SAML-Zertifikatsantragsservice-Workflow

XML-Metadaten-Hinweis

Wenn Sie die SAML-Single-Sign-On-Funktion verwenden, können Sie nicht dieselben XML-Metadaten für beide Konfigurationen verwenden. Die Entitäts-ID des SAML-Antrags muss sich von der SAML-SSO-Entitäts-ID unterscheiden.

Liefern Sie DigiCert Ihre IdP-Metadaten (Identity Provider).

Beim Konfigurieren von SAML-Anträgen für Ihr CertCentral-Konto ist der erste Punkt auf der To-do-Liste des SAML-Admins die Einrichtung Ihrer IdP-Metadaten. Sie können dies mit einer dynamischen URL oder mit statischen XML-Metadaten von Ihrem IdP tun.

  • Dynamische Metadaten
    Sie konfigurieren Ihren IdP über eine dynamische URL mit einem Link auf Ihre IdP-Metadaten. Bei einem dynamischen Link werden Ihre Metadaten automatisch aktualisiert. Falls Sie Benutzer haben, die sich täglich bei Ihrem Konto anmelden, werden sie alle 24 Stunden aktualisiert. Falls es länger als 24 Stunden her ist, dass sich jemand angemeldet hat, werden sie aktualisiert, sobald sich das nächste Mal ein Benutzer bei Ihrem Konto anmeldet.
  • Statische Metadaten
    Sie konfigurieren Ihren IdP, indem Sie eine statische XML-Datei hochladen, die all Ihre IdP-Metadaten enthält. Um Ihre Metadaten zu aktualisieren, müssen Sie sich bei Ihrem Konto anmelden und eine neue XML-Datei mit den aktualisierten IdP-Metadaten hochladen.

Verbundname

Um es Ihren SAML-Benutzern einfacher zu machen, Ihre SP-initiierte Zertifikatsantrags-URL zu identifizieren, empfehlen wir, einen Verbund (Anzeigenamen) hinzuzufügen. Dieser Name wird Teil der SP-initiierten Zertifikatsantrags-URL, die Sie SAML-Benutzern zur Beantragung von Client Zertifikaten senden können. Er wird auch in den Titel der Anmeldeseite des SP-initiierten Zertifikatsantrags aufgenommen.

Der Verbundname muss eindeutig sein. Wir empfehlen den Namen Ihres Unternehmens zu verwenden.

Von SAML-Stellungnahme erwartete Feldzuordnungen

Für einen erfolgreichen SAML-Antrag müssen Sie die Feldzuordnungen auf der IdP-Seite in der SAML-Stellungnahme konfigurieren.

  • Organisation
    Wir suchen nach dem SAML-Attribut "Organisation".
    Das Organisationsattribut muss einer aktiven Organisation in Ihrem CertCentral-Konto entsprechen, die DigiCert für Organisationsvalidierung (OV) validiert hat. Wenn Sie zum Beispiel DigiCert, Inc. verwenden wollen, dann muss Ihr SAML-“Organisation”sattribut “DigiCert Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>) sein.
  • Allgemeiner Name
    Wir suchen nach dem SAML-Attribut “common_name”. Die Domäne muss einer Domäne in Ihrem CertCentral-Konto entsprechen, die DigiCert für Organisationsvalidierung (OV) validiert hat.
  • E-Mail-Adresse
    Wir suchen nach dem SAML-Attribut “E-Mail”.
  • Persönliche ID
    Die Persönliche ID ist nur erforderlich, falls die NameID nicht in der Stellungnahme enthalten ist. Falls die NameID nicht enthalten ist, suchen wir nach dem SAML-Attribut “person_id”.
    Das “person_id”-Attribut muss für den Benutzer eindeutig sein. Diese ID ermöglicht Ihnen den Zugriff auf Ihre bisherigen Bestellungen.
    Diese Feldzuordnungen müssen auf der IdP-Seite konfiguriert werden, damit DigiCert die Metadaten korrekt analysieren und die korrekten Informationen im Client-Zertifikatsantragsformular Ihres SAML-Zertifikatsantrags anzeigen kann.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Auf dem Zertifikatsantragsformular verfügbar Produkte

Sie müssen die Client-Zertifikate auswählen, die Ihre SAML-Benutzer nach der Authentifizierung auf der SAML-Zertifikatsantragsseite bestellen können. Derzeit unterstützen wir nur Client-Zertifikate für SAML-Zertifikatsanträge.

Damit ein Client-Zertifikat für Ihren SAML-Zertifikatsantrag aktiviert werden kann, muss es für Ihr Konto aktiviert werden. Um ein Zertifikat für Ihr Konto zu aktivieren, wenden Sie sich an Ihren DigiCert-Kundenbetreuer oder an unser Support-Team.

  • Authentication Only – bietet Client-Authentifizierung
  • Authentication Plus – bietet Client-Authentifizierung und Signieren von Dokumenten*
  • Digital Signatur Plus – bietet Client Authentifizierung sowie Signieren von E-Mails und Dokumenten*
  • Premium – bietet Client Authentifizierung und E-Mail-Verschlüsselung sowie Signieren von E-Mails und Dokumenten*

* Document Signing

Für Programme, die digitale Signaturen und Verschlüsselung unterstützen, können Clients Dokumente signieren und Ihre wertvollen Daten sowie Dokumente verschlüsseln. Für Programme, die die Adobe Approved Trust List verwenden, benötigen Sie ein Document Signing-Zertifikat von DigiCert.

Konfiguration von Produktgrenzen

Die Produktgrenzen, die Sie auf der Seite Produkteinstellungen in Ihrem CertCentral-Konto anwenden, gelten nicht für die Produkte für die SAML-Zertifikatsantragsfunktion. (Klicken Sie in der Seitenleiste auf Einstellungen > Produkteinstellungen.)

Benutzerdefinierte Felder

Derzeit wird das Hinzufügen benutzerdefinierter Felder auf dem Zertifikatsantragsformular nicht von der SAML-Zertifikatsantragsfunktion unterstützt.

  • Erforderliche benutzerdefinierte Felder nicht verwenden
    Falls Sie planen, das Client-Zertifikat für SAML-Zertifikatsanträge zu aktivieren, fügen Sie keine erforderlichen benutzerdefinierten Felder zum Zertifikat hinzu. Erforderliche benutzerdefinierte Felder stören den SAML-Antragsvorgang und führen zu einem fehlerhaften Abbruch.
  • Optionale benutzerdefinierte Felder werden nicht in SAML-Zertifikatsantragsformulare aufgenommen
    Sie können optionale benutzerdefinierte Felder zu einem Client-Zertifikatformular hinzufügen und trotzdem das Zertifikat für SAML-Zertifikatsanträge aktivieren. Die optionalen benutzerdefinierten Felder werden jedoch nicht an das SAML-Zertifikatsantragsformular weitergegeben.

DigiCert Service Provider-Metadaten

Nachdem Sie die Metadaten des Identitätsanbieters eingerichtet, einen Verbundnamen hinzugefügt und die erlaubten Client-Zertifikatprodukte für die Zertifikatsanträge konfiguriert haben, stellen wir Ihnen die Metadaten des DigiCert Service Providers (SP) bereit. Diese Metadaten müssen zu Ihrem IdP hinzugefügt werden, sodass die Verbindung zwischen Ihrem IdP und Ihrem CertCentral-Konto hergestellt werden kann. Sie können eine dynamische URL oder XML-Metadaten verwenden.

  • Dynamische Metadaten
    Fügen Sie die Metadaten des DigiCert SP zu Ihrem IdP über eine dynamische URL hinzu, auf die Ihr IdP zugreifen kann, um nach Bedarf die Metadaten zu aktualisieren.
  • Statische Metadaten
    Fügen Sie die Metadaten des DigiCert SP zu Ihrem IdP anhand einer statischen XML-Datei hinzu. Falls Sie Ihren IdP aktualisieren müssen, müssen Sie sich bei Ihrem CertCentral-Konto anmelden und eine aktualisierte XML-Datei mit den Metadaten des DigiCert SP holen.

SP-initiierte benutzerdefinierte Zertifikatsantrags-URL oder IdP-initiierte Zertifikatsantrags-URL

Nachdem Sie die Metadaten des DigiCert SP zu Ihrem IdP hinzugefügt haben, verwenden Sie die SAML-Zertifikatsantrags-URL, um ein Client-Zertifikat zu beantragen. Melden Sie sich über die SP initiierte benutzerdefinierte Zertifikatsantrags-URL oder Ihre eigene IdP-initiierte Zertifikatsantrags-URL an.

  • SP-initiierte benutzerdefinierte Zertifikatsantrags-URL
    Zusammen mit Änderungen des neuen SAML-Prozesses wird eine neue benutzerdefinierte Zertifikatsantrags-URL erstellt. SSO-Benutzer können sie benutzen, um ein Client-Zertifikat zu beantragen (zum Beispiel https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • IdP-initiierte Zertifikatsantrags-URL,
    falls Sie eine IdP-initiierte Anmelde-URL bevorzugen, um sich anzumelden und das Client-Zertifikat zu bestellen. Sie müssen Ihre SAML-Benutzer mit dieser IdP-initiierten URL oder Anwendung ausstatten.

IdP-Verbindung bestätigen

Sie sind nun bereit für die Fertigstellung Ihrer SAML-Antrags-URL-Verbindung. Melden Sie sich erstmalig bei der Zertifikatsantrags-URL an (SP- oder IdP-initiiert), um die Verbindung herzustellen.