Partner-SSO – SAML

Ermöglicht Partneradministratoren, SAML SSO für neu erstellte Kundenorganisationen zu konfigurieren. Partner können eine einzelne vordefinierte Geschäftsbeziehung SSO konfigurieren und diese Konfiguration auf die von ihnen verwalteten Kundenorganisationen sowie auf ihre eigenen Mitarbeiter anwenden.

Die unten aufgeführten Schritte SSO Partner gelten nur für neu erstellte Kundenorganisationen. Wenn Partneradministratoren versuchen, Partner-SSO zu einer bestehenden Kundenorganisation hinzuzufügen, wird die vorhandene Authentifizierungsmethode beibehalten, um vorhandenen Benutzern den Zugang zu verlieren.

  1. Stellen Sie sicher, dass der Drittanbieter-Identitätsanbieter die Anforderungen erfüllt, die im Abschnitt Anforderungen für Identitätsanbieter der Single Sign-On-Integration in Control Hub aufgeführtsind.

  2. Laden Sie die CI-Metadatendatei mit Identitätsanbieter hoch.

  3. Konfigurieren Sie eine Onboarding-Vorlage. Wählen Sie für die Einstellung Authentifizierungsmodus Partnerauthentifizierungaus. Geben Sie für die IDP-Entity-ID die EntityID aus der SAML-Metadaten-XML des Drittanbieter-Identitätsanbieters ein.

  4. Erstellen Sie einen neuen Benutzer in einer neuen Kundenorganisation, die die Vorlage verwendet.

  5. Sehr, dass sich der Benutzer anmelden kann.

Partner-SSO – OpenID Connect (OIDC)

Ermöglicht Partneradministratoren, OIDC SSO für neu erstellte Kundenorganisationen zu konfigurieren. Partner können eine einzelne vordefinierte Geschäftsbeziehung SSO konfigurieren und diese Konfiguration auf die von ihnen verwalteten Kundenorganisationen sowie auf ihre eigenen Mitarbeiter anwenden.

Die folgenden Schritte zum Einrichten des Partner-SSO-OIDC gelten nur für neu erstellte Kundenorganisationen. Wenn Partner-Administratoren versuchen, den Standard-Authentifizierungstyp in Partner-SSO OIDC in einem vorhandenen Tempel zu ändern, gelten die Änderungen nicht für Kundenorganisationen, die bereits mit der Vorlage aufgenommen wurden.

  1. Öffnen Sie eine Serviceanfrage mit Cisco TAC mit den Details des OpenID Connect IDP. Im Folgenden sind obligatorische und optionale IDP-Attribute aufgeführt. TAC muss den IDP auf der CI einrichten und den Umleitungs-URI bereitstellen, der auf dem IDP konfiguriert werden soll.

    Merkmal

    Erforderlich

    Beschreibung

    IDP-Name

    Ja

    Eindeutiger Name für die OIDC-IdP-Konfiguration, der jedoch nicht zwischen Groß- und Kleinschreibung unterscheidet, kann aus Buchstaben, Zahlen, Bindestrichen, Unterstrichen, Kippen und Punkten bestehen. Die maximale Länge beträgt 128 Zeichen.

    OAuth-Client-ID

    Ja

    Wird verwendet, um die OIDC IdP-Authentifizierung anzufordern.

    OAuth-Client-Geheimschlüssel

    Ja

    Wird verwendet, um die OIDC IdP-Authentifizierung anzufordern.

    Liste der Bereiche

    Ja

    Liste der Bereiche, die zur Anforderung der OIDC-IdP-Authentifizierung verwendet werden, aufgeteilt nach Leerzeichen, z. B. 'openid e-Mail-Profil' Muss openid und e-Mail enthalten.

    Autorisierungsendpunkt

    Ja, wenn discoveryEndpoint nicht bereitgestellt wird

    URL des OAuth 2.0-Autorisierungsendpunkts des IdP.

    Token-Endpunkt

    Ja, wenn discoveryEndpoint nicht bereitgestellt wird

    URL des OAuth 2.0 Token-Endpunkts des IdP.

    Erkennungsendpunkt

    Keine

    URL des IdP-Erkennungsendpunkts für die Erkennung der OpenID-Endpunkte.

    BenutzerInfoEndpunkt

    Keine

    URL des Benutzerinformationsendpunkts des IdP.

    Schlüsselsatz-Endpunkt

    Keine

    URL des JSON-Webschlüsselsatzes-Endpunkts des IdP.

    Zusätzlich zu den oben genannten IdP-Attributen muss die Partnerorganisations-ID in der TAC-Anforderung angegeben werden.

  2. Konfigurieren Sie die Weiterleitungs-URI auf dem OpenID connect-IdP.

  3. Konfigurieren Sie eine Onboarding-Vorlage. Wählen Sie für die Einstellung „Authentifizierungsmodus“ die Option „Partnerauthentifizierung mit OpenID Connect“ aus und geben Sie den während der IDP-Einrichtung bereitgestellten IDP-Namen als OpenID Connect IDP-Entitäts-ID ein.

  4. Erstellen Sie einen neuen Benutzer in einer neuen Kundenorganisation, die die Vorlage verwendet.

  5. Der Benutzer kann sich mit dem SSO-Authentifizierungs-Flow anmelden.