SAML-SSO konfigurieren

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind:

  • Sie müssen SAML für Ihr Konto aktivieren.
  • Sie verfügen über Ihre IdP-Metadaten (dynamische oder statische)
  • Sie müssen alles haben, was Sie benötigen, um CertCentral-Benutzer mit SAML-Benutzern abzugleichen (Name-ID-Feld oder Attribut).

Siehe Voraussetzungen für SAML-Single-Sign-On und SAML-Service-Workflow.

SAML-Single Sign-On konfigurieren

  1. Gehen Sie auf die Seite „Verbundeinstellungen“

    1. Klicken Sie auf der Seitenleiste auf Einstellungen > Single Sign-On.
    2. Klicken Sie auf der Seite „Single Sign-on (SSO)“ auf Verbundeinstellungen bearbeiten.

  1. Einrichten der Metadaten Ihres Identitätsanbieters

    Erledigen Sie auf der Seite „Verbundeinstellungen“ im Abschnitt „Ihre IdP-Metadaten“ die folgenden Aufgaben.

    1. IdP-Metadaten hinzufügen
      Wählen Sie unter „Wie versenden Sie Daten von Ihrem IDP?“ eine der folgenden Optionen, um Ihre Metadaten hinzuzufügen.
      1. XML-Metadaten
        Sie stellen DigiCert Ihre IdP-Metadaten im XML-Format bereit.
        Falls sich Ihre IdP-Metadaten ändern, müssen Sie sie in Ihrem Konto manuell aktualisieren.
      2. Verwenden einer dynamischen URL
        Sie stellen DigiCert Ihre IdP-Metadaten mithilfe eines Links bereit.
        Falls sich Ihre IdP-Metadaten ändern, werden sie automatisch in Ihrem Konto aktualisiert.
    2. Identifizieren von Benutzern
      Um sich erfolgreich mit SAML-SSO anmelden zu können, müssen Sie entscheiden, wie Sie Ihre SSO-Stellungnahme mit den Benutzernamen der SSO-Benutzer in CertCentral abgleichen wollen.
      Wählen Sie unter „Wie identifizieren Sie einen Benutzer?“ eine der folgenden Optionen, um die SSO-Benutzer mit ihren Benutzernamen in CertCentral abzugleichen.
      1. NameID
        Das NameID-Feld können Sie verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
      2. Ein SAML-Attribut verwenden
        Verwenden Sie ein SAML-Attribut, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
        Geben Sie im Feld das Attribut ein, das Sie verwenden möchten (z. B. E-Mail).
        Dieses Attribut muss in der Stellungnahme erscheinen, die Ihr IdP an DigiCert sendet:
        <AttributeStatement>
        <Attribut         Name="email">
        <AttributeValue>        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. Verbundname hinzufügen
      Unter Verbundname, geben Sie einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingestellt wird. Sie senden diese SSO-URL an Nur-SSO-Benutzer.
      Hinweis: Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.
    4. Verbundname einbeziehen
      Standardmäßig fügen wir Ihren Verbundnamen zur Seite IdP-Auswahl hinzu, wo Ihre SSO-Benutzer einfach auf Ihre SP-initiierte benutzerdefinierte SSO-URL zugreifen können.
      Um Ihren Verbundnamen von der Liste der IdPs auf der Seite IdP-Auswahl zu entfernen, deaktivieren Sie die Option Fügen Sie meinen Verbundnamen zur Liste der IdPs hinzu.
    5. Speichern
      Klicken Sie anschließend auf Speichern und Schließen.

  1. Metadaten des DigiCert-Service-Providers (SP) hinzufügen

    Wählen Sie auf der Seite „Single Sign-on (SSO)“ im Abschnitt „Metadaten des DigiCert-SPs“ eine der folgenden Methoden, um die DigiCert-SP-Metadaten zu Ihren IdP-Metadaten hinzuzufügen:

    • Dynamische URL für die Metadaten des DigiCert-SP
      Kopieren Sie die dynamische URL in die DigiCert-SP-Metadaten und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, werden Ihre SP-Metadaten automatisch in Ihrem IdP aktualisiert.
    • Statische XML-Daten
      Kopieren Sie die SP-Metadaten von DigiCert im XML-Format und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, müssen Sie sie manuell in Ihrem IdP aktualisieren.

  1. Konfigurieren der SSO-Einstellungen für Benutzer

    Beim Hinzufügen von Benutzern zu Ihrem Konto können Sie die Benutzer auf Single-Sign-On-Authentifizierung beschränken (Nur-SSO-Benutzer). Diese Benutzer haben keinen API-Zugriff (sie können z. B. keine funktionierenden API-Schlüssel erstellen).

    Damit Nur-SSO-Benutzer API-Schlüssel und API-Integrationen erstellen können, aktivieren Sie die Option API-Zugriff für Nur-SSO-Benutzer aktivieren.

Die Option API-Zugriff für Nur-SSO-Benutzer aktivieren ermöglicht Nur-SSO-Benutzern, mit API-Schlüsseln das Single Sign-On zu umgehen. Das Deaktivieren des API-Zugriffs für Nur-SSO-Benutzer widerruft nicht die vorhandenen API-Schlüssel. Es blockiert nur die Erstellung neuer API-Schlüssel.

  1. Anmelden und die SAML-SSO-Verbindung zu CertCentral fertigstellen

    Kopieren Sie die URL auf der SSO-Seite im Abschnitt „SP-initiierte, benutzerdefinierte SSO-URL“ in einen Browser. Verwenden Sie dann Ihre IdP Anmeldeinformationen, um sich bei Ihrem CertCentral-Konto anzumelden.

Falls Sie dies bevorzugen, können Sie sich auch mithilfe einer IdP-initiierten Anmelde-URL bei Ihrem CertCentral-Konto anmelden. Sie müssen Ihre SSO-Benutzer mit dieser IdP-initiierten URL oder Anwendung ausstatten.

Wie geht es weiter?

Beginnen Sie, Ihre SSO-Benutzer in Ihrem Konto zu verwalten (SAML-Nur-SSO-Benutzer zu Ihrem Konto hinzuhinzufügen, vorhandene Kontobenutzer in SAML-Nur-SSO-Benutzer konvertieren usw.). Siehe Verwalten von SAML-SSO-Benutzern und Zugriff auf SAML-Einstellungen erlauben.

Über

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.