SSO partenaire - SAML

Permet aux administrateurs partenaires de configurer la SSO SAML pour les organisations clientes nouvellement créées. Les partenaires peuvent configurer une relation SSO prédéfinie et appliquer cette configuration aux organisations des clients qu’ils gèrent, ainsi qu’à leurs propres employés.

Les étapes ci-SSO s’appliquent uniquement aux organisations clientes nouvellement créées. Si les administrateurs partenaires tentent d’ajouter des SSO partenaires à une organisation client existante, la méthode d’authentification existante est conservée pour empêcher les utilisateurs existants de perdre l’accès.

  1. Vérifiez que le fournisseur de service tiers répond aux exigences listées dans la section Exigences pour les fournisseurs d’identité de l’intégration de l’Fournisseur d'identité sign-on unique dans ControlHub.

  2. Téléchargez le fichier de métadonnées CI qui possède le fournisseur d’identité.

  3. Configurer un modèle d’intégration. Pour le paramètre Mode d’authentification, sélectionnez Authentification du partenaire. Pour l’ID de l’entité IDP, saisissez l’ID de l’entité à partir des métadonnées XML SAML du fournisseur d’identité tiers.

  4. Créer un nouvel utilisateur dans une nouvelle organisation client qui utilise le modèle.

  5. Très que l’utilisateur puisse se connecter.

SSO partenaire - OpenID Connect (OIDC)

Permet aux administrateurs partenaires de configurer la SSO OIDC pour les organisations clientes nouvellement créées. Les partenaires peuvent configurer une relation SSO prédéfinie et appliquer cette configuration aux organisations des clients qu’ils gèrent, ainsi qu’à leurs propres employés.

Les étapes ci-dessous pour configurer l’authentification unique SSO OIDC des partenaires s’appliquent uniquement aux organisations clientes nouvellement créées. Si les administrateurs partenaires tentent de modifier le type d’authentification par défaut en OIDC SSO partenaire dans un temple existant, les modifications ne s’appliqueront pas aux organisations des clients déjà intégrées en utilisant le modèle.

  1. Ouvrez une demande de service auprès du CAT Cisco avec les détails de l’IDP OpenID Connect. Les attributs IDP suivants sont obligatoires et facultatifs. Le CAT doit configurer l'IDP sur le CI et fournir l'URI de redirection à configurer sur l'IDP.

    Attribut

    Obligatoire

    Description

    Nom de l’IDP

    Oui

    Le nom unique mais insensible à la casse pour la configuration IdP OIDC peut être composé de lettres, de chiffres, de traits d’union, de soulignement, de tildes et de points et la longueur maximale est de 128 caractères.

    Id du client OAuth

    Oui

    Utilisé pour demander l'authentification IdP OIDC.

    Code secret du client OAuth

    Oui

    Utilisé pour demander l'authentification IdP OIDC.

    Liste des périmètres

    Oui

    Liste des champs qui seront utilisés pour demander l’authentification OIDC IdP, divisé par espace, par exemple. « profil de courrier électronique openid » Doit inclure openid et l'adresse électronique.

    Terminal d’autorisation

    Oui si discoveryEndpoint n’est pas fourni

    URL du point de terminaison d’autorisation OAuth 2.0 de l’IdP.

    Terminal du jeton

    Oui si discoveryEndpoint n’est pas fourni

    URL du terminal du jeton OAuth 2.0 de l’IdP.

    Point de terminaison de détection

    Non

    URL du point de terminaison de découverte de l’IdP pour la découverte des points de terminaison OpenID.

    TerminalInfoUtilisateur

    Non

    URL du point de terminaison UserInfo de l’IdP.

    Terminal Key Set

    Non

    URL du terminal JSON Web Key Set de l’IdP.

    En plus des attributs IDP ci-dessus, l’ID de l’organisation partenaire doit être spécifié dans la demande du CAT.

  2. Configurez l’URI de redirection sur l’IDP de connexion OpenID.

  3. Configurez un modèle d’intégration. Pour le paramètre Mode d’authentification, sélectionnez Authentification du partenaire avec OpenID Connect et saisissez le nom de l’IDP fourni lors de la configuration de l’IDP en tant qu’ID d’entité IDP OpenID Connect.

  4. Créer un nouvel utilisateur dans une nouvelle organisation client qui utilise le modèle.

  5. L'utilisateur peut se connecter en utilisant le flux d'authentification SSO.