- Etusivu
- /
- Artikkeli
Kumppanin SSO:n määrittäminen - SAML ja OpenID Connect
Määritä SSO asiakasorganisaatioille SAML:n tai OIDC:n avulla saumatonta todennusta varten.
Kumppanin SSO - SAML
Yhteistyökumppanin ylläpitäjät voivat määrittää SAML SSO:n äskettäin luotuja asiakasorganisaatioita varten. Yhteistyökumppanit voivat määrittää yhden ennalta määritellyn SSO-suhteen ja soveltaa tätä asetusta hallinnoimiinsa asiakasorganisaatioihin sekä omiin työntekijöihinsä.
Alla olevat kumppanin SSO-vaiheet koskevat vain äskettäin luotuja asiakasorganisaatioita. Jos kumppanin ylläpitäjät yrittävät lisätä Partner SSO:n olemassa olevaan asiakasorganisaatioon, nykyinen todennusmenetelmä säilytetään, jotta nykyiset käyttäjät eivät menetä käyttöoikeuksiaan.
-
Tarkista, että kolmannen osapuolen identiteettipalveluntarjoaja täyttää vaatimukset, jotka on lueteltu kohdassa Requirements for Identity Providers kohdassa Single Sign-On Integration in Control Hub.
-
Lataa CI-metatietotiedosto, jossa on Identity Provider.
-
Määritä Onboarding-malli. Valitse Authentication Mode -asetukseksi Partner Authentication. Kirjoita IDP Entity ID -kenttätunnukseksi kolmannen osapuolen identiteetin tarjoajan SAML-metatieto XML:stä löytyvä EntityID.
-
Luo uusi käyttäjä uuteen asiakasorganisaatioon, joka käyttää mallia.
-
Hyvin, että käyttäjä voi kirjautua sisään.
Yhteistyökumppanin SSO - OpenID Connect (OIDC)
Mahdollistaa kumppanien ylläpitäjien määrittää OIDC SSO:n vasta luoduille asiakasorganisaatioille. Yhteistyökumppanit voivat määrittää yhden ennalta määritellyn SSO-suhteen ja soveltaa tätä asetusta hallinnoimiinsa asiakasorganisaatioihin sekä omiin työntekijöihinsä.
Seuraavat vaiheet kumppanin SSO OIDC:n määrittämiseksi koskevat vain äskettäin luotuja asiakasorganisaatioita. Jos kumppanien järjestelmänvalvojat yrittävät muuttaa oletustodennustyypin Partner SSO OIDC:ksi olemassa olevassa temppelissä, muutokset eivät koske asiakasorganisaatioita, jotka on jo otettu käyttöön mallin avulla.
-
Avaa palvelupyyntö Ciscon TAC:lle ja ilmoita OpenID Connect IDP:n tiedot. Seuraavat ovat pakollisia ja valinnaisia IDP-attribuutteja. TACin on perustettava IDP CI:hen ja annettava IDP:hen määritettävä uudelleenohjauksen URI.
Attribuutti
Tarvitaan
Kuvaus
IDP Nimi
Kyllä
OIDC IdP:n konfiguraation yksilöllinen nimi, jossa ei tarvitse huomioida isoja ja pieniä kirjaimia, joka voi koostua kirjaimista, numeroista, väliviivoista, alleviivauksista, pilkkuista ja pisteistä ja jonka enimmäispituus on 128 merkkiä.
OAuth-asiakkaan tunnus
Kyllä
Käytetään OIDC IdP -todennuksen pyytämiseen.
OAuth-asiakas Salaisuus
Kyllä
Käytetään OIDC IdP -todennuksen pyytämiseen.
Luettelo soveltamisaloista
Kyllä
Luettelo soveltamisaloista, joita käytetään OIDC IdP -todennuksen pyytämiseen, jaettuna välilyönnillä, esim. 'openid email profile' Täytyy sisältää openid ja sähköposti.
Valtuutuksen päätepiste
Kyllä, jos discoveryEndpointia ei ole annettu
IdP:n OAuth 2.0 -valtuutuksen päätepisteen URL-osoite.
tokenEndpoint
Kyllä, jos discoveryEndpointia ei ole annettu
IdP:n OAuth 2.0 Token Endpointin URL-osoite.
Discovery Endpoint
Ei
IdP:n Discovery Endpointin URL-osoite OpenID-päätepisteiden löytämistä varten.
userInfoEndpoint
Ei
IdP:n UserInfo-päätepisteen URL-osoite.
Näppäin Aseta päätepiste
Ei
IdP:n JSON Web Key Set Endpointin URL-osoite.
Edellä mainittujen IDP-attribuuttien lisäksi TAC-pyynnössä on määriteltävä kumppaniorganisaation tunnus.
-
Määritä uudelleenohjaus-URI OpenID connect IDP:ssä.
-
Määritä Onboarding-malli. Valitse Tunnistustila-asetukseksi Partner Authentication With OpenID Connect ja syötä IDP:n asennuksen aikana annettu IDP-nimi OpenID Connect IDP Entity ID:ksi.
-
Luo uusi käyttäjä uuteen asiakasorganisaatioon, joka käyttää mallia.
-
Hyvin, että käyttäjä voi kirjautua sisään SSO-todennusvirran avulla.