Partner SSO - SAML

Giver partneradministratorer mulighed for at konfigurere SAML SSO for nyoprettede kundeorganisationer. Partnere kan konfigurere en enkelt prædefineret SSO og anvende denne konfiguration på de kundeorganisationer, de administrerer, samt for deres egne medarbejdere.

Trinnene nedenfor for SSO gælder kun for nyligt oprettede kundeorganisationer. Hvis partneradministratorer forsøger at tilføje SSO til en eksisterende kundeorganisation, bevares den eksisterende godkendelsesmetode for at forhindre eksisterende brugere i at miste adgang.

  1. Verifiider, at tredjepartsudbyderen Identitetsudbyder, der opfylder kravene, der er angivet i afsnittet Krav til identitetsudbydere for enkelt login-integration i Control Hub.

  2. Overfør CI-metadatafilen, der har identitetsudbyder.

  3. Konfigurer en onboarding-skabelon. For indstillingen Bekræftelsestilstand skal du vælge Partnerbekræftelse. For IDP-entitets-id skal du indtaste EntityID'et fra SAML-metadata XML for tredjeparts identitetsudbyderen.

  4. Opret en ny bruger i en ny kundeorganisation, der bruger skabelonen.

  5. Meget, at brugeren kan logge ind.

Partner-SSO – OpenID Connect (OIDC)

Giver partneradministratorer mulighed for at konfigurere OIDC SSO for nyoprettede kundeorganisationer. Partnere kan konfigurere en enkelt prædefineret SSO og anvende denne konfiguration på de kundeorganisationer, de administrerer, samt for deres egne medarbejdere.

Nedenstående trin til opsætning af Partner SSO OIDC gælder kun for nyoprettede kundeorganisationer. Hvis partneradministratorer forsøger at ændre standardgodkendelsestypen til Partner SSO OIDC i et eksisterende tempel, gælder ændringerne ikke for de kundeorganisationer, der allerede er onboardet ved hjælp af skabelonen.

  1. Åbn en tjenesteanmodning hos Cisco TAC med oplysningerne om OpenID Connect-IDP. Følgende er obligatoriske og valgfrie IDP-attributter. TAC skal konfigurere IDP på CI og angive den omdirigerings-URI, der skal konfigureres på IDP.

    Attribut

    Krævet

    Beskrivelse

    IDP-navn

    Ja

    Entydigt, men der skelnes ikke mellem store og små bogstaver, for OIDC IdP-konfiguration. Det kan bestå af bogstaver, tal, bindestreger, understregninger, tegn og prikker, og den maksimale længde er 128 tegn.

    OAuth-klient-id

    Ja

    Bruges til at anmode om OIDC IdP-godkendelse.

    OAuth-klienthemmelighed

    Ja

    Bruges til at anmode om OIDC IdP-godkendelse.

    Liste over domæner

    Ja

    Liste over domæner, der skal bruges til at anmode om OIDC IdP-godkendelse, opdelt efter rum, f.eks. 'openid e-mailprofil' skal Indeholde openid og e-mail.

    Godkendelsesslutpunkt

    Ja, hvis discoveryEndpoint ikke er angivet

    URL-adresse til IdP'ens OAuth 2.0-godkendelsesslutpunkt.

    tokenEndpoint

    Ja, hvis discoveryEndpoint ikke er angivet

    URL-adresse til IdP'ens OAuth 2.0-tokenslutpunkt.

    Registreringsslutpunkt

    Nej

    URL-adresse til IdP's discovery-slutpunkt til registrering af OpenID-slutpunkter.

    userInfoEndpoint

    Nej

    URL-adresse til IdP'ens UserInfo-slutpunkt.

    Slutpunkt for nøgleindstilling

    Nej

    URL-adresse til slutpunktet for IdP'ens JSON-webnøglesæt.

    Ud over ovenstående IDP-attributter skal partnerorganisations-id'et angives i TAC-anmodningen.

  2. Konfigurer omdirigerings-URI'en på OpenID'en til tilslutning.

  3. Konfigurer en onboarding-skabelon. Når det gælder indstillingen Godkendelsestilstand, skal du vælge Partnergodkendelse med OpenID Connect og indtaste det IDP-navn, der blev leveret under IDP-opsætningen, som OpenID Connect IDP-entitets-id.

  4. Opret en ny bruger i en ny kundeorganisation, der bruger skabelonen.

  5. Meget, at brugeren kan logge ind ved hjælp af SSO-godkendelsesprocessen.