SSO do parceiro - SAML

Permite que os administradores de parceiros configurem o SAML SSO em organizações de clientes recém-criadas. Os parceiros podem configurar uma relação de relacionamento SSO único e aplicar essa configuração às organizações de clientes que gerenciam, bem como aos seus próprios funcionários.

As etapas abaixo SSO do Parceiro se aplicam apenas às organizações de clientes recém-criadas. Se os administradores de parceiros tentarem adicionar parceiros SSO a uma organização existente do cliente, o método de autenticação existente é mantido para evitar que os usuários existentes percam o acesso.

  1. Verifique se o provedor de Fornecedor da identidade de terceiros atende aos requisitos listados na seção Requisitos para provedores de identidade da Integração de single sign-on no ControlHub.

  2. Carregue o arquivo de metadados CI que tenha o Provedor de identidade.

  3. Configure um modelo de integração. Para a configuração do Modo de autenticação, selecione Autenticação do parceiro. Para a ID da Entidade IDP, insira a EntityID do XML de metadados SAML do provedor de identidade de terceiros.

  4. Crie um novo usuário em uma nova organização do cliente que usa o modelo.

  5. Muito que o usuário pode fazer logoff.

SSO parceiro - OpenID Connect (OIDC)

Permite que os administradores de parceiros configurem o SSO OIDC em organizações de clientes recém-criadas. Os parceiros podem configurar uma relação de relacionamento SSO único e aplicar essa configuração às organizações de clientes que gerenciam, bem como aos seus próprios funcionários.

As etapas abaixo para configurar o OIDC de SSO de parceiro se aplicam apenas a organizações de clientes recém-criadas. Se os administradores de parceiros tentarem modificar o tipo de autenticação padrão para OIDC SSO de parceiro em um templo existente, as alterações não serão aplicadas às organizações de clientes já integradas usando o modelo.

  1. Abra uma solicitação de serviço com o Cisco TAC com os detalhes do IDP do OpenID Connect. A seguir são atributos IDP obrigatórios e opcionais. O TAC deve configurar o IDP no CI e fornecer o URI de redirecionamento a ser configurado no IDP.

    Atributo

    Necessário

    Descrição

    Nome do IDP

    Sim

    O nome exclusivo, mas sem diferenciação entre maiúsculas e minúsculas, da configuração OIDC IdP, pode consistir de letras, números, hífens, sublinhados, inclinação e pontos, e o comprimento máximo é de 128 caracteres.

    ID do cliente OAuth

    Sim

    Usado para solicitar autenticação OIDC IdP.

    Senha do cliente OAuth

    Sim

    Usado para solicitar autenticação OIDC IdP.

    Lista de escopos

    Sim

    Lista de escopos que serão usados para solicitar a autenticação OIDC IdP, dividida por espaço, por exemplo. "openid email profile" Deve incluir openid e email.

    Terminal de autorização

    Sim se o discoveryEndpoint não for fornecido

    URL do terminal de autorização de OAuth 2.0 do IdP.

    tokenEndpoint

    Sim se o discoveryEndpoint não for fornecido

    URL do terminal de token OAuth 2.0 do IdP.

    Terminal de descoberta

    Não

    URL do terminal de descoberta do IdP para a descoberta de terminais OpenID.

    Terminal de informações do usuário

    Não

    URL do terminal de informações do usuário do IdP.

    Terminal do conjunto de chaves

    Não

    URL do terminal de definição de chave da web JSON do IdP.

    Além dos atributos IDP acima, a ID da organização parceira precisa ser especificada na solicitação do TAC.

  2. Configure a URI de redirecionamento no IDP de conexão OpenID.

  3. Configure um modelo de integração. Para a configuração do modo de autenticação, selecione Autenticação de parceiros com o OpenID Connect e insira o nome do IDP fornecido durante a configuração do IDP como a ID da entidade IDP do OpenID Connect.

  4. Crie um novo usuário em uma nova organização do cliente que usa o modelo.

  5. Muito que o usuário pode fazer logon usando o fluxo de autenticação SSO.