Configurer l'authentification unique par SAML

Avant de commencer

Avant de commencer, assurez-vous que vous remplissez bien les prérequis :

  • Vous avez activé la connexion SAML pour votre compte
  • Vous disposez des métadonnées de votre IdP (dynamiques ou statiques)
  • Préparer le nécessaire pour relier les utilisateurs CertCentral et SAML (champ NameID ou attribut).

Consultez prérequis pour l’authentification unique SAML et workflow du service SAML.

Configurer l'authentification unique par SAML

  1. Rendez-vous sur la page « Paramètres de la Fédération »

    1. Dans le menu de la barre latérale, cliquez sur Paramètres > Authentification unique.
    2. Sur la page de connexion unique, cliquez sur Edit Federation Settings (Modifier les paramètres de fédération).
  1. Paramétrez les métadonnées de votre fournisseur d'identité

    Sur la page des paramètres de fédération, dans la section Your IDP's Metadata (Métadonnées de votre IdP), effectuez les tâches indiquées ci-dessous.

    1. Ajoutez les métadonnées de l’IdP
      sous « Comment allez-vous transmettre les données de votre IdP ? », choisissez l’une de ces méthodes d'ajout de vos métadonnées.
      1. Métadonnées XML
        Fournissez les métadonnées d’IdP à DigiCert au format XML.
        Si vos métadonnées changent, vous devrez les mettre à jour manuellement sur votre compte.
      2. Utiliser une URL dynamique
        Fournissez à DigiCert un lien vers les métadonnées de l’IdP.
        Si vos métadonnées changent, elles seront mises à jour automatiquement sur votre compte.
    2. Identifier les utilisateurs
      Pour que l'authentification unique SAML réussisse, vous devez décider comment faire correspondre votre assertion SSO aux noms d'utilisateurs SSO dans CertCentral.
      Dans la partie « Comment identifierez-vous les utilisateurs ? », utilisez l'une des options suivantes pour faire correspondre un utilisateur SSO à son nom d'utilisateur CertCentral.
      1. NameID
        Utilisez le champ NameID pour lier vos utilisateurs CertCentral à leur nom d'utilisateur SSO SAML.
      2. Utiliser un attribut SAML
        Utilisez un attribut pour lier vos utilisateurs CertCentral à leur nom d'utilisateur SSO SAML.
        Dans le champ correspondant, saisissez l’attribut que vous souhaitez utiliser (par ex. « email »).
        Cet attribut doit être présent dans l’assertion que votre IdP envoie à DigiCert :
        <AttributeStatement>
        <Attribute
        Name="email">
        <AttributeValue>
        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. Ajoutez un nom de fédération
      sous « Nom de la fédération », saisissez un nom de fédération (nom convivial). Celui-ci sera inclus à l’URL SSO personnalisée lorsque celle-ci sera créée. Vous pourrez transmettre cette URL SSO à vos utilisateurs limités aux connexions par SSO.
      Remarque : Le nom de la fédération doit être unique. Nous vous conseillons d'utiliser le nom de votre entreprise.
    4. Inclure un nom de fédération
      Par défaut, nous ajoutons le nom de votre fédération à la page Sélection de l’IdP sur laquelle vos utilisateurs SSO peuvent accéder facilement à votre URL SSO personnalisée initiée par le SP.
      Pour empêcher votre nom de fédération d'apparaître dans la liste des IdP sur la page Sélection de l’IdP, décochez la case Ajouter le nom de ma fédération à la liste des IdP.
    5. Enregistrez
      Lorsque vous avez terminé, cliquez sur Enregistrer et terminer.
  1. Ajouter les métadonnées du fournisseur de services (SP) DigiCert

    Sur la page de demande concernant les authentifications uniques (SSO), dans la section « Métadonnées du SP DigiCert », remplissez l’une de ces tâches pour ajouter les métadonnées de SP DigiCert à celles de votre IdP :

    • URL dynamique pour les métadonnées SP de DigiCert
      Copiez l’URL dynamique dans les métadonnées SP de DigiCert ajoutez-la à votre IdP pour permettre la connexion SSO.
      Si les métadonnées SP de DigiCert changent, elles seront mises à jour automatiquement chez votre IdP.
    • XML statique
      Copiez les métadonnées SP DigiCert formatées en XML. Ajoutez-les à votre IdP pour permettre la connexion par SSO.
      Si les métadonnées de SP DigiCert venaient à changer, vous serez obligé de faire la mise à jour manuellement auprès de votre IdP.
  1. Configurer les paramètres SSO pour utilisateurs

    Lorsque vous ajoutez des utilisateurs à votre compte, vous pouvez les limiter aux connexions par authentification unique (utilisateurs limités au SSO). Ces utilisateurs n’ont pas accès à l’API (par exemple, ils ne peuvent pas créer de clés d’API fonctionnelles).

    Pour permettre aux utilisateurs exclusivement SSO de créer des clés d’API et de mettre en œuvre des intégrations à l’API, cochez Activer l’accès à l’API pour les utilisateurs exclusivement SSO.

L’option Activer l’accès à l’API pour les utilisateurs exclusivement SSO permet aux utilisateurs exclusivement SSO bénéficiant de clés d’API d’outrepasser l'authentification unique. La désactivation de l’accès à l’API aux utilisateurs exclusivement SSO ne révoque pas les clés d’API existantes. Cela ne fait que bloquer la création de nouvelles clés d’API.

  1. S’identifier et finaliser la connexion SSO SAML vers CertCentral

    Sur la page d'authentification unique, dans la section URL SSO initiée par le SP, copiez l’URL et collez-la dans un navigateur. Utilisez ensuite les identifiants de votre IdP pour vous connecter à votre compte CertCentral.

Si vous préférez, vous pouvez utiliser une URL de connexion initiée par l’IdP pour vous identifier à votre compte CertCentral. Cependant, vous devrez fournir à vos utilisateurs SSO cette URL ou application initiée par l’IdP.

Et ensuite ?

Commencez à gérer vos utilisateurs à authentification unique depuis votre compte (ajoutez des utilisateurs SSO SAML à votre compte, convertissez des comptes existants en comptes exclusivement SSO SAML, etc.) Référez-vous à Gérer les utilisateurs à authentification unique (SSO) SAML et Permission d’accès aux paramètres SAML.