SSO - SAML של שותף

מאפשר למנהלי מערכת של שותף לקבוע את התצורה של SAML SSO עבור ארגוני לקוחות חדשים שנוצרו. שותפים יכולים להגדיר קשר גומלין יחיד המוגדר מראש של SSO ולהחיל תצורה זו על ארגוני הלקוחות שהם מנהלים, כמו גם על העובדים שלהם.

שלבי SSO השותפים שלהלן חלים על ארגוני לקוחות חדשים שנוצרו בלבד. אם מנהלי שותף מנסים להוסיף Partner SSO לארגון לקוחות קיים, שיטת האימות הקיימת נשמרת כדי למנוע ממשתמשים קיימים לאבד גישה.

  1. ודא שספק ספק הזהויות של צד שלישי עומד בדרישות המפורטות בסעיף 'דרישות לספקי זהויות' ב'שילוב כניסה יחידה' במרכזהבקרה.

  2. העלה את קובץ המטה-נתונים של CI שכולל ספק זהויות.

  3. קבע תצורה של תבנית קליטה. עבור ההגדרה מצב אימות, בחר אימותשותף. עבור מזהה הישות של IDP, הזן את ה- EntityID מ- XML המטה-נתונים של SAML של ספק הזהויות של הצד השלישי.

  4. צור משתמש חדש בארגון לקוחות חדש המשתמש בתבנית.

  5. מאוד שהמשתמש יכול להתחבר.

SSO של שותף - OpenID Connect ‏(OIDC)

מאפשר למנהלי מערכת של שותף להגדיר OIDC SSO עבור ארגוני לקוחות חדשים שנוצרו. שותפים יכולים להגדיר קשר גומלין יחיד המוגדר מראש של SSO ולהחיל תצורה זו על ארגוני הלקוחות שהם מנהלים, כמו גם על העובדים שלהם.

השלבים הבאים להגדרת Partner SSO OIDC חלים על ארגוני לקוחות חדשים שנוצרו בלבד. אם מנהלי מערכת של שותף מנסים לשנות את סוג האימות המהווה ברירת מחדל ל-Partner SSO OIDC במקדש קיים, השינויים לא יחולו על ארגוני הלקוחות שכבר צורפו באמצעות התבנית.

  1. פתח בקשת שירות עם Cisco TAC עם הפרטים של OpenID Connect IDP. להלן תכונות IDP הכרחיות ואופציונליות. TAC חייב להגדיר את ה-IDP ב-CI ולספק את URI הניתוב מחדש להגדרה ב-IDP.

    מאפיין

    נדרש

    תיאור

    שם IDP

    כן

    שם ייחודי אך ללא תלות ברישיות עבור תצורת IdP של OIDC, יכול לכלול אותיות, מספרים, מקפים, קווים תחתונים, טילדה ונקודות ואורך מקסימלי הוא 128 תווים.

    מזהה לקוח OAuth

    כן

    משמש לבקשת אימות IdP של OIDC.

    סוד של לקוח OAuth

    כן

    משמש לבקשת אימות IdP של OIDC.

    רשימת היתרים

    כן

    רשימת scopes שישמשו לבקשת אימות IdP של OIDC, מפוצל לפי רווח, לדוגמה. 'פרופיל דוא"ל openid' חייב לכלול את openid ודוא"ל.

    נקודת קצה של הרשאה

    כן אם discoveryEndpoint לא סופק

    כתובת URL של נקודת הקצה של ההרשאה OAuth 2.0 של ספק הזהות.

    נקודת קצה

    כן אם discoveryEndpoint לא סופק

    כתובת URL של נקודת הקצה של אסימון OAuth 2.0 של ספק הזהות.

    נקודת קצה של גילוי

    לא

    כתובת URL של נקודת הקצה לגילוי של IdP עבור גילוי נקודות קצה של OpenID.

    משתמשInfoנקודת קצה

    לא

    כתובת URL של נקודת הקצה של UserInfo של ספק הזהות.

    נקודת קצה של הגדרת מפתח

    לא

    כתובת URL של נקודת הקצה של הגדרת מפתח האינטרנט של JSON של ספק הזהות.

    בנוסף לתכונות IDP לעיל, יש לציין את מזהה הארגון של השותף בבקשת TAC.

  2. קבע את תצורת ה-URI לניתוב מחדש ב-OpenID connect IDP.

  3. קבע תצורה של תבנית קליטה. עבור הגדרת מצב אימות, בחר אימות שותף עם OpenID Connect והזן את שם ה-IDP שסופק במהלך הגדרת ה-IDP כמזהה ישות OpenID Connect IDP.

  4. צור משתמש חדש בארגון לקוחות חדש המשתמש בתבנית.

  5. מאוד שהמשתמש יכול להיכנס באמצעות זרימת האימות של SSO.