Партнерская SSO – SAML

Позволяет администраторам партнеров настраивать SAML SSO для вновь созданных клиентских организаций. Партнеры могут настроить единые, предварительно определенные отношения SSO и применить эту конфигурацию к клиентским организациям, которыми они управляют, а также к собственным сотрудникам.

Указанные ниже действия в отношении партнерской SSO применимы только к новым клиентским организациям. При попытке администраторов партнера добавить партнерскую SSO к существующей клиентской организации сохраняется существующий метод аутентификации, чтобы существующие пользователи не утратили доступ.

  1. Убедитесь в том, что сторонний поставщик удостоверений соответствует требованиям, описанным в разделе Требования для поставщиков удостоверений статьи Интеграция системы единого входа в Control Hub.

  2. Загрузите файл метаданных CI, содержащий поставщика удостоверений.

  3. Настройте шаблон подключения. Для настройки Режим аутентификации выберите Аутентификация партнера. Для идентификатора объекта idP укажите идентификатор объекта из XML метаданных SAML стороннего поставщика удостоверений.

  4. Создайте нового пользователя в новой клиентской организации, которая использует шаблон.

  5. Проверьте возможность пользователя выполнить вход в систему.

Партнерская SSO: OpenID Connect (OIDC)

Позволяет администраторам партнеров настраивать SSO OIDC для вновь созданных клиентских организаций. Партнеры могут настроить единые, предварительно определенные отношения SSO и применить эту конфигурацию к клиентским организациям, которыми они управляют, а также к собственным сотрудникам.

Приведенные ниже шаги по настройке партнерской SSO OIDC применимы только к вновь созданным клиентским организациям. Если администраторы партнера попытаются изменить тип аутентификации по умолчанию на OIDC SSO партнера в существующем храме, изменения не будут применены к клиентским организациям, которые уже подключены с помощью шаблона.

  1. Откройте запрос на обслуживание в Cisco TAC со сведениями об IDP OpenID Connect. Ниже приведены обязательные и необязательные атрибуты IDP. TAC должен настроить IDP в CI и предоставить URI перенаправления, который должен быть настроен на IDP.

    Атрибут

    Обязательный

    Описание

    Имя IDP

    Да

    Уникальное, но не учитывающее регистр имя для конфигурации IdP OIDC может состоять из букв, цифр, дефисов, подчеркиваний, тильдов и точек, а максимальная длина составляет 128 символов.

    Идентификатор клиента OAuth

    Да

    Используется для запроса аутентификации OIDC IdP.

    Секретный код клиента OAuth

    Да

    Используется для запроса аутентификации OIDC IdP.

    Список областей

    Да

    Список областей, которые будут использоваться для запроса аутентификации OIDC IdP, разделенный пробелом, например "openid email profile" (профиль электронной почты openid) Должен включать openid и адрес электронной почты.

    Терминальное устройство авторизации

    Да, если функция discoveryEndpoint не предоставлена

    URL конечной точки авторизации OAuth 2.0 поставщика удостоверений.

    терминальное устройство токена

    Да, если функция discoveryEndpoint не предоставлена

    URL конечной точки токена OAuth 2.0 поставщика удостоверений.

    Терминальное устройство обнаружения

    Нет

    URL конечной точки обнаружения IdP для обнаружения конечных точек OpenID.

    конечная точка пользователяInfoEndpoint

    Нет

    URL конечной точки UserInfo поставщика удостоверений.

    Настройка терминального устройства

    Нет

    URL терминального устройства, установленного веб-ключом JSON IdP.

    В дополнение к указанным выше атрибутам IDP в запросе TAC должен быть указан идентификатор партнерской организации.

  2. Настройте URI перенаправления на IDP подключения OpenID.

  3. Настройте шаблон подключения. Для настройки режима аутентификации выберите параметр "Аутентификация партнера с помощью OpenID Connect" и введите имя IDP, указанное во время настройки IDP, в качестве идентификатора объекта IDP OpenID Connect.

  4. Создайте нового пользователя в новой клиентской организации, которая использует шаблон.

  5. Пользователь может войти в систему с помощью процесса аутентификации SSO.