合作夥伴 SSO - SAML

允許合作夥伴管理員為新建立的客戶組織設定 SAML SSO。合作夥伴可以設定預定的單一 SSO 關係,並且將該設定套用於他們管理的客戶組織以及自己的員工。

下列合作夥伴 SSO 步驟僅適用於新建立的客戶組織。如果合作夥伴管理員試圖將合作夥伴 SSO 新增至現有客戶組織,則將保留現有驗證方法,以防止現有使用者失去存取權。

  1. 確認協力身分識別提供者能滿足 Control Hub 中單一登入整合身分識別提供者的需求一節中列出的需求。

  2. 上傳具有身分識別提供者的 CI 中繼資料檔案。

  3. 配置加入範本。在驗證模式設定中,選取合作夥伴驗證。在 IDP 實體 ID 中,輸入協力身分識別提供者的 SAML 中繼資料 XML 中的 EntityID。

  4. 在使用此範本的新客戶組織中建立新使用者。

  5. 確認使用者能夠登入。

合作夥伴 SSO - OpenID Connect (OIDC)

允許合作夥伴管理員為新建立的客戶組織設定 OIDC SSO。合作夥伴可以設定預定的單一 SSO 關係,並且將該設定套用於他們管理的客戶組織以及自己的員工。

以下設定合作夥伴 SSO OIDC 的步驟僅適用於新建立的客戶組織。如果合作夥伴管理員嘗試在現有聖殿中將預設驗證類型修改為合作夥伴 SSO OIDC,則變更將不適用於已使用範本加入的客戶組織。

  1. 使用 OpenID Connect IDP 的詳細資料向 Cisco TAC 提出服務請求。以下是必要和可選的 IDP 屬性。TAC 必須在 CI 上設定 IDP,並提供要在 IDP 上設定的重新導向 URI。

    屬性

    必填

    說明

    IDP 名稱

    OIDC IdP 設定的唯一但不區分大小寫的名稱,可以包含字母、數字、連字號、底線、波浪號和點,長度上限為 128 個字元。

    OAuth 用戶端 ID

    用於請求 OIDC IdP 驗證。

    OAuth 用戶端密碼

    用於請求 OIDC IdP 驗證。

    範圍清單

    將用於請求 OIDC IdP 驗證的範圍清單,按空間分割,例如'openid email profile' 必須包括 openid 和電子郵件。

    授權端點

    是,如果未提供 discoveryEndpoint

    IdP 的 OAuth 2.0 授權端點的 URL。

    權杖端點

    是,如果未提供 discoveryEndpoint

    IdP 的 OAuth 2.0 權杖端點的 URL。

    探索端點

    用於 OpenID 端點探索的 IdP 探索端點的 URL。

    使用者資訊端點

    IdP 的 UserInfo 端點的 URL。

    金鑰集端點

    IdP 的 JSON Web 金鑰集端點的 URL。

    除了上述 IDP 屬性之外,還需要在 TAC 請求中指定合作夥伴組織 ID。

  2. 在 OpenID Connect IDP 上設定重新導向 URI。

  3. 配置加入範本。對於驗證模式設定,選取使用 OpenID Connect 進行合作夥伴驗證,並輸入在 IDP 設定期間提供的 IDP 名稱作為 OpenID Connect IDP 實體 ID。

  4. 在使用此範本的新客戶組織中建立新使用者。

  5. 使用者可以使用 SSO 驗證流程登入。