SAML-SSO konfigurieren

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind:

  • Sie müssen SAML für Ihr Konto aktivieren.
  • Sie benötigen Ihre IdP-Metadaten (dynamische oder statische)
  • Sie müssen alles haben, was Sie benötigen, um CertCentral-Benutzer mit SAML-Benutzern abzugleichen (Name-ID-Feld oder Attribut).

Siehe Voraussetzungen für SAML-Single-Sign-On und SAML-Service-Workflow.

SAML-Single Sign-On konfigurieren

  1. Gehen Sie auf die Seite „Verbundeinstellungen“

    1. Klicken Sie auf der Seitenleiste auf Einstellungen > Single Sign-On.
    2. Klicken Sie auf der Seite „Single Sign-on (SSO)“ auf Verbundeinstellungen bearbeiten.
  1. Einrichten der Metadaten Ihres Identitätsanbieters

    Erledigen Sie auf der Seite „Verbundeinstellungen“ im Abschnitt „Ihre IdP-Metadaten“ die folgenden Aufgaben.

    1. IdP-Metadaten hinzufügen
      Wählen Sie unter „Wie versenden Sie Daten von Ihrem IDP?“ eine der folgenden Optionen, um Ihre Metadaten hinzuzufügen.
      1. XML-Metadaten
        Sie stellen DigiCert Ihre IdP-Metadaten im XML-Format bereit.
        Falls sich Ihre IdP-Metadaten ändern, müssen Sie sie in Ihrem Konto manuell aktualisieren.
      2. Verwenden einer dynamischen URL
        Sie stellen DigiCert Ihre IdP-Metadaten mithilfe eines Links bereit.
        Falls sich Ihre IdP-Metadaten ändern, werden sie automatisch in Ihrem Konto aktualisiert.
    2. Identifizieren von Benutzern
      Um sich erfolgreich mit SAML-SSO anmelden zu können, müssen Sie entscheiden, wie Sie Ihre SSO-Stellungnahme mit den Benutzernamen der SSO-Benutzer in CertCentral abgleichen wollen.
      Wählen Sie unter „Wie identifizieren Sie einen Benutzer?“ eine der folgenden Optionen, um die SSO-Benutzer mit ihren Benutzernamen in CertCentral abzugleichen.
      1. NameID
        Das NameID-Feld verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
      2. Ein SAML-Attribut verwenden
        Ein Attribut verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
        Geben Sie im Feld das Attribut ein, das Sie verwenden möchten (z. B. E-Mail).
        Dieses Attribut muss in der Stellungnahme erscheinen, die Ihr IdP an DigiCert sendet:
        <AttributeStatement>
        <Attribut
        Name="email">
        <AttributeValue>
        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. Verbundname hinzufügen
      Geben Sie unter Verbundname einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingestellt wird. Sie senden diese URL an Ihre Nur-SSO-Benutzer.
      Hinweis: Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.
    4. Verbundname einbeziehen
      Standardmäßig fügen wir Ihren Verbundnamen zur Seite IdP-Auswahl hinzu, wo Ihre SSO-Benutzer einfach auf Ihre SP-initiierte benutzerdefinierte SSO-URL zugreifen können.
      Um Ihren Verbundnamen von der Liste der IdPs auf der Seite IdP-Auswahl zu entfernen, deaktivieren Sie die Option Fügen Sie meinen Verbundnamen zur Liste der IdPs hinzu.
    5. Speichern
      Klicken Sie anschließend auf Speichern und Schließen.
  1. Metadaten des DigiCert-Service-Providers (SP) hinzufügen

    Wählen Sie auf der Seite „Single Sign-on (SSO)“ im Abschnitt „Metadaten des DigiCert-SPs“ eine der folgenden Methoden, um die DigiCert-SP-Metadaten zu Ihren IdP-Metadaten hinzuzufügen:

    • Dynamische URL für die Metadaten des DigiCert-SP
      Kopieren Sie die dynamische URL in die DigiCert-SP-Metadaten und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, werden Ihre SP-Metadaten automatisch in Ihrem IdP aktualisiert.
    • Statische XML-Daten
      Kopieren Sie die SP-Metadaten von DigiCert im XML-Format und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, müssen Sie sie manuell in Ihrem IdP aktualisieren.
  1. SSO-Einstellungen für Benutzer konfigurieren

    Beim Hinzufügen von Benutzern zu Ihrem Konto können Sie die Benutzer auf Single-Sign-On-Authentifizierung beschränken (Nur-SSO-Benutzer). Diese Benutzer haben keinen API-Zugriff (sie können z. B. keine funktionierenden API-Schlüssel erstellen).

    Damit Nur-SSO-Benutzer API-Schlüssel und API-Integrationen erstellen können, aktivieren Sie die Option API-Zugriff für Nur-SSO-Benutzer aktivieren.

Die Option API-Zugriff für Nur-SSO-Benutzer aktivieren ermöglicht Nur-SSO-Benutzern, mit API-Schlüsseln das Single Sign-On zu umgehen. Das Deaktivieren des API-Zugriffs für Nur-SSO-Benutzer widerruft nicht die vorhandenen API-Schlüssel. Es blockiert nur die Erstellung neuer API-Schlüssel.

  1. Anmelden und die SAML-SSO-Verbindung zu CertCentral fertigstellen

    Kopieren Sie die URL auf der SSO-Seite im Abschnitt „SP-initiierte, benutzerdefinierte SSO-URL“ in einen Browser. Verwenden Sie dann Ihre IdP Anmeldeinformationen, um sich bei Ihrem CertCentral-Konto anzumelden.

Falls Sie dies bevorzugen, können Sie sich auch mithilfe einer IdP-initiierten Anmelde-URL bei Ihrem CertCentral-Konto anmelden. Sie müssen Ihre SSO-Benutzer mit dieser IdP-initiierten URL oder Anwendung ausstatten.

Wie geht es weiter?

Beginnen Sie, Ihre SSO-Benutzer in Ihrem Konto zu verwalten (SAML-Nur-SSO-Benutzer zu Ihrem Konto hinzuhinzufügen, vorhandene Kontobenutzer in SAML-Nur-SSO-Benutzer konvertieren usw.). Siehe Verwalten von SAML-SSO-Benutzern und Zugriff auf SAML-Einstellungen erlauben.