Skip to main content

Configurer l'authentification unique par SAML

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

  • Vous avez activé la connexion SAML pour votre compte.

  • Vous disposez des métadonnées de votre IdP (dynamiques ou statiques).

  • Vous avez préparé le nécessaire pour relier les utilisateurs CertCentral et SAML (champ NameID ou attribut).

Veuillez consulter la page Conditions préalables à l’authentification unique SAML et Workflow du service SAML.

Configurer l'authentification unique par SAML

  1. Rendez-vous sur la page « Paramètres de la Fédération »

    1. Dans le menu de la barre latérale, cliquez sur Settings > Single Sign-On (Paramètres > Authentification unique).

    2. Sur la page de connexion unique, cliquez sur Edit Federation Settings (Modifier les paramètres de la fédération).

  2. Paramétrez les métadonnées de votre fournisseur d'identité.

    Sur la page des paramètres de la fédération, dans la section « Métadonnées de votre IdP », effectuez les tâches indiquées ci-dessous.

    1. Ajouter les métadonnées de l’IdP

      Sous How will you send data from your IDP? (Comment allez-vous transmettre les données de votre IdP ?), choisissez l’une de ces méthodes d'ajout de vos métadonnées.

      1. Méta données XML

        Fournissez les métadonnées d’IdP à DigiCert au format XML.

        Si vos métadonnées changent, vous devrez les mettre à jour manuellement sur votre compte.

      2. Utiliser une URL dynamique

        Fournissez à DigiCert un lien vers les métadonnées de l’IdP.

        Si vos métadonnées changent, elles seront mises à jour automatiquement sur votre compte.

    2. Identifier les utilisateurs.

      Pour que l'authentification unique SAML réussisse, vous devez décider comment faire correspondre votre assertion SSO aux noms d'utilisateurs SSO dans CertCentral.

      Sous How will you identify a user? (Comment identifierez-vous les utilisateurs ?), utilisez l'une des options suivantes pour faire correspondre un utilisateur SSO à son nom d'utilisateur CertCentral.

      1. NameID

        Utilisez le champ NameID pour lier vos utilisateurs CertCentral à leur nom d'utilisateur SSO SAML.

      2. Utiliser un attribut SAML

        Utilisez un attribut pour lier vos utilisateurs CertCentral à leur nom d'utilisateur SSO SAML.

        Dans le champ, saisissez l'attribut que vous souhaitez utiliser (par exemple, email).

        Cet attribut doit apparaître dans l’assertion que votre IdP envoie à DigiCert :

        <AttributeStatement> <Attribute Name="email" > <AttributeValue> user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. Ajouter un nom de fédération.

      Sous Federation Name (Nom de la fédération), saisissez un nom de fédération (nom convivial). Celui-ci sera inclus à l’URL SSO personnalisée lorsque celle-ci sera créée. Vous pourrez transmettre cette URL SSO à vos utilisateurs limités aux connexions par SSO.

      Note

      Le nom de la fédération doit être unique. Nous vous conseillons d'utiliser le nom de votre entreprise.

    4. Inclure le nom de la fédération :

      Par défaut, nous ajoutons le nom de la fédération à la page

      IdP Selection (Sélection d’IdP) où vos utilisateurs SSO pourront facilement accéder à l’URL de SSO personnalisée initiée par le SP.

      Pour empêcher votre nom de fédération d'apparaître dans la liste des IdP sur la page IdP Selection (Sélection de l’IdP), décochez la case Add my Federation Name to the list of IdPs (Ajouter le nom de ma fédération à la liste des IdP).

    5. Enregistrer.

      Lorsque vous avez terminé, cliquez sur Save & Finish (Enregistrer et terminer).

  3. Ajouter les métadonnées du fournisseur de services (SP) DigiCert

    Sur la page de demande concernant les authentifications uniques (SSO), dans la section DigiCert’s SP Metadata (Métadonnées du SP DigiCert), remplissez l’une de ces tâches pour ajouter les métadonnées de SP DigiCert à celles de votre IdP :

    • URL dynamique pour les métadonnées SP de DigiCert

      Copiez l’URL dynamique dans les métadonnées SP de DigiCert ajoutez-la à votre IdP pour permettre la connexion SSO.

      Si les métadonnées SP de DigiCert changent, elles seront mises à jour automatiquement chez votre IdP.

    • XML statique

      Copiez les métadonnées de SP au format XML de DigiCert et ajoutez-les à votre IdP pour faciliter la connexion SSO.

      Si les métadonnées SP de DigiCert changent, vous devrez les mettre à jour manuellement du côté de votre IdP.

  4. Configurer les paramètres SSO pour utilisateurs

    Lorsque vous ajoutez des utilisateurs à votre compte, vous pouvez les limiter aux connexions par authentification unique (utilisateurs limités au SSO). Ces utilisateurs n’ont pas accès à l’API (par exemple, ils ne peuvent pas créer de clés d’API fonctionnelles).

    Pour permettre aux utilisateurs exclusivement SSO de créer des clés d’API et de mettre en œuvre des intégrations à l’API, cochez Enable API access for SSO-only users (Activer l’accès à l’API pour les utilisateurs exclusivement SSO).

    Note

    L’option « Enable API access for SSO-only users » (Activer l’accès à l’API pour les utilisateurs exclusivement SSO) permet aux utilisateurs exclusivement SSO bénéficiant de clés d’API d’outrepasser l'authentification unique. La désactivation de l’accès à l’API aux utilisateurs exclusivement SSO ne révoque pas les clés d’API existantes. Cela ne fait que bloquer la création de nouvelles clés d’API.

  5. S’identifier et finaliser la connexion SSO SAML vers CertCentral

    Sur la page d'authentification unique, dans la section SP Initiated Custom SSO URL (URL SSO initiée par le SP), copiez l’URL et collez-la dans un navigateur. Utilisez ensuite les identifiants de votre IdP pour vous connecter à votre compte CertCentral.

    Note

    L’option « Enable API access for SSO-only users » (Activer l’accès à l’API pour les utilisateurs exclusivement SSO) permet aux utilisateurs exclusivement SSO bénéficiant de clés d’API d’outrepasser l'authentification unique. La désactivation de l’accès à l’API aux utilisateurs exclusivement SSO ne révoque pas les clés d’API existantes. Cela ne fait que bloquer la création de nouvelles clés d’API.

Et ensuite ?

Commencez à gérer vos utilisateurs à authentification unique depuis votre compte (ajoutez des utilisateurs SSO SAML à votre compte, convertissez des comptes existants en comptes exclusivement SSO SAML, etc.) Consultez Gérer les utilisateurs de l'authentification unique (SSO) SAML et Autorisation d'accès aux paramètres SAML.