Skip to main content

SAML証明書申請サービスのワークフロー

重要

XMLメタデータに関する注意

SAMLシングルサインオン機能を使用している場合、両方の設定で同じXMLメタデータを使用することはできません。SAML証明書申請エンティティIDは、SAML SSOエンティティIDとは異なるものである必要があります。

デジサートにアイデンティティプロバイダー(IdP)メタデータを提供する

CertCentralアカウントのSAML証明書申請を設定するためにSAML管理者が実行する作業リストの最初の項目は、IdPメタデータをセットアップすることです。これは、IdPからの動的URLまたは静的XMLメタデータを使用して実行できます。

  • 動的メタデータ

    IdPメタデータにリンクする動的URLを使用して、IdPを設定します。動的リンクにより、メタデータは自動的に更新されます。アカウントに毎日サインインするユーザーがいる場合は、24時間ごとに更新されます。誰かがサインインしてから24時間以上経過した場合は、ユーザーが次にアカウントにサインインするときに更新されます。

  • 静的メタデータ

    すべてのIDPメタデータが含まれる静的XMLファイルをアップロードすることによって、IdPを設定します。メタデータを更新するには、アカウントにサインインして、更新されたIdPメタデータが含まれる新しいXMLファイルをアップロードします。

フェデレーション名

SAMLユーザーがSP開始の証明書申請URLを簡単に特定できるようにするため、デジサートは、このURLにフェデレーション名(フレンドリ名)を追加することをお勧めします。この名前は、クライアント証明書を申請するためにSAMLユーザーに送信できる、SP開始の証明書申請URLの一部になります。これは、SP開始の証明書申請のサインインページのタイトルにも包含されます。

注記

フェデレーション名は一意である必要があります。デジサートは、お客様の会社名の使用をお勧めします。

SAMLアサーションで期待されるフィールドマッピング

SAML証明書申請を正常に行うには、SAMLアサーションでIdP側のフィールドマッピングを設定する必要があります。

  • 組織

    デジサートはSAML属性「organization」を検索します。

    organization属性は、デジサートが組織検証(OV)のために検証したアクティブな組織と一致する必要があります。例えば、DigiCert, Inc.を使用する場合は、SAMLの「organization」属性が「DigiCert, Inc.」(<saml:AttributeValue> DigiCert, Inc. </saml:AttributeValue>)である必要があります。

  • コモンネーム

    デジサートはSAML属性「common_name」を検索します。ドメインは、デジサートが組織検証(OV)のために検証したドメインと一致する必要があります。

  • Eメールアドレス

    デジサートはSAML属性「email」を検索します。

  • 個人ID(オプション)

    個人IDが必要となるのは、NameIDがアサーションに含まれていない場合のみです。NameIDが含まれていない場合、デジサートはSAML属性「person_id」を探します。

    「person_id」属性は、ユーザーに一意のものである必要があります。このIDは、ユーザーが以前に発注したオーダーにアクセスできるようにします。

    このフィールドマッピングは、デジサートがメタデータを適切に解析し、SAML証明書申請フォームに正しい情報を表示できるように、IdP側で設定される必要があります。

1. SAMLアサーションの例
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

証明書申請フォームで利用できる製品

SAMLユーザーが、SAML証明書申請ページへの認証後にオーダーできるようになるクライアント証明書を選択する必要があります。現在は、SAML証明書申請に対するクライアント証明書のみがサポートされています。

SAML証明書申請用にクライアント証明書を有効にするには、それがアカウントで有効になっている必要があります。アカウントでクライアント証明書を有効にするには、デジサートアカウント担当者、またはデジサートサポートまでお問い合わせください。

  • Authentication Only – クライアント認証を提供します。

  • Authentication Plus – クライアント認証とドキュメント署名を提供します*。

  • Digital Signature Plus – クライアント認証、Eメール署名、およびドキュメント署名を提供します*。

  • Premium – クライアント認証、Eメール暗号化、Eメール署名、ドキュメント署名を提供します*。

注記

*ドキュメント署名

デジタル署名と暗号化のアプリケーションをサポートするプログラムでは、クライアントがドキュメントに署名し、ドキュメントなどの貴重なデータを暗号化できます。Adobe Approved Trust Listを使用するプログラムでは、デジサートドキュメントサイニング証明書を使用する必要があります。

製品制限構成

CertCentralの[製品設定]ページで設定する製品制限は、SAML証明書申請機能用の製品には適用されません(サイドバーメニューで[設定]>[製品設定]をクリックします。

カスタムフィールド

現在、SAML証明書申請機能は、証明書申請フォームでのカスタムフィールドの追加をサポートしていません。

  • 必須のカスタムフィールドは使用しないでください

    SAML証明書申請用にクライアント証明書を有効にする予定の場合は、証明書に必須のカスタムフィールドを追加しないでください。必須のカスタムフィールドは、SAML証明書申請プロセスを破損し、エラーで終了する原因になります。

  • SAML証明書申請フォームにオプションのカスタムフィールドは含まれていません

    クライアント証明書にオプションのカスタムフィールドを追加した後も、引き続きこの証明書をSAML証明書申請用に有効にすることが可能ですが、オプションのカスタムフィールドはSAML証明書申請フォームには表示されません。

デジサートのサービスプロバイダー(SP)メタデータ

アイデンティティプロバイダーメタデータをセットアップし、フェデレーション名を追加して、証明書申請で許可されるクライアント証明書製品を設定したら、デジサートがデジサートのSPメタデータを提供します。

このメタデータは、IdPとCertCentralアカウント間の接続を確立できるように、IdPに追加する必要があります。動的URL、またはXMLメタデータを使用することができます。

  • 動的メタデータ

    更新されたメタデータを維持するためにIdPがアクセスできる動的URLを使用して、デジサートのSPメタデータをIdPに追加します。

  • 静的メタデータ

    静的XMLファイルを使用して、デジサートのSPメタデータをIdPに追加します。将来IdPを更新する必要が生じた場合は、CertCentralアカウントにサインインして、デジサートのSPメタデータが含まれる更新されたXMLファイルを取得する必要があります。

サービスプロバイダー(SP)開始のカスタム証明書申請URL、またはアイデンティティプロバイダー(IdP)開始の証明書申請URL

デジサーのSPメタデータをIdPに追加したら、SAML証明書申請URLを使用して、クライアント証明書を申請します。SP開始のカスタム証明書申請URL、または独自のIdP開始の証明書申請URL経由でサインインします。

  • SP開始のカスタム証明書申請URL

    SAMLプロセスの新しい変更とともに、新しいカスタム証明書申請URLが作成されます。SSOユーザーは、これを使用してクライアント証明書を申請できます(https://www.digicert.com/account/saml-certificate-request/ "federation-name" /loginなど)。

  • IdP開始の証明書申請URL

    希望に応じて、サインインとクライアント証明書のオーダーにIdP開始のログインURLを使用することもできますが、SAMLユーザーにこのIdP開始URLまたはアプリケーションを提供する必要があります。

IdP接続を確認する

SAML証明書申請URLの接続を確定する準備が整いましたか?

証明書申請URL(SPまたはIdP開始)への初回サインインを行って、接続を確定してください。