- Начало
- /
- Статия
Конфигуриране на SSO на партньор – SAML и OpenID Connect
Настройте SSO за клиентски организации, използващи SAML или OIDC за безпроблемно удостоверяване.
SSO на партньор – SAML
Позволява на администраторите на партньори да конфигурират SAML SSO за новосъздадени клиентски организации. Партньорите могат да конфигурират една-единствена предварително определена SSO релация и да приложат тази конфигурация към клиентските организации, които управляват, както и към собствените си служители.
Стъпките по-долу Партньорски SSO се отнасят само за новосъздадени клиентски организации. Ако администраторите на партньори се опитат да добавят Партньорски SSO към съществуваща организация на клиенти, съществуващият метод на удостоверяване се запазва, за да се предотврати загуба на достъп на съществуващите потребители.
-
Проверете дали доставчикът на самоличност от трета страна отговаря на изискванията, изброени в секцията Изисквания за доставчици на самоличност на интеграция с еднократна идентификация в контролния център .
-
Качете файла с метаданни на CI, който има доставчик на самоличност.
-
Конфигурирайте шаблон за включване. За настройката Режим на удостоверяване изберете Удостоверяване на партньор . За ИД на IDP обект въведете EntityID от SAML метаданни XML на доставчика на самоличност на трета страна.
-
Създайте нов потребител в нова организация на клиенти, която използва шаблона.
-
Много, че потребителят може да влезете.
SSO на партньор – OpenID Connect (OIDC)
Позволява на администраторите на партньори да конфигурират OIDC SSO за новосъздадени клиентски организации. Партньорите могат да конфигурират една-единствена предварително определена SSO релация и да приложат тази конфигурация към клиентските организации, които управляват, както и към собствените си служители.
Стъпките по-долу за настройка на SSO OIDC на партньор важат само за новосъздадени клиентски организации. Ако администраторите на партньори се опитат да променят типа удостоверяване по подразбиране на Partner SSO OIDC в съществуващ храм, промените няма да се приложат за клиентските организации, които вече са включени с помощта на шаблона.
-
Отворете заявка за услуга със Cisco TAC с подробностите за IDP на OpenID Connect. Следват задължителни и незадължителни атрибути на IDP. TAC трябва да настрои IDP на CI и да предостави URI за пренасочване, който да бъде конфигуриран на IDP.
атрибут
Задължително
Описание
Име на IDP
Да
Уникално, но без разлика между главни и малки букви име за OIDC IdP конфигурация може да се състои от букви, цифри, тирета, подчертавания, tildes и точки, а максималната дължина е 128 знака.
ИД на клиент за OAuth
Да
Използва се за искане на удостоверяване на IdP чрез OIDC.
Таен код на клиентската част за OAuth
Да
Използва се за искане на удостоверяване на IdP чрез OIDC.
Списък на скобите
Да
Списък с скоби, които ще се използват за искане на удостоверяване на IdP чрез OIDC, разделени по интервал, напр. „Профил за имейл openid“ Трябва да включва openid и имейл.
Крайна точка за упълномощаване
Да, ако discoveryEndpoint не е provided
URL адрес на крайната точка за упълномощаване за OAuth 2.0 на IdP.
маркерEndpoint
Да, ако discoveryEndpoint не е provided
URL адрес на крайната точка за маркер OAuth 2.0 на IdP.
Крайна точка за откриване
Не
URL адрес на крайната точка за откриване на IdP за откриване на крайни точки на OpenID.
потребителInfoEndpoint
Не
URL адрес на крайната точка за UserInfo на IdP.
Крайна точка за задаване на ключ
Не
URL на зададената крайна точка за уеб ключ JSON на IdP.
В допълнение към горните атрибути на IDP, ИД на партньорската организация трябва да бъде посочен в заявката за TAC.
-
Конфигурирайте URI за пренасочване на IDP на OpenID Connect.
-
Конфигурирайте шаблон за включване. За настройката на режима на удостоверяване изберете \„Удостоверяване на партньор с OpenID Connect\“ и въведете името на IDP, предоставено по време на настройката на IDP, като ИД на обект на IDP в OpenID Connect.
-
Създайте нов потребител в нова организация на клиенти, която използва шаблона.
-
Много е, че потребителят може да влезе с помощта на потока за SSO удостоверяване.