SAML-SSO konfigurieren

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind:

  • Sie müssen SAML für Ihr Konto aktivieren.
  • Sie benötigen Ihre IdP-Metadaten (dynamische oder statische)
  • Sie müssen alles haben, was Sie benötigen, um CertCentral-Benutzer mit SAML-Benutzern abzugleichen (Name-ID-Feld oder Attribut).

Siehe Voraussetzungen für SAML-Single-Sign-On und SAML-Service-Workflow.

SAML-Single Sign-On konfigurieren

  1. Gehen Sie auf die Seite „Verbundeinstellungen“

    1. Klicken Sie auf der Seitenleiste auf Einstellungen > Single Sign-On.
    2. Klicken Sie auf der Seite „Single Sign-on (SSO)“ auf Verbundeinstellungen bearbeiten.

  1. Einrichten der Metadaten Ihres Identitätsanbieters

    Erledigen Sie auf der Seite „Verbundeinstellungen“ im Abschnitt „Ihre IdP-Metadaten“ die folgenden Aufgaben.

    1. IdP-Metadaten hinzufügen
      Wählen Sie unter „Wie versenden Sie Daten von Ihrem IDP?“ eine der folgenden Optionen, um Ihre Metadaten hinzuzufügen.
      1. XML-Metadaten
        Sie stellen DigiCert Ihre IdP-Metadaten im XML-Format bereit.
        Falls sich Ihre IdP-Metadaten ändern, müssen Sie sie in Ihrem Konto manuell aktualisieren.
      2. Verwenden einer dynamischen URL
        Sie stellen DigiCert Ihre IdP-Metadaten mithilfe eines Links bereit.
        Falls sich Ihre IdP-Metadaten ändern, werden sie automatisch in Ihrem Konto aktualisiert.
    2. Identifizieren von Benutzern
      Um sich erfolgreich mit SAML-SSO anmelden zu können, müssen Sie entscheiden, wie Sie Ihre SSO-Stellungnahme mit den Benutzernamen der SSO-Benutzer in CertCentral abgleichen wollen.
      Wählen Sie unter „Wie identifizieren Sie einen Benutzer?“ eine der folgenden Optionen, um die SSO-Benutzer mit ihren Benutzernamen in CertCentral abzugleichen.
      1. NameID
        Das NameID-Feld verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
      2. Ein SAML-Attribut verwenden
        Ein Attribut verwenden, um Ihre CertCentral-Benutzer mit ihren SAML-SSO-Benutzern abzugleichen.
        Geben Sie im Feld das Attribut ein, das Sie verwenden möchten (z. B. E-Mail).
        Dieses Attribut muss in der Stellungnahme erscheinen, die Ihr IdP an DigiCert sendet:
        <AttributeStatement>
        <Attribut         Name="email">
        <AttributeValue>        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. Verbundname hinzufügen
      Geben Sie unter Verbundname einen Verbundnamen (Anzeigename) ein, der in die benutzerdefinierte SSO-URL eingestellt wird. Sie senden diese URL an Ihre Nur-SSO-Benutzer.
      Hinweis: Der Verbundname muss eindeutig sein. Wir empfehlen den Name Ihres Unternehmens.
    4. Verbundname einbeziehen
      Standardmäßig fügen wir Ihren Verbundnamen zur Seite IdP-Auswahl hinzu, wo Ihre SSO-Benutzer einfach auf Ihre SP-initiierte benutzerdefinierte SSO-URL zugreifen können.
      Um Ihren Verbundnamen von der Liste der IdPs auf der Seite IdP-Auswahl zu entfernen, deaktivieren Sie die Option Fügen Sie meinen Verbundnamen zur Liste der IdPs hinzu.
    5. Speichern
      Klicken Sie anschließend auf Speichern und Schließen.

  1. Metadaten des DigiCert-Service-Providers (SP) hinzufügen

    Wählen Sie auf der Seite „Single Sign-on (SSO)“ im Abschnitt „Metadaten des DigiCert-SPs“ eine der folgenden Methoden, um die DigiCert-SP-Metadaten zu Ihren IdP-Metadaten hinzuzufügen:

    • Dynamische URL für die Metadaten des DigiCert-SP
      Kopieren Sie die dynamische URL in die DigiCert-SP-Metadaten und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, werden Ihre SP-Metadaten automatisch in Ihrem IdP aktualisiert.
    • Statische XML-Daten
      Kopieren Sie die SP-Metadaten von DigiCert im XML-Format und fügen Sie sie zu Ihrem IdP hinzu, um die SSO-Verbindung herzustellen.
      Falls sich die DigiCert-SP-Metadaten je ändern, müssen Sie sie manuell in Ihrem IdP aktualisieren.

  1. SSO-Einstellungen für Benutzer konfigurieren

    Beim Hinzufügen von Benutzern zu Ihrem Konto können Sie die Benutzer auf Single-Sign-On-Authentifizierung beschränken (Nur-SSO-Benutzer). Diese Benutzer haben keinen API-Zugriff (sie können z. B. keine funktionierenden API-Schlüssel erstellen).

    Damit Nur-SSO-Benutzer API-Schlüssel und API-Integrationen erstellen können, aktivieren Sie die Option API-Zugriff für Nur-SSO-Benutzer aktivieren.

Die Option API-Zugriff für Nur-SSO-Benutzer aktivieren ermöglicht Nur-SSO-Benutzern, mit API-Schlüsseln das Single Sign-On zu umgehen. Das Deaktivieren des API-Zugriffs für Nur-SSO-Benutzer widerruft nicht die vorhandenen API-Schlüssel. Es blockiert nur die Erstellung neuer API-Schlüssel.

  1. Anmelden und die SAML-SSO-Verbindung zu CertCentral fertigstellen

    Kopieren Sie die URL auf der SSO-Seite im Abschnitt „SP-initiierte, benutzerdefinierte SSO-URL“ in einen Browser. Verwenden Sie dann Ihre IdP Anmeldeinformationen, um sich bei Ihrem CertCentral-Konto anzumelden.

Falls Sie dies bevorzugen, können Sie sich auch mithilfe einer IdP-initiierten Anmelde-URL bei Ihrem CertCentral-Konto anmelden. Sie müssen Ihre SSO-Benutzer mit dieser IdP-initiierten URL oder Anwendung ausstatten.

Wie geht es weiter?

Beginnen Sie, Ihre SSO-Benutzer in Ihrem Konto zu verwalten (SAML-Nur-SSO-Benutzer zu Ihrem Konto hinzuhinzufügen, vorhandene Kontobenutzer in SAML-Nur-SSO-Benutzer konvertieren usw.). Siehe Verwalten von SAML-SSO-Benutzern und Zugriff auf SAML-Einstellungen erlauben.

Über

DigiCert ist der weltweit führende Anbieter von digitalen Hochsicherheitszertifikaten, bietet vertrauenswürdiges SSL, persönliche und Managed PKI-Bereitstellungen und Gerätezertifikate für den wachsenden IoT-Markt.Seit unserer Gründung vor fast 15 Jahren suchen wir nach einer besseren Lösung.Eine bessere Möglichkeit für Authentifizierungen im Internet.Einen besseren Weg, maßgeschneiderte Lösungen für unsere Kunden zu erstellen.Jetzt haben wir unsere bisherige Innovation um die Erfahrungen und Fähigkeiten von Symantec erweitert, um einen besseren Weg zu finden, die Branche voranzubringen und für mehr Vertrauen in Identitäten und digitale Interaktionen zu sorgen.

©2019 DigiCert, Inc. Alle Rechte vorbehalten. DigiCert und sein Logo sind eingetragene Marken von DigiCert Inc. Symantec und Norton und die zugehörigen Logos sind eingetragene Marken, die unter der Lizenz der Symantec Corporation verwendet werden.Andere Namen sind Marken der jeweiligen Eigentümer.