SAML 証明書申請サービスワークフロー

XML メタデータに関する注意

SAML シングルサインオン機能を使用している場合、両方の構成で同じ XML メタデータを使用することはできません。SAML 証明書申請エンティティ ID は SAML SSO エンティティ ID と異なっていなければなりません。

DigiCert にアイデンティティプロバイダー (IdP) メタデータを提供する

お使いの CertCentral アカウントに対する SAML 証明書申請を構成する場合、SAML 管理者作業リストの最初の項目は IdP メタデータをセットアップすることです。この作業を IdP のダイナミック URL またはスタティック XML メタデータで行います。

  • ダイナミックメタデータ
    IdP を IdP メタデータにリンクするダイナミック URL で構成します。ダイナミックリンクでは、お使いのメタデータは自動的に更新されます。ユーザーがお使いのアカウントに毎日サインインする場合は、24時間ごとに更新されます。他者がサインインしてから24時間以上経つ場合は、ユーザーがそのアカウントに次回サインインしたときに更新されます。
  • スタティックメタデータ
    IdP を、IDP メタデータを含むスタティック XML ファイルをアップロードして構成します。メタデータを更新するには、お使いのアカウントにサインインして、更新された IdP メタデータのある新しいXML ファイルで更新します。

フェデレーション名

SAML ユーザーがお使いの SP 起点の証明書申請 URL を特定しやすくするため、当社はそこにフェデレーション (分かりやすい名前) を追加することをお勧めします。この名前はクライアント証明書を申請するために SAML ユーザーに送信できる SP 起点の証明書申請 URL の一部です。これは、SP 起点の証明書申請サインインページにも含まれます。

フェデレーション名は一意でなければなりません。お客様の会社名の使用をお勧めします。

SAML アサーションから見込まれるフィールドマッピング

SAML 証明書申請が成功するには、SAML アサーションの IdP 側にフィールドマピングを構成しなければなりません。

  • 組織
    SAML 属性 "組織を探します"。
    組織属性は、お使いの CertCentral アカウントの有効組織、すなわち、DigiCert が組織認証 (OV) 向けに認証したものと一致しなければなりません。例えば、DigiCert, Inc. を使用する場合、SAML “組織” 属性は “DigiCert, Inc.” でなければなりません(<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>)。
  • コモンネーム
    SAML 属性を探します “common_name”。ドメインは、DigiCert が組織認証 (OV) 向けに認証したアカウントの CertCentral ドメインと一致しなければなりません。
  • メールアドレス
    SAML 属性 “メール”を探します
  • 個人 ID (オプション)
    個人 ID は、NameID がアサーションに含まれていない場合のみ、必要です。NameID が含まれていない場合、SAML 属性を探します“person_id”。
    “person_id” 属性は、ユーザーに一意でなければなりません。この ID により、ユーザーは以前行ったオーダーにアクセスできます。
    これらのフィールドマッピングは、DigiCert がメタデータを適切に解析し、SAML 証明書申請クライアント証明書申請フォームで正しい情報を表示できるように、IdP 側で構成されなければなりません。
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

証明書申請フォームで利用できる製品

SAML ユーザーが、SAML 証明書申請ページに認証されたオーダーを実行できるクライアント証明書を選択しなければなりません。現在サポートしているのは、SAML 証明書申請用のクライアント申請のみです。

SAML 証明書申請についてクライアント証明書を有効にするには、お使いのアカウントで有効になっていなければなりません。お使いのアカウントについてクライアント証明書を有効にするには、お使いのアカウントに連絡、お使いの DigiCert お使いのアカウント代理人または サポートチームにお問い合わせください。

  • 認証のみ – クライアント認証を行います。
  • 認証プラス – クライアント認証とドキュメント署名を行います*。
  • デジタル署名プラス – クライアント認証、メール署名およびドキュメント署名を行います*。
  • プレミアム – クライアント認証、メール暗号化、およびドキュメント署名を行います*。

*ドキュメント署名

デジタル署名と暗号化のアプリケーションをサポートするプログラムでは、クライアントは、ドキュメントに署名し、ドキュメントなどの貴重なデータを暗号化できます。Adobe 承認のトラストリストを使用するプログラムでは、DigiCert ドキュメント署名証明書の使用が必要です。

製品制限構成

CertCentral の [製品設定] ページで構成する製品制限は、SAML 証明書申請機能向けの製品には適用されません。(サイドバーメニューで、 [設定] > [製品設定]の順にクリックします)。 

カスタムフィールド

現在、SAML 証明書申請機能は、証明書申請フォームでのカスタムフィールドの追加をサポートしていません。

  • 必須カスタムフィールドを使用しない
    SAML 証明書申請用にクライアント証明書を有効にする場合、必須カスタムフィールドを証明書に追加しないでください。必須カスタムフィールドは、SAML 証明書申請プロセスに反し、エラーの原因となります。
  • SAML 証明書申請フォームに含まれないオプションカスタムフィールド
    オプションカスタムフィールドをクライアント証明書に追加しても、SAML 証明書申請よ宇にその証明書を有効にすることができます。ただし、オプションカスタムフィールドは、SAML 証明書申請フォームまでパスされません。

DigiCert サービスプロバイダー (SP) メタデータ

アイデンティティプロバイダーメタデータをセットアップし、フェデレーション名を追加、および証明書申請用の許可されたクライアント証明書製品を構成した後、当社からお客様に DigiCert の SP メタデータを提供します。このメタデータを IdP と CertCentral アカウントとの間の接続ができるように、IdP に追加しなければなりません。ダイナミック URL または XML メタデータを使用することができます。

  • ダイナミックメタデータ
    DigiCert の SP メタデータを IdP が更新されたメタデータを維持するために必要時にアクセスできるダイナミック URL を使用して、IdP に追加します。
  • スタティックメタデータ
    DigiCert の SP メタデータをスタティック XML ファイルを使用して IdP に追加します。将来 IdP を更新する必要がある場合、お使いの CertCentral アカウントにサインインして、DigiCert の SP メタデータで、更新された XML ファイルを取得します。

サービスプロバイダー (SP) 起点のカスタム証明書申請 URL またはアイデンティティプロバイダー (IdP) 起点の証明書申請 URL

DigiCert の SP メタデータをお使いの IdP に追加したら、SAML 証明書申請 URL を使用して、クライアント証明書を申請します。SP 起点のカスタム証明書申請 URL またはお使いの IdP 起点の証明書申請 URL を経由してサインインします。

  • SP 起点のカスタム証明書申請 URL
    新しい SAML プロセス変更とあわせて、新しいカスタム証明書申請 URL を作成します。SSO ユーザーは、それを使用して、クライアント証明書を申請できます(例えば、https://www.digicert.com/account/saml-certificate-request/"federation-name"/login)。
  • IdP 起点の証明書申請 URL
    ご希望の場合、IdP 起点のログイン URL を使用してサインインし、クライアント証明書もオーダーします。ただし、SAML ユーザーにこの IdP 起点 URL またはアプリケーションを提供する必要があります。

IdP 接続を確認する

SAML 証明書申請 URL 接続の最終設定を準備します。最初、証明書申請 URL (SP または IdP 起点) にサインインして、接続を最終設定します。