Fluxo de trabalho do serviço de Solicitações do certificado de SAML

Nota de metadados XML

Se estiver usando o recurso de Logon Único de SAML, não será possível usar os mesmos metadados XML para ambas as configurações. A ID da entidade da solicitação de certificado SAML deve ser diferente da ID da entidade SSO de SAML.

Fornecer seus metadados do Provedor de identidade (IdP) para a DigiCert

Para configurar solicitações de certificado SAML para a sua conta da CertCentral, o primeiro item na lista de tarefas do admin SAML é configurar seus metadados IdP. Você pode fazer isso com uma URL dinâmica ou metadados XML estáticos do seu IdP.

  • Metadados dinâmicos
    Configure seu IdP através de uma URL dinâmica que é vinculável ao seus metadados IdP. Com um link dinâmico, seus metadados são atualizados automaticamente. Se tiver usuários entrando na sua conta diariamente, eles são atualizados a cada 24 horas. Se passou mais de 24 horas que alguém entrou, eles serão atualizados na próxima vez que um usuário entrar na sua conta.
  • Metadados estáticos
    Configure seu IdP ao carregar um arquivo XML estático que possui todos os seus dados IDP. Para atualizar seus metadados, será necessário entrar na sua conta e carregar um novo arquivo XML com os metadados IdP atualizados.

Nome da federação

Para facilitar para os seus usuários SAML na hora de identificarem sua URL de solicitação de certificado iniciada pelo provedor de serviços, recomendamos adicionar uma federação (nome amigável) a ela. Este nome fará parte da URL de solicitação de certificado iniciada pelo provedor de serviço que você pode enviar a usuários SAML para solicitar certificados do cliente. Ele também será incluído no título da sua página de login da solicitação de certificado iniciada por provedor de serviço.

O nome da federação deve ser único; recomendamos usar o nome da sua empresa.

Mapeamentos de campos esperados da asserção SAML

Para que a solicitação de certificado SAML seja bem-sucedida, é necessário configurar os mapeamentos de campo no lado IdP na asserção SAML.

  • Organização
    Procuraremos o atributo SAML "organização".
    O atributo organização deve corresponder a uma organização ativa na sua conta da CertCentral; uma que a DigiCert validou para validação da organização (OV). Por exemplo, se você quiser usar DigiCert, Inc., então o seu atributo “organização” SAML deve ser “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).
  • Nome comum
    Procuraremos o atributo SAML “common_name”. O domínio deve corresponder a um domínio na sua conta da CertCentral que a DigiCert validou para validação da organização (OV).
  • Endereço de e-mail
    Procuraremos o atributo SAML “e-mail”
  • ID pessoal (opcional)
    A ID pessoal só é requerida se NameID não estiver incluso na asserção. Se NameID não for incluído, procuraremos o atributo SAML “person_id”.
    O atributo “person_id” deve ser exclusivo ao usuário. Esta ID permite que ele tenha acesso a seus pedidos anteriormente feitos.
    Estes mapeamentos de campo devem ser configurados no lado IdP para que a DigiCert possa adequadamente analisar os metadados e exibir as informações corretas nos seus formulários de solicitação de certificado do Cliente para solicitação de certificados SAML.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Produtos disponíveis no formulário de solicitação do certificado

É necessário selecionar os certificados do cliente que os seus usuários SAML podem pedir depois de autenticados na página de solicitações de certificados SAML. Atualmente, só suportamos certificados do cliente para solicitações de certificados SAML.

Para habilitar um certificado do cliente para a sua solicitação de certificados SAML, ele deve ser habilitado para a sua conta. Para obter um certificado do cliente habilitado para a sua conta, contate a sua conta, contate o representante da sua conta da DigiCert ou a nossa equipe de Atendimento.

  • Apenas autenticação - Fornece autenticação do cliente.
  • Autenticação Plus – Fornece autenticação do cliente e assinatura do documento*.
  • Assinatura digital Plus – Fornece autenticação do cliente, assinatura de e-mail e assinatura de documento*.
  • Premium – Fornece autenticação do cliente, criptografia de e-mail, assinatura de e-mail e assinatura de documento*.

*Assinatura de documento

Para programas que suportam a aplicação de assinaturas digitais e criptografia, os clientes podem assinar documentos e criptografar seus dados valiosos como documentos. Para programas que usam a Lista de confiança aprovada da Adobe, será necessário usar um certificado de Assinatura de documento da DigiCert.

Configurações do limite de produtos

Os limites do produto que você configura na página Configurações de produtos na sua CertCentral não são aplicáveis aos produtos para o recurso de solicitação do certificado SAML. (No menu da barra lateral, clique em Configurações > Configurações de produtos).

Campos personalizados

Atualmente, o recurso de solicitação de certificado SAML não suporta a adição de campos personalizados no formulário de solicitação do certificado.

  • Não use campos personalizados obrigatórios
    Se planeja habilitar o certificado do cliente para solicitações de certificado SAML, não adicione campos personalizados obrigatórios ao certificado. Campos personalizados obrigatórios interrompem o processo de solicitação de certificado SAML e causam erro.
  • Campos personalizados opcionais não são incluídos em formulários de solicitação de certificados SAML
    Você pode adicionar campos personalizados opcionais a um formulário de certificado do cliente e ainda habilitar tal certificado para solicitações de certificados SAML. Contudo, os campos personalizados opcionais não são passados através do formulário de solicitação de certificado SAML.

Metadados do provedor de serviços (SP) da DigiCert

Após ter configurado os metadados do Provedor de identidade, adicionado um nome de federação e configurado os produtos de certificados do cliente permitidos para as solicitações de certificados, forneceremos metadados do provedor de serviços da DigiCert. Estes metadados devem ser adicionados ao seu IdP para que a conexão entre o seu IdP e conta da CertCentral possa ser feita. Você pode usar uma URL dinâmica ou metadados XML.

  • Metadados dinâmicos
    Adicione seus metadados de provedor de serviços da DigiCert ao seu IdP usando uma URL dinâmica que o seu IdP pode acessar conforme necessário para manter os metadados atualizados.
  • Metadados estáticos
    Adicione metadados de provedor de serviços da DigiCert ao seu IdP usando um arquivo XML estático. Se precisar atualizar o seu IdP no futuro, será necessário entrar na sua conta da DigiCert e obter um arquivo XML carregado com metadados de provedor de serviços da DigiCert.

URL personalizada de solicitação de certificado iniciada pelo provedor de serviços (SP) ou URL de solicitação de certificado iniciada pelo Provedor de identidade (IdP)

Depois de adicionar metadados do provedor de serviços da DigiCert ao seu IdP, use a URL de solicitação de certificado SAML para solicitar um certificado do cliente. Entre através da URL personalizada de solicitação de certificado iniciada por Provedor de serviços ou sua própria URL de solicitação de certificados iniciada por IdP.

  • URL personalizada de solicitação de certificado iniciada por provedor de serviços
    Junto com as novas alterações do processo SAML, uma nova URL personalizada de solicitação de certificado é criada. Usuários SSO podem usuá-la para solicitar um certificado do cliente (por exemplo, https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • URL de solicitação de certificado iniciada por IdP
    Se preferir, também use uma URL de login iniciada por IdP para entrar e pedir o certificado do cliente. Contudo, será necessário fornecer aos seus usuários SAML esta URL iniciada por IdP ou aplicativo.

Confirmar conexão IdP

Pronto para finalizar a sua conexão de URL de solicitação de certificado SAML. Entre na URL de solicitação de certificado (iniciada por Provedor de serviço ou IdP) pela primeira vez para finalizar a conexão.