Flujo de trabajo de servicio de solicitud de certificado SAML

Nota de metadatos XML

Si utiliza la función de inicio de sesión único SAML, no puede utilizar los mismos metadatos XML para ambas configuraciones. La Id. de la entidad que solicita el certificado SAML debe ser diferente a la Id. de la entidad SSO SAML.

Proporcionarle los metadatos de su proveedor de identidad (IdP) a DigiCert

Para configurar las solicitudes de certificados SAML para su cuenta de CertCentral, el primer elemento de la lista de cosas por hacer del administrador SAML es configurar los metadatos de su IdP. Puede hacerlo con una URL dinámica o metadatos XML estáticos desde su IdP.

  • Metadatos dinámicos
    Configure su IdP a través de una URL dinámica que se vincula con los metadatos de su IdP. Con un enlace dinámico, sus metadatos se actualizan automáticamente. Si tiene usuarios que inician sesión en su cuenta a diario, se actualiza cada 24 horas. Si pasaron más de 24 horas sin que alguien haya iniciado sesión, se actualizará la próxima vez que un usuario inicia sesión en su cuenta.
  • Metadatos estáticos
    Configure su IdP cargando un archivo XML estático que contenga todos los metadatos de su IdP. Para actualizar sus metadatos, deberá iniciar sesión en su cuenta y cargar un nuevo archivo XML con los metadatos actualizados del IdP.

Nombre de la federación

A fin de que sea más sencillo para sus usuarios SAML identificar la URL de su solicitud de certificado iniciada por el SP, recomendamos agregarle una federación (nombre descriptivo). Este nombre será parte de la URL de la solicitud de certificado iniciada por el SP que puede enviarles a los usuarios SAML para solicitar certificados de cliente. También se incluirá en el encabezado de la página de inicio de sesión de su solicitud de certificado iniciada por el SP.

El nombre de la federación debe ser único; le recomendamos utilizar el nombre de su compañía.

Asignaciones de campo esperadas de la aserción SAML

Para que la solicitud de certificado SAML sea exitosa, debe configurar las asignaciones de campo del lado del IdP en la aserción SAML.

  • Organización
    Buscaremos el atributo SAML "organización".
    El atributo organización debe coincidir con una organización activa en su cuenta de CertCentral; una que DigiCert haya validado para la validación de organización (OV). Por ejemplo, si quiere utilizar DigiCert, Inc., su atributo SAMl “organización” debe ser “DigiCert, Inc.”(<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).
  • Nombre común
    Buscaremos el atributo SAML “common_name”. El dominio debe coincidir con un dominio de su cuenta de CertCentral que DigiCert haya validado para la validación de organización (OV).
  • Dirección de correo electrónico
    Buscaremos el atributo SAML “correo electrónico”.
  • Id. personal (opcional)
    La Id. personal solo se necesita si el NameID no está incluido en la aserción. Si el NameID no está incluido, buscaremos el atributo SAML “person_id”.
    El atributo “person_id” debe ser único para el usuario. Este Id. les permite acceder a los pedidos que realizaron con anterioridad.
    Estas asignaciones de campo deben configurarse del lado del IdP para que DigiCert pueda analizar adecuadamente los metadatos y mostrar la información correcta en los formularios de solicitud de certificado de cliente de su solicitud de certificado SAML.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Productos disponibles en el formulario de solicitud de certificado

Debe seleccionar los certificados de cliente que sus usuarios SAML pueden pedir una vez autenticados en la página de solicitudes de certificados SAML. Actualmente, solo aceptamos certificados de cliente para solicitudes de certificados SAML.

Para habilitar un certificado de cliente para su solicitud de certificado SAML, debe habilitarse para su cuenta. Para habilitar un certificado de cliente para su cuenta, póngase en contacto con el representante de su cuenta DigiCert o con nuestro Equipo de asistencia.

  • Authentication Only: Brinda autenticación de cliente.
  • Authentication Plus: Brinda autenticación de cliente y firma de documento*.
  • Digital Signature Plus: Brinda autenticación de cliente, firma de correo electrónico y firma de documento*.
  • Premium: Brinda autenticación de cliente, cifrado de correo electrónico, firma de correo electrónico y firma de documento*.

*Firma de documento

Para los programas que son compatibles con la aplicación de firmas digitales y cifrado, los clientes pueden firmar documentos y cifrar sus datos de valor, como documentos. Para los programas que utilizan la Lista aprobada de confianza de Adobe, deberá utilizar un certificado de firma de documento de DigiCert.

Configuraciones de los límites del producto

Los límites del producto que configura en la página Configuración de producto en su CertCentral no se aplican a los productos para la función de solicitud de certificado SAML. (En el menú lateral, haga clic en Configuración > Configuración de producto).

Campos personalizados

Actualmente, la función de solicitud de certificado SAML no admite agregar campos personalizados en el formulario de solicitud de certificado.

  • No utilizar campos personalizados obligatorios
    Si tiene planeado habilitar el certificado de cliente para las solicitudes de certificados SAML, no agregue los campos personalizados obligatorios al certificado. Los campos personalizados obligatorios interrumpen el proceso de solicitud de certificado SAML y causan un error.
  • Los campos personalizados opcionales no se incluyen en los formularios de solicitud de certificado SAML
    Puede agregar campos personalizados opcionales a un formulario de certificado de cliente y aun así habilitar ese certificado para las solicitudes de certificado SAML. Sin embargo, los campos personalizados opcionales no pasan por el formulario de solicitud de certificado SAML.

Metadatos del proveedor de servicios (SP) de DigiCert

Después de que haya configurado los metadatos del proveedor de servicios, haya agregado un nombre de federación y haya configurado los productos permitidos del certificado de cliente para las solicitudes de certificado, le brindaremos los metadatos del SP de DigiCert. Estos metadatos deben agregarse a su IdP para que la conexión entre este y la cuenta de CertCentral pueda realizarse. Puede utilizar una URL dinámica o metadatos XML.

  • Metadatos dinámicos
    Agregue metadatos del SP de DigiCert a su IdP utilizando una URL dinámica a la que su IdP puede acceder según sea necesario para mantener los metadatos actualizados.
  • Metadatos estáticos
    Agregue metadatos del SP de DigiCert a su IdP utilizando un archivo XML estático. Si necesita actualizar su IdP en el futuro, deberá iniciar sesión en su cuenta de CertCentral y obtener un archivo XML actualizada con los metadatos del SP de DigiCert.

URL de la solicitud de certificado personalizada iniciada por el proveedor de servicios (SP) o URL de la solicitud de certificado iniciada por el proveedor de identidad (IdP).

Una vez que haya agregado los metadatos del SP de DigiCert a su IdP, utilice la URL de la solicitud de certificado SAML para solicitar un certificado de cliente. Inicie sesión a través de la URL de la solicitud de certificado personalizada iniciada por el SP o su propia URL de la solicitud de certificado iniciada por el IdP.

  • URL de la solicitud de certificado personalizada iniciada por el SP
    Junto con los nuevos campos del proceso SAML, se crea una nueva URL de la solicitud de certificado personalizada. Los usuarios SSO pueden utilizarla para solicitar un certificado de cliente (por ejemplo, https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • URL de la solicitud de certificado iniciada por el IdP
    Si así lo prefiere, utilice una URL de inicio de sesión iniciada por el IdP para iniciar sesión y también para pedir el certificado de cliente. No obstante, deberá proporcionarles a sus usuarios SAML esta URL iniciada por el IdP o la aplicación.

Confirmar conexión IdP

Está listo para finalizar su conexión con la URL de la solicitud de certificado SAML. Inicie sesión en la URL de la solicitud de certificado (iniciada por el SP o el IdP) por primera vez para finalizar la conexión.