SAML サービスワークフロー

XML メタデータに関する注意

SAML 証明書申請機能を使用している場合、両方の構成で同じ XML メタデータを使用することはできません。SAML SSO エンティティ ID は SAML ゲスト申請エンティティ ID 異なっていなければなりません。

DigiCert にアイデンティティプロバイダー (IdP) メタデータを提供する

お使いの CertCentral アカウントに対する SAML 証明書申請を構成する場合、SAML 管理者作業リストの最初の項目は IdP メタデータをセットアップすることです。この作業を IdP のダイナミック URL またはスタティック XML メタデータで行います。

  • ダイナミックメタデータ
    IdP を IdP メタデータにリンクするダイナミック URL で構成します。ダイナミックリンクでは、お使いのメタデータは自動的に更新されます。ユーザーがお使いのアカウントに毎日サインインする場合は、24時間ごとに更新されます。他者がサインインしてから24時間以上経つ場合は、ユーザーがそのアカウントに次回サインインしたときに更新されます。
  • スタティックメタデータ
    IdP を、IDP メタデータを含むスタティック XML ファイルをアップロードして構成します。メタデータを更新するには、お使いのアカウントにサインインして、更新された IdP メタデータのある新しいXML ファイルで更新します。

CertCentral ユーザーと SSO ユーザーを一致させる: 属性を割り当てるあk、nameID フィールドを使用する

SAML シングサインオンが成功するには。 DigiCert は、CertCentral ユーザーと SSO ユーザー名とを一致させなければなりません。ユーザーの SSO アサーションを CertCentral のユーザー名と一致させる方法を決定しなければなりません。

  • 属性
    SSO の属性(メールなど)を割り当て、ユーザーを CertCentral アカウントでユーザーを識別します。DigiCert は、この属性を使用して、CertCentral ユーザー名と SSO ユーザーとを一致させます。
  • NameID
    NameID フィールドを使用して、CertCentral ユーザーを識別できます。DigiCert は、NameID フィールドを使用して、CertCentral ユーザー名と SSO ユーザーとを一致させます。

ユーザーのアカウントへのログインに使用した識別方法 – 属性または NameID フィールド – には関係なく、DigiCert は、CertCentral ユーザー名と、選択した SAML アサーション値とを一致させることができなければなりません。

フェデレーション名

SAML SSO ユーザーが SP 起点の SSO URL を簡単に識別できるように、フェデレーション名 (分かりやすい名前) を追加することをお勧めします。この名前は、SP 起点のカスタム SSO URL の一部です。アカウントにサインインするため、このカスタム URL を SSO 専用ユーザーに送信することができます。

フェデレーション名は一意でなければなりません。当社では、お客様の会社名の使用をお勧めします。

DigiCert サービスプロバイダー (SP) メタデータ

アイデンティティプロバイダーメタデータをセットアップし、すべてのシングルサインオンユーザー識別のための属性を割り当て、フェデレーション名を追加した後、当社より DigiCert SP メタデータをお客様に提供します。このメタデータを IdP と CertCentral アカウントとの間の接続ができるように、IdP に追加しなければなりません。ダイナミック URL または XML メタデータを使用することができます。

  • ダイナミックメタデータ
    DigiCert SP メタデータを IdP が更新されたメタデータを維持するために必要時にアクセスできるダイナミック URL を使用して、IdP に追加します。
  • スタティックメタデータ
    DigiCert SP メタデータをスタティック XML ファイルを使用して IdP に追加します。IdP を更新する必要がある場合、お使いの CertCentral アカウントにサインインして、DigiCert の SP メタデータで、更新された XML ファイルを取得します。

サービスプロバイダー (SP) 起点のカスタム SSO ログイン URL またはアイデンティティプロバイダー (IdP) 起点の SSO ログイン URL

DigiCert の SP メタデータをお使いの IdP に追加したら、SAML SSO を使用して CertCentral アカウントにサインインします。SP 起点のカスタム SSO ログイン URL またはお使いの IdP 起点のログイン URL を経由してサインインします。

  • SP 起点のカスタム SSO ログイン URL
    新しい SAML プロセス変更とあわせて、新しいカスタム SSO ログイン URL を作成します。SSO ユーザーはそれを使用して、各 CertCentral アカウントにサインインします (カスタム SSO ログイン URL の例:https://www.digicert.com/account/sso/"federation-name"/login).
  • IdP 起点の SSO ログイン URL
    ご希望の場合、IdP 起点のログイン URL を使用して CertCentral アカウントにサインインします。ただし、SSO ユーザーにこの IdP 起点 URL またはアプリケーションを提供する必要があります。

IdP 接続を確認する

SAML SSO 接続の最終設定を準備します。最初 SSO URL (SP または IdP 起点) 経由でサインインして、接続を最終設定します。