XML メタデータに関する注意
SAML 証明書申請機能を使用している場合、両方の構成で同じ XML メタデータを使用することはできません。SAML SSO エンティティ ID は SAML ゲスト申請エンティティ ID 異なっていなければなりません。
DigiCert にアイデンティティプロバイダー (IdP) メタデータを提供する
お使いの CertCentral アカウントに対する SAML 証明書申請を構成する場合、SAML 管理者作業リストの最初の項目は IdP メタデータをセットアップすることです。この作業を IdP のダイナミック URL またはスタティック XML メタデータで行います。
- ダイナミックメタデータ
IdP を IdP メタデータにリンクするダイナミック URL で構成します。ダイナミックリンクでは、お使いのメタデータは自動的に更新されます。ユーザーがお使いのアカウントに毎日サインインする場合は、24時間ごとに更新されます。他者がサインインしてから24時間以上経つ場合は、ユーザーがそのアカウントに次回サインインしたときに更新されます。 - スタティックメタデータ
IdP を、IDP メタデータを含むスタティック XML ファイルをアップロードして構成します。メタデータを更新するには、お使いのアカウントにサインインして、更新された IdP メタデータのある新しいXML ファイルで更新します。
CertCentral ユーザーと SSO ユーザーを一致させる: 属性を割り当てるあk、nameID フィールドを使用する
SAML シングサインオンが成功するには。 DigiCert は、CertCentral ユーザーと SSO ユーザー名とを一致させなければなりません。ユーザーの SSO アサーションを CertCentral のユーザー名と一致させる方法を決定しなければなりません。
- 属性
SSO の属性(メールなど)を割り当て、ユーザーを CertCentral アカウントでユーザーを識別します。DigiCert は、この属性を使用して、CertCentral ユーザー名と SSO ユーザーとを一致させます。 - NameID
NameID フィールドを使用して、CertCentral ユーザーを識別できます。DigiCert は、NameID フィールドを使用して、CertCentral ユーザー名と SSO ユーザーとを一致させます。
ユーザーのアカウントへのログインに使用した識別方法 – 属性または NameID フィールド – には関係なく、DigiCert は、CertCentral ユーザー名と、選択した SAML アサーション値とを一致させることができなければなりません。
SAML SSO ユーザーが SP 起点の SSO URL を簡単に識別できるように、フェデレーション名 (分かりやすい名前) を追加することをお勧めします。この名前は、SP 起点のカスタム SSO URL の一部です。アカウントにサインインするため、このカスタム URL を SSO 専用ユーザーに送信することができます。
フェデレーション名は一意でなければなりません。当社では、お客様の会社名の使用をお勧めします。
DigiCert サービスプロバイダー (SP) メタデータ
アイデンティティプロバイダーメタデータをセットアップし、すべてのシングルサインオンユーザー識別のための属性を割り当て、フェデレーション名を追加した後、当社より DigiCert SP メタデータをお客様に提供します。このメタデータを IdP と CertCentral アカウントとの間の接続ができるように、IdP に追加しなければなりません。ダイナミック URL または XML メタデータを使用することができます。
- ダイナミックメタデータ
DigiCert SP メタデータを IdP が更新されたメタデータを維持するために必要時にアクセスできるダイナミック URL を使用して、IdP に追加します。 - スタティックメタデータ
DigiCert SP メタデータをスタティック XML ファイルを使用して IdP に追加します。IdP を更新する必要がある場合、お使いの CertCentral アカウントにサインインして、DigiCert の SP メタデータで、更新された XML ファイルを取得します。
サービスプロバイダー (SP) 起点のカスタム SSO ログイン URL またはアイデンティティプロバイダー (IdP) 起点の SSO ログイン URL
DigiCert の SP メタデータをお使いの IdP に追加したら、SAML SSO を使用して CertCentral アカウントにサインインします。SP 起点のカスタム SSO ログイン URL またはお使いの IdP 起点のログイン URL を経由してサインインします。
- SP 起点のカスタム SSO ログイン URL
新しい SAML プロセス変更とあわせて、新しいカスタム SSO ログイン URL を作成します。SSO ユーザーはそれを使用して、各 CertCentral アカウントにサインインします (カスタム SSO ログイン URL の例:https://www.digicert.com/account/sso/"federation-name"/login). - IdP 起点の SSO ログイン URL
ご希望の場合、IdP 起点のログイン URL を使用して CertCentral アカウントにサインインします。ただし、SSO ユーザーにこの IdP 起点 URL またはアプリケーションを提供する必要があります。
SAML SSO 接続の最終設定を準備します。最初 SSO URL (SP または IdP 起点) 経由でサインインして、接続を最終設定します。