Skip to main content

SAML-SSO konfigurieren

How to configure you security assertion markup language (SAML) single sign-on in CertCentral.

Bevor Sie beginnen

Vergewissern Sie sich, dass Sie die Voraussetzungen erfüllen:

  • Sie haben SAML für Ihr Konto aktiviert.

  • Sie verfügen über Ihre IDP-Metadaten (dynamische oder statische).

  • Sie haben alles, was Sie benötigen, um CertCentral-Benutzer mit SAML-Benutzern abzugleichen (Name-ID-Feld oder Attribut).

Siehe Voraussetzungen für SAML-Single-Sign-On und SAML-Service-Workflow.

SAML-Single Sign-On konfigurieren

  1. Gehen Sie auf die Seite „Verbundeinstellungen“.

    1. Klicken Sie auf der Seitenleiste auf Einstellungen > Single Sign-On.

    2. Klicken Sie auf der Seite „Single Sign-on (SSO)“ auf Verbundeinstellungen bearbeiten.

  2. Einrichten der Metadaten Ihres Identitätsanbieters.

    Erledigen Sie auf der Seite „Verbundeinstellungen“ im Abschnitt „Ihre IDP-Metadaten“ die folgenden Aufgaben.

    1. IDP-Metadaten hinzufügen

      Wählen Sie unter Wie versenden Sie Daten von Ihrem IDP? eine der folgenden Optionen, um Ihre Metadaten hinzuzufügen.

      1. XML-Metadaten

        Sie stellen DigiCert Ihre IDP-Metadaten im XML-Format bereit.

        Falls sich Ihre IDP-Metadaten ändern, müssen Sie sie in Ihrem Konto manuell aktualisieren.

      2. Verwendung einer dynamischen URL

        Sie stellen DigiCert Ihre IDP-Metadaten mithilfe eines Links bereit.

        Falls sich Ihre IDP-Metadaten ändern, werden sie automatisch in Ihrem Konto aktualisiert.

    2. Identifizieren von Benutzern.

      Um sich erfolgreich mit SAML-SSO anmelden zu können, müssen Sie entscheiden, wie Sie Ihre SSO-Stellungnahme mit den Benutzernamen der SSO-Benutzer in CertCentral abgleichen wollen.

      Wählen Sie unter Wie identifizieren Sie einen Benutzer? eine der folgenden Optionen, um die SSO-Benutzer mit ihren Benutzernamen in CertCentral abzugleichen.

      1. NameID

        Das NameID-Feld verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.

      2. SAML-Attribut verwenden

        Ein Attribut verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.

        Dieses Attribut muss in der Stellungnahme erscheinen, die Ihr IDP an DigiCert sendet:

        <AttributeStatement> <AttributeName="email"> <AttributeValue>user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. Fügen Sie einen Verbundnamen hinzu.

      Geben Sie unter Verbundname einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingebunden wird. Sie senden diese URL an Ihre Nur-SSO-Benutzer.

      Geben Sie unter Verbundname einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingebunden wird. Sie senden diese URL an Ihre Nur-SSO-Benutzer.

      Wichtig

      Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.

    4. Verbundname hinzufügen:

      Seite IDP-Auswahl, auf der Ihre SSO-Benutzer problemlos auf die vom SP initiierte benutzerdefinierte SSO-URL zugreifen können.

      Um Ihren Verbundnamen von der Liste der IDPs auf der Seite IDP-Auswahl zu entfernen, deaktivieren Sie die Option Fügen Sie meinen Verbundnamen zur Liste der IDPs hinzu.

  3. Configure single logout

    Select Use single logout service to logout from IDP to log out from your IDP as you log out of CertCentral.

    With this enabled, CertCentral sends a message to your IDP telling it to terminate the session on the IDP as you log out of CertCentral.

  4. Metadaten des DigiCert-Service-Providers (SP) hinzufügen

    Erfüllen Sie auf der Seite „Single Sign-on (SSO)“ im Abschnitt Metadaten des DigiCert-SPs eine der folgenden Aufgaben, um die DigiCert-SP-Metadaten zu Ihren IDP-Metadaten hinzuzufügen:

    • Dynamische URL für die SP-Metadaten von DigiCert

      Kopieren Sie die dynamische URL zu den SP-Metadaten von DigiCert fügen Sie sie zu Ihrem IDP hinzu, um die SSO-Verbindung herzustellen.

      Falls sich die DigiCert-SP-Metadaten je ändern, werden Ihre SP-Metadaten automatisch in Ihrem IDP aktualisiert.

    • Statische XML

      Kopieren Sie die SP-Metadaten von DigiCert im XML-Format und fügen Sie sie zu Ihrem IDP hinzu, um die SSO-Verbindung herzustellen.

      Falls sich die DigiCert-SP-Metadaten je ändern, müssen Sie sie manuell in Ihrem IDP aktualisieren.

  5. Once ready, select Save SAML settings.

  6. SSO-Einstellungen für Benutzer konfigurieren

    Beim Hinzufügen von Benutzern zu Ihrem Konto können Sie die Benutzer auf Single-Sign-On-Authentifizierung beschränken (Nur-SSO-Benutzer). Diese Benutzer haben keinen API-Zugriff (sie können z. B. keine funktionierenden API-Schlüssel erstellen).

    API keys for SSO-only users

    To allow SSO-only users to create API keys and build API Integrations, select Enable API access for SSO-only users.

    • The Enable API access for SSO-only users option allows SSO-only users with API keys to bypass single sign-on.

    • Disabling API access for SSO-only users doesn't revoke existing API keys. It only blocks the creation of new API keys.

  7. Anmelden und die SAML-SSO-Verbindung zu CertCentral fertigstellen

    Kopieren Sie die URL auf der SSO-Seite im Abschnitt SP-initiierte, benutzerdefinierte SSO-URL in einen Browser. Verwenden Sie dann Ihre IDP Anmeldeinformationen, um sich bei Ihrem CertCentral-Konto anzumelden.

Wie geht es weiter?

Beginnen Sie, Ihre SSO-Benutzer in Ihrem Konto zu verwalten (SAML-Nur-SSO-Benutzer zu Ihrem Konto hinzufügen, vorhandene Kontobenutzer in SAML-Nur-SSO-Benutzer konvertieren usw.). Siehe Verwalten von SAML-SSO-Benutzern und Berechtigung, Zugriff auf SAML-Einstellungen zu gewähren.

In diesem Abschnitt: