- Startseite
- /
- Artikel
Partner-SSO konfigurieren – SAML und OpenID Connect
Richten Sie SSO für Kundenorganisationen ein, die SAML oder OIDC für eine nahtlose Authentifizierung verwenden.
Partner-SSO – SAML
Ermöglicht Partneradministratoren, SAML SSO für neu erstellte Kundenorganisationen zu konfigurieren. Partner können eine einzelne vordefinierte Geschäftsbeziehung SSO konfigurieren und diese Konfiguration auf die von ihnen verwalteten Kundenorganisationen sowie auf ihre eigenen Mitarbeiter anwenden.
Die unten aufgeführten Schritte SSO Partner gelten nur für neu erstellte Kundenorganisationen. Wenn Partneradministratoren versuchen, Partner-SSO zu einer bestehenden Kundenorganisation hinzuzufügen, wird die vorhandene Authentifizierungsmethode beibehalten, um vorhandenen Benutzern den Zugang zu verlieren.
-
Stellen Sie sicher, dass der Drittanbieter-Identitätsanbieter die Anforderungen erfüllt, die im Abschnitt Anforderungen für Identitätsanbieter der Single Sign-On-Integration in Control Hub aufgeführtsind.
-
Laden Sie die CI-Metadatendatei mit Identitätsanbieter hoch.
-
Konfigurieren Sie eine Onboarding-Vorlage. Wählen Sie für die Einstellung Authentifizierungsmodus Partnerauthentifizierungaus. Geben Sie für die IDP-Entity-ID die EntityID aus der SAML-Metadaten-XML des Drittanbieter-Identitätsanbieters ein.
-
Erstellen Sie einen neuen Benutzer in einer neuen Kundenorganisation, die die Vorlage verwendet.
-
Sehr, dass sich der Benutzer anmelden kann.
Partner-SSO – OpenID Connect (OIDC)
Ermöglicht Partneradministratoren, OIDC SSO für neu erstellte Kundenorganisationen zu konfigurieren. Partner können eine einzelne vordefinierte Geschäftsbeziehung SSO konfigurieren und diese Konfiguration auf die von ihnen verwalteten Kundenorganisationen sowie auf ihre eigenen Mitarbeiter anwenden.
Die folgenden Schritte zum Einrichten des Partner-SSO-OIDC gelten nur für neu erstellte Kundenorganisationen. Wenn Partner-Administratoren versuchen, den Standard-Authentifizierungstyp in Partner-SSO OIDC in einem vorhandenen Tempel zu ändern, gelten die Änderungen nicht für Kundenorganisationen, die bereits mit der Vorlage aufgenommen wurden.
-
Öffnen Sie eine Serviceanfrage mit Cisco TAC mit den Details des OpenID Connect IDP. Im Folgenden sind obligatorische und optionale IDP-Attribute aufgeführt. TAC muss den IDP auf der CI einrichten und den Umleitungs-URI bereitstellen, der auf dem IDP konfiguriert werden soll.
Merkmal
Erforderlich
Beschreibung
IDP-Name
Ja
Eindeutiger Name für die OIDC-IdP-Konfiguration, der jedoch nicht zwischen Groß- und Kleinschreibung unterscheidet, kann aus Buchstaben, Zahlen, Bindestrichen, Unterstrichen, Kippen und Punkten bestehen. Die maximale Länge beträgt 128 Zeichen.
OAuth-Client-ID
Ja
Wird verwendet, um die OIDC IdP-Authentifizierung anzufordern.
OAuth-Client-Geheimschlüssel
Ja
Wird verwendet, um die OIDC IdP-Authentifizierung anzufordern.
Liste der Bereiche
Ja
Liste der Bereiche, die zur Anforderung der OIDC-IdP-Authentifizierung verwendet werden, aufgeteilt nach Leerzeichen, z. B. 'openid e-Mail-Profil' Muss openid und e-Mail enthalten.
Autorisierungsendpunkt
Ja, wenn discoveryEndpoint nicht bereitgestellt wird
URL des OAuth 2.0-Autorisierungsendpunkts des IdP.
Token-Endpunkt
Ja, wenn discoveryEndpoint nicht bereitgestellt wird
URL des OAuth 2.0 Token-Endpunkts des IdP.
Erkennungsendpunkt
Keine
URL des IdP-Erkennungsendpunkts für die Erkennung der OpenID-Endpunkte.
BenutzerInfoEndpunkt
Keine
URL des Benutzerinformationsendpunkts des IdP.
Schlüsselsatz-Endpunkt
Keine
URL des JSON-Webschlüsselsatzes-Endpunkts des IdP.
Zusätzlich zu den oben genannten IdP-Attributen muss die Partnerorganisations-ID in der TAC-Anforderung angegeben werden.
-
Konfigurieren Sie die Weiterleitungs-URI auf dem OpenID connect-IdP.
-
Konfigurieren Sie eine Onboarding-Vorlage. Wählen Sie für die Einstellung „Authentifizierungsmodus“ die Option „Partnerauthentifizierung mit OpenID Connect“ aus und geben Sie den während der IDP-Einrichtung bereitgestellten IDP-Namen als OpenID Connect IDP-Entitäts-ID ein.
-
Erstellen Sie einen neuen Benutzer in einer neuen Kundenorganisation, die die Vorlage verwendet.
-
Der Benutzer kann sich mit dem SSO-Authentifizierungs-Flow anmelden.