为批发 RTM 客户配置使用 SAML 或 OpenID Connect 的合作伙伴 SSO

使用 SAML 配置合作伙伴 SSO

合作伙伴管理员可以为新创建的客户组织配置 SAML SSO。他们可以配置单个预定义的 SSO 关系，并将该配置应用于他们管理的客户组织以及他们自己的员工。

以下合作伙伴 SSO 步骤仅适用于新创建的客户组织。如果合作伙伴管理员尝试将合作伙伴 SSO 添加到现有客户组织，系统会保留现有的身份验证方法，以防止现有用户失去访问权限。

1	验证第三方身份提供商 (IdP) 是否满足Control Hub 中的单点登录集成的身份提供商要求 [] 部分中列出的要求。
2	向 Cisco TAC 提出服务请求。TAC 必须在第三方 IdP 和 Cisco Common Identity 服务之间建立信任关系。如果您的 IdP 需要启用 `passEmailInRequest` 功能，请确保在服务请求中包含此要求。如果您不确定是否需要此功能，请咨询您的 IdP。 .
3	将 TAC 提供的 CI 元数据文件上传给您的 IdP。
4	配置入职模板：对于身份验证模式设置，选择合作伙伴身份验证。输入 IDP 实体 ID。您可以从第三方 IdP 的 SAML 元数据 XML 中找到 EntityID。

完成配置后，您可以手动验证合作伙伴 IdP 实体 ID 是否设置正确。

合作伙伴管理员可以为新创建的客户组织配置 OIDC SSO。他们可以配置单个预定义的 SSO 关系，并将该配置应用于他们管理的客户组织以及他们自己的员工。

以下合作伙伴 SSO OIDC 步骤仅适用于新创建的客户组织。如果合作伙伴管理员尝试在现有模板中将默认身份验证类型修改为合作伙伴 SSO OIDC，则这些更改不适用于已使用该模板加入的客户组织。

使用 OpenID Connect IDP 的详细信息向 Cisco TAC 提出服务请求。

下表显示了强制和可选的 IDP 属性。TAC 在 CI 上设置 IDP 并为您提供要在 IDP 上配置的重定向 URI。

属性	是否必需	说明
IDP 名称	是	唯一的、不区分大小写的名称。它可以包含字母、数字、连字符、下划线、波浪号和点。最大长度：128 个字符。
OAuth 客户端 ID	是	用于请求 OIDC IdP 身份验证。
OAuth 客户端密钥	是	用于请求 OIDC IdP 身份验证。
范围列表	是	用于请求 OIDC IdP 身份验证。以空格分隔的范围列表（例如，openid 电子邮件配置文件）必须包含 openid 和电子邮件。
授权端点	如果未提供 discoveryEndpoint，则为是	IdP 的 OAuth 2.0 授权端点的 URL。
令牌端点	如果未提供 discoveryEndpoint，则为是	IdP 的 OAuth 2.0 令牌端点的 URL。
发现端点	否	用于 OpenID 端点发现的 IdP 发现端点的 URL。
用户信息端点	否	IdP 的 UserInfo 端点的 URL。
密钥设置端点	否	IdP 的 JSON Web 密钥设置端点的 URL。

除了上述 IDP 属性外，您还需要在 TAC 请求中指定合作伙伴组织 ID。

在 OpenID 连接 IDP 上配置重定向 URI。

配置入职模板：

批发合作伙伴 SSO

完成配置后，您可以手动验证合作伙伴 IdP 实体 ID 是否设置正确。