Partner-SSO - SAML

Hiermee kunnen partnerbeheerders SAML-SSO configureren voor nieuw gemaakte klantorganisaties. Partners kunnen een vooraf gedefinieerde SSO configureren en die configuratie toepassen op de klantorganisaties die zij beheren, evenals op hun eigen werknemers.

De onderstaande stappen SSO Partners zijn alleen van toepassing op nieuwe klantenorganisaties. Als partnerbeheerders proberen partnergegevens toe te SSO een bestaande klantorganisatie, wordt de bestaande verificatiemethode bewaard zodat bestaande gebruikers geen toegang meer krijgen.

  1. Verifieer of de externe identiteitsprovider voldoet aan de vereisten die worden vermeld in het gedeelte Vereisten voor identiteitsproviders van integratie met een single sign-on in Control Hub.

  2. Upload het CI-metagegevensbestand met de identiteitsprovider.

  3. Configureer een onboardingssjabloon. Selecteer voor de instelling Verificatiemodus Partnerverificatie. Voor de entiteits-id van de id-provider voert u de EntityID in vanuit de XML met SAML-metagegevens van de externe identiteitsprovider.

  4. Maak een nieuwe gebruiker in een nieuwe klantorganisatie die gebruikmaakt van de sjabloon.

  5. Alleen zodat de gebruiker zich kan aanmelden.

Partner-SSO - OpenID Connect (OIDC)

Hiermee kunnen partnerbeheerders OIDC-SSO configureren voor nieuw gemaakte klantorganisaties. Partners kunnen een vooraf gedefinieerde SSO configureren en die configuratie toepassen op de klantorganisaties die zij beheren, evenals op hun eigen werknemers.

De onderstaande stappen voor het instellen van partner-SSO OIDC zijn alleen van toepassing op nieuw gemaakte klantorganisaties. Als partnerbeheerders proberen het standaard verificatietype te wijzigen in Partner-SSO OIDC in een bestaande tempel, zijn de wijzigingen niet van toepassing op klantorganisaties die al zijn geïntegreerd met de sjabloon.

  1. Open een serviceaanvraag bij Cisco TAC met de details van de OpenID Connect IDP. Hieronder staan verplichte en optionele IDP-kenmerken. TAC moet de id-provider instellen op de CI en de omleidings-URI verstrekken die op de id-provider moet worden geconfigureerd.

    Kenmerk

    Vereist

    Beschrijving

    Naam van identiteitsprovider

    Ja

    De unieke maar niet-hoofdlettergevoelige naam voor OIDC IdP-configuratie kan bestaan uit letters, cijfers, koppeltekens, onderstreept, tildes en stippen, en de maximale lengte is 128 tekens.

    Client-id van OAuth

    Ja

    Wordt gebruikt om OIDC-IdP-verificatie aan te vragen.

    Clientgeheim van OAuth

    Ja

    Wordt gebruikt om OIDC-IdP-verificatie aan te vragen.

    Lijst van scopes

    Ja

    Lijst van scopes die worden gebruikt om OIDC IdP-verificatie aan te vragen, opgedeeld per ruimte, bijvoorbeeld 'openid e-mailprofiel' Moet openid en e-mail bevatten.

    Autorisatie-eindpunt

    Ja als discoveryEndpoint niet is opgegeven

    URL van het OAuth 2.0-autorisatie-eindpunt van de IdP.

    tokenEindpunt

    Ja als discoveryEndpoint niet is opgegeven

    URL van het eindpunt van het OAuth 2.0-token van de IdP.

    Detectie-eindpunt

    Nee

    URL van het detectie-eindpunt van de IdP voor de detectie van eindpunten van OpenID.

    gebruikerInfoEindpunt

    Nee

    URL van het UserInfo-eindpunt van de IdP.

    Sleutelingesteld eindpunt

    Nee

    URL van het JSON Web Key Set-eindpunt van de IdP.

    Naast de bovenstaande IDP-kenmerken moet de partnerorganisatie-id worden opgegeven in het TAC-verzoek.

  2. Configureer de omleidings-URI in de OpenID Connect IDP.

  3. Configureer een onboardingssjabloon. Voor de instelling Verificatiemodus selecteert u Partnerverificatie met OpenID Connect en voert u de naam van de identiteitsprovider in die tijdens de configuratie van de identiteitsprovider is opgegeven als de entiteits-id van de OpenID Connect IDP.

  4. Maak een nieuwe gebruiker in een nieuwe klantorganisatie die gebruikmaakt van de sjabloon.

  5. De gebruiker kan zich met de SSO-verificatiestroom aanmelden.