Flusso di lavoro del servizio Richieste certificati SAML

Nota sui metadati XML

Se utilizzi la funzione SAML Single Sign-On, non puoi usare gli stessi metadati XML per entrambe le configurazioni. L’ID entità della richiesta di certificato SAML deve essere diverso dall’ID entità SAML SSO.

Fornisci a DigiCert i metadati sul tuo provider di identità (IdP)

Per configurare le richieste di certificato SAML per il tuo account CertCentral, il primo elemento dell’elenco delle cose da fare SAML Admin è impostare i metadati del tuo IdP. Puoi farlo con un URL dinamico o metadati XML statici del tuo IdP.

  • Metadati dinamici
    Configura il tuo IdP con un URL dinamico che si collega ai metadati del tuo IdP. Con un link dinamico, il tuoi metadati vengono aggiornati automaticamente. Se hai degli utenti che accedono al tuo account ogni giorno, si aggiornano ogni 24 ore. Sono sono passate più di 24 ore da quando qualcuno ha effettuato l'accesso, si aggiorneranno la prossima volta che un utente accede al tuo account.
  • Metadati statici
    Configura il tuo IdP caricando un file XML statico che contiene tutti i metadati del tuo IdP. Per aggiornare i tuoi metadati, dovrai accedere al tuo account e caricare un nuovo file XML con i metadati IdP aggiornati.

Nome federazione

Affinché i tuoi utenti SAML identifichino più facilmente il tuo URL di richiesta certificato avviato da SP, raccomandiamo di aggiungere una federazione (nome descrittivo). Questo nome farà parte dell’URL di richiesta certificato avviato da SP che puoi inviare agli utenti SAML per richiedere i certificati client. Sarà incluso anche nel titolo della pagina di accesso alla tua richiesta certificato avviato da SP.

Il nome federazione deve essere univoco; raccomandiamo di usare il nome della tua azienda.

Mapping campo previsti dall’asserzione SAML

Affinché la richiesta di certificato SAML venga conclusa correttamente, devi configurare i mapping campo sul lato IdP nell’asserzione SAML.

  • Organizzazione
    Cercheremo l’attributo SAML "organizzazione".
    L’attributo organizzazione deve corrispondere ad un’organizzazione attiva nel tuo account CertCentral, una che DigiCert ha convalidato per la convalida organizzazione (OV). Ad esempio, se vuoi usare DigiCert, Inc., il tuo attributo “organizzazione” SAML deve essere “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).
  • Nome comune
    Cercheremo l’attributo SAML “common_name”. Il dominio deve corrispondere ad un dominio nel tuo account CertCentral, che DigiCert ha convalidato per la convalida organizzazione (OV).
  • Indirizzo e-mail
    Cercheremo l’attributo SAML “e-mail”
  • ID persona (facoltativo)
    L’ID personale è richiesto solo se l'ID nome non è incluso nell’asserzione. Se l’ID nome non è incluso, cercheremo l’attributo SAML “person_id”.
    L’attributo “person_id” deve essere univoco per l’utente. Questo ID consente di accedere agli ordini precedentemente effettuati.
    Questi mapping di campo devono essere configurati sul lato IdP in modo che DigiCert possa analizzare correttamente i metadati e visualizzare le informazioni corrette nei moduli di richiesta certificato client della tua richiesta di certificato SAML.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Prodotti disponibili sul modulo di richiesta certificato

Devi selezionare i certificati client che gli utenti SAML possono ordinare una volta autenticati nella pagina delle richieste di certificati SAML. Attualmente, supportiamo solo certificati client per le richieste di certificati SAML.

Per abilitare un certificato client per la tua richiesta di certificato SAML, deve essere abilitato per il tuo account. Per abilitare un certificato client per il tuo account, contatta il tuo account, contatta il tuo rappresentante account DigiCert o il nostro team di assistenza.

  • Solo autenticazione – Fornisce l’autenticazione client.
  • Authentication Plus – Fornisce l’autenticazione client e la firma documento*.
  • Digital Signature Plus – Fornisce l’autenticazione client, la firma e-mail e la firma documento*.
  • Premium – Fornisce l’autenticazione client, la crittografia e-mail, la firma e-mail e la firma documento*.

*Firma documento

Per i programmi che supportano l’applicazione delle firme digitali e la crittografia, i client possono firmare i documenti e crittografare i loro preziosi dati come documenti. Per i programmi che usano l’Adobe Approved Trust List, dovrai usare un certificato di firma documento DigiCert.

Configurazioni dei limiti di prodotto

I limiti di prodotto che configuri nella pagina Impostazioni prodotto in CertCentral non si applicano ai prodotti per la funzione di richiesta certificato SAML. (Nel menu della barra laterale, fai clic su Impostazioni > Impostazioni prodotto.)

Campi personalizzati

Attualmente, la funzione di richiesta certificato SAML non supporta l’aggiunta di campi personalizzati sul modulo di richiesta certificato.

  • Non usare i campi personalizzati richiesti
    Se vuoi abilitare il certificato client per le richieste di certificato SAML, non aggiungere i campi personalizzati richiesti al certificato. I campi personalizzati richiesti interrompono il processo di richiesta certificato SAML e causano un errore.
  • I campi personalizzati opzionali non sono inclusi sui moduli della richiesta di certificato SAML
    Puoi aggiungere campi personalizzati opzionali ad un modulo di certificato client e abilitare ancora quel certificato per le richieste di certificati SAML. Tuttavia, i campi personalizzati opzionali non passano nel modulo di richiesta certificato SAML.

Metadati Service Provider (SP) DigiCert

Dopo aver impostato i metadati del tuo provider di identità, aggiunto un nome federazione e configurato i prodotti del certificato client consentiti per le richieste di certificato, ti forniremo i metadati SP di DigiCert. Questi metadati devono essere aggiunti al tuo IdP in modo da poter fare il collegamento tra il tuo IdP e il tuo account CertCentral. Puoi usare un URL dinamico o dei metadati XML.

  • Metadati dinamici
    Aggiungi i metadati SP di DigiCert al tuo IdP usando un URL dinamico a cui il tuo IdP può accedere come necessario per mantenere aggiornati i metadati.
  • Metadati statici
    Aggiungi i metadati SP di DigiCert al tuo IdP usando un file XML statico. Se devi aggiornare il tuo IdP in futuro, dovrai accedere al tuo account CertCentral e ottenere un file XML aggiornato con i metadati SP di DigiCert.

URL della richiesta certificato personalizzato avviato dal service provider (SP) o URL della richiesta certificato avviato dal provider di identità (IdP)

Una volta aggiunti i metadati SP di DigiCert al tuo IdP, usa l’URL della richiesta certificato SAML per richiedere un certificato client. Accedi tramite l’URL della richiesta certificato personalizzato avviato dal service provider (SP) o l’URL della richiesta certificato avviato dall’IdP.

  • URL della richiesta certificato personalizzata avviato dal SP
    Insieme alle modifiche del nuovo processo SAML, viene creato un nuovo URL della richiesta certificato personalizzata. Gli utenti SSO possono usarlo per richiedere un certificato client (ad esempio https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • URL della richiesta certificato avviata da IdP
    Se preferisci, usa un URL di accesso avviato da IdP per accedere e ordinare anche il certificato client. Tuttavia, dovrai fornire agli utenti SAML questo URL avviato da IdP o l’applicazione.

Conferma collegamento IDP

Sei pronto per finalizzare il collegamento dell’URL della tua richiesta certificato SAML. Accedi all’URL della richiesta certificato (avviato da SP o IdP) per la prima volta per finalizzare il collegamento.