- Strona główna
- /
- Artykuł
Konfigurowanie logowania SSO partnera — SAML i OpenID Connect
Skonfiguruj logowanie SSO dla organizacji klientów przy użyciu SAML lub OIDC w celu bezproblemowego uwierzytelniania.
Jednokrotne logowanie partnera — SAML
Umożliwia administratorom partnerów skonfigurowanie jednokrotnego logowania SAML dla nowo utworzonych organizacji klientów. Partnerzy mogą skonfigurować pojedynczą wstępnie zdefiniowaną relację logowania jednokrotnego i zastosować tę konfigurację do organizacji klientów, którymi zarządzają, a także do własnych pracowników.
Poniższe kroki logowania jednokrotnego partnerów dotyczą tylko nowo utworzonych organizacji klientów. Jeśli administratorzy partnerów spróbują dodać logowanie jednokrotne partnera do istniejącej organizacji klienta, istniejąca metoda uwierzytelniania zostanie zachowana, aby zapobiec utracie dostępu przez istniejących użytkowników.
-
Sprawdź, czy dostawca tożsamości innej firmy spełnia wymagania wymienione w sekcji Wymagania dotyczące dostawców tożsamości w sekcji Integracja logowania jednokrotnego w centrum ControlHub.
-
Prześlij plik metadanych CI zawierający dostawcę tożsamości.
-
Skonfiguruj szablon wdrażania. W ustawieniu Tryb uwierzytelniania wybierz opcję Uwierzytelnianie partnera. W polu Identyfikator jednostki dostawcy tożsamości wprowadź identyfikator jednostki z pliku XML metadanych SAML zewnętrznego dostawcy tożsamości.
-
Utwórz nowego użytkownika w nowej organizacji klienta, która używa szablonu.
-
Bardzo, aby użytkownik mógł się zalogować.
Logowanie SSO partnera — OpenID Connect (OIDC)
Umożliwia administratorom partnerów skonfigurowanie jednokrotnego logowania OIDC dla nowo utworzonych organizacji klientów. Partnerzy mogą skonfigurować pojedynczą wstępnie zdefiniowaną relację logowania jednokrotnego i zastosować tę konfigurację do organizacji klientów, którymi zarządzają, a także do własnych pracowników.
Poniższe kroki w celu skonfigurowania logowania OIDC SSO partnera dotyczą tylko nowo utworzonych organizacji klientów. Jeśli administratorzy partnerów spróbują zmodyfikować domyślny typ uwierzytelniania na Logowanie SSO OIDC partnera w istniejącej świątyni, zmiany nie zostaną zastosowane do organizacji klientów, które już zostały wdrożone przy użyciu szablonu.
-
Otwórz żądanie usługi w Cisco TAC z danymi dostawcy tożsamości OpenID Connect. Poniżej przedstawiono obowiązkowe i opcjonalne atrybuty dostawcy tożsamości. TAC musi skonfigurować IDP w CI i podać identyfikator URI przekierowania, który ma zostać skonfigurowany w IDP.
atrybut
Wymagane
Opis
Nazwa IDP
Tak
Unikatowa, ale bez uwzględniania wielkości liter nazwa w konfiguracji dostawcy tożsamości OIDC może składać się z liter, cyfr, myślników, podkreśleń, tildów i kropek. Maksymalna długość wynosi 128 znaków.
Identyfikator klienta OAuth
Tak
Służy do żądania uwierzytelnienia dostawcy tożsamości OIDC.
Klucz tajny klienta OAuth
Tak
Służy do żądania uwierzytelnienia dostawcy tożsamości OIDC.
Lista zakresów
Tak
Lista zakresów, które zostaną użyte do żądania uwierzytelnienia dostawcy tożsamości OIDC, podzielona według spacji, np. Pole „profil wiadomości e-mail openid” Musi zawierać pola openid i adres e-mail.
Punkt końcowy autoryzacji
Tak, jeśli nie podano punktu końcowego discoveryEndpoint
Adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.
Punkt końcowy tokenu
Tak, jeśli nie podano punktu końcowego discoveryEndpoint
Adres URL punktu końcowego tokenu OAuth 2.0 dostawcy tożsamości.
Punkt końcowy wykrywania
Nie
Adres URL punktu końcowego wykrywania dostawcy tożsamości na potrzeby wykrywania punktów końcowych OpenID.
punkt końcowy informacji użytkownika
Nie
Adres URL punktu końcowego informacji użytkownika dostawcy tożsamości.
Punkt końcowy zestawu klawiszy
Nie
Adres URL zestawu klawiszy sieci Web JSON dostawcy tożsamości.
Oprócz powyższych atrybutów IDP w żądaniu TAC należy podać identyfikator organizacji partnerskiej.
-
Skonfiguruj identyfikator URI przekierowania w dostawcy tożsamości OpenID connect.
-
Skonfiguruj szablon wdrażania. W ustawieniu Tryb uwierzytelniania wybierz opcję Uwierzytelnianie partnera przy użyciu OpenID Connect i wprowadź Nazwę dostawcy tożsamości podaną podczas konfiguracji dostawcy tożsamości jako identyfikator podmiotu dostawcy tożsamości OpenID Connect.
-
Utwórz nowego użytkownika w nowej organizacji klienta, która używa szablonu.
-
Dzięki temu użytkownik może się zalogować przy użyciu przepływu uwierzytelniania SSO.