為批發 RTM 客戶設定使用 SAML 或 OpenID Connect 的合作夥伴 SSO

使用 SAML 設定合作夥伴 SSO

合作夥伴管理員可以為新建立的客戶組織設定 SAML SSO。他們可以配置單一預先定義的 SSO 關係，並將該配置應用於他們管理的客戶組織以及他們自己的員工。

以下合作夥伴 SSO 步驟僅適用於新建立的客戶組織。如果合作夥伴管理員嘗試將合作夥伴 SSO 新增至現有客戶組織，系統會保留現有的驗證方法，以防止現有使用者失去存取權。

1	驗證第三方身分提供者 (IdP) 是否符合Control Hub 中的單一登入整合的身分提供者要求 [] 部分中列出的要求。
2	向 Cisco TAC 提出服務請求。TAC 必須在第三方 IdP 和 Cisco Common Identity 服務之間建立信任關係。如果您的 IdP 需要啟用 `passEmailInRequest` 功能，請確保在服務請求中包含此要求。如果您不確定是否需要此功能，請諮詢您的 IdP。 .
3	將 TAC 提供的 CI 元資料檔案上傳給您的 IdP。
4	配置入職範本：在驗證模式設定中，選取合作夥伴驗證。輸入 IDP 實體 ID。您可以從第三方 IdP 的 SAML 元資料 XML 中找到 EntityID。

完成配置後，您可以手動驗證合作夥伴 IdP 實體 ID 是否設定正確。

合作夥伴管理員可以為新建立的客戶組織配置 OIDC SSO。他們可以配置單一預先定義的 SSO 關係，並將該配置應用於他們管理的客戶組織以及他們自己的員工。

以下合作夥伴 SSO OIDC 步驟僅適用於新建的客戶組織。如果合作夥伴管理員嘗試在現有範本中將預設驗證類型修改為合作夥伴 SSO OIDC，則這些變更不適用於已使用此範本加入的客戶組織。

使用 OpenID Connect IDP 的詳細資訊向 Cisco TAC 提出服務請求。

下表顯示了強制和可選的 IDP 屬性。TAC 在 CI 上設定 IDP 並為您提供要在 IDP 上設定的重定向 URI。

屬性	必填	說明
IDP 名稱	是	唯一的、不區分大小寫的名稱。它可以包含字母、數字、連字符、底線、波浪號和點。最大長度：128 個字元。
OAuth 客戶端 ID	是	用於請求 OIDC IdP 身份驗證。
OAuth 用戶端密鑰	是	用於請求 OIDC IdP 身份驗證。
範圍列表	是	用於請求 OIDC IdP 身份驗證。以空格分隔的範圍清單（例如，openid 電子郵件設定檔）必須包含 openid 和電子郵件。
授權端點	如果未提供 discoveryEndpoint，則為是	IdP 的 OAuth 2.0 授權端點的 URL。
令牌端點	如果未提供 discoveryEndpoint，則為是	IdP 的 OAuth 2.0 令牌端點的 URL。
發現端點	否	用於 OpenID 端點發現的 IdP 發現端點的 URL。
使用者資訊端點	否	IdP 的 UserInfo 端點的 URL。
密鑰設定端點	否	IdP 的 JSON Web 金鑰設定端點的 URL。

除了上述 IDP 屬性外，您還需要在 TAC 請求中指定合作夥伴組織 ID。

在 OpenID 連線 IDP 上設定重定向 URI。

配置入職範本：

批發合作夥伴 SSO

完成配置後，您可以手動驗證合作夥伴 IdP 實體 ID 是否設定正確。