SAML 인증서 요청 서비스 워크플로

XML 메타데이터 메모

SAML Single Sign-On 기능을 사용하는 경우, 모든 구성에 대해 동일한 XML 메타데이터를 사용할 수 없습니다. SAML 인증서 요청 엔터티 ID는 SAML SSO 엔터티 ID와 달라야 합니다.

DigiCert에게 IdP(ID 공급자) 메타데이터 제공

CertCentral 계정에 대한 SAML 인증서 요청을 구성하려면 SAML 관리자 할 일 모음에서 첫 번째 항목은 IdP 메타데이터를 설정입니다. IdP의 동적 URL 또는 고정적 XML 메타데이터로 설정할 수 있습니다.

  • 동적 메타데이터
    IdP 메타데이터에 연결하는 동적 URL을 통하여 IdP를 구성합니다. 동적 링크를 사용하면 메타데이터는 자동으로 업데이트됩니다. 계정에 매일 로그인하는 사용자가 있는 경우, 24시간마다 업데이트됩니다. 로그인 한 후에 24시간 이상이 지난 경우, 계정에 사용자가 다음 번 로그인할 때 업데이트됩니다.
  • 정적 메타데이터
    모든 IDP 메타데이터에 포함하는 정적 XML 파일을 업로드하여 IdP를 구성합니다. 메타데이터를 업데이트하려면 계정에 로그인하여 업데이트된 IdP 메타데이터로 새 XML 파일을 업로드해야 합니다.

페더레이션 이름

SAML 사용자가 SP 개시 인증서 요청 URL을 쉽게 식별하도록 페더레이션(식별 이름)을 추가하는 것을 권장합니다. 이 이름은 클라이언트 인증서 요청을 위해 SAML 사용자에게 보낼 수 있는 SP 개시 인증서 요청 URL의 일부분이 됩니다. 또한 SP 개시 인증서 요청 로그인 페이지의 제목에도 포함됩니다.

페더레이션 이름은 고유해야 하며 회사 이름을 사용할 것을 권장합니다.

SAML 어설션에서 예상되는 필드 매핑

SAML 인증서 요청이 성공하려면 필드 매핑을 SAML 어설션의 IdP 쪽에서 구성해야 합니다.

  • 조직
    SAML 특성 "조직"을 찾을 것입니다.
    조직 특성은 DigiCert가 OV(조직 유효성 검사)에서 확인한 CertCentral 계정의 활성 조직과 일치해야 합니다. 예를 들어, DigiCert, Inc.를 사용하려는 경우, SAML “조직” 특성은 “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>)와 일치해야 합니다.
  • 일반 이름
    SAML 특성 “common_name”을 찾을 것입니다. 도메인은 DigiCert가 OV(조직 유효성 검사)에서 확인한 CertCentral 계정의 도메인과 일치해야 합니다.
  • 이메일 주소
    SAML 특성 이메일“을 찾을 것입니다.”
  • 개인 ID (옵션)
    개인 ID는 NameID가 어설션에 포함되지 않은 경우에만 필요합니다. NameID가 포함되지 않은 경우, SAML 특성 “person_id”를 찾을 것입니다.
    “person_id” 특성은 사용자에게 고유해야 합니다. 이 ID로 이전의 주문에 액세스할 수 있습니다.
    DigiCert가 메타데이터를 적절하게 구문 분석하고 SAML 인증서 요청 클라이언트 인증서 요청 양식에서 정확한 정보를 표시하려면 이 필드 매핑을 IdP 쪽에 구성해야 합니다.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

인증서 요청 양식에 사용 가능한 제품

SAML 인증서 요청 페이지에 인증되면 SAML 사용자가 주문할 수 있는 클라이언트 인증서를 선택해야 합니다. 현재는 SAML 인증서 요청용 클라이언트 인증서만 지원합니다.

SAML 인증서 요청에 대해 클라이언트 인증서를 사용하려면 계정에 대해 사용으로 설정해야 합니다. 계정에 대해 클라이언트 인증서를 요청으로 설정하려면 계정 담당자에게 연락하거나 DigiCert 고객 담당자 또는 저희 지원 팀에게 연락하십시오.

  • Authentication Only – 클라이언트 인증을 제공합니다.
  • Authentication Plus – 클라이언트 인증 및 문서 서명을* 제공합니다.
  • Digital Signature Plus – 클라이언트 인증, 이메일 서명 및 문서 서명을* 제공합니다.
  • Premium – 클라이언트 인증, 이메일 암호화, 이메일 서명 및 문서 서명을* 제공합니다.

*문서 서명

디지털 서명 및 암호화의 적용을 지원하는 프로그램의 경우, 클라이언트는 문서를 서명하고 문서와 같은 중요한 데이터를 암호화할 수 있습니다. Adobe Approved Trust List을 사용하는 프로그램의 경우, DigiCert Document Signing 인증서를 사용해야 합니다.

제품 제한 구성

CertCentral의 제품 설정 페이지에서 구성한 제품 제한은 SAML 인증서 요청 기능의 제품에 적용되지 않습니다. (사이드바 메뉴에서 설정 > 제품 설정을 클릭합니다.)

사용자 지정 필드

현재 SAML 인증서 요청 기능은 인증서 요청 양식의 사용자 지정 필드의 추가를 지원하지 않습니다.

  • 필수 사용자 지정 필드 사용하지 않음
    SAML 인증서 요청의 클라이언트 인증서를 사용하려는 경우, 인증서에 필수 사용자 지정 필드를 추가하지 마십시오. 필수 사용자 지정 필드는 SAML 인증서 요청 절차를 중단하여 오류가 발생하게 됩니다.
  • 옵션 사용자 지정 필드는 SAML 인증서 요청 양식에 포함되지 않음
    옵션 사용자 지정 필드를 클라이언트 인증서 양식에 추가하여 SAML 인증서 요청에 대해 해당 인증서를 여전히 사용할 수 있습니다. 그렇지만 옵션 사용자 지정 필드는 SAML 인증서 요청 양식으로 전달되지 않습니다.

DigiCert SP(서비스 공급자) 메타데이터

ID 공급자 메타데이터를 설정하고 페더레이션 이름을 추가하고 허용하는 클라이언트 인증서 제품을 구성한 후에 DigiCert의 SP 메타데이터가 제공될 것입니다. IdP와 CertCentral 계정 간에 연결할 수 있도록 이 메타데이터를 IdP에 추가해야 합니다. 동적 URL 또는 XML 메타데이터를 사용할 수 있습니다.

  • 동적 메타데이터
    IdP가 업데이트된 메타데이터를 유지 관리에 필요하면 액세스할 있는 동적 URL을 사용하여 DigiCert의 SP 메타데이터를 IdP에 추가합니다.
  • 정적 메타데이터
    동적 XML 파일을 사용하여 DigiCert의 SP 메타데이터를 IdP에 추가합니다. 향후에 IdP를 업데이트할 필요가 있는 경우, CertCentral 계정에 로그인하여 DigiCert의 SP 메타데이터로 업데이트된 XML 파일을 받아야 합니다.

SP(서비스 공급자) 개시 고객 인증서 요청 URL 또는 IdP(ID 공급자) 개시 인증서 요청 URL

DigiCert의 SP 메타데이터를 IdP에 추가했으면 SAML 인증서 요청 URL을 사용하여 클라이언트 인증서를 요청합니다. SP(서비스 공급자) 개시 고객 인증서 요청 URL 또는 자신의 IdP(ID 공급자) 개시 인증서 요청 URL을 통해 로그인합니다.

  • SP 개시 고객 인증서 요청 URL
    새 SAML 절차 변경과 함께 새 고객 인증서 요청 ULR이 만들어집니다. SSO 사용자는 클라이언트 인증서를 요청하기 위해 사용할 수 있습니다(예, https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • IdP 개시 인증서 요청 URL
    선호하는 경우, IdP 개시 로그인 URL을 사용하여 로그인하고 클라이언트 인증서도 주문합니다. 그렇지만, SAML 사용자에게 이 IdP 개시 URL 또는 애플리케이션을 제공해야 합니다.

IdP 연결 확인

SAML 인증서 요청 URL 연결을 완료할 준비가 되었습니다. 처음으로 인증서 요청 URL(SP 개시 또는 IdP 개시)에 로그인하여 연결을 완료합니다.