SSO de socio: SAML

Permite a los administradores de socios configurar el SSO con SAML para organizaciones de clientes recién creadas. Los socios pueden configurar una única relación SSO predefinida y aplicar esa configuración a las organizaciones del cliente que administran, así como a sus propios empleados.

Los siguientes pasos para la SSO socios se aplican solo a las organizaciones de clientes recién creadas. Si los administradores de partners intentan agregar socios SSO una organización de clientes existente, el método de autenticación existente se conserva para evitar que los usuarios existentes pierdan el acceso.

  1. Verifique que el proveedor externo Proveedor de servicios de identidad cumpla con los requisitos enumerados en la sección Requisitos para los proveedores de identidad de la integración de inicio de sesión único en el Control Hub .

  2. Cargue el archivo de metadatos de CI que tiene la fuente de identidad.

  3. Configure una plantilla de incorporación. Para la configuración modo de autenticación, seleccione Autenticación desocio. Para el ID de la entidad de IDP, introduzca entityID desde el XML de metadatos de SAML de la proveedora de servicios de identidad externos.

  4. Cree un usuario nuevo en una nueva organización del cliente que utilice la plantilla.

  5. Eso es lo que el usuario puede conectarse.

SSO de socio: OpenID Connect (OIDC)

Permite a los administradores de socios configurar el SSO con OIDC para organizaciones de clientes recién creadas. Los socios pueden configurar una única relación SSO predefinida y aplicar esa configuración a las organizaciones del cliente que administran, así como a sus propios empleados.

Los siguientes pasos para configurar el OIDC de SSO de socio se aplican solo a organizaciones de clientes recién creadas. Si los administradores de socios intentan modificar el tipo de autenticación predeterminado a OIDC de SSO de socio en un templo existente, los cambios no se aplicarán a las organizaciones del cliente que ya se incorporaron mediante la plantilla.

  1. Abra una solicitud de servicio con el TAC de Cisco con los detalles del IDP de OpenID Connect. Los siguientes son atributos de IDP obligatorios y opcionales. El TAC debe configurar el IDP en el CI y proporcionar el URI de redirección que se configurará en el IDP.

    Atributo

    Obligatorio

    Descripción

    Nombre del IDP

    El nombre único pero que no distingue entre mayúsculas y minúsculas para la configuración de IdP de OIDC podría consistir en letras, números, guiones, subrayado, tildes y puntos, y la longitud máxima es de 128 caracteres.

    ID de cliente de OAuth

    Se utiliza para solicitar la autenticación del IdP de OIDC.

    Secreto de cliente de OAuth

    Se utiliza para solicitar la autenticación del IdP de OIDC.

    Lista de ámbitos

    Lista de ámbitos que se utilizarán para solicitar la autenticación del IdP de OIDC, dividida por espacio, p. ej. El 'perfil de correo electrónico de openid' Debe incluir openid y correo electrónico.

    Terminal de autorización

    Sí si no se proporciona discoveryEndpoint

    URL del extremo de autorización OAuth 2.0 del IdP.

    terminalToken

    Sí si no se proporciona discoveryEndpoint

    URL del extremo del token OAuth 2.0 del IdP.

    Extremo de detección

    No

    URL del extremo de detección de IdP para el descubrimiento de extremos OpenID.

    terminalInfoUserInfo

    No

    URL del extremo de UserInfo del IdP.

    Terminal del conjunto de claves

    No

    URL del extremo del conjunto de claves web JSON del IdP.

    Además de los atributos de IDP anteriores, el ID de organización del socio debe especificarse en la solicitud de TAC.

  2. Configure la URI de redirección en el IDP de OpenID Connect.

  3. Configure una plantilla de incorporación. Para la configuración del modo de autenticación, seleccione Autenticación de socio con OpenID Connect e ingrese el nombre de IDP proporcionado durante la configuración de IDP como el ID de entidad de IDP de OpenID Connect.

  4. Cree un usuario nuevo en una nueva organización del cliente que utilice la plantilla.

  5. Muy que el usuario puede iniciar sesión mediante el flujo de autenticación de SSO.