SSO partner - SAML

Consente agli amministratori partner di configurare la funzionalità SSO SAML per le organizzazioni dei clienti appena create. I partner possono configurare un singolo rapporto di SSO predefinito e applicare tale configurazione alle organizzazioni dei clienti da loro gestite, così come ai propri dipendenti.

La seguente procedura SSO partner si applica solo alle organizzazioni dei clienti create di recente. Se gli amministratori dei partner tentano di aggiungere l SSO di un partner a un'organizzazione cliente esistente, il metodo di autenticazione esistente viene conservato per evitare che gli utenti esistenti perdano l'accesso.

  1. Verificare che il provider di provider di identità di terze parti soddisfi i requisiti elencati nella sezione Requisiti per i provider di identità dell'integrazione Single Sign-On in Control Hub.

  2. Carica il file di metadati CI con provider identità.

  3. Configura un modello di onboarding. Per l'impostazione della Modalità di autenticazione, selezionare Autenticazione partner. Per l'ID entità IDP, inserire EntityID dal file XML dei metadati SAML del provider di identità di terze parti.

  4. Creare un nuovo utente in una nuova organizzazione cliente che utilizza il modello.

  5. In questo modo l'utente può eseguire l'accesso.

SSO partner - OpenID Connect (OIDC)

Consente agli amministratori partner di configurare la funzionalità SSO OIDC per le organizzazioni dei clienti appena create. I partner possono configurare un singolo rapporto di SSO predefinito e applicare tale configurazione alle organizzazioni dei clienti da loro gestite, così come ai propri dipendenti.

La procedura seguente per l'impostazione dell'OIDC SSO del partner si applica solo alle organizzazioni dei clienti appena create. Se gli amministratori dei partner tentano di modificare il tipo di autenticazione predefinito in OIDC SSO partner in un tempio esistente, le modifiche non verranno applicate alle organizzazioni dei clienti già presenti utilizzando il modello.

  1. Aprire una richiesta di assistenza con il centro TAC di Cisco con i dettagli dell'IDP OpenID Connect. Di seguito sono riportati attributi IDP obbligatori e opzionali. Il centro TAC deve impostare l'IDP sul CI e fornire l'URI di reindirizzamento da configurare sull'IDP.

    Attributo

    Richiesto

    Descrizione

    Nome IDP

    Nome univoco ma senza distinzione tra maiuscole e minuscole per la configurazione IdP OIDC potrebbe essere costituito da lettere, numeri, trattini, sottolineature, inclinazioni e punti; la lunghezza massima è 128 caratteri.

    ID client OAuth

    Utilizzato per richiedere l'autenticazione IdP OIDC.

    Chiave privata client OAuth

    Utilizzato per richiedere l'autenticazione IdP OIDC.

    Elenco di ambiti

    Elenco di ambiti che verranno utilizzati per richiedere l'autenticazione IdP OIDC, divisa per spazio, ad esempio 'profilo e-mail openid' Deve includere openid ed e-mail.

    Endpoint autorizzazione

    Sì se discoveryEndpoint non è fornito

    URL dell'endpoint di autorizzazione OAuth 2.0 di IdP.

    Endpoint token

    Sì se discoveryEndpoint non è fornito

    URL dell'endpoint token OAuth 2.0 dell'IdP.

    Endpoint di rilevamento

    No

    URL dell'endpoint di rilevamento IdP per il rilevamento degli endpoint OpenID.

    Endpoint infoUtente

    No

    URL dell'endpoint Info utente dell'IdP.

    Endpoint set di tasti

    No

    URL dell'endpoint di set di chiavi Web JSON dell'IdP.

    Oltre agli attributi IDP precedenti, è necessario specificare l'ID organizzazione partner nella richiesta TAC.

  2. Configurare l'URI di reindirizzamento sull'IDP connect OpenID.

  3. Configura un modello di onboarding. Per l'impostazione della modalità di autenticazione, seleziona Autenticazione partner Con OpenID Connect e inserisci il nome IDP fornito durante l'impostazione dell'IDP come ID entità IDP OpenID Connect.

  4. Creare un nuovo utente in una nuova organizzazione cliente che utilizza il modello.

  5. L'utente può eseguire l'accesso utilizzando il flusso di autenticazione SSO.