Рабочий процесс службы SAML

Примечание по поводу метаданных XML:

Если вы используете функцию Запросы на сертификаты SAML, вы не можете использовать одни и те же метаданные XML для обеих конфигураций. Код объекта SSO для SAML должен отличаться от кода объекта гостевого запроса для SAML.

Предоставьте DigiCert метаданные вашего поставщика удостоверений (IdP)

Для настройки функции единого входа (SSO) SAML для вашей учетной записи CertCentral первое, что должен сделать администратор SAML, - настроить метаданные вашего IdP. Это можно сделать, используя динамический URL-адрес, либо статические метаданные XML, полученные от вашего IdP.

  • Динамические метаданные
    Настройте вашего IdP с использованием динамического URL-адреса, связанного с метаданными вашего IdP. С помощью динамической ссылки ваши метаданные обновляются автоматически. Если у вас имеются пользователи, ежедневно регистрирующиеся в вашей учетной записи, метаданные будут обновляться каждые 24 часа. Если с момента последней регистрации пользователя прошло более 24 часов, метаданные будут обновлены при следующей регистрации пользователя в вашей учетной записи.
  • Статические метаданные
    Настройте вашего IdP, загружая статический файл XML, содержащий все метаданные вашего IdP. Для обновления ваших метаданных вы должны зарегистрироваться в вашей учетной записи и загрузить новый файл XML с обновленными метаданными IdP.

Согласование пользователей CertCentral и пользователей SSO: назначьте атрибут или используйте поле ИД имени

Для успешного использования функции единого входа (SSO) для SAML DigiCert необходимо сопоставить пользователей CertCentral и соответствующие имена пользователей SSO. Вам необходимо определить, каким образом согласовать утверждения SSO пользователей и соответствующие имена пользователей в CertCentral.

  • Атрибут
    Вы можете назначить атрибут (например, адрес электронной почты) в SSO для указания пользователей с учетными записями CertCentral. DigiCert будет использовать данный атрибут для согласования имен пользователей CertCentral и соответствующих пользователей SSO.
  • ИД имени
    Вы можете воспользоваться полем ИД имени для указания пользователей CertCentral. DigiCert будет использовать поле ИД имени для согласования имен пользователей CertCentral и соответствующих пользователей SSO.

Независимо от используемого метода идентификации, – с использованием атрибута или поля ИД имени, – для пользователя, зарегистрировавшегося в соответствующей учетной записи DigiCert должен обеспечить возможность согласования имени пользователя в CertCentral с выбранным значением утверждения SAML.

Имя федерации

Чтобы упростить идентификацию вашими пользователями SAML SSO URL-адреса настраиваемой функции SSO, инициированной вашим поставщиком услуг (SP), рекомендуем добавить к адресу имя федерации (понятное имя). Это имя будет являться частью URL-адреса настраиваемой функции SSO, инициированной поставщиком услуг. Можно отправить данный настраиваемый URL-адрес пользователям, которые являются только пользователями вашей SSO, для регистрации в соответствующей учетной записи.

Имя федерации должно быть уникальным. Рекомендуем использовать имя вашей компании.

Метаданные поставщика услуг (SP) DigiCert

После того, как вы настроите метаданные поставщика удостоверений, назначив атрибуты для идентификации всех пользователей с единым входом и добавив Имя федерации, мы предоставим вам метаданные DigiCert для SP. Эти метаданные должны быть добавлены к вашему IdP таким образом, чтобы можно было установить связь между вашим IdP и учетной записью CertCentral. Можно использовать динамический URL-адрес или метаданные XML.

  • Динамические метаданные
    Добавьте метаданные SP DigiCert к вашему IdP, используя динамический URL-адрес, к которому ваш IdP может обратиться, если требуется обновление метаданных.
  • Статические метаданные
    Добавьте метаданные SP DigiCert к вашему IdP, используя статический файл XML. Если вам потребуется обновление вашего IdP в будущем, вы должны зарегистрироваться в вашей учетной записи CertCentral и получить обновленный файл XML с метаданными SP DigiCert.

URL-адрес для регистрации в настраиваемой функции SSO, инициированной поставщиком услуг (SP), или URL-адрес для регистрации в настраиваемой функции SSO, инициированной поставщиком удостоверений (IdP)

После того, как вы добавите метаданные SP DigiCert для вашего IdP, используйте SAML SSO для регистрации в вашей учетной записи CertCentral. Регистрация с использованием URL-адреса для регистрации в настраиваемой функции SSO, инициированной поставщиком услуг (SP), или вашего собственного URL-адреса регистрации, инициированной IdP.

  • URL-адрес для регистрации в настраиваемой функции SSO, инициированной поставщиком услуг (SP)
    Кроме новых изменений в процессе SAML, создается новый URL-адрес для регистрации в настраиваемой функции SSO. Пользователи SSO используют его для регистрации в соответствующей учетной записи CertCentral (пример URL-адреса для регистрации в настраиваемой функции SSO: https://www.digicert.com/account/sso/"federation-name"/login).
  • URL-адрес для регистрации в функции SSO, инициированной IdP
    По своему усмотрению вы можете использовать URL-адрес для регистрации, инициированной IdP, также для регистрации в вашей учетной записи CertCentral. При этом вы должны предоставить вашим пользователям SSO URL-адрес, инициированный данным IdP, или приложение.

Подтвердите связь с IdP

Готовы к завершению вашего соединения с SSO SAML? Первая регистрация в вашей учетной записи CertCentral с использованием URL-адрес вашего SSO (инициированного SP или IdP) для завершения соединения.