SSO-partner – SAML

Låter partneradministratörer konfigurera SAML SSO för nyskapade kundorganisationer. Partner kan konfigurera en fördefinierad SSO och tillämpa den konfigurationen på de kundorganisationer som de hanterar, samt för sina egna anställda.

Stegen nedan SSO gäller endast nyskapade kundorganisationer. Om partneradministratörer försöker lägga till SSO en befintlig kundorganisation, bibehålls den befintliga autentiseringsmetoden för att förhindra att befintliga användare förlorar åtkomst.

  1. Verifiera att tredjepartsleverantören identitetsleverantör uppfyller kraven i avsnittet Krav för identitetsleverantörer i Single Sign-On Integration i ControlHub.

  2. Ladda upp CI-metadatafil som har identitetsleverantör.

  3. Konfigurera en registreringsmall. För inställningen autentiseringsläge väljer du Partnerautentisering. För IDP-enhets-ID anger du Enhets-ID från SAML-metadata-XML från identitetsleverantörens tredje part.

  4. Skapa en ny användare i en ny kundorganisation som använder mallen.

  5. Mycket att användaren kan logga in.

SSO för partner – OpenID Connect (OIDC)

Gör det möjligt för partneradministratörer att konfigurera OIDC SSO för nyskapade kundorganisationer. Partner kan konfigurera en fördefinierad SSO och tillämpa den konfigurationen på de kundorganisationer som de hanterar, samt för sina egna anställda.

Nedanstående steg för att konfigurera partner-SSO OIDC gäller endast för nyskapade kundorganisationer. Om partneradministratörer försöker ändra standardautentiseringstypen till partner-SSO OIDC i ett befintligt tempel kommer ändringarna inte att gälla för de kundorganisationer som redan är registrerade med hjälp av mallen.

  1. Öppna en tjänstebegäran med Cisco TAC med informationen om OpenID Connect IDP. Följande är obligatoriska och valfria IDP-attribut. TAC måste konfigurera IDP på CI och tillhandahålla omdirigerings-URI som ska konfigureras på IDP.

    Attribut

    Obligatoriskt

    Beskrivning

    IDP-namn

    Ja

    Unikt men skiftlägesokänslig namn för OIDC IdP-konfiguration kan bestå av bokstäver, siffror, bindestreck, understreck, lutningar och punkter och maxlängden är 128 tecken.

    Klient-ID för OAuth

    Ja

    Används för att begära OIDC IdP-autentisering.

    Klienthemlighet för OAuth

    Ja

    Används för att begära OIDC IdP-autentisering.

    Lista över avsnitt av Skottland

    Ja

    Lista över områden som kommer att användas för att begära OIDC IdP-autentisering, uppdelad efter utrymme, t.ex. ”openid e-postprofil” Måste innehålla openid och e-post.

    Auktoriseringsslutpunkt

    Ja om discoveryEndpoint inte tillhandahålls

    URL till IdP:s OAuth 2.0-auktoriseringsslutpunkt.

    tokenEndpoint

    Ja om discoveryEndpoint inte tillhandahålls

    URL till IdP:s OAuth 2.0-tokenslutpunkt.

    Identifieringsslutpunkt

    Nej

    URL till IdP:s identifieringsslutpunkt för identifiering av OpenID-slutpunkter.

    användarinformationEndpoint

    Nej

    URL till IdP:s användarinformationsslutpunkt.

    Nyckeluppsättning slutpunkt

    Nej

    URL till IdP:s JSON Web Key Set Endpoint.

    Utöver ovanstående IDP-attribut måste partnerorganisations-ID anges i TAC-begäran.

  2. Konfigurera omdirigerings-URI på OpenID Connect-IDP.

  3. Konfigurera en registreringsmall. För inställningen för autentiseringsläge väljer du Partnerautentisering med OpenID Connect och anger det IDP-namn som anges under IDP-konfigurationen som IDP-enhets-ID för OpenID Connect.

  4. Skapa en ny användare i en ny kundorganisation som använder mallen.

  5. Mycket att användaren kan logga in med SSO-autentiseringsflödet.