Kumppanin SSO - SAML

Yhteistyökumppanin ylläpitäjät voivat määrittää SAML SSO:n äskettäin luotuja asiakasorganisaatioita varten. Yhteistyökumppanit voivat määrittää yhden ennalta määritellyn SSO-suhteen ja soveltaa tätä asetusta hallinnoimiinsa asiakasorganisaatioihin sekä omiin työntekijöihinsä.

Alla olevat kumppanin SSO-vaiheet koskevat vain äskettäin luotuja asiakasorganisaatioita. Jos kumppanin ylläpitäjät yrittävät lisätä Partner SSO:n olemassa olevaan asiakasorganisaatioon, nykyinen todennusmenetelmä säilytetään, jotta nykyiset käyttäjät eivät menetä käyttöoikeuksiaan.

  1. Tarkista, että kolmannen osapuolen identiteettipalveluntarjoaja täyttää vaatimukset, jotka on lueteltu kohdassa Requirements for Identity Providers kohdassa Single Sign-On Integration in Control Hub.

  2. Lataa CI-metatietotiedosto, jossa on Identity Provider.

  3. Määritä Onboarding-malli. Valitse Authentication Mode -asetukseksi Partner Authentication. Kirjoita IDP Entity ID -kenttätunnukseksi kolmannen osapuolen identiteetin tarjoajan SAML-metatieto XML:stä löytyvä EntityID.

  4. Luo uusi käyttäjä uuteen asiakasorganisaatioon, joka käyttää mallia.

  5. Hyvin, että käyttäjä voi kirjautua sisään.

Yhteistyökumppanin SSO - OpenID Connect (OIDC)

Mahdollistaa kumppanien ylläpitäjien määrittää OIDC SSO:n vasta luoduille asiakasorganisaatioille. Yhteistyökumppanit voivat määrittää yhden ennalta määritellyn SSO-suhteen ja soveltaa tätä asetusta hallinnoimiinsa asiakasorganisaatioihin sekä omiin työntekijöihinsä.

Seuraavat vaiheet kumppanin SSO OIDC:n määrittämiseksi koskevat vain äskettäin luotuja asiakasorganisaatioita. Jos kumppanien järjestelmänvalvojat yrittävät muuttaa oletustodennustyypin Partner SSO OIDC:ksi olemassa olevassa temppelissä, muutokset eivät koske asiakasorganisaatioita, jotka on jo otettu käyttöön mallin avulla.

  1. Avaa palvelupyyntö Ciscon TAC:lle ja ilmoita OpenID Connect IDP:n tiedot. Seuraavat ovat pakollisia ja valinnaisia IDP-attribuutteja. TACin on perustettava IDP CI:hen ja annettava IDP:hen määritettävä uudelleenohjauksen URI.

    Attribuutti

    Tarvitaan

    Kuvaus

    IDP Nimi

    Kyllä

    OIDC IdP:n konfiguraation yksilöllinen nimi, jossa ei tarvitse huomioida isoja ja pieniä kirjaimia, joka voi koostua kirjaimista, numeroista, väliviivoista, alleviivauksista, pilkkuista ja pisteistä ja jonka enimmäispituus on 128 merkkiä.

    OAuth-asiakkaan tunnus

    Kyllä

    Käytetään OIDC IdP -todennuksen pyytämiseen.

    OAuth-asiakas Salaisuus

    Kyllä

    Käytetään OIDC IdP -todennuksen pyytämiseen.

    Luettelo soveltamisaloista

    Kyllä

    Luettelo soveltamisaloista, joita käytetään OIDC IdP -todennuksen pyytämiseen, jaettuna välilyönnillä, esim. 'openid email profile' Täytyy sisältää openid ja sähköposti.

    Valtuutuksen päätepiste

    Kyllä, jos discoveryEndpointia ei ole annettu

    IdP:n OAuth 2.0 -valtuutuksen päätepisteen URL-osoite.

    tokenEndpoint

    Kyllä, jos discoveryEndpointia ei ole annettu

    IdP:n OAuth 2.0 Token Endpointin URL-osoite.

    Discovery Endpoint

    Ei

    IdP:n Discovery Endpointin URL-osoite OpenID-päätepisteiden löytämistä varten.

    userInfoEndpoint

    Ei

    IdP:n UserInfo-päätepisteen URL-osoite.

    Näppäin Aseta päätepiste

    Ei

    IdP:n JSON Web Key Set Endpointin URL-osoite.

    Edellä mainittujen IDP-attribuuttien lisäksi TAC-pyynnössä on määriteltävä kumppaniorganisaation tunnus.

  2. Määritä uudelleenohjaus-URI OpenID connect IDP:ssä.

  3. Määritä Onboarding-malli. Valitse Tunnistustila-asetukseksi Partner Authentication With OpenID Connect ja syötä IDP:n asennuksen aikana annettu IDP-nimi OpenID Connect IDP Entity ID:ksi.

  4. Luo uusi käyttäjä uuteen asiakasorganisaatioon, joka käyttää mallia.

  5. Hyvin, että käyttäjä voi kirjautua sisään SSO-todennusvirran avulla.