Skip to main content

SAMLサービスのワークフロー

重要

XMLメタデータに関する注意:

SAML証明書申請機能を使用している場合、両方の設定で同じXMLメタデータを使用することはできません。SAML SSOエンティティIDは、SAMLゲスト申請エンティティIDとは異なるものである必要があります。

デジサートにアイデンティティプロバイダー(IdP)メタデータを提供する

CertCentralアカウントのSAMLシングル サインオン(SSO)を設定するためにSAML管理者が実行する作業リストの最初の項目は、IdPメタデータをセットアップすることです。これは、IdPからの動的URLまたは静的XMLメタデータを使用して実行できます。

  • 動的メタデータ:

    IdPメタデータにリンクする動的URLを使用して、IdPを設定します。動的リンクにより、メタデータは自動的に更新されます。アカウントに毎日サインインするユーザーがいる場合は、24時間ごとに更新されます。誰かがサインインしてから24時間以上経過した場合は、ユーザーが次にアカウントにサインインするときに更新されます。

  • 静的メタデータ:

    すべてのIDPメタデータが含まれる静的XMLファイルをアップロードすることによって、IdPを設定します。メタデータを更新するには、アカウントにサインインして、更新されたIdPメタデータが含まれる新しいXMLファイルをアップロードする必要があります。

CertCentralユーザーをSSOユーザーに一致させる:属性を割り当てる、またはnameIDフィールドを使用

SAMLシングル サインオンが正常に行われるには、デジサートがCertCentralユーザーをそのSSOユーザー名と一致させる必要があるので、ユーザーのSSOアサーションをCertCentralのユーザー名と一致させる方法を決定する必要があります。

  • 属性:

    SSOで属性(Eメールなど)を割り当てて、CertCentralアカウントでユーザーを識別することができます。デジサートはこの属性を使用して、CertCentralユーザー名をそのSSOユーザーと一致させます。

  • NameID:

    NameIDフィールドを使用して、CertCentralユーザーを識別することができます。デジサートはNameIDフィールドを使用して、CertCentralユーザー名をそのSSOユーザーと一致させます。

ユーザーがそのアカウントにサインインするために使用する識別方法(属性またはNameIDフィールド)に関わらず、デジサートはCertCentralユーザー名を選択されたSAMLアサーション値に一致させる必要があります。

フェデレーション名

SAML SSOユーザーがSP開始のSSO URLを簡単に識別できるようにするため、フェデレーション名(フレンドリ名)を追加することをお勧めします。この名前は、SP開始のカスタムSSO URLの一部になります。このカスタムURLは、アカウントへのサインイン用にSSO限定ユーザーに送信することができます。

注記

フェデレーション名は一意である必要があります。デジサートは、お客様の会社名の使用をお勧めします。

デジサートのサービスプロバイダー(SP)メタデータ

アイデンティティプロバイダーのメタデータをセットアップし、すべてのシングル サインオンユーザーを識別するための属性を割り当てて、フェデレーション名を追加したら、デジサートがデジサートのSPメタデータを提供します。このメタデータは、IdPとCertCentralアカウント間の接続を確立できるようにIdPに追加する必要があります動的URL、またはXMLメタデータを使用することができます。

  • 動的メタデータ:

    更新されたメタデータを維持するためにIdPが必要に応じてアクセスできる動的URLを使用して、デジサートのSPメタデータをIdPに追加します。

  • 静的メタデータ:

    静的XMLファイルを使用して、デジサートのSPメタデータをIdPに追加します。IdPを更新する必要が生じた場合は、CertCentralアカウントにサインインして、デジサートのSPメタデータが含まれる更新されたXMLファイルを取得する必要があります。

サービスプロバイダー(SP)開始のカスタムSSOログインURL、またはアイデンティティプロバイダー(IdP)開始のSSOログインURL

デジサートのSPメタデータをIdPに追加したら、SAML SSOを使用してCertCentralアカウントにサインインします。サインインは、SP開始のカスタムSSOログインURL、または独自のIdP開始のログインURL経由で行います。

  • SP開始のカスタムSSOログインURL:

    新しいSAMLプロセス変更とともに、新しいカスタムSSOログインURLが作成されます。SSOユーザーは、それを使用してそのCertCentralアカウントにサインインします(カスタムSSOログインURLの例:https://www.digicert.com/account/sso/ "federation-name" /login)。

  • IdP開始のSSOログインURL:

    希望する場合は、CertCentralアカウントへのサインインにIdP開始のログインURLを使用することも可能です。ただし、このIdP開始のURL、またはアプリケーションをSSOユーザーに提供する必要があります。

IdP接続を確認する

SAML SSO接続を確定する準備が整いましたか?SSO URL(SPまたはIdP開始)経由でのCertCentralへの初回サインインを行って、接続を確定します。