- 主页
- /
- 文章
配置合作伙伴SSO - SAML和OpenID Connect
使用SAML或OIDC为客户组织设置SSO以实现无缝验证。
合作伙伴SSO - SAML
允许合作伙伴管理员为新创建的客户组织配置SAML SSO。合作伙伴可以配置单个预定义的 SSO 关系,并且将该配置应用于其管理的客户组织以及自己的员工。
以下合作伙伴 SSO 步骤仅适用于新建的客户组织。如果合作伙伴管理员尝试将合作伙伴 SSO 添加到现有客户组织,则现有身份验证方法会保留,以防止现有用户失去访问权限。
-
验证第三方身份提供程序是否满足身份提供程序的要求部分(在 Control Hub 中的单点登录集成中)中列出的要求。
-
上传具有Identity Provider的CI元数据文件。
-
配置入职模板。对于身份验证模式设置,选择合作伙伴身份验证。对于 IDP 实体标识,输入第三方身份提供程序 SAML 元数据 XML 中的 EntityID。
-
在使用该模板的新客户组织中创建新用户。
-
验证用户是否可以登录。
合作伙伴SSO - OpenID Connect (OIDC)
允许合作伙伴管理员为新创建的客户组织配置OIDC SSO。合作伙伴可以配置单个预定义的 SSO 关系,并且将该配置应用于其管理的客户组织以及自己的员工。
以下设置合作伙伴SSO OIDC的步骤仅适用于新创建的客户组织。如果合作伙伴管理员尝试将默认身份验证类型更改为现有庙宇中的Partner SSO OIDC,这些更改将不适用于已使用模板加入的客户组织。
-
使用包含OpenID Connect IDP详细信息的Cisco TAC打开服务请求。以下为强制性和可选的IDP属性。TAC必须在CI上设置IDP,并提供要在IDP上配置的重定向URI。
属性
是否必需
描述
IDP名称
是
OIDC IdP配置的独特但不区分大小写的名称,可由字母、数字、连字符、下划线、倾斜和点组成,最大长度为128个字符。
OAuth客户ID
是
用于请求OIDC IdP验证。
客户机秘密
是
用于请求OIDC IdP验证。
范围列表
是
将用于请求OIDC IdP身份验证的范围列表,按空间分开,例如。'openid email profile'必须包括openid和电子邮件。
授权端点
是,如果未提供discoveryEndpoint
IdP的OAuth 2.0授权端点的URL。
token端点
是,如果未提供discoveryEndpoint
IdP的OAuth 2.0令牌端点的URL。
发现端点
否
用于OpenID端点发现的IdP发现端点的URL。
用户信息端点
否
IdP用户信息端点的URL。
密钥集端点
否
IdP JSON Web密钥集端点的URL。
除了上述IDP属性外,还需要在TAC请求中指定合作伙伴组织ID。
-
配置OpenID连接IDP上的重定向URI。
-
配置入职模板。对于身份验证模式设置,选择Partner Authentication With OpenID Connect,然后输入IDP设置期间提供的IDP Name作为OpenID Connect IDP Entity ID。
-
在使用该模板的新客户组织中创建新用户。
-
用户可以使用SSO验证流程登录。