Partner SSO – SAML

Umožňuje správcom partnerov konfigurovať jednotné prihlásenie SAML pre novovytvorené organizácie zákazníkov. Partneri môžu nakonfigurovať jeden preddefinovaný vzťah SSO a použiť túto konfiguráciu na zákaznícke organizácie, ktoré riadia, ako aj na svojich vlastných zamestnancov.

Nižšie uvedené kroky Partner SSO platia len pre novovytvorené zákaznícke organizácie. Ak sa správcovia partnerov pokúsia pridať jednotné prihlásenie partnera do existujúcej zákazníckej organizácie, existujúca metóda overenia sa zachová, aby sa zabránilo strate prístupu existujúcich používateľov.

  1. Overte, či poskytovateľ identity tretej strany spĺňa požiadavky uvedené v časti Požiadavky na poskytovateľov identity v časti Integrácia jednotného prihlásenia do centra Control Hub.

  2. Nahrajte súbor metadát CI, ktorý má Identity Provider.

  3. Nakonfigurujte registračnú šablónu. Pre nastavenie Režim overenia totožnosti vyberte možnosť Overenie partnera. Pre ID entity IDP zadajte EntityID z XML metadát SAML poskytovateľa identity tretej strany.

  4. Vytvorte nového používateľa v novej zákazníckej organizácii, ktorá používa šablónu.

  5. Veľmi dobre, že sa užívateľ môže prihlásiť.

Partner SSO – OpenID Connect (OIDC)

Umožňuje správcom partnerov konfigurovať OIDC SSO pre novovytvorené zákaznícke organizácie. Partneri môžu nakonfigurovať jeden preddefinovaný vzťah SSO a použiť túto konfiguráciu na zákaznícke organizácie, ktoré riadia, ako aj na svojich vlastných zamestnancov.

Nižšie uvedené kroky na nastavenie Partner SSO OIDC sa vzťahujú iba na novovytvorené zákaznícke organizácie. Ak sa správcovia partnerov pokúsia upraviť predvolený typ autentifikácie na Partner SSO OIDC v existujúcom chráme, zmeny sa nebudú vzťahovať na zákaznícke organizácie, ktoré sú už zaregistrované pomocou šablóny.

  1. Otvorte požiadavku na službu s Cisco TAC s podrobnosťami o OpenID Connect IDP. Nasledujú povinné a voliteľné atribúty IDP. TAC musí nastaviť IDP na CI a poskytnúť URI presmerovania, ktoré sa má nakonfigurovať na IDP.

    Atribút

    Povinné

    Opis

    Názov IDP

    Áno

    Jedinečný názov pre konfiguráciu OIDC IdP, ktorý nerozlišuje veľké a malé písmená, môže pozostávať z písmen, číslic, pomlčiek, podčiarknutí, vlnoviek a bodiek a maximálna dĺžka je 128 znakov.

    ID klienta OAuth

    Áno

    Používa sa na vyžiadanie overenia OIDC IdP.

    Tajný klient OAuth

    Áno

    Používa sa na vyžiadanie overenia OIDC IdP.

    Zoznam rozsahov

    Áno

    Zoznam rozsahov, ktoré budú použité na vyžiadanie OIDC IdP autentifikácie, rozdelené podľa miesta, napr. „openid email profile“ Musí obsahovať openid a email.

    Koncový bod autorizácie

    Áno, ak nebol poskytnutý discoveryEndpoint

    Adresa URL koncového bodu autorizácie OAuth 2.0 poskytovateľa identity.

    tokenEndpoint

    Áno, ak nebol poskytnutý discoveryEndpoint

    Adresa URL koncového bodu tokenu OAuth 2.0 poskytovateľa identity.

    Discovery Endpoint

    Nie

    Adresa URL koncového bodu zisťovania IdP pre zisťovanie koncových bodov OpenID.

    userInfoEndpoint

    Nie

    Adresa URL koncového bodu UserInfo IdP.

    Koncový bod sady kľúčov

    Nie

    Adresa URL koncového bodu sady webových kľúčov JSON poskytovateľa identity.

    Okrem vyššie uvedených atribútov IDP je potrebné v žiadosti TAC uviesť ID partnerskej organizácie.

  2. Nakonfigurujte URI presmerovania na IDP pripojenia OpenID.

  3. Nakonfigurujte šablónu registrácie. Pre nastavenie Authentication Mode vyberte Partner Authentication With OpenID Connect a zadajte IDP Name poskytnutý počas nastavenia IDP ako OpenID Connect IDP Entity ID.

  4. Vytvorte nového používateľa v novej zákazníckej organizácii, ktorá používa šablónu.

  5. Veľmi, že používateľ sa môže prihlásiť pomocou toku autentifikácie SSO.