DigiCert ONE Login の前提条件
承認と認証のためのフェデレーションプロトコル(特に SAML または OpenID Connect)に関する充分な理解が必要です。
DigiCert ONE と統合するために ID プロバイダ(IdP)を設定する権限があることを確認してください。
DigiCert ONE アカウントの前提条件
DigiCert ONE Login でプロファイルの使用を開始するには、組織のアカウントに次の設定を行う必要があります。
アカウントのサインイン設定をSAML でシングルサインオンまたは OIDC でシングルサインオンで構成します。DigiCert ONE Login のユーザー作成フローに必須の具体的な設定については、次の ID プロバイダ設定の前提条件を参照してください。
まだ DigiCert Trust Assistant がアカウントで有効にされていない場合は、デジサート担当者にご連絡のうえ、有効にしてください。まだ、アカウントの SSO によるユーザー作成を許可にメールドメイン(複数可)を追加するようデジサート担当者に依頼してください。
注記
このメールドメインは、組織が所要するドメインでなければなりません。SAML でシングルサインオンまたは OIDC でシングルサインオンのいずれかでサインイン設定が構成された後にのみこの設定が可能なので、事前に設定されていることを確認してください。
ID プロバイダ設定の前提条件
DigiCert ONE ユーザー作成の際、OIDC では ID Token、SAML では SAML 応答を通じて、必須のユーザー属性を転送する必要があります。次のユーザー属性は必須であり、大文字と小文字は区別しません。
メール: email(SAML の場合、この属性は Subject.NameID から取得されます)。
名: given_name、first_name、firstname、givenname のうちのいずれか。
姓: last_name、lastname、familyname、family_name、surname. のうちのいずれか。
注記
一部のプロバイダでは、これらの属性がデフォルトで含まれている場合がありますが、これらの属性が認証時に ID Token または SAML 応答に存在していることを確認してください。
注記
OIDC の場合、名前フィールドにスペースが含まれている場合、名前フィールドが優先され、フィールドが名と性に分割されます。
SAML の場合、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname と http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname も許可されます。
この件に関する詳細については、次の「Idp attribute mapping」セクションを参照してください。