Workflow du service SAML

Remarque sur les métadonnées XML :

Si vous utilisez la fonction de demandes de certificat SAML, vous ne pouvez pas utiliser les mêmes métadonnées XML pour les deux configurations. L’ID d’entité SSO SAML doit être différente de l’ID d’entité de demande invitée SAML.

Fournir vos métadonnées de fournisseur d’identité (IdP) à DigiCert

Pour configurer l'authentification unique SAML pour votre compte CertCentral, la première des tâches de l’administrateur SAML consiste à paramétrer ses métadonnées d’IdP. Pour ce faire, vous pouvez utiliser une URL dynamique ou des données XML statiques de votre IdP.

  • Métadonnées dynamiques
    Configurez votre IdP via une URL dynamique pointant vers les métadonnées de votre IdP. Avec un tel lien dynamique, les métadonnées sont mises à jour automatiquement. Si vous avez des utilisateurs qui se connectent à votre compte quotidiennement, la mise à jour se fait toutes les 24 heures. Si cela fait plus de 24 heures que personne ne s’est connecté, la mise à jour se fera la prochaine fois qu'un utilisateur se connectera au compte.
  • Métadonnées statiques
    Configurez votre IdP en envoyant un fichier XML statique contenant toutes les métadonnées de votre IdP. Pour mettre à jour vos métadonnées, vous devrez vous connecter à votre compte et envoyer un nouveau fichier XML contenant les données mises à jour.

Lier les utilisateurs CertCentral à leurs équivalents SSO : affectez un attribut ou utilisez le champ nameID.

Pour que l'authentification unique SAML réussisse, DigiCert doit faire correspondre les utilisateurs CertCentral à leur nom d'utilisateur SSO. Vous devez décider de quelle manière vous ferez correspondre les assertions SSO des utilisateurs à leurs noms d’utilisateur CertCentral.

  • Attribut
    Vous pouvez affecter un attribut (par ex. l’e-mail) du SSO pour identifier les utilisateurs avec leurs comptes CertCentral. DigiCert utilisera cet attribut pour relier les noms d’utilisateur CertCentral à leurs utilisateurs SSO.
  • NameID
    Vous pouvez utiliser le champ NameID pour identifier les utilisateurs CertCentral. DigiCert utilisera le champ NameID pour relier les noms d’utilisateur CertCentral à leurs utilisateurs SSO.

Quelle que soit la méthode d’identification utilisée (par attribut ou par champ NameID), pour qu'un utilisateur se connecte à son compte, DigiCert doit pouvoir relier un nom d'utilisateur CertCentral à la valeur de l’assertion SAML sélectionnée.

Nom de la fédération

Pour faciliter l’identification par vos utilisateurs SSO SAML de vos URL SSO personnalisées initiées par votre SP, nous recommandons d'y ajouter une fédération (nom convivial). Le nom sera intégré à l’URL SSO personnalisée initiée par le SP. Vous pouvez envoyer cette URL personnalisée à vos utilisateurs SSO pour leur permettre de se connecter à leur compte.

Le nom de la fédération doit être unique. Nous vous conseillons d'utiliser le nom de votre entreprise.

Métadonnées de fournisseur de services (Service Provider, SP)

Après avoir paramétré les métadonnées de votre fournisseur d'identité, affecté les attributs permettant l’identification des utilisateurs à authentification unique et ajouté un nom de fédération, nous vous fournirons les métadonnées de SP de DigiCert. Ces métadonnées doivent être ajoutées à votre IdP pour permettre la connexion entre votre IdP et votre compte CertCentral. Vous pouvez utiliser une URL dynamique ou des métadonnées au format XML.

  • Métadonnées dynamiques
    Ajoutez les métadonnées de SP fournies par DigiCert à votre IdP à l’aide d'une URL dynamique à laquelle votre IdP pourra librement accéder pour mettre à jour les métadonnées en fonction de ses besoins.
  • Métadonnées statiques
    Ajoutez les métadonnées SP de DigiCert à votre IdP à l’aide d'un fichier XML statique. Si vous devez mettre à jour votre IdP, vous devrez vous connecter à votre compte CertCentral et récupérer un fichier XML à jour contenant les métadonnées SP de DigiCert.

URL personnalisée de connexion SSO initiée par le fournisseur de service (SP) ou URL de connexion SSO initiée par le fournisseur d’identité (IdP)

Une fois que vous avez ajouté les métadonnées SP de DigiCert à votre IdP, utilisez le SSO SAML pour vous connecter à votre compte CertCentral. Connectez-vous via l’URL personnalisée de connexion SSO initiée par le SP ou par votre propre URL de connexion initiée par l’IdP.

  • URL personnalisée de connexion SSO initiée par le SP
    Une nouvelle URL personnalisée de connexion SSO est créée avec les nouveaux changements de processus SAML. Les utilisateurs SSO l'utiliseront pour se connecter à leur compte CertCentral (exemple d’URL de connexion SSO personnalisée : https://www.digicert.com/account/sso/"nom-de-fédération"/login).
  • URL de connexion SSO initiée par l’IdP
    Si vous préférez, vous pouvez également utiliser une URL de connexion initiée par l’IdP pour vous connecter à votre compte CertCentral. Cependant, vous devrez fournir à vos utilisateurs SSO cette URL ou application initiée par l’IdP.

Confirmer la connexion IdP

Prêt à finaliser votre connexion SSO SAML ? Connectez-vous à votre compte CertCentral à l’aide de l’URL SSO (initiée par le SP ou l’IdP) une première fois pour finaliser la connexion.