- Hjem
- /
- Artikel
Konfigurer partner-SSO – SAML og OpenID Connect
Opsæt SSO for kundeorganisationer, der bruger SAML eller OIDC for problemfri godkendelse.
Partner SSO - SAML
Giver partneradministratorer mulighed for at konfigurere SAML SSO for nyoprettede kundeorganisationer. Partnere kan konfigurere en enkelt prædefineret SSO og anvende denne konfiguration på de kundeorganisationer, de administrerer, samt for deres egne medarbejdere.
Trinnene nedenfor for SSO gælder kun for nyligt oprettede kundeorganisationer. Hvis partneradministratorer forsøger at tilføje SSO til en eksisterende kundeorganisation, bevares den eksisterende godkendelsesmetode for at forhindre eksisterende brugere i at miste adgang.
-
Verifiider, at tredjepartsudbyderen Identitetsudbyder, der opfylder kravene, der er angivet i afsnittet Krav til identitetsudbydere for enkelt login-integration i Control Hub.
-
Overfør CI-metadatafilen, der har identitetsudbyder.
-
Konfigurer en onboarding-skabelon. For indstillingen Bekræftelsestilstand skal du vælge Partnerbekræftelse. For IDP-entitets-id skal du indtaste EntityID'et fra SAML-metadata XML for tredjeparts identitetsudbyderen.
-
Opret en ny bruger i en ny kundeorganisation, der bruger skabelonen.
-
Meget, at brugeren kan logge ind.
Partner-SSO – OpenID Connect (OIDC)
Giver partneradministratorer mulighed for at konfigurere OIDC SSO for nyoprettede kundeorganisationer. Partnere kan konfigurere en enkelt prædefineret SSO og anvende denne konfiguration på de kundeorganisationer, de administrerer, samt for deres egne medarbejdere.
Nedenstående trin til opsætning af Partner SSO OIDC gælder kun for nyoprettede kundeorganisationer. Hvis partneradministratorer forsøger at ændre standardgodkendelsestypen til Partner SSO OIDC i et eksisterende tempel, gælder ændringerne ikke for de kundeorganisationer, der allerede er onboardet ved hjælp af skabelonen.
-
Åbn en tjenesteanmodning hos Cisco TAC med oplysningerne om OpenID Connect-IDP. Følgende er obligatoriske og valgfrie IDP-attributter. TAC skal konfigurere IDP på CI og angive den omdirigerings-URI, der skal konfigureres på IDP.
Attribut
Krævet
Beskrivelse
IDP-navn
Ja
Entydigt, men der skelnes ikke mellem store og små bogstaver, for OIDC IdP-konfiguration. Det kan bestå af bogstaver, tal, bindestreger, understregninger, tegn og prikker, og den maksimale længde er 128 tegn.
OAuth-klient-id
Ja
Bruges til at anmode om OIDC IdP-godkendelse.
OAuth-klienthemmelighed
Ja
Bruges til at anmode om OIDC IdP-godkendelse.
Liste over domæner
Ja
Liste over domæner, der skal bruges til at anmode om OIDC IdP-godkendelse, opdelt efter rum, f.eks. 'openid e-mailprofil' skal Indeholde openid og e-mail.
Godkendelsesslutpunkt
Ja, hvis discoveryEndpoint ikke er angivet
URL-adresse til IdP'ens OAuth 2.0-godkendelsesslutpunkt.
tokenEndpoint
Ja, hvis discoveryEndpoint ikke er angivet
URL-adresse til IdP'ens OAuth 2.0-tokenslutpunkt.
Registreringsslutpunkt
Nej
URL-adresse til IdP's discovery-slutpunkt til registrering af OpenID-slutpunkter.
userInfoEndpoint
Nej
URL-adresse til IdP'ens UserInfo-slutpunkt.
Slutpunkt for nøgleindstilling
Nej
URL-adresse til slutpunktet for IdP'ens JSON-webnøglesæt.
Ud over ovenstående IDP-attributter skal partnerorganisations-id'et angives i TAC-anmodningen.
-
Konfigurer omdirigerings-URI'en på OpenID'en til tilslutning.
-
Konfigurer en onboarding-skabelon. Når det gælder indstillingen Godkendelsestilstand, skal du vælge Partnergodkendelse med OpenID Connect og indtaste det IDP-navn, der blev leveret under IDP-opsætningen, som OpenID Connect IDP-entitets-id.
-
Opret en ny bruger i en ny kundeorganisation, der bruger skabelonen.
-
Meget, at brugeren kan logge ind ved hjælp af SSO-godkendelsesprocessen.