Jednokrotne logowanie partnera — SAML

Umożliwia administratorom partnerów skonfigurowanie jednokrotnego logowania SAML dla nowo utworzonych organizacji klientów. Partnerzy mogą skonfigurować pojedynczą wstępnie zdefiniowaną relację logowania jednokrotnego i zastosować tę konfigurację do organizacji klientów, którymi zarządzają, a także do własnych pracowników.

Poniższe kroki logowania jednokrotnego partnerów dotyczą tylko nowo utworzonych organizacji klientów. Jeśli administratorzy partnerów spróbują dodać logowanie jednokrotne partnera do istniejącej organizacji klienta, istniejąca metoda uwierzytelniania zostanie zachowana, aby zapobiec utracie dostępu przez istniejących użytkowników.

  1. Sprawdź, czy dostawca tożsamości innej firmy spełnia wymagania wymienione w sekcji Wymagania dotyczące dostawców tożsamości w sekcji Integracja logowania jednokrotnego w centrum ControlHub.

  2. Prześlij plik metadanych CI zawierający dostawcę tożsamości.

  3. Skonfiguruj szablon wdrażania. W ustawieniu Tryb uwierzytelniania wybierz opcję Uwierzytelnianie partnera. W polu Identyfikator jednostki dostawcy tożsamości wprowadź identyfikator jednostki z pliku XML metadanych SAML zewnętrznego dostawcy tożsamości.

  4. Utwórz nowego użytkownika w nowej organizacji klienta, która używa szablonu.

  5. Bardzo, aby użytkownik mógł się zalogować.

Logowanie SSO partnera — OpenID Connect (OIDC)

Umożliwia administratorom partnerów skonfigurowanie jednokrotnego logowania OIDC dla nowo utworzonych organizacji klientów. Partnerzy mogą skonfigurować pojedynczą wstępnie zdefiniowaną relację logowania jednokrotnego i zastosować tę konfigurację do organizacji klientów, którymi zarządzają, a także do własnych pracowników.

Poniższe kroki w celu skonfigurowania logowania OIDC SSO partnera dotyczą tylko nowo utworzonych organizacji klientów. Jeśli administratorzy partnerów spróbują zmodyfikować domyślny typ uwierzytelniania na Logowanie SSO OIDC partnera w istniejącej świątyni, zmiany nie zostaną zastosowane do organizacji klientów, które już zostały wdrożone przy użyciu szablonu.

  1. Otwórz żądanie usługi w Cisco TAC z danymi dostawcy tożsamości OpenID Connect. Poniżej przedstawiono obowiązkowe i opcjonalne atrybuty dostawcy tożsamości. TAC musi skonfigurować IDP w CI i podać identyfikator URI przekierowania, który ma zostać skonfigurowany w IDP.

    atrybut

    Wymagane

    Opis

    Nazwa IDP

    Tak

    Unikatowa, ale bez uwzględniania wielkości liter nazwa w konfiguracji dostawcy tożsamości OIDC może składać się z liter, cyfr, myślników, podkreśleń, tildów i kropek. Maksymalna długość wynosi 128 znaków.

    Identyfikator klienta OAuth

    Tak

    Służy do żądania uwierzytelnienia dostawcy tożsamości OIDC.

    Klucz tajny klienta OAuth

    Tak

    Służy do żądania uwierzytelnienia dostawcy tożsamości OIDC.

    Lista zakresów

    Tak

    Lista zakresów, które zostaną użyte do żądania uwierzytelnienia dostawcy tożsamości OIDC, podzielona według spacji, np. Pole „profil wiadomości e-mail openid” Musi zawierać pola openid i adres e-mail.

    Punkt końcowy autoryzacji

    Tak, jeśli nie podano punktu końcowego discoveryEndpoint

    Adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.

    Punkt końcowy tokenu

    Tak, jeśli nie podano punktu końcowego discoveryEndpoint

    Adres URL punktu końcowego tokenu OAuth 2.0 dostawcy tożsamości.

    Punkt końcowy wykrywania

    Nie

    Adres URL punktu końcowego wykrywania dostawcy tożsamości na potrzeby wykrywania punktów końcowych OpenID.

    punkt końcowy informacji użytkownika

    Nie

    Adres URL punktu końcowego informacji użytkownika dostawcy tożsamości.

    Punkt końcowy zestawu klawiszy

    Nie

    Adres URL zestawu klawiszy sieci Web JSON dostawcy tożsamości.

    Oprócz powyższych atrybutów IDP w żądaniu TAC należy podać identyfikator organizacji partnerskiej.

  2. Skonfiguruj identyfikator URI przekierowania w dostawcy tożsamości OpenID connect.

  3. Skonfiguruj szablon wdrażania. W ustawieniu Tryb uwierzytelniania wybierz opcję Uwierzytelnianie partnera przy użyciu OpenID Connect i wprowadź Nazwę dostawcy tożsamości podaną podczas konfiguracji dostawcy tożsamości jako identyfikator podmiotu dostawcy tożsamości OpenID Connect.

  4. Utwórz nowego użytkownika w nowej organizacji klienta, która używa szablonu.

  5. Dzięki temu użytkownik może się zalogować przy użyciu przepływu uwierzytelniania SSO.