Configura SAML Single Sign-on

Prima di iniziare

Prima di iniziare, accertati di soddisfare i prerequisiti:

  • Abilita SAML per il tuo account
  • Recupera i metadati IdP (dinamici o statici)
  • Hai quello che ti serve per abbinare gli utenti CertCentral agli utenti SAML (campo ID nome o attributo).

Consulta Prerequisiti SAML single sign-on e Flusso di lavoro del servizio SAML.

Configura SAML Single Sign-on

  1. Vai alla pagina Impostazioni federazione

    1. Nel menu della barra laterale, fai clic su Impostazioni > Single Sign-On.
    2. Nella pagina Single Sign-on (SSO), fai clic su Modifica impostazioni federazione.

  1. Configura i metadati del tuo provider di identità

    Nella pagina Impostazioni federazione, nella sezione Metadati di IDP, completa le attività illustrate di seguito.

    1. Aggiungi metadati IdP
      In Specifica il metodo di invio dei dati da IDP, usa una di queste opzioni per aggiungere i tuoi metadati.
      1. Metadati XML
        Fornisci a DigiCert i tuoi metadati IdP in formato XML.
        Se i tuoi metadati IdP cambiano, dovrai aggiornarli manualmente nel tuo account.
      2. Usa URL dinamico
        Fornisci a DigiCert il link al tuoi metadati IdP.
        Se i tuoi metadati IdP cambiano, si aggiorneranno automaticamente nel tuo account.
    2. Identifica utenti
      Affinché l’accesso SAML Single Sign-On funzioni correttamente, devi decidere come abbinare la tua asserzione SSO con i nomi utente degli utenti SSO in CertCentral.
      In Come identifichi un utente?, usa una di queste opzioni per abbinare gli utenti SSO ai loro nomi utente in CertCentral.
      1. ID nome
        Usa il campo ID nome per abbinare gli utenti CertCentral ai loro utenti SAML Single Sign-on (SSO).
      2. Utilizza un attributo SAML
        Usa un attributo per abbinare gli utenti CertCentral ai loro utenti SAML Single Sign-on (SSO).
        Nella casella, inserisci l’attributo che vuoi usare (ad esempio, e-mail).
        Questo attributo deve comparire nell’asserzione che il tuo IdP invia a DigiCert:
        <AttributeStatement>
        <Attributo         Name="email">
        <ValoreAttributo>        user@example.com
        </ValoreAttributo>
        </Attributo>
        </DichiarazioneAttributo>
    3. Aggiungi nome federazione
      In Nome federazione, inserisci un nome federazione (nome descrittivo) da includere nell’URL SSO personalizzato creato. Invierai questo URL SSO agli utenti solo SSO.
      Nota: Il nome federazione deve essere univoco. Raccomandiamo di usare il nome della tua azienda.
    4. Includi nome federazione
      Per impostazione predefinita, aggiungiamo il nome federazione alla pagina Selezione IdP dove i tuoi utenti SSO possono accedere facilmente al tuo URL SSO personalizzato avviato da SP.
      Per evitare che il tuo nome federazione compaia nell’elenco degli IdP sulla pagina Selezione IdP, deseleziona Aggiungi il mio nome federazione all’elenco degli IdP.
    5. Salva
      Al termine, fai clic su Salva e termina.

  1. Aggiungi metadati del service provider (SP) DigiCert

    Nella pagina Single Sign-on (SSO), nella sezione Metadati SP di DigiCert, completa una di queste attività per aggiungere i metadati SP DigiCert ai tuoi metadati IdP:

    • URL dinamico per i metadati SP di DigiCert
      Copia l’URL dinamico nei metadati SP di DigiCert e aggiungilo al tuo IdP per realizzare il collegamento SSO.
      Se i metadati SP DigiCert cambiano, i tuoi metadati SP si aggiorneranno automaticamente nel tuo IdP.
    • XML statico
      Copia i metadati SP formattati XML di DigiCert e aggiungili al tuo IdP per realizzare il collegamento SSO.
      Se i metadati SP DigiCert cambiano, dovrai aggiornarli manualmente nel tuo IdP.

  1. Configura impostazioni SSO per utenti

    Quando aggiungi degli utenti al tuo account, puoi limitare gli utenti solo all’autenticazione Single Sign-on (utenti solo SSO). Questi utenti non hanno accesso API (ad es. non possono creare chiavi API funzionanti).

    Per consentire agli utenti solo SSO di creare chiavi API e creare integrazioni API, seleziona Abilita accesso API per gli utenti solo SSO.

L’opzione Abilita accesso API per gli utenti solo SSO consente agli utenti solo SSO con chiavi API di bypassare il Single Sign-on. La disabilitazione dell’accesso API per gli utenti solo SSO non revoca le chiavi API esistenti. Blocca solo la creazione di nuove chiavi API.

  1. Accedi e finalizza il collegamento SAML SSO a CertCentral

    Nella pagina Single Sign-on, nella sezione URL SSO personalizzato avviato da SP, copia l’ URL e incollalo in un browser. Dopodiché, usa le tue credenziali IdP per accedere al tuo account CertCentral.

Se preferisci, usa un URL di accesso avviato da IdP per accedere al tuo account CertCentral. Tuttavia, dovrai fornire agli utenti SSO questo URL avviato da IdP o l’applicazione.

Passaggi successivi

Inizia a gestire i tuoi utenti Single Sign-on nel tuo account (aggiungi utenti SAML solo SSO al tuo account, converti gli utenti dell’account esistenti in utenti SAML solo SSO, ecc.). Consulta Gestione degli utenti SAML Single Sign-on (SSO) e Autorizzazione Consenti l'accesso alle impostazioni SAML.

Informazioni

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.