Configurar Logon Único de SAML

Antes de começar

Antes de começar, certifique-se de cumprir os pré-requisitos:

  • SAML deve estar habilitado para a sua conta
  • Tenha seus metadados IdP (dinâmico ou estático)
  • Tenha o que você precisa para corresponder usuários da CertCentral a usuários SAML (campo ID do Nome ou atributo).

Veja Pré-requisitos de Logon Único de SAML e Fluxo de trabalho do serviço SAML.

Configurar Logon Único de SAML

  1. Visite a página Configurações da federação

    1. No menu da barra lateral, clique em Configurações > Logon Único.
    2. Na página Logon Único (SS), clique em Editar configurações da federação.
  1. Configure seus metadados do provedor de identidade

    Na página Configurações da federação, na seção Seus metadados de IDP, complete as tarefas abaixo.

    1. Adicionar metadados IdP
      Em “Como você enviará dados a partir do seu IdP?”, use uma destas opções para adicionar seus metadados.
      1. Metadados XML
        Forneça os seus metadados IdP no formato XML para a DigiCert.
        Se os seus metadados IdP mudarem, será necessário manualmente atualizar os seus metadados IdP na sua conta.
      2. Usar uma URL dinâmica
        Forneça o link para os seus metadados IdP para a DigiCert.
        Se os seus metadados IdP mudarem, seus metadados IdP são automaticamente atualizados na sua conta.
    2. Identificar usuários
      Para que o login com Logon Único de SAML tenha êxito, você deve decidir como corresponder sua asserção SSO aos nomes de usuários dos usuários SSO na CertCentral.
      Em “Como você identificará um usuário?”, use uma destas opções para corresponder usuários SSO aos seus nomes de usuários na CertCentral.
      1. NameID
        Use o campo NameIDpara corresponder seus usuários da CertCentral aos seus usuários de Logon Único de SAML.
      2. Usar um atributo SAML
        Use um atributo para corresponder seus usuários da CertCentral aos seus usuários de Logon Único (SSO) de SAML.
        Na caixa, insira o atributo que você deseja usar (por exemplo, e-mail).
        Este atributo precisa aparecer na asserção que o seu IdP envia para a:
        <AttributeStatement>
        <Atributo
        Name="email">
        <AttributeValue>
        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. Adicionar nome da federação
      Em Nome da federação, insira um nome da federação (nome amigável) a ser incluído na URL SSO personalizada que é criada. Você enviará esta URL SSO apenas para usuários SSO.
      Nota: O nome da federação deve ser único. Recomendamos usar o nome da sua empresa.
    4. Incluir nome da federação
      Por padrão, adicionamos o seu Nome da federação à página Seleção de IdP onde seus usuários SSO podem facilmente acessar sua URL personalizada SSO iniciada por Provedor de serviços.
      Para impedir que o seu Nome de federação apareça na lista de IdPs na página Seleção de IdP, desmarque adicionar meu nome da federação à lista de IdPs.
    5. Salvar
      Quando terminar, clique em Salvar e terminar.
  1. Adicionar metadados do provedor de serviços (SP) da DigiCert

    Na página Logon Único (SSO), na seção Metadados do provedor de serviços da DigiCert, complete uma destas tarefas para adicionar os metadados do provedor de serviços da DigiCert aos seus metadados de IdP:

    • URL dinâmica para metadados de provedor de serviço da DigiCert
      Copie a URL dinâmica aos metadados de provedor de serviços da DigiCert e a adicione ao seu IdP para ajudar a fazer a conexão SSO.
      Se os metadados de provedor de serviços da DigiCert alguma vez mudarem, seus metadados de provedor de serviços são atualizados automaticamente no seu IdP.
    • XML estático
      Copie os metadados de provedor de serviços formatados em XML da DigiCert e adicione-os ao seu IdP para ajudar a fazer a conexão SSO.
      Se os metadados do provedor de serviços da DigiCert alguma vez mudarem, será necessário manualmente atualizar no seu IdP.
  1. Configurar Ajustes SSO para usuários

    Ao adicionar usuários à sua conta, é possível restringir usuários a apenas autenticação de Logon Único (usuários apenas SSO). Estes usuários não têm acesso de API (por ex., não podem criar chaves de API funcionais).

    Para permitir que usuários apenas SSO criem chaves de API e construam integrações de API, selecione Habilitar acesso de API para usuários apenas SSO.

A opção Habilitar acesso de API para usuários apenas SSO permite que usuários apenas SSO com chaves de API ignorem Logon Único. Desabilitar acesso de API para usuários apenas SSO não revoga chaves de API existentes. Isso bloqueia apenas a criação de novas chaves de API.

  1. Entrar e finalizar a conexão SSO SAML à CertCentral

    Na página Logon Único, na seção URL personalizada SSO iniciada por provedor de serviço, copie a URL e cole-a em um navegador. Depois, use suas credenciais IdP para entrar na sua conta da CertCentral.

Se preferir, em vez disso, use uma URL de login iniciada por IdP para entrar na sua conta da CertCentral. Contudo, será necessário fornecer aos seus usuários SSO esta URL iniciada por IdP ou aplicativo.

E depois?

Comece a gerenciar seus usuários de Logon Único na sua conta (adicione usuários apenas SSO SAML à sua conta, converta usuários existentes da conta em usuários apenas SSO SAML, etc.). Veja Gerenciar usuários de Logon Único (SSO) SAML e Permitir acesso às configurações de SAML.