Skip to main content

SAMLシングル サインオンを設定する

How to configure you security assertion markup language (SAML) single sign-on in CertCentral.

開始する前に

前提条件を満たしていることを確認してください。

  • アカウントでSAMLが有効化されている。

    • If you don’t see Single Sign-On under Settings, then SAML isn’t turned on for your account.

    • To get the SAML feature turned on for your CertCentral account, contact your DigiCert account manager or DigiCert Support. When it’s on, in the left menu, under Settings, you should see the Single Sign-On menu option.

  • IdPメタデータ(動的または静的)がある。

  • CertCentralユーザーをSAMLユーザーに一致させるために必要なものがある(Name IDフィールドまたは属性)。

SAMLシングル サインオンの前提条件」と「SAMLサービスのワークフロー」を参照してください。

SAMLシングル サインオンを設定する

  1. [フェデレーション設定]ページに移動します

    1. サイドバーメニューで、[設定]>[シングル サインオン]の順にクリックします。

    2. [シングル サインオン](SS)ページで、[フェデレーション設定を編集する]をクリックします。

  2. アイデンティティプロバイダーのメタデータをセットアップします。

    [フェデレーション設定]ページの[IDPのメタデータ]セクションで、以下のタスクを完了します。

    1. IdPメタデータを追加する

      [IDPからどのようにデータを送信しますか?]で、以下のオプションのいずれかを使用してメタデータを追加します。

      1. XMLメタデータ

        XML形式でデジサートにIdPメタデータを提供します。

        IdPメタデータが変更される場合は、アカウントでIdPメタデータを手動で更新する必要があります。

      2. 動的URLを使用する

        デジサートにIdPメタデータへのリンクを提供します。

        IdPメタデータが変更される場合、IdPメタデータはアカウントで自動的に更新されます。

    2. ユーザーを識別する

      SAMLシングル サインオンが正常に行われるには、SSOアサーションをCertCentralのSSOユーザーのユーザー名と一致させる方法を決定する必要があります。

      [どのようにユーザーを識別しますか?]で以下のオプションのいずれかを使用して、SSOユーザーをCertCentralのユーザー名と一致させます。

      1. NameID

        [NameID]フィールドを使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

      2. SAML属性を使用する

        属性を使用して、CertCentralユーザーをそのSAMLシングル サインオン(SSO)ユーザーに一致させます。

        この属性は、IdPがデジサートに送信するアサーションに表示される必要があります。

        <AttributeStatement> <AttributeName="email"> <AttributeValue>user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. フェデレーション名を追加する

      [フェデレーション名]に、作成されるカスタムSSO URLに包めるフェデレーション名(フレンドリ名)を入力します。このSSO URLは、SSO限定ユーザーに送信します。

      [フェデレーション名]に、作成されるカスタムSSO URLに包めるフェデレーション名(フレンドリ名)を入力します。このSSO URLは、SSO限定ユーザーに送信します。

      重要

      フェデレーション名は一意である必要があります。デジサートは、お客様の会社名の使用をお勧めします。

    4. フェデレーション名を含める

      SSOユーザーがSP開始のカスタムSSO URLに簡単にアクセスできる[IDP選択]ページにフェデレーション名を追加します。

      [IdP選択]ページのIdPリストにフェデレーション名が表示されないようにするには、[フェデレーション名をIdPリストに追加する]をオフにします。

  3. Configure single logout

    Select Use single logout service to logout from IDP to sign out from your IDP as you sign out of CertCentral.

    With this enabled, CertCentral sends a message to your IDP telling it to terminate the session on the IDP as you sign out of CertCentral.

  4. デジサートのサービスプロバイダー(SP)メタデータを追加します

    [シングル サインオン(SSO)]ページの[デジサートのSPメタデータ]セクションで以下のタスクのいずれかを完了して、デジサートのSPメタデータをIdPのメタデータに追加します。

    • デジサートのSPメタデータ向けの動的URL

      デジサートのSPメタデータへの動的URLをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、そのSPメタデータはIdPで自動的に更新されます。

    • 静的XML

      デジサートのXML形式のSPメタデータをコピーしてそれをIdPに追加し、SSO接続を確立できるようにします。

      デジサートのSPメタデータが変更されることがあれば、IdPでSPメタデータを手動で更新する必要があります。

  5. When ready, select Save SAML settings.

  6. ユーザーのSSO設定を行います

    ユーザーをアカウントに追加するときは、ユーザーをシングル サインオン認証のみに制限することができます(SSO限定ユーザー)。これらのユーザーにはAPIアクセス権がありません(機能するAPIキーを作成できないなど)。

    API keys for SSO-only users

    To allow SSO-only users to create API keys and build API Integrations, select Enable API access for SSO-only users.

    • The Enable API access for SSO-only users option allows SSO-only users with API keys to bypass single sign-on.

    • Disabling API access for SSO-only users doesn't revoke existing API keys. It just blocks the creation of new API keys.

  7. サインインして、SAML SSOからCertCentralへの接続を確定します

    [シングル サインオン]ページの[SP開始のカスタムSSO URL]セクションでURLをコピーして、それをブラウザに貼り付けます。次に、IdP認証情報を使用してCertCentralアカウントにサインインします。

次のステップ

アカウントでのシングル サインオンユーザーの管理を開始します(SAML SSO限定ユーザーをアカウントに追加する、既存のアカウントユーザーをSAML SSO限定ユーザーに変換するなど)。「SAMLシングル サインオン(SSO)ユーザーの管理」および「「SAML設定へのアクセスを許可する」許可」を参照してください。

このセクションの内容: