Flujo de trabajo de servicio de solicitudes de certificados SAML
Importante
Nota de metadatos XML
Si utiliza la función de inicio de sesión único SAML, no puede utilizar los mismos metadatos XML para ambas configuraciones. La Id. de la entidad que solicita el certificado SAML debe ser diferente a la Id. de la entidad SSO SAML.
Proporcionarle los metadatos de su proveedor de identidad (IdP) a DigiCert
Para configurar las solicitudes de certificados SAML para su cuenta de CertCentral, el primer elemento de la lista de cosas por hacer del administrador SAML es configurar los metadatos de su IdP. Puede hacer esto con una URL dinámica o metadatos XML estáticos desde su IdP.
Metadatos dinámicos
Configure su IdP a través de una URL dinámica que se vincula con los metadatos de su IdP. Con un enlace dinámico, sus metadatos se actualizan automáticamente. Si tiene usuarios que inician sesión en su cuenta a diario, se actualiza cada 24 horas. Si pasaron más de 24 horas sin que alguien haya iniciado sesión, se actualizará la próxima vez que un usuario inicia sesión en su cuenta.
Metadatos estáticos
Configure su IdP cargando un archivo XML estático que contenga todos los metadatos de su IdP. Para actualizar sus metadatos, deberá iniciar sesión en su cuenta y cargar un nuevo archivo XML con los metadatos actualizados del IdP.
Nombre de la federación
A fin de que sea más sencillo para sus usuarios SAML identificar la URL de su solicitud de certificado iniciada por el SP, recomendamos agregarle una federación (nombre descriptivo). Este nombre será parte de la URL de la solicitud de certificado iniciada por SP que puede enviarles a los usuarios SAML para solicitar certificados de cliente. También se incluirá en el encabezado de la página de inicio de sesión de su solicitud de certificado iniciada por el SP.
Aviso
El nombre de federación debe ser único. Le recomendamos que utilice el nombre de su compañía.
Asignaciones de campo esperadas de la aserción SAML
Para que la solicitud de certificado SAML sea exitosa, debe configurar las asignaciones de campo del lado del IdP en la aserción SAML.
Organización
Buscaremos el atributo SAML "organización".
El atributo organización debe coincidir con una organización activa que DigiCert haya validado para la validación de organización (OV). Por ejemplo, si quiere utilizar DigiCert, Inc., su atributo SAML “organización” debe ser “DigiCert, Inc.” (
<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).Nombre común
Buscaremos el atributo SAML “common_name”. El dominio debe coincidir con un dominio que DigiCert haya validado para la validación de la organización (OV).
Dirección de correo electrónico
Buscaremos el atributo SAML “email”.
Id. personal (opcional)
La Id. personal solo se necesita si el NameID no está incluido en la aserción. Si el NameID no está incluido, buscamos el atributo SAML “person_id”.
El atributo “person_id” debe ser único para el usuario. Este Id. les permite a los usuarios acceder a los pedidos que realizaron con anterioridad.
Estas asignaciones de campo deben configurarse del lado del IdP para que DigiCert pueda analizar adecuadamente los metadatos y mostrar la información correcta en los formularios de solicitud de certificado SAML.
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Productos disponibles en el formulario de solicitud de certificado
Debe seleccionar los certificados de cliente que sus usuarios de SAML pueden solicitar una vez autenticados en la página de solicitudes de certificados SAML. Actualmente, solo aceptamos certificados de cliente para solicitudes de certificados SAML.
Para habilitar un certificado de cliente para su solicitud de certificado SAML, debe habilitarse para su cuenta. Para habilitar un certificado de cliente para su cuenta, póngase en contacto con el representante de su cuenta DigiCert o con soporte técnico de DigiCert.
Authentication Only: Brinda autenticación de cliente.
Authentication Plus: Brinda autenticación de cliente y firma de documento*.
Digital Signature Plus: Brinda autenticación de cliente, firma de correo electrónico y firma de documento*.
Premium: Brinda autenticación de cliente, cifrado de correo electrónico, firma de correo electrónico y firma de documento*.
Aviso
*Firma de documento
Para los programas que son compatibles con la aplicación de firmas digitales y cifrado, los clientes pueden firmar documentos y cifrar sus datos de valor, como documentos. Para los programas que utilizan la Lista aprobada de confianza de Adobe, deberá utilizar un certificado de firma de documento de DigiCert.
Configuraciones de los límites del producto
Los límites del producto que configura en la página Configuración de producto en su CertCentral no se aplican a los productos para la función de solicitud de certificado SAML (en el menú de la barra lateral, haga clic en Configuración > Configuración del producto).
Campos personalizados
Actualmente, la función de solicitud de certificado SAML no admite agregar campos personalizados en el formulario de solicitud de certificado.
No utilizar campos personalizados obligatorios
Si tiene planeado habilitar el certificado de cliente para las solicitudes de certificados SAML, no agregue los campos personalizados obligatorios al certificado. Los campos personalizados obligatorios interrumpen el proceso de solicitud de certificado SAML y causan un error.
Los campos personalizados opcionales no se incluyen en los formularios de solicitud de certificado SAML
Puede agregar campos personalizados opcionales a un formulario de certificado de cliente y aun así habilitar ese certificado para las solicitudes de certificado SAML. Sin embargo, los campos personalizados opcionales no pasan por el formulario de solicitud de certificado SAML.
Metadatos del proveedor de servicios (SP) de DigiCert
Después de que haya configurado los metadatos del proveedor de servicios, haya agregado un nombre de federación y haya configurado los productos permitidos del certificado de cliente para las solicitudes de certificado, le brindaremos los metadatos del SP de DigiCert.
Estos metadatos deben agregarse a su IdP para que la conexión entre este y la cuenta de CertCentral pueda realizarse. Puede utilizar una URL dinámica o metadatos XML.
Metadatos dinámicos
Agregue metadatos de SP de DigiCert a su IdP utilizando una URL dinámica a la que su IdP pueda acceder para mantener los metadatos actualizados.
Metadatos estáticos
Agregue metadatos del SP de DigiCert a su IdP utilizando un archivo XML estático. Si necesita actualizar su IdP en el futuro, deberá iniciar sesión en su cuenta de CertCentral y obtener un archivo XML actualizada con los metadatos del SP de DigiCert.
URL de la solicitud de certificado personalizada iniciada por el proveedor de servicios (SP) o URL de la solicitud de certificado iniciada por el proveedor de identidad (IdP).
Una vez que haya agregado los metadatos del SP de DigiCert a su IdP, utilice la URL de la solicitud de certificado SAML para solicitar un certificado de cliente. Inicie sesión a través de la URL de la solicitud de certificado personalizada iniciada por el SP o su propia URL de la solicitud de certificado iniciada por el IdP.
URL de la solicitud de certificado personalizada iniciada por el SP
Junto con los nuevos campos del proceso SAML, se crea una nueva URL de la solicitud de certificado personalizada. Los usuarios SSO pueden utilizarla para solicitar un certificado de cliente (por ejemplo, https://www.digicert.com/account/saml-certificate-request/ "federation-name" /login).
URL de la solicitud de certificado iniciada por el IdP
Si así lo prefiere, utilice una URL de inicio de sesión iniciada por el IdP para iniciar sesión y también para pedir el certificado de cliente. No obstante, deberá proporcionarles a sus usuarios SAML esta URL iniciada por el IdP o la aplicación.
Confirmar conexión IdP
¿Está listo para finalizar su conexión con la URL de la solicitud de certificado SAML?
Inicie sesión en la URL de la solicitud de certificado (iniciada por el SP o el IdP) por primera vez para finalizar la conexión.