Настройка запросов на сертификаты SAML

Прежде чем начать

  • Получите разрешение SAML для вашей учетной записи
  • Получите метаданные вашего IdP (динамические или статические)
  • Настройте отображения полей в утверждении SAML

См. разделы Требования, которые необходимо выполнить для запроса на сертификат SAML и Предполагаемые отображения полей из утверждения SAML в Рабочий процесс службы запросов на сертификаты SAML.

Настройте запросы на сертификаты SAML

  1. Перейдите на страницу Настройки федерации

    1. В меню на боковой панели нажмите Настройки > Запросы на сертификаты SAML.
    2. На странице Запросы на сертификаты SAML нажмите Редактировать настройки федерации.

  1. Проверка метаданных вашего IdP

    На странице Настройки федерации в поле Отображение полей проверьте, указали ли вы необходимые атрибуты SAML в вашем утверждении SAML. См. раздел Предполагаемые отображения полей из утверждения SAML в Рабочий процесс службы запросов на сертификаты SAML.

  1. Настройка метаданных вашего поставщика удостоверений

    На странице страница Настройки федерации, в разделе Метаданные вашего IdP выполните указанные ниже задачи.

    1. Добавьте метаданные IdP
      Под полем Каким образом вы будете пересылать данные от вашего IdP? укажите одну из следующих опций для добавления ваших метаданных.
      1. Метаданные XML
        Передача в DigiCert метаданных вашего IdP в формате XML.
        Если метаданные вашего IdP изменяются, вы должны вручную изменить метаданные вашего IdP в вашей учетной записи.
      2. Использование динамического URL-адреса
        Передача в DigiCert ссылки на метаданные вашего IdP.
        Если метаданные вашего IdP изменяются, метаданные вашего IdP в вашей учетной записи автоматически обновляются.
    2. Добавьте имя федерации
      Под полем Имя федерации, введите имя федерации (понятное имя), которое должно быть включено в создаваемый URL-адрес запроса на сертификат SAML, инициированного SP. Вы будете отправлять данный URL-адрес вашим пользователям SAML.
      Имя федерации также должно присутствовать в названии страницы регистрации запроса на сертификат, инициированного вашим поставщиком услуг.
      Примечание: Имя федерации должно быть уникальным. Рекомендуем использовать имя вашей компании.
    3. Включить имя федерации
      По умолчанию мы добавим ваше Имя федерации на страницу Выбор IdP, благодаря чему ваши пользователи SSO смогут без затруднений получить доступ к URL-адресу настраиваемой функции SSO, инициированной SP, в связи с вашими запросами на сертификаты SAML.
      Для предотвращения появления вашего Имени федерации в списке IdP на странице Выбор IdP сбросьте флажок Добавить мое Имя федерации в список IdP.
    4. Разрешить использовать сертификаты клиентов на странице запросов на сертификаты SAML
      В разделе Опции продуктов, выберите типы сертификатов клиентов, которые, как вам хотелось бы, ваши пользователи SAML будут заказывать после аутентификации на странице запросов на сертификаты SAML.
      1. Digital Signature Plus (аутентификация клиентов + подписывание сообщения + подписывание документов)
      2. Authentication Plus (аутентификация клиентов + подписывание документов)
      3. Premium (аутентификация клиентов + шифрование сообщений + подписывание сообщений + подписывание документов)
      4. Authentication Only (аутентификация клиентов)
    5. Сохранить
      После завершения работы нажмите Сохранить и Завершить.

  1. Добавьте метаданные поставщика услуг (SP)

    На странице запроса на сертификат SAML в разделе Метаданные SP DigiCert выполните одну из вышеприведенных задач и добавьте метаданные SP DigiCert к вашему адресу IdP:

    • Динамический URL-адрес для метаданных SP DigiCert
      Скопируйте динамический URL-адрес, предоставленный DigiCert нашим провайдером SP и добавьте его к вашему IdP, чтобы упростить процесс соединения с вашим запросом на сертификат SAML
      При каждом изменении метаданных DigiCert SP выше метаданные SP будут обновляться в вашем IdP автоматически.
    • Статический XML
      Скопируйте отформатированные метаданные SP в формате XML, которые предоставлены DigiCert, и добавьте их к вашему IdP, чтобы помочь установить соединение с вашим запросом на сертификат SAML.
      Если метаданные DigiCert SP в какой-то момент времени изменятся, вы должны вручную изменить их в вашей IdP.

  1. Зарегистрируйтесь и завершите соединение для передачи запросов на аутентифицированные сертификаты SAML

    На странице запросов на сертификаты SAML в разделе URL-адрес сертификата SAML скопируйте URL-адрес и вставьте его в браузер. Затем воспользуйтесь регистрационными данными вашего IdP для регистрации и аутентификации на странице запросов на сертификаты SAML.

По желанию вместо этого можно использовать регистрационный URL-адрес, инициированный IdP, для регистрации в вашей функции запроса на сертификат SAML. При этом вы должны предоставить вашим пользователям SAML URL-адрес, инициированный данным IdP, или приложение.

Что дальше?

Теперь вы можете опубликовать URL-адрес запроса на сертификат SAML и предоставить вашим пользователям, не являющимся пользователями CertCentral, возможность заказывать собственные сертификаты клиентов. Распространите данные инструкции среди пользователей SAML, либо рассылайте их вместе с URL-адресом запросов на сертификаты SAML.

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.