- Domů
- /
- Článek
Konfigurovat jednotné přihlašování partnera – SAML a OpenID Connect
Nastavte jednotné přihlašování pro organizace zákazníků pomocí SAML nebo OIDC pro bezproblémové ověřování.
Jednotné přihlašování partnera – SAML
Umožňuje správcům partnerů konfigurovat jednotné přihlašování SAML pro nově vytvořené organizace zákazníků. Partneři mohou nakonfigurovat jeden předdefinovaný vztah jednotného přihlašování a použít tuto konfiguraci na organizace zákazníků, které spravují, a také na své vlastní zaměstnance.
Níže uvedené kroky jednotného přihlašování partnerů platí jenom pro nově vytvořené organizace zákazníků. Pokud se správci partnerů pokusí přidat jednotné přihlašování partnerů do existující organizace zákazníků, existující metoda ověřování se zachová, aby se zabránilo ztrátě přístupu stávajících uživatelů.
-
Ověřte, že poskytovatel zprostředkovatele identity třetí strany splňuje požadavky uvedené v části Požadavky na zprostředkovatele identity v integraci jednotného přihlašování v Centru řízení.
-
Nahrajte soubor metadat CI, který má poskytovatele identity.
-
Nakonfigurujte šablonu pro registraci. Pro nastavení Režim ověřování vyberte Ověřování partnera. Jako ID entity IDP zadejte EntityID z XML metadat SAML zprostředkovatele identity třetí strany.
-
Vytvořte nového uživatele v nové organizaci zákazníků, která používá šablonu.
-
Velmi, že se uživatel může přihlásit.
Jednotné přihlašování partnera – OpenID Connect (OIDC)
Umožňuje správcům partnerů konfigurovat jednotné přihlašování OIDC pro nově vytvořené organizace zákazníků. Partneři mohou nakonfigurovat jeden předdefinovaný vztah jednotného přihlašování a použít tuto konfiguraci na organizace zákazníků, které spravují, a také na své vlastní zaměstnance.
Následující kroky nastavení OIDC SSO partnera platí pouze pro nově vytvořené organizace zákazníků. Pokud se správci partnerů pokusí změnit výchozí typ ověřování na OIDC SSO partnera ve stávajícím chrámu, změny se nepoužijí na organizace zákazníků, které již byly zaregistrovány pomocí šablony.
-
Otevřete žádost o službu v centru technické podpory Cisco s podrobnostmi o poskytovateli identity OpenID Connect. Níže jsou uvedeny povinné a volitelné atributy poskytovatele identity. Středisko TAC musí nastavit IDP v CI a poskytnout adresu URI pro přesměrování, která má být nakonfigurována na IDP.
atribut
Požadováno
Popis
Název poskytovatele identity
Ano
Jedinečný název konfigurace OIDC poskytovatele identity však rozlišuje malá a velká písmena, může obsahovat písmena, číslice, pomlčky, podtržítka, naklápění a tečky a maximální délka je 128 znaků.
ID klienta OAuth
Ano
Používá se k vyžádání ověření poskytovatele identity OIDC.
Tajemství klienta OAuth
Ano
Používá se k vyžádání ověření poskytovatele identity OIDC.
Seznam rozsahů
Ano
Seznam rozsahů, které budou použity k vyžádání ověření poskytovatele identity OIDC, rozdělených mezerou, např. Hodnota „openid e-mailu“ musí Zahrnovat hodnotu openid a e-mail.
Koncový bod autorizace
Ano, pokud není poskytnut discoveryEndpoint
Adresa URL koncového bodu autorizace OAuth 2.0 poskytovatele identity.
Koncový bod token
Ano, pokud není poskytnut discoveryEndpoint
Adresa URL koncového bodu tokenu OAuth 2.0 poskytovatele identity.
Koncový bod zjišťování
Ne
Adresa URL vyhledávacího koncového bodu poskytovatele identity pro zjišťování koncových bodů OpenID.
Koncový bod informací o uživateli
Ne
Adresa URL koncového bodu UserInfo poskytovatele identity.
Koncový bod nastavený pomocí klíče
Ne
Adresa URL nastaveného koncového bodu webového klíče JSON poskytovatele identity.
Kromě výše uvedených atributů IDP je třeba v požadavku TAC zadat ID organizace partnera.
-
Nakonfigurujte adresu URI pro přesměrování na IDP připojení OpenID.
-
Nakonfigurujte šablonu pro registraci. Pro nastavení režimu ověřování vyberte možnost Partnerské ověřování pomocí vrstvy OpenID Connect a zadejte název poskytovatele identity zadaný během nastavení poskytovatele identity jako ID entity poskytovatele identity OpenID Connect.
-
Vytvořte nového uživatele v nové organizaci zákazníků, která používá šablonu.
-
Právě to, že se uživatel může přihlásit pomocí autentizačního postupu SSO.