合作伙伴SSO - SAML

允许合作伙伴管理员为新创建的客户组织配置SAML SSO。合作伙伴可以配置单个预定义的 SSO 关系,并且将该配置应用于其管理的客户组织以及自己的员工。

以下合作伙伴 SSO 步骤仅适用于新建的客户组织。如果合作伙伴管理员尝试将合作伙伴 SSO 添加到现有客户组织,则现有身份验证方法会保留,以防止现有用户失去访问权限。

  1. 验证第三方身份提供程序是否满足身份提供程序的要求部分(在 Control Hub 中的单点登录集成中)中列出的要求。

  2. 上传具有Identity Provider的CI元数据文件。

  3. 配置入职模板。对于身份验证模式设置,选择合作伙伴身份验证。对于 IDP 实体标识,输入第三方身份提供程序 SAML 元数据 XML 中的 EntityID。

  4. 在使用该模板的新客户组织中创建新用户。

  5. 验证用户是否可以登录。

合作伙伴SSO - OpenID Connect (OIDC)

允许合作伙伴管理员为新创建的客户组织配置OIDC SSO。合作伙伴可以配置单个预定义的 SSO 关系,并且将该配置应用于其管理的客户组织以及自己的员工。

以下设置合作伙伴SSO OIDC的步骤仅适用于新创建的客户组织。如果合作伙伴管理员尝试将默认身份验证类型更改为现有庙宇中的Partner SSO OIDC,这些更改将不适用于已使用模板加入的客户组织。

  1. 使用包含OpenID Connect IDP详细信息的Cisco TAC打开服务请求。以下为强制性和可选的IDP属性。TAC必须在CI上设置IDP,并提供要在IDP上配置的重定向URI。

    属性

    是否必需

    描述

    IDP名称

    OIDC IdP配置的独特但不区分大小写的名称,可由字母、数字、连字符、下划线、倾斜和点组成,最大长度为128个字符。

    OAuth客户ID

    用于请求OIDC IdP验证。

    客户机秘密

    用于请求OIDC IdP验证。

    范围列表

    将用于请求OIDC IdP身份验证的范围列表,按空间分开,例如。'openid email profile'必须包括openid和电子邮件。

    授权端点

    是,如果未提供discoveryEndpoint

    IdP的OAuth 2.0授权端点的URL。

    token端点

    是,如果未提供discoveryEndpoint

    IdP的OAuth 2.0令牌端点的URL。

    发现端点

    用于OpenID端点发现的IdP发现端点的URL。

    用户信息端点

    IdP用户信息端点的URL。

    密钥集端点

    IdP JSON Web密钥集端点的URL。

    除了上述IDP属性外,还需要在TAC请求中指定合作伙伴组织ID。

  2. 配置OpenID连接IDP上的重定向URI。

  3. 配置入职模板。对于身份验证模式设置,选择Partner Authentication With OpenID Connect,然后输入IDP设置期间提供的IDP Name作为OpenID Connect IDP Entity ID。

  4. 在使用该模板的新客户组织中创建新用户。

  5. 用户可以使用SSO验证流程登录。