Workflow du service de demande de certificat SAML
Important
Remarque sur les métadonnées XML
Si vous utilisez la fonction d'authentification unique SAML, vous ne pouvez pas utiliser les mêmes métadonnées XML pour les deux configurations. L’identifiant d’entité de demande de certificat SAML doit être différent de l’identifiant d’entité de SSO SAML.
Fournir vos métadonnées de fournisseur d’identité (IdP) à DigiCert
Pour configurer les demandes de certificat SAML pour votre compte CertCentral, la première des tâches de l’administrateur SAML consiste à paramétrer ses métadonnées d’IdP. Pour ce faire, vous pouvez utiliser une URL dynamique ou des données XML statiques de votre IdP.
Métadonnées dynamiques
Configurez votre IdP via une URL dynamique pointant vers les métadonnées de votre IdP. Avec un tel lien dynamique, les métadonnées sont mises à jour automatiquement. Si vous avez des utilisateurs qui se connectent à votre compte quotidiennement, la mise à jour se fait toutes les 24 heures. Si cela fait plus de 24 heures que personne ne s’est connecté, la mise à jour se fera la prochaine fois qu'un utilisateur se connectera au compte.
Métadonnées statiques
Configurez votre IdP en envoyant un fichier XML statique contenant toutes les métadonnées de votre IdP. Pour mettre à jour vos métadonnées, vous devrez vous connecter à votre compte et envoyer un nouveau fichier XML contenant les données mises à jour.
Nom de la fédération
Pour faciliter l’identification par vos utilisateurs SAML de vos URL de demande de certificat initiées par votre SP, nous recommandons d'y ajouter une fédération (nom convivial). Ce nom fera partie de l’URL de demande de certificat initiée par le SP que vous pouvez envoyer aux utilisateurs SAML pour les demandes de certificats clients. Il sera également inclus au titre de votre page de connexion pour les demandes
Avis
Le nom de la fédération doit être unique. Nous vous conseillons d'utiliser le nom de votre entreprise.
Mappage de champs attendu pour l'assertion SAML
Pour que la demande de certificat SAML fonctionne, vous devez configurer le mappage des champs côté IdP au niveau de l'assertion SAML.
Organisation
Nous recherchons un attribut SAML organization.
L'attribut « organization » doit correspondre à une organisation active déjà validée par DigiCert dans le cadre des validations d'organisations (OV). Par exemple, si vous souhaitez utiliser « DigiCert, Inc. », alors votre attribut SAML organization doit être DigiCert, Inc. (
<saml:AttributeValue>
DigiCert, Inc.
</saml:AttributeValue>
).Nom commun
Nous recherchons l'attribut SAML « common_name » Le domaine doit correspondre à un domaine déjà validé par DigiCert dans le cadre des validations d’organisations (OV).
Adresse e-mail
Nous allons rechercher l’attribut SAML « email »
Identifiant de la personne (facultatif)
L’identifiant personnel n’est nécessaire que si le NameID est absent de l'assertion Si le NameID n’est pas inclus, nous rechercherons l'attribut SAML « person_id ».
L'attribut « person_id » doit être unique à l’utilisateur. Cet identifiant permet aux utilisateurs d'accéder à leurs commandes passées.
Ces mappages de champs doivent être configurés côté IdP de sorte que DigiCert puisse analyser correctement les métadonnées et afficher les bonnes informations dans les champs des demandes de certificat SAML.
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Produits disponibles dans le formulaire de demande de certificat
Vous devez sélectionner les certificats clients que vos utilisateurs SAML peuvent commander une fois authentifiés auprès de la page de demandes de certificat SAML. À ce jour, s'agissant des demandes de certificat SAML, nous ne prenons en charge que les certificats clients.
Pour activer un certificat client pour votre demande de certificat SAML, celui-ci doit également être activé pour votre compte. Pour faire activer un certificat client pour votre compte, contactez votre représentant DigiCert ou l’assistance DigiCert.
Authentification uniquement – Fournit une authentification client
Authentification Plus – Fournit une authentification client ainsi que la signature de documents*
Signature numérique Plus – Fournit une authentification client, la signature d’e-mails et la signature de documents*
Premium – Fournit une authentification client, le chiffrement d’e-mails, la signature d’e-mails et la signature de documents*
Avis
*Signature de documents
Pour les programmes compatibles avec l’application de chiffrement et de signatures numériques, les clients peuvent signer les documents et chiffrer leurs données importantes (documents ou autres). Pour les programmes utilisant la liste Adobe Approved Trust List, vous devrez utiliser un certificat de signature de document DigiCert.
Configurations de limites du produit
Les limites du produit configurables depuis la page Product Settings (Paramètres du produit) de votre compte CertCentral ne s'appliquent pas aux produits dans le cadre de la fonction de demande de certificat SAML (dans le menu de la barre latérale, cliquez sur Settings > Product Settings(Paramètres > Paramètres du produit).
Champs personnalisés
À l’heure actuelle, la fonction de demande de certificat SAML ne prend pas en charge l’ajout de champs personnalisés dans le formulaire de demande de certificat.
N’utilisez pas de champs personnalisés obligatoires
Si vous comptez utiliser le certificat client pour de futures demandes de certificat, n'ajoutez pas au certificat de champs personnalisés dont le remplissage est obligatoire. La présence de champs personnalisés au remplissage obligatoire empêche le bon fonctionnement du processus de demande de certificat SAML et entraînera une erreur.
Les champs personnalisés optionnels ne sont pas inclus sur les formulaires de demandes de certificat SAML
Vous pouvez ajouter des champs personnalisés facultatifs à un formulaire de certificat client et néanmoins activer ce certificat pour les demandes de certificat SAML. Cependant, les champs personnalisés optionnels ne seront pas transmis au formulaire de demande de certificat SAML.
Métadonnées de fournisseur de services (Service Provider, SP)
Après avoir paramétré les métadonnées du fournisseur d’identité, ajouté un nom de fédération et configuré les produits de certificats clients autorisés à bénéficier d'une demande de certificat, nous vous fournirons les métadonnées SP de DigiCert.
Ces métadonnées doivent être ajoutées à votre IdP pour permettre la connexion entre votre IdP et votre compte CertCentral. Vous pouvez utiliser une URL dynamique ou des métadonnées au format XML.
Métadonnées dynamiques
Ajoutez vos métadonnées de SP fournies par DigiCert à votre IdP à l’aide d'une URL dynamique à laquelle votre IdP pourra librement accéder pour mettre à jour les métadonnées.
Métadonnées statiques
Ajoutez les métadonnées SP de DigiCert à votre IdP à l’aide d'un fichier XML statique. Si vous devez mettre à jour votre IdP à l’avenir, vous devrez vous connecter à votre compte CertCentral et récupérer un fichier XML à jour contenant les métadonnées SP de DigiCert.
URL personnalisée de demande de certificat personnalisé initiée par le fournisseur de service (SP) ou URL de demande de certificat personnalisé initiée par le fournisseur d’identité (IdP)
Une fois que vous avez ajouté les métadonnées SP de DigiCert à votre IdP, utilisez l’URL de demande de certificat SAML pour demander un certificat client. Connectez-vous via l’URL personnalisée de demande de certificat initiée par le SP ou via votre propre URL de demande de certificat initiée par l’IdP.
URL de demande de certificat personnalisée initiée par SP
Une nouvelle URL personnalisée de demande de certificat est créée avec les nouveaux changements de processus SAML. Les utilisateurs SSO peuvent l'utiliser pour demander un certificat client (par exemple, https://www.digicert.com/account/saml-certificate-request/nom-de-la-fédération/login).
URL de demande de certificat initiée par l’IdP
Si vous préférez, vous pouvez également utiliser une URL de connexion initiée par l’IdP pour vous connecter et commander le certificat client. Cependant, vous devez fournir à vos utilisateurs SAML cette URL ou application initiée par l’IdP.
Confirmer la connexion IdP
Prêt à finaliser votre connexion à l’URL de demande de certificat SAML ?
Identifiez-vous sur l’URL de demande de certificat (initiée par le SP ou l’IdP) une première fois pour finaliser la connexion.