Werkstroom voor SAML-certificaataanvragen
Belangrijk
XML-metagegevens - Opmerking
Als u de SAML Single Sign-On-functie gebruikt, kunt u niet dezelfde XML-metagegevens gebruiken voor beide configuraties. De entiteits-ID van de SAML-certificaataanvraag moet anders zijn dan de SAML SSO-entiteits-ID.
Verstrek DigiCert uw IdP-metagegevens (Identity Provider)
Om SAML-certificaataanvragen voor uw CertCentral-account te configureren, is het eerste item op de SAML Admin-takenlijst het instellen van uw IdP-metagegevens. U kunt dit doen met een dynamische URL of met statische XML-metagegevens van uw IdP.
Dynamische metagegevens
Configureer uw IdP via een dynamische URL die linkt naar uw IdP-metagegevens. Met een dynamische koppeling worden uw metagegevens automatisch bijgewerkt. Als gebruikers zich dagelijks aanmelden bij uw account, wordt dat elke 24 uur bijgewerkt. Als het langer dan 24 uur geleden is dat iemand zich heeft aangemeld, wordt dit bijgewerkt de volgende keer dat een gebruiker zich aanmeldt bij uw account.
Statische metagegevens
Configureer uw IdP door een statisch XML-bestand te uploaden dat al uw IDP-metagegevens bevat. Als u uw metagegevens wilt bijwerken, moet u zich aanmelden bij uw account en een nieuw XML-bestand uploaden met de bijgewerkte IdP-metagegevens.
Federatienaam
Om het voor uw SAML-gebruikers gemakkelijker te maken om de door de SP geïnitieerde URL voor certificaataanvragen te identificeren, raden we u aan er een federatie (beschrijvende naam) aan toe te voegen. Deze naam maakt deel uit van de door de SP geïnitieerde URL voor certificaataanvragen die u naar SAML-gebruikers kunt sturen voor het aanvragen van clientcertificaten. De naam wordt ook opgenomen in de titel van uw door de SP geïnitieerde aanmeldingspagina voor certificaataanvragen.
Let op
De federatienaam moet uniek zijn. We raden u aan om uw bedrijfsnaam te gebruiken.
Veldtoewijzingen verwacht van SAML-bevestiging
Voor een succesvolle SAML-certificaataanvraag moet u de veldtoewijzingen aan de IdP-kant configureren in de SAML-bevestiging:
Organisatie
We zoeken naar het SAML-kenmerk "organization".
Dit kenmerk moet overeenkomen met een actieve organisatie die DigiCert heeft gevalideerd voor organisatievalidatie (OV). Als u bijvoorbeeld DigiCert, Inc. wilt gebruiken, moet uw SAML-organisatiekenmerk DigiCert, Inc. (
<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>) zijn.Algemene naam
We zoeken naar het SAML-kenmerk "common_name". Het domein moet overeenkomen met een domein dat DigiCert heeft gevalideerd voor organisatievalidatie (OV).
E-mailadres
We zoeken naar het SAML-kenmerk "email".
Persoon-ID (optioneel)
De persoonlijke ID is alleen vereist als NameID niet is opgenomen in de bevestiging. Als de NameID niet is opgenomen, zoeken we naar SAML-kenmerk “person_id”.
Het kenmerk “person_id” moet uniek voor de gebruiker zijn. Met deze ID hebben gebruikers toegang tot eerder geplaatste orders.
Deze veldtoewijzingen moeten aan de IdP-kant worden geconfigureerd, zodat DigiCert de metagegevens correct kan ontleden en de juiste informatie kan weergeven in uw formulieren voor SAML-certificaataanvragen.
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Producten beschikbaar op het aanvraagformulier voor certificaten
U moet de clientcertificaten selecteren die uw SAML-gebruikers kunnen bestellen, zodra ze zijn geverifieerd op de pagina SAML-certificaataanvragen. Momenteel ondersteunen we alleen clientcertificaten voor SAML-certificaataanvragen.
Als u een clientcertificaat voor uw SAML-certificaataanvraag wilt inschakelen, moet dit zijn ingeschakeld voor uw account. Als u een clientcertificaat voor uw account wilt inschakelen, neemt u contact op met uw DigiCert-accountvertegenwoordiger of met DigiCert Support.
Authentication Only – Biedt clientverificatie.
Authentication Plus – Biedt clientverificatie en documentondertekening*.
Digital Signature Plus – Biedt clientverificatie, e-mailondertekening en documentondertekening*.
Premium – Biedt clientverificatie, e-mailcodering, e-mailondertekening en documentondertekening*.
Let op
*Documentondertekening
Voor programma's die de toepassing van digitale handtekeningen en versleuteling ondersteunen, kunnen klanten documenten ondertekenen en hun waardevolle gegevens, zoals documenten, versleutelen. Voor programma's die de Adobe Approved Trust List gebruiken, moet u een DigiCert Document Signing-certificaat gebruiken.
Configuraties van productlimieten
De productlimieten die u configureert op de pagina Productinstellingen in CertCentral zijn niet van toepassing op de producten voor de functie voor SAML-certificaataanvragen (klik in het zijbalkmenu op Instellingen > Productinstellingen).
Aangepaste velden
Momenteel biedt de functie voor SAML-certificaataanvragen geen ondersteuning voor het toevoegen van aangepaste velden aan het formulier voor certificaataanvragen.
Gebruik geen verplichte aangepaste velden
Als u van plan bent het clientcertificaat in te schakelen voor SAML-certificaataanvragen, voegt u geen vereiste aangepaste velden toe aan het certificaat. Vereiste aangepaste velden onderbreken het SAML-certificaataanvraagproces en veroorzaken fouten.
Optionele aangepaste velden zijn niet opgenomen in aanvraagformulier voor SAML-certificaten
U kunt optionele aangepaste velden toevoegen aan een clientcertificaatformulier en dat certificaat nog steeds inschakelen voor SAML-certificaataanvragen. De optionele aangepaste velden worden echter niet doorgegeven aan het SAML-certificaataanvraagformulier.
SP-metagegevens (Service Provider) van DigiCert
Nadat u de metagegevens van de identiteitsprovider (IdP) heeft ingesteld, een federatienaam heeft toegevoegd en de toegestane clientcertificaatproducten voor de certificaataanvragen heeft geconfigureerd, geven we u de SP-metagegevens van DigiCert.
Deze metagegevens moeten worden toegevoegd aan uw IdP zodat de verbinding tussen uw IdP en uw CertCentral-account kan worden gemaakt. U kunt een dynamische URL of XML-metagegevens gebruiken.
Dynamische metagegevens
Voeg de SP-metagegevens van DigiCert toe aan uw IdP met behulp van een dynamische URL waartoe uw IdP toegang heeft om bijgewerkte metagegevens te onderhouden.
Statische metagegevens
Voeg de SP-metagegevens van DigiCert toe aan uw IdP met behulp van een statisch XML-bestand. Als u uw IdP in de toekomst moet bijwerken, moet u zich aanmelden bij uw CertCentral-account en een bijgewerkt XML-bestand opvragen met de SP-metagegevens van DigiCert.
Door een serviceprovider (SP) geïnitieerde URL voor aangepaste certificaataanvraag of door een identiteitsprovider (IdP) geïnitieerde certificaataanvraag
Nadat u de SP-metagegevens van DigiCert aan uw IdP heeft toegevoegd, gebruikt u de SAML-certificaataanvraag-URL om een clientcertificaat aan te vragen. Meld u aan via de door de SP geïnitieerde aangepaste certificaataanvraag-URL of uw eigen door de IdP geïnitieerde certificaataanvraag-URL.
SP-geïnitieerde aangepaste certificaataanvraag-URL
Samen met de nieuwe SAML-proceswijzigingen wordt er een nieuwe aangepaste URL voor certificaataanvragen gemaakt. SSO-gebruikers kunnen deze gebruiken om een clientcertificaat aan te vragen (bijvoorbeeld https://www.digicert.com/account/saml-certificate-request/ "federatienaam" /login).
SP-geïnitieerde certificaataanvraag-URL
Gebruik desgewenst een door de IdP geïnitieerde inlog-URL om u aan te melden en tevens het clientcertificaat te bestellen. U moet wel uw SAML-gebruikers deze door de IdP geïnitieerde URL of toepassing verstrekken.
IdP-verbinding bevestigen
Klaar om de URL-verbinding van uw SAML-certificaataanvraag te voltooien?
Meld u voor de eerste keer aan bij de certificaataanvraag-URL (geïnitieerd door SP of IdP) om de verbinding te voltooien.