- Hjem
- /
- Artikkel
Konfigurer partner SSO – SAML og OpenID Connect
Konfigurer SSO for kundeorganisasjoner ved hjelp av SAML eller OIDC for sømløs autentisering.
Partner SSO - SAML
Tillater at partneradministratorer konfigurerer SAML SSO for nylig opprettede kundeorganisasjoner. Partnere kan konfigurere ett enkelt forhåndsdefinert SSO-forhold og bruke denne konfigurasjonen på kundeorganisasjonene de administrerer, samt på sine egne ansatte.
Trinnene nedenfor for Partner SSO gjelder kun for nylig opprettede kundeorganisasjoner. Hvis partneradministratorer prøver å legge til Partner SSO i en eksisterende kundeorganisasjon, beholdes den eksisterende godkjenningsmetoden for å hindre at eksisterende brukere mister tilgangen.
-
Kontroller at leverandøren av tredjeparts identitetsleverandør oppfyller kravene som er oppført i delen Krav for identitetsleverandører i Integrering av engangspålogging i Control Hub.
-
Last opp CI-metadatafilen som har identitetsleverandøren.
-
Konfigurer en innføringsmal. Velg Partnerautentisering for innstillingen Autentiseringsmodus. For IDP-enhets-ID, angi enhets-ID fra SAML-metadata XML til tredjepartsidentitetsleverandøren.
-
Opprett en ny bruker i en ny kundeorganisasjon som bruker malen.
-
Veldig mye at brukeren kan logge på.
Partner SSO - OpenID Connect (OIDC)
Tillater at partneradministratorer konfigurerer OIDC SSO for nylig opprettede kundeorganisasjoner. Partnere kan konfigurere ett enkelt forhåndsdefinert SSO-forhold og bruke denne konfigurasjonen på kundeorganisasjonene de administrerer, samt på sine egne ansatte.
Trinnene nedenfor for å konfigurere Partner SSO OIDC gjelder kun for nylig opprettede kundeorganisasjoner. Hvis partneradministratorer prøver å endre standard godkjenningstype til Partner SSO OIDC i et eksisterende tempel, vil ikke endringene gjelde for kundeorganisasjonene som allerede er innfaset ved hjelp av malen.
-
Åpne en serviceforespørsel med Cisco TAC med detaljer om OpenID Connect IDP. Følgende er obligatoriske og valgfrie IDP-attributter. TAC må konfigurere IDP på CI og gi omdirigerings-URI som skal konfigureres på IDP.
Attributt
Påkrevd
Beskrivelse
IDP-navn
Ja
Unikt navn for OIDC IdP-konfigurasjon, men skiller mellom store og små bokstaver, tall, bindestreker, understreker, punktum og maks. lengde er 128 tegn.
OAuth-klient-ID
Ja
Brukes til å be om OIDC IdP-godkjenning.
OAuth-klienthemmelighet
Ja
Brukes til å be om OIDC IdP-godkjenning.
Liste over omfang
Ja
Liste over omfang som skal brukes til å be om OIDC IdP-godkjenning, delt etter område, f.eks. 'openid e-postprofil' Må inkludere openid og e-post.
Godkjenningsendepunkt
Ja hvis discoveryEndpoint ikke oppgitt
URL-adresse til IdP's OAuth 2.0 godkjenningsendepunkt.
tokenEndepunkt
Ja hvis discoveryEndpoint ikke oppgitt
URL-adresse til IdPs OAuth 2.0-tokenendepunkt.
Endepunkt for oppdagelse
Nei
URL-adresse til IdP's Discovery Endpoint for OpenID-endepunkters oppdagelse.
userInfoEndpoint
Nei
URL-adresse til IdPs UserInfo-endepunkt.
Nøkkelsett-endepunkt
Nei
URL-adressen til IdPs JSON Web Key Set Endpoint.
I tillegg til IDP-attributtene ovenfor, må partnerorganisasjons-ID-en angis i TAC-forespørselen.
-
Konfigurer omdirigerings-URI-en på OpenID connect-IDP.
-
Konfigurer en innføringsmal. For innstillingen Autentiseringsmodus velger du Partnerautentisering med OpenID Connect og angir IDP-navnet som ble oppgitt under IDP-oppsettet som enhets-ID for OpenID Connect IDP.
-
Opprett en ny bruker i en ny kundeorganisasjon som bruker malen.
-
Mye at brukeren kan logge på ved hjelp av SSO-autentiseringsflyten.