SAML シングルサインオンを構成する

開始する前に

開始する前に、前提条件を満たしているかを確認してください。

  • お使いのアカウントについて SAML を有効にする
  • IdP メタデータ (ダイナミックまたはスタティック) を有する
  • CertCentral ユーザー を SAML ユーザー (Name ID フィールドまたは属性) と一致させるために必要なものを有しています。

「SAML シングルサインオン前提条件」「SAML サービスワークフロー」を参照してください。

SAML シングルサインオンを構成する

  1. [フェデレーション設定]ページに移動する

    1. サイドバーメニューで、[設定] > [シングルサインオン]の順でクリックします。
    2. [シングルサインオン (SS) ]ページで、[フェデレーション設定を編集する]をクリックします。

  1. アイデンティティプロバイダーメタデータをセットアップする

    [IDP のメタデータ]セクションの[フェデレーション設定]ページで、以下のタスクを完了します。

    1. IdP メタデータを追加する
      [IDP からどのようにデータを送信するか?]下で、これらのオプションの1つを使用して、メタデータを追加します。
      1. XML メタデータ
        DigiCert に IdP メタデータを XML 形式で提供します。
        IdP メタデータが変更された場合、IdP メタデータをお使いのアカウントで手動更新する必要があります。
      2. ダイナミック URL を使用する
        DigiCert に IdP メタデータへのリンクを提供します。
        IdP メタデータが変更された場合、IdP メタデータはお使いアカウントで自動更新されます。
    2. ユーザーを識別する
      SAML シングルサインオンでサインインに成功するには、SSO アサーションと、CertCentral の SSO ユーザー名を一致させる方法を決定しなければなりません。
      「ユーザーをどのように識別するか?」下で、これらのオプションの1つを使用して、SSO ユーザーと CertCentral のユーザーとを一致させます。
      1. NameID
        NameIDフィールドを使用して、CertCentral ユーザーを SAML Single Sign-onシングルサインオン (SSO) ユーザーとを一致させます。
      2. SAML 属性を使用する
        属性を使用して CertCentral ユーザーと SAML Single Sign-onシングルサインオン (SSO) ユーザーとを一致させます。
        ボックスに、使用する属性 (例えば、メール) を入力します。
        この属性は、お使いの IdP が DigiCert に送信するアサーションに表示される必要があります。
        <AttributeStatement>
        <属性         Name="email">
        <AttributeValue>        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. フェデレーション名を追加する
      [フェデレーション名]で、,作成するカスタム SSO URL にフェデレーション名(分かりやすい名前)を入力します。この SSO URL を SSO 専用ユーザーに送信します。
      注意:フェデレーション名は一意でなければなりません。当社では、お客様の会社名の使用をお勧めします。
    4. フェデレーション名を含める
      デフォルトでは、フェデレーション名を [IdP 選択] ページに入力し、そこで SSO ユーザーは、SP 起点のカスタム SSO URL に簡単にアクセスできます。
      フェデレーション名が [IdP 選択] ページで、 IdP のリストに表示されないようにするには、「フェデレーション名を IdP のリストに追加する」のチェックを外します。
    5. 保存
      終了したら、[保存して終了する]をクリックします。

  1. DigiCert サービスプロバイダー (SP) メタデータを追加する

    [DigiCert の SP メタデータ]セクションの[シングルサインオン (SSO) ]ページで、これらのタスクの1つを完了し、DigiCert SP メタデータを IdP のメタデータに追加します。

    • DigiCert の SP メタデータのダイナミック URL
      ダイナミック URL を DigiCert SP メタデータにコピーして IdP に追加し、SSO 接続できるようにします。
      DigiCert SP メタデータが変更された場合、SP メタデータは IdP で自動的に更新されます。
    • スタティック XML
      DigiCert XML 形式の SP メタデータをコピーし、IdP に追加して SSO 接続できるようにします。
      DigiCert SP メタデータが変更された場合、IdP に手動で更新する必要があります。

  1. ユーザー向けに SSO 設定を構成する

    ユーザーをお使いのアカウントに追加することで、ユーザーをシングルサインオン認証のみ (SSO 専用ユーザー) に制限することができます。これらのユーザーは、API アクセスできません (例. 作動 API キーを作成できない)。

    SSO 専用ユーザーの API キーの作成および API 統合の構築を許可するには、「API アクセスを SSO 専用ユーザーに有効にする」にチェックを入れます。

「API アクセスを SSO 専用ユーザーに有効にする」 オプションでは、API キーを有する SSO 専用ユーザーがシングルサインオンをバイパスできます。API アクセスを SSO 専用ユーザーについて無効にすると、既存の API キーが失効になります。新しい API キーの作成をブロックするだけです。

  1. サインインして SAML SSO の CertCentral 接続を最終設定する

    [SP 起点のカスタム SSO URL]セクションの[シングルサインオン]ページで、URL をコピーして、ブラウザに貼り付けます。次に、IdP 資格情報を使用して CertCentral アカウントにサインインします。

ご希望の場合、代わりに IdP 起点のログイン URL を使用して CertCentral アカウントにサインインします。ただし、SSO ユーザーにこの IdP 起点 URL またはアプリケーションを提供する必要があります。

次の操作

お使いのアカウントのシングルサインオンユーザーの管理を開始します (SAML SSO 専用ユーザーをお使いのアカウントに追加、既存のアカウントユーザーを SAML SSO 専用ユーザーに変換など)。「SAML シングルサインオン (SSO) ユーザー」 および 「[SAML 設定へのアクセスを許可する]権限」を参照してください。

案内

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.