Skip to main content

O certificado SAML solicita o fluxo de trabalho do serviço

Importante

Nota de metadados XML

Se estiver usando o recurso de Logon Único de SAML, não será possível usar os mesmos metadados XML para ambas as configurações. A ID da entidade da solicitação de certificado SAML deve ser diferente da ID da entidade SSO de SAML.

Fornecer seus metadados do Provedor de identidade (IdP) para a DigiCert

Para configurar solicitações de certificado SAML para a sua conta da CertCentral, o primeiro item na lista de tarefas do admin SAML é configurar seus metadados IdP. Você pode fazer isso com uma URL dinâmica ou metadados XML estáticos do seu IdP.

  • Metadados dinâmicos

    Configure seu IdP por meio de um URL dinâmico vinculado aos metadados do seu IdP. Com um link dinâmico, seus metadados são atualizados automaticamente. Se tiver usuários entrando na sua conta diariamente, eles são atualizados a cada 24 horas. Se já se passaram mais de 24 horas desde que alguém fez login, ele será atualizado na próxima vez que um usuário fizer login na sua conta.

  • Metadados estáticos

    Configure seu IdP carregando um arquivo XML estático que contém todos os seus metadados de IDP. Para atualizar seus metadados, será necessário entrar na sua conta e carregar um novo arquivo XML com os metadados IdP atualizados.

Nome da federação

Para facilitar para os seus usuários SAML na hora de identificarem sua URL de solicitação de certificado iniciada pelo provedor de serviços, recomendamos adicionar uma federação (nome amigável) a ela. Este nome fará parte da URL de solicitação de certificado iniciada pelo provedor de serviço que você pode enviar a usuários SAML para solicitar certificados do cliente. Ele também será incluído no título da sua página de login da solicitação de certificado iniciada por provedor de serviço.

Aviso

O nome da federação deve ser único. Recomendamos usar o nome da sua empresa.

Mapeamentos de campos esperados da asserção SAML

Para que a solicitação de certificado SAML seja bem-sucedida, é necessário configurar os mapeamentos de campo no lado IdP na asserção SAML.

  • Organização

    Procuramos o atributo SAML "organização".

    O atributo da organização deve corresponder a uma organização ativa que a DigiCert validou para validação da organização (OV). Por exemplo, se você deseja usar a DigiCert, Inc., seu atributo SAML “organization” deve ser “DigiCert, Inc.” (<saml:AttributeValue> DigiCert, Inc. </saml:AttributeValue>).

  • Nome comum

    Procuramos o atributo SAML “common_name”. O domínio deve corresponder a um domínio na sua conta da CertCentral que a DigiCert validou para validação da organização (OV).

  • Endereço de e-mail

    Procuramos o atributo SAML “email”.

  • ID pessoal (opcional)

    O ID pessoal só é necessário se NameID não estiver incluído na declaração. Se o NameID não estiver incluído, procuramos o atributo SAML “person_id”.

    O atributo “person_id” deve ser exclusivo para o usuário. Esse ID permite que os usuários acessem pedidos feitos anteriormente.

    Esses mapeamentos de campo devem ser configurados no lado do IdP para que a DigiCert possa analisar corretamente os metadados e exibir as informações corretas em seus formulários de solicitação de certificado SAML.

exemplo 1. Exemplo de declaração SAML
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Produtos disponíveis no formulário de solicitação do certificado

É necessário selecionar os certificados do cliente que os seus usuários SAML podem pedir depois de autenticados na página de solicitações de certificados SAML. Atualmente, só suportamos certificados do cliente para solicitações de certificados SAML.

Para habilitar um certificado do cliente para a sua solicitação de certificados SAML, ele deve ser habilitado para a sua conta. Para habilitar um certificado de cliente para sua conta, entre em contato com seu representante de conta DigiCert ou com o Suporte DigiCert.

  • Apenas autenticação - Fornece autenticação do cliente.

  • Autenticação Plus – Fornece autenticação do cliente e assinatura do documento*.

  • Assinatura digital Plus – Fornece autenticação do cliente, assinatura de e-mail e assinatura de documento*.

  • Premium – Fornece autenticação do cliente, criptografia de e-mail, assinatura de e-mail e assinatura de documento*.

Aviso

*Assinatura de documentos

Para programas que suportam a aplicação de assinaturas digitais e criptografia, os clientes podem assinar documentos e criptografar seus dados valiosos como documentos. Para programas que usam a Lista de confiança aprovada da Adobe, será necessário usar um certificado de Assinatura de documento da DigiCert.

Configurações do limite de produtos

Os limites do produto que você configura na página Configurações do produto em seu CertCentral não se aplicam aos produtos para o recurso de solicitação de certificado SAML (no menu da barra lateral, clique em Configurações > Configurações do produto).

Campos personalizados

Atualmente, o recurso de solicitação de certificado SAML não suporta a adição de campos personalizados no formulário de solicitação do certificado.

  • Não use campos personalizados obrigatórios

    Se você planeja habilitar o certificado de cliente para solicitações de certificado SAML, não adicione campos personalizados obrigatórios ao certificado. Campos personalizados obrigatórios interrompem o processo de solicitação de certificado SAML e causam erro.

  • Campos personalizados opcionais não estão incluídos nos formulários de solicitação de certificado SAML

    Você pode adicionar campos personalizados opcionais a um formulário de certificado de cliente e ainda habilitar esse certificado para solicitações de certificado SAML. Contudo, os campos personalizados opcionais não são passados através do formulário de solicitação de certificado SAML.

Metadados do provedor de serviços (SP) da DigiCert

Depois de configurar os metadados do provedor de identidade, adicionar um nome de federação e configurar os produtos de certificado de cliente permitidos para as solicitações de certificado, fornecemos os metadados SP da DigiCert.

Estes metadados devem ser adicionados ao seu IdP para que a conexão entre o seu IdP e conta da CertCentral possa ser feita. Você pode usar uma URL dinâmica ou metadados XML.

  • Metadados dinâmicos

    Adicione os metadados SP da DigiCert ao seu IdP usando uma URL dinâmica que seu IdP pode acessar para manter metadados atualizados.

  • Metadados estáticos

    Adicione os metadados SP da DigiCert ao seu IdP usando um arquivo XML estático. Se você precisar atualizar seu IdP no futuro, precisará entrar em sua conta CertCentral e obter um arquivo XML atualizado com os metadados SP da DigiCert.

URL personalizada de solicitação de certificado iniciada pelo provedor de serviços (SP) ou URL de solicitação de certificado iniciada pelo Provedor de identidade (IdP)

Depois de adicionar os metadados SP da DigiCert ao seu IdP, use o URL de solicitação de certificado SAML para solicitar um certificado de cliente. Entre através da URL personalizada de solicitação de certificado iniciada por Provedor de serviços ou sua própria URL de solicitação de certificados iniciada por IdP.

  • URL de solicitação de certificado personalizado iniciado pelo SP

    Junto com as novas alterações do processo SAML, uma nova URL de solicitação de certificado personalizada é criada. Os usuários de SSO podem usá-lo para solicitar um certificado de cliente (por exemplo, https://www.digicert.com/account/saml-certificate-request/ "federation-name” /login).

  • URL de solicitação de certificado iniciada pelo IdP

    Se preferir, use um URL de login iniciado pelo IdP para entrar e solicitar o certificado do cliente também. Contudo, será necessário fornecer aos seus usuários SAML esta URL iniciada por IdP ou aplicativo.

Confirmar conexão IdP

Pronto para finalizar a sua conexão de URL de solicitação de certificado SAML?

Entre na URL de solicitação de certificado (iniciada por Provedor de serviço ou IdP) pela primeira vez para finalizar a conexão.