Partner SSO - SAML

Tillater at partneradministratorer konfigurerer SAML SSO for nylig opprettede kundeorganisasjoner. Partnere kan konfigurere ett enkelt forhåndsdefinert SSO-forhold og bruke denne konfigurasjonen på kundeorganisasjonene de administrerer, samt på sine egne ansatte.

Trinnene nedenfor for Partner SSO gjelder kun for nylig opprettede kundeorganisasjoner. Hvis partneradministratorer prøver å legge til Partner SSO i en eksisterende kundeorganisasjon, beholdes den eksisterende godkjenningsmetoden for å hindre at eksisterende brukere mister tilgangen.

  1. Kontroller at leverandøren av tredjeparts identitetsleverandør oppfyller kravene som er oppført i delen Krav for identitetsleverandører i Integrering av engangspålogging i Control Hub.

  2. Last opp CI-metadatafilen som har identitetsleverandøren.

  3. Konfigurer en innføringsmal. Velg Partnerautentisering for innstillingen Autentiseringsmodus. For IDP-enhets-ID, angi enhets-ID fra SAML-metadata XML til tredjepartsidentitetsleverandøren.

  4. Opprett en ny bruker i en ny kundeorganisasjon som bruker malen.

  5. Veldig mye at brukeren kan logge på.

Partner SSO - OpenID Connect (OIDC)

Tillater at partneradministratorer konfigurerer OIDC SSO for nylig opprettede kundeorganisasjoner. Partnere kan konfigurere ett enkelt forhåndsdefinert SSO-forhold og bruke denne konfigurasjonen på kundeorganisasjonene de administrerer, samt på sine egne ansatte.

Trinnene nedenfor for å konfigurere Partner SSO OIDC gjelder kun for nylig opprettede kundeorganisasjoner. Hvis partneradministratorer prøver å endre standard godkjenningstype til Partner SSO OIDC i et eksisterende tempel, vil ikke endringene gjelde for kundeorganisasjonene som allerede er innfaset ved hjelp av malen.

  1. Åpne en serviceforespørsel med Cisco TAC med detaljer om OpenID Connect IDP. Følgende er obligatoriske og valgfrie IDP-attributter. TAC må konfigurere IDP på CI og gi omdirigerings-URI som skal konfigureres på IDP.

    Attributt

    Påkrevd

    Beskrivelse

    IDP-navn

    Ja

    Unikt navn for OIDC IdP-konfigurasjon, men skiller mellom store og små bokstaver, tall, bindestreker, understreker, punktum og maks. lengde er 128 tegn.

    OAuth-klient-ID

    Ja

    Brukes til å be om OIDC IdP-godkjenning.

    OAuth-klienthemmelighet

    Ja

    Brukes til å be om OIDC IdP-godkjenning.

    Liste over omfang

    Ja

    Liste over omfang som skal brukes til å be om OIDC IdP-godkjenning, delt etter område, f.eks. 'openid e-postprofil' Må inkludere openid og e-post.

    Godkjenningsendepunkt

    Ja hvis discoveryEndpoint ikke oppgitt

    URL-adresse til IdP's OAuth 2.0 godkjenningsendepunkt.

    tokenEndepunkt

    Ja hvis discoveryEndpoint ikke oppgitt

    URL-adresse til IdPs OAuth 2.0-tokenendepunkt.

    Endepunkt for oppdagelse

    Nei

    URL-adresse til IdP's Discovery Endpoint for OpenID-endepunkters oppdagelse.

    userInfoEndpoint

    Nei

    URL-adresse til IdPs UserInfo-endepunkt.

    Nøkkelsett-endepunkt

    Nei

    URL-adressen til IdPs JSON Web Key Set Endpoint.

    I tillegg til IDP-attributtene ovenfor, må partnerorganisasjons-ID-en angis i TAC-forespørselen.

  2. Konfigurer omdirigerings-URI-en på OpenID connect-IDP.

  3. Konfigurer en innføringsmal. For innstillingen Autentiseringsmodus velger du Partnerautentisering med OpenID Connect og angir IDP-navnet som ble oppgitt under IDP-oppsettet som enhets-ID for OpenID Connect IDP.

  4. Opprett en ny bruker i en ny kundeorganisasjon som bruker malen.

  5. Mye at brukeren kan logge på ved hjelp av SSO-autentiseringsflyten.