Skip to main content

SAML-SSO konfigurieren

Bevor Sie beginnen

Vergewissern Sie sich, dass Sie die Voraussetzungen erfüllen:

  • Sie haben SAML für Ihr Konto aktiviert.

  • Sie verfügen über Ihre IDP-Metadaten (dynamische oder statische).

  • Sie haben alles, was Sie benötigen, um CertCentral-Benutzer mit SAML-Benutzern abzugleichen (Name-ID-Feld oder Attribut).

Siehe Voraussetzungen für SAML-Single-Sign-On und SAML-Service-Workflow.

SAML-Single Sign-On konfigurieren

  1. Gehen Sie auf die Seite „Verbundeinstellungen“.

    1. Klicken Sie auf der Seitenleiste auf Einstellungen > Single Sign-On.

    2. Klicken Sie auf der Seite „Single Sign-on (SSO)“ auf Verbundeinstellungen bearbeiten.

  2. Einrichten der Metadaten Ihres Identitätsanbieters.

    Erledigen Sie auf der Seite „Verbundeinstellungen“ im Abschnitt „Ihre IDP-Metadaten“ die folgenden Aufgaben.

    1. IDP-Metadaten hinzufügen

      Wählen Sie unter Wie versenden Sie Daten von Ihrem IDP? eine der folgenden Optionen, um Ihre Metadaten hinzuzufügen.

      1. XML-Metadaten

        Sie stellen DigiCert Ihre IDP-Metadaten im XML-Format bereit.

        Falls sich Ihre IDP-Metadaten ändern, müssen Sie sie in Ihrem Konto manuell aktualisieren.

      2. Verwendung einer dynamischen URL

        Sie stellen DigiCert Ihre IDP-Metadaten mithilfe eines Links bereit.

        Falls sich Ihre IDP-Metadaten ändern, werden sie automatisch in Ihrem Konto aktualisiert.

    2. Identifizieren von Benutzern.

      Um sich erfolgreich mit SAML-SSO anmelden zu können, müssen Sie entscheiden, wie Sie Ihre SSO-Stellungnahme mit den Benutzernamen der SSO-Benutzer in CertCentral abgleichen wollen.

      Wählen Sie unter Wie identifizieren Sie einen Benutzer? eine der folgenden Optionen, um die SSO-Benutzer mit ihren Benutzernamen in CertCentral abzugleichen.

      1. NameID

        Das NameID-Feld verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.

      2. SAML-Attribut verwenden

        Ein Attribut verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.

        Geben Sie im Feld das Attribut ein, das Sie verwenden möchten (z. B. E-Mail).

        Dieses Attribut muss in der Stellungnahme erscheinen, die Ihr IDP an DigiCert sendet:

        <AttributeStatement> <Attribute Name="email" > <AttributeValue> user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. Fügen Sie einen Verbundnamen hinzu.

      Geben Sie unter Verbundname einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingebunden wird. Sie senden diese URL an Ihre Nur-SSO-Benutzer.

      Anmerkung

      Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.

    4. Verbundname hinzufügen:

      Standardmäßig fügen wir Ihren Verbundnamen hinzu zur

      Seite IDP-Auswahl, auf der Ihre SSO-Benutzer problemlos auf die vom SP initiierte benutzerdefinierte SSO-URL zugreifen können.

      Um Ihren Verbundnamen von der Liste der IDPs auf der Seite IDP-Auswahl zu entfernen, deaktivieren Sie die Option Fügen Sie meinen Verbundnamen zur Liste der IDPs hinzu.

    5. Speichern.

      Klicken Sie anschließend auf Speichern und Schließen.

  3. Metadaten des DigiCert-Service-Providers (SP) hinzufügen

    Erfüllen Sie auf der Seite „Single Sign-on (SSO)“ im Abschnitt Metadaten des DigiCert-SPs eine der folgenden Aufgaben, um die DigiCert-SP-Metadaten zu Ihren IDP-Metadaten hinzuzufügen:

    • Dynamische URL für die SP-Metadaten von DigiCert

      Kopieren Sie die dynamische URL zu den SP-Metadaten von DigiCert fügen Sie sie zu Ihrem IDP hinzu, um die SSO-Verbindung herzustellen.

      Falls sich die DigiCert-SP-Metadaten je ändern, werden Ihre SP-Metadaten automatisch in Ihrem IDP aktualisiert.

    • Statische XML

      Kopieren Sie die SP-Metadaten von DigiCert im XML-Format und fügen Sie sie zu Ihrem IDP hinzu, um die SSO-Verbindung herzustellen.

      Falls sich die DigiCert-SP-Metadaten je ändern, müssen Sie sie manuell in Ihrem IDP aktualisieren.

  4. SSO-Einstellungen für Benutzer konfigurieren

    Beim Hinzufügen von Benutzern zu Ihrem Konto können Sie die Benutzer auf Single-Sign-On-Authentifizierung beschränken (Nur-SSO-Benutzer). Diese Benutzer haben keinen API-Zugriff (sie können z. B. keine funktionierenden API-Schlüssel erstellen).

    Damit Nur-SSO-Benutzer API-Schlüssel und API-Integrationen erstellen können, aktivieren Sie die Option API-Zugriff für Nur-SSO-Benutzer aktivieren.

    Anmerkung

    Die Option „API-Zugriff für Nur-SSO-Benutzer aktivieren“ ermöglicht Nur-SSO-Benutzern, mit API-Schlüsseln das Single Sign-On zu umgehen. Das Deaktivieren des API-Zugriffs für Nur-SSO-Benutzer widerruft nicht die vorhandenen API-Schlüssel. Es blockiert nur die Erstellung neuer API-Schlüssel.

  5. Anmelden und die SAML-SSO-Verbindung zu CertCentral fertigstellen

    Kopieren Sie die URL auf der SSO-Seite im Abschnitt SP-initiierte, benutzerdefinierte SSO-URL in einen Browser. Verwenden Sie dann Ihre IDP Anmeldeinformationen, um sich bei Ihrem CertCentral-Konto anzumelden.

    Anmerkung

    Die Option „API-Zugriff für Nur-SSO-Benutzer aktivieren“ ermöglicht Nur-SSO-Benutzern, mit API-Schlüsseln das Single Sign-On zu umgehen. Das Deaktivieren des API-Zugriffs für Nur-SSO-Benutzer widerruft nicht die vorhandenen API-Schlüssel. Es blockiert nur die Erstellung neuer API-Schlüssel.

Wie geht es weiter?

Beginnen Sie, Ihre SSO-Benutzer in Ihrem Konto zu verwalten (SAML-Nur-SSO-Benutzer zu Ihrem Konto hinzufügen, vorhandene Kontobenutzer in SAML-Nur-SSO-Benutzer konvertieren usw.). Siehe Verwalten von SAML-SSO-Benutzern und Berechtigung, Zugriff auf SAML-Einstellungen zu gewähren.