Workflow du service de demande de certificat SAML

Remarque sur les métadonnées XML

Si vous utilisez la fonction d'authentification unique SAML, vous ne pouvez pas utiliser les mêmes métadonnées XML pour les deux configurations. L’identifiant d’entité de demande de certificat SAML doit être différent de l’identifiant d’entité de SSO SAML.

Fournir vos métadonnées de fournisseur d’identité (IdP) à DigiCert

Pour configurer les demandes de certificat SAML pour votre compte CertCentral, la première des tâches de l’administrateur SAML consiste à paramétrer ses métadonnées d’IdP. Pour ce faire, vous pouvez utiliser une URL dynamique ou des données XML statiques de votre IdP.

  • Métadonnées dynamiques
    Configurez votre IdP via une URL dynamique pointant vers les métadonnées de votre IdP. Avec un tel lien dynamique, les métadonnées sont mises à jour automatiquement. Si vous avez des utilisateurs qui se connectent à votre compte quotidiennement, la mise à jour se fait toutes les 24 heures. Si cela fait plus de 24 heures que personne ne s’est connecté, la mise à jour se fera la prochaine fois qu'un utilisateur se connectera au compte.
  • Métadonnées statiques
    Configurez votre IdP en envoyant un fichier XML statique contenant toutes les métadonnées de votre IdP. Pour mettre à jour vos métadonnées, vous devrez vous connecter à votre compte et envoyer un nouveau fichier XML contenant les données mises à jour.

Nom de la fédération

Pour faciliter l’identification par vos utilisateurs SAML de vos URL de demande de certificat initiées par votre SP, nous recommandons d'y ajouter une fédération (nom convivial). Ce nom fera partie de l’URL de demande de certificat initiée par le SP que vous pouvez envoyer aux utilisateurs SAML pour les demandes de certificats clients. Il sera également inclus au titre de votre page de connexion pour les demandes

Le nom de fédération doit être unique, nous conseillons d’utiliser le nom de votre entreprise.

Mappage de champs attendu pour l'assertion SAML

Pour que la demande de certificat SAML fonctionne, vous devez configurer le mappage des champs côté IdP au niveau de l'assertion SAML.

  • Organisation
    Nous chercherons un attribut SAML "organization".
    L'attribut « organization » doit correspondre à une organisation active de votre compte CertCentral déjà validée par DigiCert dans le cadre des validations d'organisations (OV). Par exemple, si vous souhaitez utiliser « DigiCert, Inc. », alors votre attribut SAML “organization” doit être “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).
  • Nom commun
    Nous chercherons un attribut SAML “common_name”. Le domaine doit correspondre à un domaine de votre compte CertCentral déjà validé par DigiCert dans le cadre des validations d’organisations (OV).
  • Adresse e-mail
    Nous chercherons un attribut SAML “email”
  • Identifiant personnel (facultatif)
    L’identifiant personnel n’est nécessaire que si le NameID est absent de l'assertion Si l'attribut NameID n’est pas fourni, nous chercherons l’attribut SAML “person_id”.
    L'attribut “person_id” doit être exclusif à l’utilisateur. Cet identifiant leur permet d'accéder aux commandes précédemment passées.
    Ces mappages de champs doivent être configurés côté IdP de sorte que DigiCert puisse analyser correctement les métadonnées et afficher les bonnes informations dans les champs des demandes de certificat SAML/client.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Produits disponibles dans le formulaire de demande de certificat

Vous devez sélectionner les certificats clients que vos utilisateurs SAML peuvent commander une fois authentifiés auprès de la page de demandes de certificats SAML. À ce jour, s'agissant des demandes de certificat SAML, nous ne prenons en charge que les certificats clients.

Pour activer un certificat client pour votre demande de certificat SAML, celui-ci doit également être activé pour votre compte. Pour faire activer un certificat client pour votre compte, contactez votre représentant DigiCert ou notre assistance.

  • Authentification uniquement – Fournit une authentification client
  • Authentification Plus – Fournit une authentification client ainsi que la signature de documents*
  • Signature numérique Plus – Fournit une authentification client, la signature d’e-mails et la signature de documents*
  • Premium – Fournit une authentification client, le chiffrement d’e-mails, la signature d’e-mails et la signature de documents*

*Signature de documents

Pour les programmes compatibles avec l’application de chiffrement et de signatures numériques, les clients peuvent signer les documents et chiffrer leurs données importantes (documents ou autres). Pour les programmes utilisant la liste Adobe Approved Trust List, vous devrez utiliser un certificat de signature de document DigiCert.

Configurations de limites du produit

Les limites du produit configurables depuis la page Paramètres du produit de votre compte CertCentral ne s'appliquent pas aux produits dans le cadre de la fonction de demande de certificat SAML. (Dans le menu de la barre latérale, cliquez sur Paramètres > Paramètres du produit.

Champs personnalisés

À l’heure actuelle, la fonction de demande de certificat SAML ne prend pas en charge l’ajout de champs personnalisés dans le formulaire de demande de certificat.

  • N’utilisez pas de champs personnalisés obligatoires
    Si vous comptez utiliser le certificat client pour de futures demandes de certificat SAML, n'ajoutez pas au certificat de champs personnalisés dont le remplissage est obligatoire. La présence de champs personnalisés au remplissage obligatoire empêche le bon fonctionnement du processus de demande de certificat SAML et entraînera une erreur.
  • Les champs personnalisés optionnels ne sont pas inclus sur les formulaires de demandes de certificat SAML
    Vous pouvez ajouter des champs personnalisés facultatifs à un formulaire de certificat client et néanmoins activer ce certificat pour les demandes de certificat SAML. Cependant, les champs personnalisés optionnels ne seront pas transmis au formulaire de demande de certificat SAML.

Métadonnées de fournisseur de services (Service Provider, SP)

Après avoir paramétré les métadonnées du fournisseur d’identité, ajouté un nom de fédération et configuré les produits de certificats clients autorisés à bénéficier d'une demande de certificat, nous vous fournirons les métadonnées SP de DigiCert. Ces métadonnées doivent être ajoutées à votre IdP pour permettre la connexion entre votre IdP et votre compte CertCentral. Vous pouvez utiliser une URL dynamique ou des métadonnées au format XML.

  • Métadonnées dynamiques
    Ajoutez vos métadonnées de SP fournies par DigiCert à votre IdP à l’aide d'une URL dynamique à laquelle votre IdP pourra librement accéder pour mettre à jour les métadonnées en fonction de ses besoins.
  • Métadonnées statiques
    Ajoutez les métadonnées SP de DigiCert à votre IdP à l’aide d'un fichier XML statique. Si vous devez mettre à jour votre IdP à l’avenir, vous devrez vous connecter à votre compte CertCentral et récupérer un fichier XML à jour contenant les métadonnées SP de DigiCert.

URL personnalisée de demande de certificat personnalisé initiée par le fournisseur de service (SP) ou URL de demande de certificat personnalisé initiée par le fournisseur d’identité (IdP)

Une fois que vous avez ajouté les métadonnées SP de DigiCert à votre IdP, utilisez l’URL de demande de certificat SAML pour demander un certificat client. Connectez-vous via l’URL personnalisée de demande de certificat initiée par le SP ou via votre propre URL de demande de certificat initiée par l’IdP.

  • URL personnalisée de demande de certificat initiée par le SP
    Une nouvelle URL personnalisée de demande de certificat est créée avec les nouveaux changements de processus SAML. Les utilisateurs SSO peuvent l'utiliser pour demander un certificat client (par exemple, https://www.digicert.com/account/saml-certificate-request/"nom-de-la-fédération"/login).
  • URL de demande de certificat initiée par l’IdP
    Si vous préférez, vous pouvez également utiliser une URL de connexion initiée par l’IdP pour vous connecter et commander le certificat client. Cependant, vous devrez fournir à vos utilisateurs SAML cette URL ou application initiée par l’IdP.

Confirmer la connexion IdP

Prêt à finaliser votre connexion à l’URL de demande de certificat SAML. Identifiez-vous sur l’URL de demande de certificat (initiée par le SP ou l’IdP) une première fois pour finaliser la connexion.