Єдиний вхід партнера: SAML

Дозволяє адміністраторам партнерів налаштовувати єдиний вхід у систему SAML для нещодавно створених клієнтських організацій. Партнери можуть налаштувати єдиний попередньо визначений зв'язок єдиного входу та застосувати цю конфігурацію до організацій-замовників, якими вони керують, а також до власних працівників.

Наведені нижче кроки єдиного входу партнера застосовуються лише до новостворених організацій-клієнтів. Якщо адміністратори партнерів намагаються додати єдиний вхід партнера до наявної організації клієнтів, наявний метод автентифікації зберігається, щоб запобігти втраті доступу наявними користувачами.

  1. Переконайтеся, що сторонній постачальник посвідчень відповідає вимогам, переліченим у розділі «Вимоги до постачальників посвідчень » інтеграції єдиного входу в Диспетчерському хабі.

  2. Передайте файл метаданих CI, який має постачальника посвідчень.

  3. Налаштуйте шаблон приєднання. Для параметра Режим автентифікації виберіть Автентифікація партнера. Для ідентифікатора сутності ВПО введіть ідентифікатор entityID з XML метаданих SAML стороннього постачальника посвідчень.

  4. Створіть нового користувача в новій організації клієнтів, яка використовує шаблон.

  5. Саме те, що користувач може авторизуватися.

Єдиний вхід партнера — OpenID Connect (OIDC)

Дозволяє адміністраторам партнерів налаштовувати єдиний вхід OIDC для нещодавно створених клієнтських організацій. Партнери можуть налаштувати єдиний попередньо визначений зв'язок єдиного входу та застосувати цю конфігурацію до організацій-замовників, якими вони керують, а також до власних працівників.

Наведені нижче кроки для налаштування партнерського SSO OIDC застосовуються лише до нещодавно створених організацій клієнтів. Якщо адміністратори партнера спробують змінити тип автентифікації за замовчуванням на OIDC SSO партнера в наявному храмі, зміни не буде застосовано до організацій клієнта, які вже приєдналися за допомогою цього шаблону.

  1. Відкрийте запит на обслуговування в Cisco TAC з відомостями про IDP OpenID Connect. Нижче наведено обов’язкові та необов’язкові атрибути IDP. TAC має налаштувати IDP в CI і забезпечити, щоб URI переспрямування було налаштовано на IDP.

    Атрибут

    Обов’язково

    Опис

    Ім’я IDP

    Так

    Унікальне, але не чутливе до регістру ім’я для конфігурації IdP OIDC. Воно може складатися з літер, цифр, дефісів, підкреслення, тильдів і крапок. Максимальна довжина складає 128 символи.

    Ідентифікатор клієнта OAuth

    Так

    Використовується для запиту автентифікації IdP OIDC.

    Секрет клієнта OAuth

    Так

    Використовується для запиту автентифікації IdP OIDC.

    Список областей застосування

    Так

    Список областей, які будуть використовуватися для запиту автентифікації IdP OIDC, розділених за пробілами, наприклад. "Профіль електронної пошти openid" Повинен включати openid та електронну пошту.

    Кінцевий пристрій авторизації

    Так, якщо кінцевий пристрій виявлення не надано

    URL-адреса кінцевого пристрою авторизації OAuth 2.0 IdP.

    токенКінцевий пристрій

    Так, якщо кінцевий пристрій виявлення не надано

    URL-адреса кінцевого пристрою токена OAuth 2.0 IdP.

    Кінцевий пристрій Discovery

    Ні

    URL-адреса кінцевої точки виявлення IdP для виявлення кінцевих точок OpenID.

    кінцевийПристрійКористувача

    Ні

    URL кінцевого пристрою IdP UserInfo.

    Кінцевий пристрій для набору ключів

    Ні

    URL-адреса кінцевого пристрою набору вебключа JSON IdP.

    На додаток до наведених вище атрибутів IDP в запиті TAC необхідно вказати ідентифікатор партнерської організації.

  2. Налаштуйте URI переспрямування на IDP підключення OpenID.

  3. Налаштуйте шаблон приєднання. Для параметра режиму автентифікації виберіть Автентифікацію партнера за допомогою OpenID Connect і введіть ім’я IDP, надане під час налаштування IDP, як ідентифікатор об’єкта IDP OpenID Connect.

  4. Створіть нового користувача в новій організації клієнтів, яка використовує шаблон.

  5. Дуже, що користувач може ввійти за допомогою потоку автентифікації SSO.