Workflow für den SAML-Zertifikatsantragsservice
Wichtig
Hinweis zu XML-Metadaten
Wenn Sie die SAML-Single-Sign-On-Funktion verwenden, können Sie nicht dieselben XML-Metadaten für beide Konfigurationen verwenden. Die Entitäts-ID des SAML-Antrags muss sich von der SAML-SSO-Entitäts-ID unterscheiden.
Liefern Sie DigiCert Ihre IdP-Metadaten (Identity Provider).
Beim Konfigurieren von SAML-Anträgen für Ihr CertCentral-Konto ist der erste Punkt auf der To-do-Liste des SAML-Admins die Einrichtung Ihrer IdP-Metadaten. Sie können dies mit einer dynamischen URL oder mit statischen XML-Metadaten von Ihrem IdP tun.
Dynamische Metadaten
Sie konfigurieren Ihren IdP über eine dynamische URL mit einem Link auf Ihre IdP-Metadaten. Bei einem dynamischen Link werden Ihre Metadaten automatisch aktualisiert. Falls Sie Benutzer haben, die sich täglich bei Ihrem Konto anmelden, werden sie alle 24 Stunden aktualisiert. Falls es länger als 24 Stunden her ist, dass sich jemand angemeldet hat, werden sie aktualisiert, sobald sich das nächste Mal ein Benutzer bei Ihrem Konto anmeldet.
Statische Metadaten
Sie konfigurieren Ihren IdP, indem Sie eine statische XML-Datei hochladen, die all Ihre IdP-Metadaten enthält. Um Ihre Metadaten zu aktualisieren, müssen Sie sich bei Ihrem Konto anmelden und eine neue XML-Datei mit den aktualisierten IdP-Metadaten hochladen.
Verbundname
Um es Ihren SAML-Benutzern einfacher zu machen, Ihre SP-initiierte Zertifikatsantrags-URL zu identifizieren, empfehlen wir, einen Verbund (Anzeigenamen) hinzuzufügen. Dieser Name wird Teil der SP-initiierten Zertifikatsantrags-URL, die Sie SAML-Benutzern zur Beantragung von Client Zertifikaten senden können. Er wird auch in den Titel der Anmeldeseite des SP-initiierten Zertifikatsantrags aufgenommen.
Hinweis
Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.
Von SAML-Stellungnahme erwartete Feldzuordnungen
Für einen erfolgreichen SAML-Antrag müssen Sie die Feldzuordnungen auf der IdP-Seite in der SAML-Stellungnahme konfigurieren.
Organisation
Wir suchen nach dem SAML-Attribut „Organisation“.
Das Organisationsattribut muss einer aktiven Organisation entsprechen, die DigiCert für Organisationsvalidierung (OV) validiert hat. Wenn Sie zum Beispiel DigiCert, Inc. verwenden wollen, dann muss Ihr SAML-Organisationsattribut DigiCert Inc. (
<saml:AttributeValue>
DigiCert, Inc.
</saml:AttributeValue>
) sein.Allgemeiner Name
Wir suchen nach dem SAML-Attribut „common_name“ Die Domäne muss einer Domäne entsprechen, die DigiCert für Organisationsvalidierung (OV) validiert hat.
E-Mail-Adresse
Wir suchen nach dem SAML-Attribut „E-Mail“
Person Kennung (optional)
Die Persönliche ID ist nur erforderlich, falls die NameID nicht in der Stellungnahme enthalten ist. Wenn die NameID nicht enthalten ist, suchen wir nach dem SAML-Attribut „person_id“.
Das Attribut „person_id“ muss für den Benutzer eindeutig sein. Diese ID ermöglicht Benutzern den Zugriff auf ihre bisherigen Aufträge.
Diese Feldzuordnungen müssen auf der IdP-Seite konfiguriert werden, damit DigiCert die Metadaten korrekt analysieren und die richtigen Informationen in Ihren Formularen für SAML-Zertifikatsanforderungen anzeigen kann.
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Auf dem Zertifikatsantragsformular verfügbar Produkte
Sie müssen die Client-Zertifikate auswählen, die Ihre SAML-Benutzer bestellen können, sobald sie auf der Seite SAML-Zertifikatsanforderungen authentifiziert sind. Derzeit unterstützen wir nur Client-Zertifikate für SAML-Zertifikatsanträge.
Damit ein Client-Zertifikat für Ihren SAML-Zertifikatsantrag aktiviert werden kann, muss es für Ihr Konto aktiviert werden. Um ein Zertifikat für Ihr Konto zu aktivieren, wenden Sie sich an Ihren DigiCert-Kundenbetreuer oder an den Support von DigiCert.
Authentication Only – bietet Client-Authentifizierung
Authentication Plus – bietet Client-Authentifizierung und Signieren von Dokumenten*
Digital Signatur Plus – bietet Client Authentifizierung sowie Signieren von E-Mails und Dokumenten*
Premium – bietet Client Authentifizierung und E-Mail-Verschlüsselung sowie Signieren von E-Mails und Dokumenten*
Hinweis
* Document Signing
Für Programme, die digitale Signaturen und Verschlüsselung unterstützen, können Clients Dokumente signieren und Ihre wertvollen Daten sowie Dokumente verschlüsseln. Für Programme, die die Adobe Approved Trust List verwenden, benötigen Sie ein Document Signing-Zertifikat von DigiCert.
Konfiguration von Produktgrenzen
Die Produktgrenzen, die Sie auf der Seite Produkteinstellungen in Ihrem CertCentral-Konto anwenden, gelten nicht für die Produkte für die SAML-Zertifikatsantragsfunktion (klicken Sie im Menü der Seitenleiste auf Einstellungen > Produkteinstellungen).
Benutzerdefinierte Felder
Derzeit wird das Hinzufügen benutzerdefinierter Felder auf dem Zertifikatsantragsformular nicht von der SAML-Zertifikatsantragsfunktion unterstützt.
Verwenden Sie keine erforderlichen benutzerdefinierten Felder
Falls Sie planen, das Client-Zertifikat für SAML-Zertifikatsanträge zu aktivieren, fügen Sie keine erforderlichen benutzerdefinierten Felder zum Zertifikat hinzu. Erforderliche benutzerdefinierte Felder stören den SAML-Antragsvorgang und führen zu einem fehlerhaften Abbruch.
Optionale benutzerdefinierte Felder sind in SAML-Zertifikatsantragsformularen nicht enthalten
Sie können optionale benutzerdefinierte Felder zu einem Client-Zertifikatsformular hinzufügen und dieses Zertifikat dennoch für SAML-Zertifikatsanträge aktivieren. Die optionalen benutzerdefinierten Felder werden jedoch nicht an das SAML-Zertifikatsantragsformular weitergegeben.
DigiCert Service Provider-Metadaten
Nachdem Sie die Metadaten des Identitätsanbieters eingerichtet, einen Verbundnamen hinzugefügt und die erlaubten Client-Zertifikatprodukte für die Zertifikatsanträge konfiguriert haben, stellen wir Ihnen die Metadaten des DigiCert Service Providers (SP) bereit.
Diese Metadaten müssen zu Ihrem IdP hinzugefügt werden, sodass die Verbindung zwischen Ihrem IdP und Ihrem CertCentral-Konto hergestellt werden kann. Sie können eine dynamische URL oder XML-Metadaten verwenden.
Dynamische Metadaten
Fügen Sie die Metadaten des DigiCert SP zu Ihrem IdP über eine dynamische URL hinzu, auf die Ihr IdP zugreifen kann, um die Metadaten zu aktualisieren.
Statische Metadaten
Fügen Sie die Metadaten des DigiCert SP zu Ihrem IdP anhand einer statischen XML-Datei hinzu. Falls Sie Ihren IdP aktualisieren müssen, müssen Sie sich bei Ihrem CertCentral-Konto anmelden und eine aktualisierte XML-Datei mit den Metadaten des DigiCert SP holen.
SP-initiierte benutzerdefinierte Zertifikatsantrags-URL oder IdP-initiierte Zertifikatsantrags-URL
Nachdem Sie die Metadaten des DigiCert SP zu Ihrem IdP hinzugefügt haben, verwenden Sie die SAML-Zertifikatsantrags-URL, um ein Client-Zertifikat zu beantragen. Melden Sie sich über die SP initiierte benutzerdefinierte Zertifikatsantrags-URL oder Ihre eigene IdP-initiierte Zertifikatsantrags-URL an.
Vom SP initiierte URL für benutzerdefinierte Zertifikatsanträge
Zusammen mit den neuen SAML-Prozessänderungen wird eine neue benutzerdefinierte URL für Zertifikatsanträge erstellt. SSO-Benutzer können sie benutzen, um ein Client-Zertifikat zu beantragen (zum Beispiel https://www.digicert.com/account/saml-certificate-request/ "federation-name" /login).
Vom IdP initiierte URL für Zertifikatsanträge
Wenn Sie möchten, verwenden Sie eine IdP-initiierte Anmelde-URL, um sich anzumelden und das Client-Zertifikat zu bestellen. Sie müssen Ihre SAML-Benutzer mit dieser IdP-initiierten URL oder Anwendung ausstatten.
IdP-Verbindung bestätigen
Sie sind nun bereit für die Fertigstellung Ihrer SAML-Antrags-URL-Verbindung.
Melden Sie sich erstmalig bei der Zertifikatsantrags-URL an (SP- oder IdP-initiiert), um die Verbindung herzustellen.