SAML-Service-Workflow
Wichtig
XML-Metadaten-Hinweis:
Falls Sie die Funktion SAML-Zertifikatsantrag verwenden, dürfen Sie nicht dieselben XML-Metadaten für beide Konfigurationen verwenden. Die SAML-SSO-Entitäts-ID muss sich von der SAML-Gastanfrage-Entitäts-ID unterscheiden.
Liefern Sie DigiCert Ihre IDP-Metadaten (Identity Provider).
Beim Konfigurieren von SAML-SSO für Ihr CertCentral-Konto ist der erste Punkt auf der To-do-Liste des SAML-Admins die Einrichtung Ihrer IDP-Metadaten. Sie können dies mit einer dynamischen URL oder mit statischen XML-Metadaten von Ihrem IDP tun.
Dynamische Metadaten:
Sie konfigurieren Ihren IDP über eine dynamische URL mit einem Link auf Ihre IDP-Metadaten. Bei einem dynamischen Link werden Ihre Metadaten automatisch aktualisiert. Falls Sie Benutzer haben, die sich täglich bei Ihrem Konto anmelden, werden sie alle 24 Stunden aktualisiert. Falls es länger als 24 Stunden her ist, dass sich jemand angemeldet hat, werden sie aktualisiert, sobald sich das nächste Mal ein Benutzer bei Ihrem Konto anmeldet.
Statische Metadaten:
Sie konfigurieren Ihren IDP, indem Sie eine statische XML-Datei hochladen, die all Ihre IDP-Metadaten enthält. Um Ihre Metadaten zu aktualisieren, müssen Sie sich bei Ihrem Konto anmelden und eine neue XML-Datei mit den aktualisierten IDP-Metadaten hochladen.
Abgleich von CertCentral-Benutzern mit SSO-Benutzern: Ein Attribut zuweisen oder das nameID-Feld verwenden
Damit SAML-SSO erfolgreich sein kann, muss DigiCert CertCentral-Benutzer anhand ihres SSO-Benutzernamens erkennen. Sie müssen entscheiden, wie Benutzer-SSO-Stellungnahmen mit ihren Benutzernamen in CertCentral abzugleichen sind.
Attribut:
Sie können ein Attribut zuweisen (z. B. E-Mail-Adresse) in SSO zur Identifizierung von Benutzern mit CertCentral-Konten. DigiCert gleicht dann anhand dieses Attributs CertCentral-Benutzernamen mit seinen SSO-Benutzern ab.
NameID:
Mit dem NameID-Feld können Sie CertCentral-Benutzer identifizieren. DigiCert verwendet das NameID-Feld, um CertCentral-Benutzernamen mit seinen SSO-Benutzern abzugleichen.
Damit ein Benutzer sich bei seinem Konto anmelden kann, muss DigiCert, unabhängig von der Identifizierungsmethode – Attribut oder NameID-Feld –, in der Lage sein, dem Wert der ausgewählten SAML-Stellungnahme einen CertCentral-Benutzernamen zuzuordnen.
Verbundname
Um es Ihren SAML-SSO-Benutzern einfacher zu machen, Ihre SP-initiierte benutzerdefinierte SSO-URL zu identifizieren, empfehlen wir, einen Verbundnamen hinzuzufügen (Anzeigenamen). Dieser Name wird Teil der SP-initiierten benutzerdefinierten SSO-URL. Sie können diese benutzerdefinierte URL Ihren Nur-SSO-Benutzern für die Anmeldung bei Ihrem Konto zusenden.
Hinweis
Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.
DigiCert Service Provider-Metadaten
Nachdem Sie die Metadaten des Identitätsanbieters eingerichtet, die Attribute zur Identifizierung aller SSO-Benutzer zugewiesen und einen Verbundnamen hinzugefügt haben, stellen wir Ihnen die DigiCert-SP-Metadaten zur Verfügung. Diese Metadaten müssen zu Ihrem IDP hinzugefügt werden, sodass die Verbindung zwischen Ihrem IDP und Ihrem CertCentral-Konto hergestellt werden kann. Sie können eine dynamische URL oder XML-Metadaten verwenden.
Dynamische Metadaten:
Sie fügen die Metadaten des DigiCert-SP-Metadaten zu Ihrem IDP über eine dynamische URL hinzu, auf die Ihr IDP zugreifen kann, um die Metadaten nach Bedarf zu aktualisieren.
Statische Metadaten:
Sie fügen die Metadaten des DigiCert-SP anhand einer statischen XML-Datei zu Ihrem IDP hinzu. Falls Sie Ihren IDP aktualisieren müssen, müssen Sie sich bei Ihrem CertCentral-Konto anmelden und eine aktualisierte XML-Datei mit den Metadaten des DigiCert-SP holen.
SP-initiierte benutzerdefinierte SSO-Anmelde-URL oder IDP-initiierte SSO-Anmelde-URL
Nachdem Sie die Metadaten des DigiCert SP zu Ihrem IDP hinzugefügt haben, verwenden Sie die SAML-SSO, um sich bei Ihrem CertCentral-Konto anzumelden. Melden Sie sich über die SP-initiierte benutzerdefinierte SSO-Anmelde-URL oder Ihre eigene IDP-initiierte Anmelde-URL an.
SP-initiierte benutzerdefinierte SSO-Anmelde-URL:
Gemeinsam mit den Änderungen des neuen SAML-Prozesses wird eine neue benutzerdefinierte SSO-Anmelde-URL erstellt. SSO-Benutzer verwenden Sie zur Anmeldung bei Ihrem CertCentral-Konto (Beispiel für eine benutzerdefinierte SSO-Anmelde-URL: https://www.digicert.com/account/sso/ "federation-name" /login).
IDP-initiierte SSO-Anmelde-URL:
Falls Sie dies bevorzugen, können Sie sich auch mithilfe einer IDP-initiierten Anmelde-URL bei Ihrem CertCentral-Konto anmelden. Sie müssen Ihre SSO-Benutzer mit dieser IDP-initiierten URL oder Anwendung ausstatten.
IDP-Verbindung bestätigen
Sie sind nun bereit für die Fertigstellung Ihrer SAML-SSO-Verbindung. Melden Sie sich erstmalig bei Ihrem CertCentral-Konto über eine SSO-URL an (SP- oder IDP-initiiert), um die Verbindung herzustellen.