vmware.com

VMware Spain, S.L.

Calle Rafael Boti 26 2.ª planta

Madrid 28023 Tel.: +34 914125000 www.vmware.com/es

Guía de socios de VMware SD-WAN

(3)

Contenido

1

Acerca de la Guía del socio de VMware SD-WAN 5

2

Novedades 6

3

Introducción 7

4

Navegadores compatibles 8

5

Iniciar sesión en SD-WAN Orchestrator con SSO como usuarios asociados 9

6

Supervisar clientes 10

7

Administrar clientes 12

Crear un nuevo cliente 13 Clonar un cliente 15 Configurar clientes 18

Configurar la entrega a socios 20

8

Supervisar eventos 26

9

Administrar usuarios administradores asociados 27

Crear un nuevo administrador asociado 27 Configurar usuarios administradores asociados 28

10

Ver información de socios 32

11

Configuración de socios 33

Configurar la información de los socios 33 Configurar la autenticación de socios 34

Descripción general del inicio de sesión único 35

Configurar el inicio de sesión único para los usuarios asociados 36 Configurar un IDP para Single Sign On 40

12

Licencias de Edge 62

Administrar licencias de Edge para clientes 62 Generar un informe sobre las licencias de Edge 64

13

Administrar grupos de puertas de enlace 65

(4)

Crear un grupo de puertas de enlace 66

14

Administrar puertas de enlace 67

15

Instalar la puerta de enlace de socio de VMware 68

Descripción general de la instalación 68

Requisitos mínimos de hardware del hipervisor 69 Procedimientos de instalación de SD-WAN Gateway 71

Consideraciones previas a la instalación 72 Instalar SD-WAN Gateway 79

Tareas posteriores a la instalación 95 Actualizar SD-WAN Gateway 99 Configuraciones personalizadas 99

Configuración de NTP 99 Datos de usuario 100

Rutas estáticas e interfaz de OAM 101

OAM: SR-IOV con vmxnet3 o SR-IOV con VIRTIO 102

Consideraciones especiales para utilizar la encapsulación 802.1ad 105 Integración de SNMP 106

Reglas de firewall personalizadas 107

(5)

Acerca de la Guía del socio de

VMware SD-WAN 1

En la Guía del socio de VMware SD-WAN™ se ofrece información sobre VMware SD-WAN Orchestrator, por ejemplo, cómo configurar y administrar clientes que utilizan Orchestrator.

Público objetivo

Esta guía está destinada a socios de TI de SD-WAN Orchestrator familiarizados con las configuraciones de redes y las operaciones de SD-WAN.

(6)

Novedades

2

Novedades de la versión 3.4

Función Descripción

Clonar empresas (Clone Enterprises)

Clona las configuraciones de un cliente existente y las utiliza para crear otro nuevo.

Consulte Clonar un cliente.

Compatibilidad con X710/XL710 NIC con DPDK y SR-IOV

Compatibilidad con SR-IOV y DPDK para la nueva NIC Intel X710/XL710. Consulte n Requisitos mínimos de hardware del hipervisor

n Instalar SD-WAN Gateway en VMware n Instalar SD-WAN Gateway en KVM Autenticación basada en token

(Token Based Authentication)

Los usuarios pueden acceder a las API de Orchestrator mediante tokens en lugar de la autenticación basada en sesión. Como superusuario asociado, puede administrar los tokens de API para los usuarios empresariales. Consulte Tokens de API.

Para acceder a una lista completa de las secciones nuevas y actualizadas de la documentación para administradores, consulte la Guía de administración de VMware SD-WAN.

Versiones anteriores de VMware SD-WAN

Para obtener la documentación del producto de las versiones anteriores de VMware SD-WAN, póngase en contacto con su representante de VMware.

(7)

Introducción

3

Como usuario asociado, puede configurar y administrar los siguientes elementos:

n Usuarios administradores asociados

n Eventos de socios

n Configuración de socios

n Autenticación de socios

n Clientes empresariales

Consulte la Guía de administración de VMware SD-WAN para familiarizarse con la función principal de VMware que utilizan los administradores de TI empresariales con los clientes.

(8)

Navegadores compatibles

4

Para obtener el mejor rendimiento, VMware recomienda Google Chrome o Mozilla Firefox.

SD-WAN Orchestrator es compatible con los siguientes navegadores.

Navegadores cualificados Versión del navegador

Google Chrome 77 – 79.0.3945.130

Firefox 69.0.2 - 72.0.2

Internet Explorer 11.765.17134.0 - 11.592.18362.0

Microsoft Edge 42.17134.1.0- 44.18362.449.0

Safari 12.1.2-13.0.3

(9)

Iniciar sesión en SD-WAN Orchestrator con SSO como

usuarios asociados 5

En esta sección se describe cómo iniciar sesión en SD-WAN Orchestrator con inicio de sesión único (Single Sign On, SSO) como usuario asociado.

Requisitos previos

n Asegúrese de haber configurado la autenticación de SSO en SD-WAN Orchestrator. Para obtener más información, consulte Configurar el inicio de sesión único para los usuarios asociados.

n Asegúrese de haber configurado las funciones, los usuarios y la aplicación de OpenID Connect (OIDC) con SSO para sus proveedores de identidades (Identity Provider, IDP) preferidos. Para obtener más información, consulte Configurar un IDP para Single Sign On.

Procedimiento

1 En un navegador web, inicie la aplicación de SD-WAN Orchestrator como usuario empresarial o asociado.

Aparecerá la pantalla VMware SD-WAN Orchestrator.

2 Haga clic en Iniciar sesión con su proveedor de identidad (Sign In With Your Identity Provider).

3 En el cuadro de texto Introduzca el dominio de la organización (Enter your Organization Domain), escriba el nombre de dominio utilizado para la configuración de SSO y haga clic en Iniciar sesión (Sign In).

El IDP configurado para SSO autenticará al usuario y lo redirigirá a la URL de SD-WAN Orchestrator configurada.

Nota Una vez que los usuarios inicien sesión en SD-WAN Orchestrator mediante SSO, no podrán iniciar sesión de nuevo como usuarios nativos.

(10)

Supervisar clientes

6

Los socios pueden supervisar el estado de los clientes a través del vínculo Supervisar clientes (Monitor Customers).

Para supervisar clientes, siga estos pasos:

n En la barra de navegación, haga clic en Supervisar clientes (Monitor Customers).

Al realizar esta acción, aparece la página Supervisar clientes (Monitor Customers).

En esta pantalla se muestran las instancias de Edge y los vínculos de todos los clientes a los que administra el socio específico. Se pueden seleccionar opciones para controlar el intervalo de actualización de la información.

Entre las principales funciones de la página Supervisar clientes (Monitor Customers) se incluyen las siguientes:

1 Un resumen agregado del estado de todos los clientes y sus instancias de Edge.

2 Un resumen del estado de cada cliente y sus instancias de Edge.

(11)

3 Posibles selecciones de intervalos para elegir un intervalo de supervisión específico.

(12)

Administrar clientes

7

El menú Administrar clientes (Manage Customers) permite crear nuevos clientes, configurar las capacidades y otros ajustes de los clientes y clonar la configuración existente.

En el panel de socios, haga clic en Administrar clientes (Manage Customers) > Acciones (Actions) para realizar las siguientes actividades:

n Nuevo cliente (New Customer): crea un nuevo cliente. Consulte Crear un nuevo cliente.

n Clonar cliente (Clone Customer): crea un nuevo cliente mediante la clonación de las configuraciones existentes del cliente seleccionado. Consulte Clonar un cliente.

n Modificar cliente (Modify Customer): se desplaza hasta la Configuración del sistema (System Settings) en el portal de empresas, donde puede configurar otros ajustes que correspondan al cliente seleccionado. También puede hacer clic en el nombre de un cliente para acceder al portal de empresas. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

n Eliminar cliente (Delete Customer): elimina los clientes seleccionados. Antes de eliminar el cliente, asegúrese de haber eliminado todas las instancias de Edge asociadas al cliente seleccionado.

n Liberar del socio (Release from Partner): libera el cliente seleccionado del socio.

n Correo electrónico de soporte (Support Email): envía mensajes de soporte al cliente seleccionado.

n Actualizar notificaciones previas (Update Pre-notifications): habilita o deshabilita las alertas de notificación previa para los clientes seleccionados.

n Actualizar alertas de cliente (Update Customer Alerts): habilita o deshabilita las alertas para los clientes seleccionados.

n Exportar todos los clientes (Export All Customers): exporta los detalles de todos los clientes del portal de socios a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.

n Exportar inventario de Edge de cliente (Export Customer Edge Inventory): exporta los detalles del inventario de todas las instancias de Edge asociadas con todos los clientes a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.

(13)

Este capítulo incluye los siguientes temas:

n Crear un nuevo cliente

n Clonar un cliente

n Configurar clientes

Crear un nuevo cliente

En el portal de socios, puede crear clientes y configurar los ajustes correspondientes.

Solo pueden crear nuevos clientes los superusuarios asociados y los administradores estándar asociados.

Nota Los superusuarios operadores pueden deshabilitar temporalmente la creación de clientes nuevos. Para ello, deben establecer la propiedad del sistema

session.options.disableCreateEnterprise en Verdadero (True). Una vez asignado este valor, ni los superusuarios asociados ni los administradores estándar asociados pueden crear nuevos

clientes. Si no puede crear un cliente, póngase en contacto con su operador para habilitar la opción.

En el portal de socios, desplácese hasta Administrar clientes (Manage Customers).

1 En la página Clientes (Customers), haga clic en Nuevo cliente asociado (New Partner Customer) o en Acciones (Actions) > Nuevo cliente (New Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Clonar del cliente (Clone from Customer) si desea clonar las configuraciones de un cliente existente. Para obtener más información, consulte Clonar un cliente.

(14)

Información del cliente (Customer Information)

Opción Descripción

Nombre de la empresa (Company Name) Introduzca el nombre de su empresa

Dominio (Domain) Introduzca el nombre de dominio de su empresa

Número de cuenta (Account Number) Introduzca un identificador único del cliente Acceso de soporte técnico de socio (Partner Support

Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico del socio para ver, configurar y solucionar los problemas de las instancias de Edge conectadas al cliente.

Por motivos de seguridad, el equipo de soporte técnico no puede ver la información de identificación de los usuarios ni acceder a ella.

Acceso al soporte técnico de VeloCloud (VeloCloud Support Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico de VMware para ver, configurar y solucionar los problemas de las instancias de Edge conectadas al cliente.

Por motivos de seguridad, el equipo de soporte técnico no puede ver la información de identificación de los usuarios ni acceder a ella.

(15)

Opción Descripción Acceso a la administración de usuarios de VeloCloud

(VeloCloud User Management Access)

Seleccione la casilla de verificación para habilitar que el soporte técnico de VMware pueda ayudar en la administración de usuarios. La administración de usuarios incluye opciones para crear usuarios, restablecer contraseñas y configurar otros ajustes. En este caso, el equipo de soporte obtiene acceso a la información de identificación del usuario.

Calle (Street Address), Ciudad (City), Estado (State), País (Country), Código postal (ZIP/Postcode)

Introduzca los detalles de la dirección relevante en los campos correspondientes.

Cuenta de administrador inicial (Initial Admin Account)

Nombre de usuario (Username) Introduzca el nombre de usuario en el formato [email protected].

Contraseña (Password) Introduzca una contraseña para el administrador.

Confirmar (Confirm) Vuelva a introducir la contraseña.

Nombre (First Name), Apellido (Last Name), Teléfono (Phone), Teléfono móvil (Mobile Phone)

Introduzca los detalles, como el nombre y el número de teléfono, en los campos adecuados.

Correo electrónico de contacto (Contact Email) Introduzca la dirección de correo electrónico. Las alertas de estado del servicio se envían a esta dirección de correo electrónico.

Configuración del cliente (Customer Configuration)

Imagen de software (Software Image) Elija la imagen de software que se debe actualizar en las instancias de Edge.

Grupo de puertas de enlace (Gateway Pool) Seleccione un grupo de puertas de enlace existente en la lista desplegable. Para obtener más información sobre los grupos de puertas de enlace, consulte Capítulo 13 Administrar grupos de puertas de enlace.

3 Haga clic en Crear (Create).

El nuevo nombre de cliente se muestra en la página Clientes (Customers). Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar configuraciones al cliente. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

Clonar un cliente

Puede clonar las configuraciones de un cliente existente y crear un nuevo cliente con la configuración clonada.

(16)

Solo pueden clonar clientes los superusuarios asociados y los administradores estándar asociados.

De forma predeterminada, las siguientes configuraciones se clonan desde el cliente seleccionado:

n Perfiles de configuración de empresa

n Servicios y objetos de la red de empresa, como:

n Servicios de DNS

n Nombres de redes privadas

n Segmentos de red

n Esquema de autenticación de Edge

n Grupos de direcciones y puertos

No puede clonar una empresa si está compuesta por lo siguiente:

n Perfil con referencias de Edge, como hubs, clústeres, etc.

n Servicio de seguridad de nube habilitado

n Non VMware SD-WAN Site

n VNF o licencias de VNF

n Servicios de autenticación

n Objetos de NetFlow, como recopiladores o filtros

En el portal de socios, desplácese hasta Administrar clientes (Manage Customers).

1 En la página Clientes (Customers), seleccione el cliente que desea clonar y haga clic en Acciones (Actions) > Clonar cliente (Clone Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Nuevo cliente (New Customer) para crear un nuevo cliente sin clonar las configuraciones del cliente seleccionado. Consulte Crear un nuevo cliente.

(17)

Clonar configuración (Clone Configuration)

Cliente de plantilla (Template Customer) De forma predeterminada, se tiene en cuenta el cliente seleccionado a efectos de clonación. Si es necesario, puede seleccionar un cliente diferente en la lista desplegable.

Si un cliente o una empresa no cumplen con las condiciones de clonación adecuadas, como se indica al principio de esta sección, no estará disponible en la lista desplegable. Esta lista solo muestra el nombre de los clientes que se pueden clonar.

Atributos de clonación adicionales (Additional Clone Attributes)

Además de las configuraciones clonadas

predeterminadas, puede seleccionar los siguientes ajustes que se van a clonar, según sea necesario:

n Directiva de seguridad (Security Policy) n Configuración de alertas (Alert Configuration) n Preferencias de enrutamiento global (Global Routing

Preferences)

n Suscripciones de IaaS (IAAS Subscriptions)

Introduzca los detalles pertinentes en Información del cliente (Customer Information) y Cuenta de administrador inicial (Initial Admin Account), tal como se describe en Crear un nuevo cliente.

(18)

En la sección Configuración del cliente (Customer Configuration), se clonan los datos de Grupo de puertas de enlace (Gateway Pool) e Imagen de software (Software Image) del cliente seleccionado. Si es necesario, puede modificar la configuración.

El nuevo nombre de cliente se muestra en la página Clientes (Customers). El cliente ya está configurado con la configuración clonada. Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar o modificar la configuración. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

Configurar clientes

Después de crear un cliente, configure las opciones y los ajustes a los que puede acceder el cliente. Como superusuario asociado, puede elegir qué ajustes tiene capacidad de modificar un cliente o una empresa.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente.

También puede desplazarse hasta la página de configuración desde la página Administrar clientes (Manage Customers) del portal de socios. Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer) para poder configurar los siguientes ajustes.

(19)

Capacidades del cliente (Customer Capabilities)

Los operadores son los únicos que pueden habilitar o deshabilitar las capacidades. Puede ver el estado de las capacidades que se indican a continuación. Si desea habilitar o deshabilitar alguna de estas capacidades, póngase en contacto con un operador.

n Habilitar autenticación empresarial (Enable Enterprise Auth)

n Habilitar el registro de firewall en Orchestrator (Enable Firewall logging to Orchestrator)

n Habilitar redes heredadas (Enable Legacy Networks)

n Habilitar servicio Premium (Enable Premium Service)

n Habilitar segmentación (Enable Segmentation)

n Habilitar firewall con estado (Enable Stateful Firewall)

n Asignación de CoS (CoS Mapping)

n Limitación de velocidad de servicio (Service Rate Limiting) Segmentos máximos (Maximum Segments)

(20)

Muestra el número máximo de segmentos que puede configurar el operador.

Cálculo de costes de OFC (OFC Cost Calculation)

Indica si el operador ha habilitado o no la opción de Cálculo de costes distribuidos (Distributed Cost Calculation). De forma predeterminada, Orchestrator calcula el coste de las rutas a partir de las rutas conocidas que recibe de las instancias de Edge y las puertas de enlace. Si lo considera conveniente, el operador puede distribuir el cálculo de costes entre las instancias de Edge y las puertas de enlace, lo que reduce la carga y el uso de recursos en Orchestrator.

NFV de Edge (Edge NFV)

Indica si se permite a los clientes implementar VNF de terceros en las plataformas de Edge preparadas para el servicio.

Imagen de software (Software Image)

Se muestra la imagen de software actual asociada al cliente seleccionado. Si es necesario, puede elegir otra imagen de software en la lista disponible.

Grupo de puertas de enlace (Gateway Pool)

Se muestra el grupo de puertas de enlace actual asociado al cliente seleccionado. Si es necesario, puede elegir otro grupo de puertas de enlace en la lista disponible.

Si las puertas de enlace disponibles en el grupo se han asignado con la función Puerta de enlace de socio (Partner Gateway), puede entregarlas a los socios. Seleccione Habilitar entrega a socios (Enable Partner Handoff) para configurar las opciones de entrega de los segmentos y las puertas de enlace. Para obtener más información, consulte Configurar la entrega a socios.

Una vez que realice todos los cambios en las configuraciones, haga clic en Guardar cambios (Save Changes).

Configurar la entrega a socios

Puede configurar una puerta de enlace para la entrega a los socios. La puerta de enlace actúa como puerta de enlace de socio, y se pueden configurar varios ajustes, como Interfaz de entrega (Hand off Interface), Rutas estáticas (Static Routes) y BGP, entre otros.

Asegúrese de que la puerta de enlace que se debe entregar esté asignada con la función Puerta de enlace de socio (Partner Gateway). En el portal de socios, haga clic en Puertas de enlace (Gateways) y en el vínculo a una puerta de enlace existente. En la sección Propiedades

(Properties) de la puerta de enlace seleccionada, puede habilitar la función Puerta de enlace de socio (Partner Gateway).

Para configurar los ajustes de entrega, vaya a la página Configuración del cliente (Customer Configuration).

n En el portal de socios, haga clic en Administrar clientes (Manage Customers).

n Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

(21)

n En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer).

n En Configuración del cliente (Customer Configuration), desplácese hasta la sección Grupo de puertas de enlace (Gateway Pool) y seleccione la casilla de verificación Habilitar entrega a socios (Enable Partner Handoff).

Configure los siguientes ajustes:

Prioridad de BGP del cliente (Customer BGP Priority)

n Seleccione Habilitar asignación de comunidad (Enable Community Mapping) para establecer los atributos de comunidad que se deben etiquetar en las rutas de BGP anunciadas.

n La asignación de comunidad se establece en todos los segmentos de forma predeterminada.

Si desea configurar los atributos de comunidad de un segmento específico, elija Por segmento (Per Segment) y seleccione el segmento en la lista desplegable.

n Seleccione la casilla de verificación Aditivo de comunidad (Community Additive) para habilitar la opción de aditivo asociada a una configuración de comunidad automática en particular. Esta opción conserva los atributos de comunidad entrantes de un prefijo que se recibe de la superposición y anexa la comunidad automática configurada a dicho prefijo en la puerta de enlace de socio. Como resultado, el lado de la instancia de Edge del proveedor (Provider Edge, PE) de conmutación de etiquetas multiprotocolo (Multi-Protocol Label Switching, MPLS) recibe prefijos con todos los atributos de comunidad, incluidos los de comunidad automática.

(22)

n Introduzca los atributos de comunidad en los campos Comunidad (Community) y Comunidad 2 (Community 2). Haga clic en el icono de signo más (+) para agregar otros atributos de comunidad.

Configurar entrega (Configure Hand Off)

n De forma predeterminada, la configuración de entrega se aplica a todas las puertas de enlace. Si desea configurar una puerta de enlace específica, elija Por puerta de enlace (Per Gateway) y seleccione la puerta de enlace en la lista desplegable.

n De forma predeterminada, la configuración de entrega se aplica a todos los segmentos. Si desea configurar un segmento específico, seleccione el Segmento (Segment) en la lista desplegable.

n Para configurar todas las puertas de enlace, haga clic en la opción Editar (Edit). Si seleccionó una puerta de enlace en particular, haga clic en el vínculo Haga clic aquí para configurar (Click here to configure).

Al realizar esta acción, aparece la ventana Detalles de la entrega (Hand Off Details), donde puede configurar los siguientes ajustes:

(23)

Opción Descripción Interfaz de entrega (Hand off Interface)

Tipo de etiqueta (Tag Type) Elija el tipo de etiqueta, es decir, la encapsulación que utiliza la puerta de enlace para entregar el tráfico del cliente al enrutador. A continuación se muestran los tipos de etiquetas disponibles:

n Ninguna (None): sin etiquetar. Elija esto para las entregas de un solo tenant o con enrutamiento y reenvío virtual (Virtual Routing and Forwarding, VRF) de servicios compartidos.

n 802.1q: etiqueta de VLAN única.

n 802.1ad/QinQ(0x8100)/QinQ(0x9100): etiqueta de VLAN doble.

VLAN de transporte (Transport VLAN) Esta opción solo está disponible cuando se selecciona el tipo de etiqueta 802.1ad/QinQ(0x8100)/QinQ(0x9100).

Seleccione el tipo de etiqueta para configurar las VLAN de transporte.

Etiqueta-C (C-Tag) (etiqueta de cliente) Introduzca la etiqueta de VLAN del cliente.

Etiqueta-S (S-Tag) (etiqueta de servicio) Introduzca la etiqueta de VLAN que define el proveedor de servicios.

Dirección IP local (Local IP Address) Introduzca la dirección IP local para la interfaz de entrega lógica.

Usar para túneles privados (Use for Private Tunnels) Seleccione esta casilla de verificación para que los vínculos privados de la red de área extensa (Wide Area Network, WAN) se conecten a la dirección IP privada de la puerta de enlace de socio. Cuando la conectividad WAN privada está habilitada en una puerta de enlace, Orchestrator audita para garantizar que cada puerta de enlace de una empresa tenga una dirección IP local única.

Anunciar a través de BGP (Advertise via BGP) Seleccione esta casilla de verificación para anunciar automáticamente la IP de WAN privada de la puerta de enlace de socio mediante BGP. La conectividad se proporciona mediante la dirección IP local existente.

Rutas estáticas (Static Routes): haga clic en el icono de signo más (+) para agregar otras rutas.

Subredes Introduzca la dirección IP de la subred de ruta estática que

la puerta de enlace debería anunciar a la instancia de Edge.

Coste (Cost) Introduzca el coste de aplicar la ponderación en las rutas.

El rango oscila entre 0 y 255.

Cifrar (Encrypt) Seleccione esta casilla de verificación para cifrar el tráfico entre la instancia de Edge y la puerta de enlace.

Entrega (Hand off) Seleccione el tipo de entrega VLAN o NAT.

Descripción (Description) De forma opcional, puede introducir un texto descriptivo para la ruta estática.

BGP

(24)

Habilitar BGP (Enable BGP) Seleccione esta casilla de verificación para habilitar BGP y establecer la configuración correspondiente.

ASN del cliente (Customer ASN) Introduzca el número de sistema autónomo del cliente (Autonomous System Number, ASN).

IP del vecino (Neighbor IP) Introduzca la dirección IP de la red de vecinos configurada.

ASN de vecino (Neighbor-ASN) Introduzca el ASN de la red de vecinos.

Rutas de BGP seguras (Secure BGP Routes) Seleccione esta casilla de verificación si desea habilitar el cifrado para el reenvío de datos a través de las rutas de BGP.

Filtros entrantes/salientes de BGP (BGP Inbound/Outbound Filters): haga clic en el icono de signo más (+) para agregar más filtros.

Tipo (Type) (Coincidencia [Match]) Elija el tipo del atributo BGP que se debe tener en cuenta al establecer las coincidencias con el flujo de tráfico. Puede elegir entre Prefijo (Prefix) o Comunidad (Community).

Valor (Value) Introduzca el valor en función del atributo BGP

seleccionado como tipo.

Coincidencia exacta (Exact Match) Seleccione esta casilla de verificación para que los atributos coincidan exactamente.

Tipo (Type) (Acción [Action]) Elija la acción que debe realizarse si se produce una coincidencia con el valor Verdadero (True). Puede permitir o denegar el tráfico.

Establecer (Set) Puede establecer los valores de los atributos de las rutas

que coincidan con los criterios de filtro.

Elija entre los siguientes atributos e introduzca los valores correspondientes que se deben configurar para las rutas coincidentes:

n Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.

n Preferencia local (Local Preference)

n Comunidad (Community): también puede habilitar la opción Aditivo de comunidad (Community Additive).

n Métrica (Metric)

n Anteposición de AS-PATH (AS-Path-Prepend) Configuración opcional de BGP (BGP Optional Settings)

Identificador de enrutador (Router ID) Introduzca el identificador de enrutador para identificar el enrutador BGP.

Conexión persistente (Keep Alive) Introduzca el tiempo de conexión persistente de BGP en segundos. El temporizador predeterminado es de 60 segundos.

(25)

Temporizadores de retención (Hold Timers) Introduzca el tiempo de retención de BGP en segundos. El temporizador predeterminado es de 180 segundos.

Deshabilitar la continuación de AS-PATH (Disable AS-PATH Carry Over)

Seleccione esta casilla de verificación para deshabilitar la continuación de las rutas del sistema autónomo

(Autonomous System, AS), de modo que, en las rutas de AS salientes, los enrutadores de capa 3 prefieran las rutas hacia PE. Si selecciona esta opción, asegúrese de ajustar la red para evitar los bucles de enrutamiento. Se recomienda no seleccionar esta casilla de verificación.

Haga clic en Actualizar (Update) para guardar la configuración. Asimismo, haga clic en Guardar cambios (Save Changes) en la página Configuración del cliente (Customer Configuration) para activar la configuración.

(26)

Supervisar eventos

8

Los socios pueden supervisar los eventos de operador que genera VMware a través del vínculo Eventos (Events).

Para ver los eventos, siga estos pasos:

n En la barra de navegación, haga clic en Eventos (Events).

Al realizar esta acción, aparece la página Eventos (Events).

Estos eventos pueden ayudarle a determinar el estado del sistema de VMware. Es posible ver más información sobre algunos eventos haciendo clic en el vínculo que contienen.

(27)

Administrar usuarios

administradores asociados 9

En la página Administradores (Admins) se muestran los usuarios administradores asociados existentes. Los superusuarios asociados pueden crear nuevos usuarios administradores asociados con diferentes privilegios de función y configurar los tokens de API para cada administrador de socios.

En el portal de socios, haga clic en Administradores (Admins).

Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo administrador (New Admin): crea nuevos usuarios administradores asociados.

Consulte Crear un nuevo administrador asociado.

n Modificar administrador (Modify Admin): modifica las propiedades del usuario administrador seleccionado. También puede hacer clic en el vínculo del nombre de usuario para modificar las propiedades. Consulte Configurar usuarios administradores asociados.

n Restablecer contraseña (Password Reset): envía un correo electrónico al usuario seleccionado con un vínculo para restablecer la contraseña.

n Eliminar administrador (Delete Admin): elimina los usuarios seleccionados.

Este capítulo incluye los siguientes temas:

n Crear un nuevo administrador asociado

n Configurar usuarios administradores asociados

Crear un nuevo administrador asociado

Los superusuarios asociados pueden crear nuevos usuarios administradores asociados.

En el portal de socios, haga clic en Administradores (Admins).

(28)

Procedimiento

1 Para crear usuarios administradores nuevos, haga clic en Nuevo administrador (New Admin) o Acciones (Actions) > Nuevo administrador (New Admin).

2 En la ventana Nuevo administrador (New Admin), introduzca los siguientes detalles:

a Introduzca los detalles del usuario, como el nombre de usuario, la contraseña, el nombre, el correo electrónico y los números de teléfono.

b Si seleccionó el modo de autenticación como nativo en Configurar la autenticación de socios , el tipo de usuario se seleccionará como nativo. Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario no sea nativo, la opción de contraseña no estará disponible, ya que se hereda del modo de autenticación.

c Función de cuenta (Account Role): elija la función de usuario entre las opciones disponibles.

Resultados

Los detalles del usuario administrador asociado se muestran en la página Administradores (Admins).

Configurar usuarios administradores asociados

Es posible configurar propiedades adicionales y crear tokens de API para un usuario administrador.

(29)

En el portal de socios, haga clic en Administradores (Admins). Para configurar un usuario administrador, haga clic en el vínculo a un nombre de usuario o seleccione el usuario y haga clic en Acciones (Actions) > Modificar administrador (Modify Admin).

Se mostrarán las propiedades existentes del usuario seleccionado. Si es necesario, es posible agregar o modificar lo siguiente:

Estado (Status)

De forma predeterminada, el estado se encuentra Habilitado (Enabled). Si elige Deshabilitado (Disabled), el usuario cerrará todas las sesiones activas.

Tipo (Type)

Si se estableció Nativo (Native) como modo de autenticación de socios en Configurar la autenticación de socios , se mostrará Nativo (Native) como tipo de usuario seleccionado. Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario sea No nativo (Non-Native), no podrá restablecer la contraseña ni modificar la función de usuario.

Propiedad (Property)

Se muestran los detalles de contacto existentes del usuario. Si es necesario, puede modificar los detalles y restablecer la contraseña. Si hace clic en Restablecer contraseña (Password Reset), se enviará un correo electrónico al usuario con un vínculo para restablecer la contraseña.

(30)

Función de usuario (User Role)

Se muestra el tipo de función de usuario existente. Si es necesario, puede seleccionar una función diferente para el usuario. Los privilegios de la función cambiarán según corresponda.

Tokens de API (API Tokens)

Los usuarios pueden acceder a las API de Orchestrator mediante tokens en lugar de la

autenticación basada en sesión. Como superusuario asociado, puede administrar los tokens de API para los usuarios empresariales. Puede crear varios tokens de API para un usuario.

Configurar tokens de API (Configure API Tokens)

Todos los usuarios pueden crear tokens en función de los privilegios asignados a sus funciones de usuario, excepto los especialistas empresariales.

Según sus funciones, los usuarios pueden realizar las siguientes acciones:

n Los usuarios empresariales pueden crear, descargar y revocar tokens para sí mismos.

n Los superusuarios asociados pueden administrar los tokens de los usuarios empresariales (siempre que el usuario empresarial tenga permisos de usuario delegados en el socio).

n Los superusuarios asociados solo pueden crear y revocar los tokens de otros usuarios.

n Los usuarios solo pueden descargar sus propios tokens (no los de otros usuarios).

Para administrar los tokens de API (To manage the API tokens):

n En la sección Tokens de API (API Tokens), haga clic en Acciones (Actions) > Nuevo token de API (New API Token) para crear un nuevo token.

n En la ventana Nuevo token de API (New API Token), introduzca la información

correspondiente para el token en los campos Nombre (Name) y Descripción (Description), y elija un valor en el menú desplegable Duración (Lifetime).

n Haga clic en Crear (Create). El nuevo token se mostrará en la cuadrícula Tokens de API (API Tokens).

n Inicialmente, el estado del token se muestra como Pendiente (Pending). Para descargar el token, selecciónelo y haga clic en Acciones (Actions) > Descargar token de API (Download API Token). El estado pasará a ser Habilitado (Enabled), lo que significa que se podrá utilizar el token de API para el acceso a la API.

(31)

n Para deshabilitar un token, seleccione el token y haga clic en Acciones (Actions) > Revocar token de API (Revoke API Token). El estado del token se muestra como Revocado

(Revoked).

n Cuando se termine la vigencia del token, el estado cambiará a Caducado (Expired).

Solo el usuario asociado a un token puede descargarlo. Después de su descarga, solo se mostrará el identificador del token. Solo puede descargar un token una vez.

Después de descargar el token, el usuario puede enviarlo como parte del encabezado de autorización de la solicitud para acceder a la API de Orchestrator.

En el siguiente ejemplo, se muestra un fragmento de muestra del código para acceder a una API.

curl -k -H "Authorization: Token <Token>"

-X POST https://vco/portal/

-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":

{ "enterpriseId": 1 }}'

Después de modificar la configuración y los tokens de API, haga clic en Guardar cambios (Save Changes).

(32)

Ver información de socios

10

Como superusuario socio, puede ver las imágenes de software y los grupos de puertas de enlace que le asignó el operador.

En el portal de socios, haga clic en Descripción general (Overview) para ver la siguiente información.

Imágenes de software disponibles (Available Software Images)

Muestra las imágenes de software que el operador asignó al socio. Puede asignar imágenes de software a los clientes empresariales desde esta lista.

Grupo de puertas de enlace (Gateway Pool)

Muestra los grupos de puertas de enlace que el operador asignó al socio. Puede asignar grupos de puertas de enlace a los clientes empresariales desde esta lista.

Nota Para asignar imágenes de software y grupos de puertas de enlace a un cliente, consulte Crear un nuevo cliente y Configurar clientes.

(33)

Configuración de socios

11

La opción Configuración (Settings) permite establecer la configuración de socios y los detalles de autenticación.

En el portal de socios, haga clic en Configuración (Settings) para definir los siguientes ajustes:

n Información general (General Information): configure los detalles del usuario y los ajustes de privacidad, e introduzca la información de contacto. Consulte Configurar la información de los socios.

n Autenticación (Authentication): configure el modo de autenticación y vea los tokens de API.

Consulte Configurar la autenticación de socios . Este capítulo incluye los siguientes temas:

n Configurar la información de los socios

n Configurar la autenticación de socios

Configurar la información de los socios

En Información general (General Information) puede configurar la información, los ajustes de privacidad y los detalles de contacto de los socios.

En el portal de socios, haga clic en Configuración (Settings). En la pestaña Información general (General Information) puede configurar los ajustes siguientes:

(34)

Ajustes de privacidad (Privacy Settings)

n Conceder acceso al soporte técnico de VeloCloud (Grant Access to VeloCloud Support):

seleccione esta opción si desea conceder acceso al soporte técnico de VMware para ver, configurar y solucionar problemas de los eventos y la configuración.

Información general (General Information)

Nombre (Name) Se muestra el nombre de usuario existente. Si es necesario,

puede modificar el nombre.

Dominio (Domain) Se muestra el nombre de dominio existente. Puede

modificar el dominio, si es necesario.

Descripción (Description) Introduzca una descripción del cliente.

Información de contacto (Contact Information)

En esta sección se muestran los detalles de contacto existentes. Si es necesario, puede modificarlos.

Configurar la autenticación de socios

En la pestaña Autenticación (Authentication), puede configurar el modo de autenticación de los socios y ver los tokens de API existentes.

En el portal de socios, haga clic en Configuración (Settings) > Autenticación (Authentication) para configurar los siguientes ajustes:

(35)

Autenticación de socios (Partner Authentication)

Elija una de las siguientes opciones en Modo de autenticación (Authentication Mode):

n NATIVO (NATIVE): este es el modo de autenticación predeterminado. Puede iniciar sesión en el portal de socios con el nombre de usuario y la contraseña nativos. Este modo no requiere ninguna configuración.

n SSO: es un servicio de autenticación de sesión y usuario. Los usuarios pueden iniciar sesión en el portal de socios con un conjunto de credenciales de inicio de sesión que ofrecen acceso a varias aplicaciones. Para obtener más información, consulte Configurar el inicio de sesión único para los usuarios asociados.

Tokens de API (API Tokens)

Puede acceder a las API de Orchestrator mediante la autenticación basada en token,

independientemente del modo de autenticación. Puede ver los tokens de API existentes en esta sección.

El superusuario asociado o el usuario asociados a un token de API pueden revocarlo. Seleccione el token y haga clic en Acciones (Actions) > Revocar (Revoke). Para crear y descargar los tokens de API, consulte Tokens de API.

Descripción general del inicio de sesión único

SD-WAN Orchestrator admite un nuevo tipo de autenticación de usuario denominado inicio de sesión único (SSO) para todos los tipos de usuarios de Orchestrator: operador, de socio y empresarial.

(36)

El inicio de sesión único (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios de SD-WAN Orchestrator iniciar sesión en SD-WAN Orchestrator con un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. La integración del servicio de SSO con SD-WAN Orchestrator mejora la seguridad de la autenticación para usuarios de SD- WAN Orchestrator y permite a SD-WAN Orchestrator autenticar usuarios desde otros

proveedores de identidad (IDP) basados en OpenID Connect (OIDC). Actualmente se admiten los siguientes IDP:

n Okta

n OneLogin

n PingIdentity

n AzureAD

n VMwareCSP

Configurar el inicio de sesión único para los usuarios asociados

Si desea configurar la autenticación de inicio de sesión único con SSO para los usuarios asociados, siga los pasos de este procedimiento.

Requisitos previos

n Asegúrese de tener el permiso de superusuario asociado.

n Antes de configurar la autenticación de SSO en SD-WAN Orchestrator, asegúrese de que se configuraron previamente las funciones, los usuarios y la aplicación de OpenID Connect (OIDC) para SD-WAN Orchestrator en el sitio web de su proveedor de identidad preferido.

Para obtener más información, consulte Configurar un IDP para Single Sign On.

Procedimiento

1 Inicie sesión en la aplicación SD-WAN Orchestrator como superusuario asociado con sus credenciales de inicio de sesión.

2 Haga clic en Configuración (Settings).

Al realizar esta acción, aparece la pantalla Configuración de socios (Partner Settings).

(37)

3 Haga clic en la pestaña Información general (General Information) y, en el cuadro de texto Dominio (Domain), introduzca el nombre de dominio del socio si aún no se ha indicado.

Nota Si desea habilitar la autenticación de SSO para SD-WAN Orchestrator, debe configurar el nombre de dominio del socio.

4 Haga clic en la pestaña Autenticación (Authentication) y, en el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.

(38)

5 En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.

Nota Si selecciona VMwareCSP como IDP preferido, asegúrese de proporcionar el identificador de organización con el siguiente formato: /csp/gateway/am/api/orgs/

<identificador de organización completo>.

Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).

6 En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato URL de Okta sería: https://{oauth-provider-url}/.well-known/openid- configuration.

7 La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de

información del usuario para el IDP.

8 En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.

9 En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.

10 Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:

n Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función

predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: Superusuario MSP (MSP Superuser), Administrador estándar MSP (MSP Standard Admin), Soporte técnico MSP (MSP Support) y Empresa MSP (MSP Business).

(39)

Nota En una configuración de SSO, si se selecciona la opción Usar función

predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario asociado puede registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica mediante la pestaña Administradores (Admins) del portal de socios. Para conocer los pasos para configurar un nuevo usuario administrador asociado, consulte Crear un nuevo administrador asociado.

n Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.

11 Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.

12 En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de SD-WAN Orchestrator, separadas por comas.

Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.

13 Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<vCO>/login/ssologin/openidCallback).

14 Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.

15 Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) introducida.

El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Una vez verificado el IDP y obtenida la devolución de llamada de la prueba sobre redireccionamiento correcto a SD-WAN Orchestrator, se mostrará un mensaje de validación correcta.

(40)

Resultados

Se completó la configuración de la autenticación de SSO en SD-WAN Orchestrator.

Pasos siguientes

Capítulo 5 Iniciar sesión en SD-WAN Orchestrator con SSO como usuarios asociados

Configurar un IDP para Single Sign On

Para habilitar Single Sign On (SSO) en SD-WAN Orchestrator, es necesario configurar un socio de identidad (Identity Partner, IDP) con los detalles de SD-WAN Orchestrator. Actualmente, se admiten los siguientes IDP: Okta, OneLogin, PingIdentity, AzureAD y VMware CSP.

Si desea obtener instrucciones paso a paso para configurar una aplicación de OpenID Connect (OIDC) para SD-WAN Orchestrator en varios IDP, consulte:

n Configurar Okta para Single Sign-On

n Configurar OneLogin para Single Sign-On

n Configurar PingIdentity para Single Sign-On

n Configurar Azure Active Directory para Single Sign On

n Configurar VMware CSP para Single Sign-On

Configurar Okta para Single Sign-On

Para admitir Single Sign On (SSO) basado en OpenID Connect (OIDC) desde Okta, primero debe configurar una aplicación en Okta. Para configurar una aplicación basada en OIDC en Okta para SSO, realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de Okta para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de Okta como usuario administrador.

Se mostrará la pantalla de inicio de Okta.

Nota Si se encuentra en la vista de la consola para desarrolladores, debe cambiar a la vista de la interfaz de usuario clásica. Para ello, seleccione Interfaz de usuario clásica (Classic UI) en la lista desplegable Consola para desarrolladores (Developer Console).

(41)

2 Para crear una nueva aplicación:

a En la barra de navegación superior, haga clic en Aplicaciones (Applications) > Agregar aplicación (Add Application).

Se mostrará la pantalla Agregar aplicación (Add Application).

b Haga clic en Crear nueva aplicación (Create New App).

Se abrirá el cuadro de diálogo Crear una nueva integración de aplicaciones (Create a New Application Integration).

c En el menú desplegable Plataforma (Platform), seleccione Web.

d Seleccione OpenID Connect como el método de inicio de sesión y haga clic en Crear (Create).

Se mostrará la pantalla Crear integración con OpenID Connect (Create OpenID Connect Integration).

e En el área Configuración general (General Settings), en el cuadro de texto Nombre de aplicación (Application name), introduzca el nombre de la aplicación.

(42)

f En el área CONFIGURAR OPENID CONNECT (CONFIGURE OPENID CONNECT), en el cuadro de texto URI de redireccionamiento de inicio de sesión (Login redirect URIs), introduzca la URL de redireccionamiento que utiliza la aplicación SD-WAN Orchestrator como endpoint de devolución de llamada.

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN

Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/

openidCallback.

g Haga clic en Guardar (Save). Se mostrará la página de la aplicación creada recientemente.

(43)

h En la pestaña General, haga clic en Editar (Edit), seleccione Actualizar token (Refresh Token) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Guardar (Save).

Anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN

Orchestrator.

i Haga clic en la pestaña Inicio de sesión (Sign on) y, en el área Token de identificador de OpenID Connect (OpenID Connect ID Token), haga clic en Editar (Edit).

j En el menú desplegable Tipo de notificación de grupos (Groups claim type), seleccione Expresión (Expression). De forma predeterminada, el tipo de notificación grupos se establece en Filtro (Filter).

(44)

k En el cuadro de texto Expresión de notificación de grupos (Groups claim expression), introduzca el nombre de la notificación que se utilizará en el token y una instrucción de expresión de entrada de Okta que evalúe el token.

l Haga clic en Guardar (Save).

Se configurará la aplicación en IDP. Ahora puede asignar usuarios y grupos de usuarios a la aplicación SD-WAN Orchestrator.

(45)

3 Para asignar grupos y usuarios a la aplicación SD-WAN Orchestrator:

a Vaya a Aplicación (Application) > Aplicaciones (Applications) y haga clic en el vínculo de la aplicación SD-WAN Orchestrator.

b En la pestaña Asignaciones (Assignments), en el menú desplegable Asignar (Assign), seleccione Asignar a grupos (Assign to Groups) o Asignar a personas (Assign to People).

Se mostrará el cuadro de diálogo Asignar <nombre de la aplicación> a grupos (Assign

<Application Name> to Groups) o Asignar <nombre de la aplicación> a personas (Assign <Application Name> to People).

c Haga clic en Asignar (Assign) junto a los usuarios o grupos de usuarios disponibles que desee asignar a la aplicación SD-WAN Orchestrator y haga clic en Listo (Done).

Se mostrarán los usuarios o los grupos de usuarios asignados a la aplicación SD-WAN Orchestrator.

Resultados

Completó la configuración de una aplicación basada en OIDC en Okta para SSO.

Pasos siguientes

Configure Single Sign On en SD-WAN Orchestrator.

Crear un nuevo grupo de usuarios en Okta

Para crear un nuevo grupo de usuarios, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Grupos (Groups).

(46)

2 Haga clic en Agregar grupo (Add Group).

Se mostrará el cuadro de diálogo Agregar grupo (Add Group).

3 Introduzca el nombre y la descripción del grupo, y haga clic en Guardar (Save).

Crear un nuevo usuario en Okta

Para agregar un usuario nuevo, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Personas (People).

2 Haga clic en Agregar persona (Add Person).

Se mostrará el cuadro de diálogo Agregar persona (Add Person).

3 Introduzca todos los detalles obligatorios, como el nombre, el apellido y el identificador de correo electrónico del usuario.

4 Si desea establecer la contraseña, seleccione Establecido por usuario (Set by user) en el menú desplegable Contraseña (Password) y habilite Enviar correo electrónico de activación de usuario ahora (Send user activation email now).

5 Haga clic en Guardar (Save).

Se enviará un correo electrónico con un vínculo de activación a su identificador de correo electrónico. Haga clic en el vínculo del correo electrónico para activar su cuenta de usuario de Okta.

Configurar OneLogin para Single Sign-On

Para configurar una aplicación basada en OpenID Connect (OIDC) en OneLogin para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de OneLogin para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de OneLogin como usuario administrador.

Se mostrará la pantalla de inicio de OneLogin.

(47)

2 Para crear una nueva aplicación:

a En la barra de navegación superior, haga clic en Aplicaciones (Apps) > Agregar aplicaciones (Add Apps).

b En el cuadro de texto Buscar aplicaciones (Find Applications), busque “OpenId Connect”

u “oidc” y, a continuación, seleccione la aplicación OpenId Connect (OIDC).

Se mostrará la pantalla Agregar OpenId Connect (Add OpenId Connect (OIDC)).

c En el cuadro de texto Nombre para mostrar (Display Name), introduzca el nombre de la aplicación y haga clic en Guardar (Save).

d En la pestaña Configuración (Configuration), introduzca la URL de redireccionamiento que SD-WAN Orchestrator utiliza como endpoint de devolución de llamada y haga clic en Guardar (Save).

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Autenticación (Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato:

https://<URL de Orchestrator>/login/ssologin/openidCallback.

(48)

e En la pestaña Parámetros (Parameters), en OpenId Connect (OIDC), haga doble clic en Grupos (Groups).

Se mostrará la ventana emergente Editar grupos de campos (Edit Field Groups).

f Configure Funciones de usuario (User Roles) con el valor “--No transformar--(salida de valor único)” (--No transform--(Single value output)) para el atributo de envío en grupos y haga clic en Guardar (Save).

g En la pestaña SSO, en el menú desplegable Tipo de aplicación (Application type), seleccione Web.

(49)

h En el menú desplegable Método de autenticación (Authentication Method), seleccione POST como Endpoint de token (Token Endpoint) y haga clic en Guardar (Save).

Además, anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.

i En la pestaña Acceso (Access), elija las funciones a las que se les permitirá iniciar sesión y haga clic en Guardar (Save).

3 Para agregar funciones y usuarios a la aplicación SD-WAN Orchestrator:

a Haga clic en Usuarios (Users) > Usuarios (Users) y seleccione un usuario.

b En la pestaña Aplicación (Application), en el menú desplegable Funciones (Roles) a la izquierda, seleccione la función que se asignará al usuario.

c Haga clic en Guardar usuarios (Save Users).

Resultados

Completó la configuración de una aplicación basada en OIDC en OneLogin para SSO.