- Accueil
- /
- Article
Configurer la SSO du partenaire - SAML et OpenID Connect
Configurer la SSO pour les entreprises clientes utilisant SAML ou OIDC pour une authentification transparente.
SSO partenaire - SAML
Permet aux administrateurs partenaires de configurer la SSO SAML pour les organisations clientes nouvellement créées. Les partenaires peuvent configurer une relation SSO prédéfinie et appliquer cette configuration aux organisations des clients qu’ils gèrent, ainsi qu’à leurs propres employés.
Les étapes ci-SSO s’appliquent uniquement aux organisations clientes nouvellement créées. Si les administrateurs partenaires tentent d’ajouter des SSO partenaires à une organisation client existante, la méthode d’authentification existante est conservée pour empêcher les utilisateurs existants de perdre l’accès.
-
Vérifiez que le fournisseur de service tiers répond aux exigences listées dans la section Exigences pour les fournisseurs d’identité de l’intégration de l’Fournisseur d'identité sign-on unique dans ControlHub.
-
Téléchargez le fichier de métadonnées CI qui possède le fournisseur d’identité.
-
Configurer un modèle d’intégration. Pour le paramètre Mode d’authentification, sélectionnez Authentification du partenaire. Pour l’ID de l’entité IDP, saisissez l’ID de l’entité à partir des métadonnées XML SAML du fournisseur d’identité tiers.
-
Créer un nouvel utilisateur dans une nouvelle organisation client qui utilise le modèle.
-
Très que l’utilisateur puisse se connecter.
SSO partenaire - OpenID Connect (OIDC)
Permet aux administrateurs partenaires de configurer la SSO OIDC pour les organisations clientes nouvellement créées. Les partenaires peuvent configurer une relation SSO prédéfinie et appliquer cette configuration aux organisations des clients qu’ils gèrent, ainsi qu’à leurs propres employés.
Les étapes ci-dessous pour configurer l’authentification unique SSO OIDC des partenaires s’appliquent uniquement aux organisations clientes nouvellement créées. Si les administrateurs partenaires tentent de modifier le type d’authentification par défaut en OIDC SSO partenaire dans un temple existant, les modifications ne s’appliqueront pas aux organisations des clients déjà intégrées en utilisant le modèle.
-
Ouvrez une demande de service auprès du CAT Cisco avec les détails de l’IDP OpenID Connect. Les attributs IDP suivants sont obligatoires et facultatifs. Le CAT doit configurer l'IDP sur le CI et fournir l'URI de redirection à configurer sur l'IDP.
Attribut
Obligatoire
Description
Nom de l’IDP
Oui
Le nom unique mais insensible à la casse pour la configuration IdP OIDC peut être composé de lettres, de chiffres, de traits d’union, de soulignement, de tildes et de points et la longueur maximale est de 128 caractères.
Id du client OAuth
Oui
Utilisé pour demander l'authentification IdP OIDC.
Code secret du client OAuth
Oui
Utilisé pour demander l'authentification IdP OIDC.
Liste des périmètres
Oui
Liste des champs qui seront utilisés pour demander l’authentification OIDC IdP, divisé par espace, par exemple. « profil de courrier électronique openid » Doit inclure openid et l'adresse électronique.
Terminal d’autorisation
Oui si discoveryEndpoint n’est pas fourni
URL du point de terminaison d’autorisation OAuth 2.0 de l’IdP.
Terminal du jeton
Oui si discoveryEndpoint n’est pas fourni
URL du terminal du jeton OAuth 2.0 de l’IdP.
Point de terminaison de détection
Non
URL du point de terminaison de découverte de l’IdP pour la découverte des points de terminaison OpenID.
TerminalInfoUtilisateur
Non
URL du point de terminaison UserInfo de l’IdP.
Terminal Key Set
Non
URL du terminal JSON Web Key Set de l’IdP.
En plus des attributs IDP ci-dessus, l’ID de l’organisation partenaire doit être spécifié dans la demande du CAT.
-
Configurez l’URI de redirection sur l’IDP de connexion OpenID.
-
Configurez un modèle d’intégration. Pour le paramètre Mode d’authentification, sélectionnez Authentification du partenaire avec OpenID Connect et saisissez le nom de l’IDP fourni lors de la configuration de l’IDP en tant qu’ID d’entité IDP OpenID Connect.
-
Créer un nouvel utilisateur dans une nouvelle organisation client qui utilise le modèle.
-
L'utilisateur peut se connecter en utilisant le flux d'authentification SSO.