Рабочий процесс службы размещения запросов на сертификаты SAML

Примечание по поводу метаданных XML

Если вы используете функцию единого входа (SSO) для SAML, вы не можете использовать одни и те же метаданные XML для обеих конфигураций. Код объекта запроса на сертификат SAML должен отличаться от кода объекта единого входа (SSO) для SAML.

Предоставьте DigiCert метаданные вашего поставщика удостоверений (IdP)

Для настройки запросов на сертификаты SAML в вашей учетной записи CertCentral первое, что должен сделать администратор SAML, - настроить метаданные вашего IdP. Это можно сделать, используя динамический URL-адрес, либо статические метаданные XML, полученные от вашего IdP.

  • Динамические метаданные
    Настройте вашего IdP с использованием динамического URL-адреса, связанного с метаданными вашего IdP. С помощью динамической ссылки ваши метаданные обновляются автоматически. Если у вас имеются пользователи, ежедневно регистрирующиеся в вашей учетной записи, метаданные будут обновляться каждые 24 часа. Если с момента последней регистрации пользователя прошло более 24 часов, метаданные будут обновлены при следующей регистрации пользователя в вашей учетной записи.
  • Статические метаданные
    Настройте вашего IdP, загружая статический файл XML, содержащий все метаданные вашего IdP. Для обновления ваших метаданных вы должны зарегистрироваться в вашей учетной записи и загрузить новый файл XML с обновленными метаданными IdP.

Имя федерации

Чтобы упростить процесс идентификации вашими пользователями SAML URL-адреса запроса на сертификат, инициированного вашим поставщиком услуг, рекомендуем добавить к нему имя федерации (понятное имя). Данное имя будет частью URL-адреса запроса на сертификат, инициированного поставщиком услуг, который вы можете отправить пользователям SAML для запроса сертификатов клиентов. Данное имя также будет включено в название страницы регистрации запроса на сертификат, инициированного вашим поставщиком услуг.

Имя федерации должно быть уникальным; рекомендуем использовать имя вашей компании.

Предполагаемые отображения полей из утверждения SAML

Чтобы запрос на сертификат SAML был успешным, необходимо настроить отображения полей на стороне IdP в утверждении SAML.

  • Организация
    Мы будем искать атрибут SAML "организация".
    Атрибут организации должен соответствовать активной организации в вашей учетной записи CertCentral; проверка соответствия выполняется DigiCert при проверке организации (OV). Например, если вы хотите использовать DigiCert, Inc., в этом случае в качестве вашего атрибута “организация” для SAML необходимо указать “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>).
  • Общее имя
    Мы будем искать атрибут SAML “common_name”. Домен должен соответствовать домену в вашей учетной записи CertCentral, проверка которого выполнена DigiCert при проверке организации (OV).
  • Адрес электронной почты
    Мы будем искать атрибут SAML “email”
  • ИД пользователя (опционально)
    ИД пользователя требуется только в том случае, если ИД имени не включен в утверждение. Если ИД имени не включен, мы будем искать атрибут SAML “person_id”.
    Атрибут “person_id” должен быть уникальным для пользователя. Этот ИД позволяет пользователям обращаться к ранее размещенным заказам.
    Данные отображения полей необходимо настроить на стороне IdP таким образом, чтобы позволить DigiCert надлежащим образом интерпретировать метаданные и отображать верные данные в форме запроса на сертификат клиента в вашем запросе на сертификат SAML.
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

Продукты, имеющиеся в форме запроса на сертификат

Необходимо выбрать сертификаты клиентов, которые ваши пользователи SAML могут заказать после аутентификации на странице запросов на сертификаты SAML. В настоящее время мы поддерживает только сертификаты клиентов для запросов на сертификаты SAML.

Чтобы разрешить выдачу сертификата клиента в ответ на ваш запрос на сертификат SAML, необходимо разрешить выдачу для вашей учетной записи. Чтобы получить сертификат клиента, разрешенный для вашей учетной записи, обратитесь к вашей учетной записи, представителю вашей учетной записи DigiCert, либо к нашей группе поддержки.

  • Authentication Only – Выполняется аутентификация клиентов.
  • Authentication Plus – Выполняется аутентификация клиентов и подписывание документов*.
  • Digital Signature Plus – Выполняется аутентификация клиентов, подписывание сообщений и подписывание документов*.
  • Premium – Выполняется аутентификация клиентов, шифрование сообщений, подписывание сообщений и подписывание документов*.

*Подписывание документов

С помощью программ, поддерживающих использование цифровых подписей и шифрование, клиенты могут подписывать документы и шифровать важные данные, например, документы. Для программ, использующих утвержденный список доверия Adobe, вы должны использовать сертификат на подписывание документов DigiCert.

Настройки ограничений по продуктам

Ограничения по продуктам, которые вы настраиваете на странице Настройки продуктов в вашей CertCentral, не применяются для функции запроса на сертификат SAML. (в меню на боковой панели нажмите Настройки > Настройки продуктов).

Настраиваемые поля

В настоящее время функция запроса на сертификат SAML не поддерживает добавления настраиваемых полей в форму запроса на сертификат.

  • Не используйте требуемые настраиваемые поля
    Если вы планируете разрешить сертификаты клиентов в запросах на сертификаты SAML, не добавляйте к сертификату требуемые настраиваемые поля. Требуемые настраиваемый поля нарушают процесс подачи запроса на сертификат SAML и приводят к ошибкам в ходе его выполнения.
  • Дополнительные настраиваемые поля не включены в формы запросов на сертификаты SAML
    Вы можете добавить дополнительные настраиваемые поля в форму сертификата клиента и, таким образом, оставить данный сертификат доступным для запросов на сертификаты SAML. При этом дополнительные настраиваемые поля не подходят к форме запроса на сертификат SAML.

Метаданные поставщика услуг (SP) DigiCert

После того, как вы настроите метаданные поставщика удостоверений, добавите имя федерации и настроите продукты, разрешенные сертификатом клиента для использования в запросе на сертификат, мы предоставим вам возможность работы с метаданными DigiCert. Эти метаданные должны быть добавлены к вашему IdP таким образом, чтобы можно было установить связь между вашим IdP и учетной записью CertCentral. Можно использовать динамический URL-адрес или метаданные XML.

  • Динамические метаданные
    Добавьте метаданные SP DigiCert к вашему IdP, используя динамический URL-адрес, к которому ваш IdP может обратиться в случае, если требуется обновление метаданных.
  • Статические метаданные
    Добавьте метаданные SP DigiCert к вашему IdP, используя статический файл XML. Если вам потребуется обновление вашего IdP в будущем, вы должны зарегистрироваться в вашей учетной записи CertCentral и получить обновленный файл XML с метаданными SP DigiCert.

URL-адрес поставщик услуг (SP), инициировавшего настраиваемый запрос на сертификат, или URL-адрес поставщика удостоверений (IdP), инициировавшего запрос на сертификат

После того, как вы добавите метаданные SP DigiCert к вашему IdP, воспользуйтесь URL-адресом запроса на сертификат SAML в запросе на сертификат клиента. Регистрация с использованием URL-адреса поставщик услуг (SP), инициировавшего настраиваемый запрос на сертификат, или вашего собственного URL-адреса поставщика удостоверений (IdP), инициировавшего запрос на сертификат.

  • URL-адрес поставщика услуг (SP), инициировавшего настраиваемый запрос на сертификат
    Вместе с изменениями процесса, связанными с новым SAML создают URL-адрес нового настраиваемого запроса на сертификат. Пользователи SSO могут воспользоваться этим для запроса на сертификат клиента (например, https://www.digicert.com/account/saml-certificate-request/"federation-name"/login).
  • URL-адрес поставщика удостоверений инициированного IdP
    Если вы предпочитаете такой вариант, используйте URL-адреса для регистрации, инициированной IdP, для подписывания, а также при заказе клиентского сертификата. При этом вы должны предоставить вашим пользователям SAML URL-адрес, инициированный данным IdP, или приложение.

Подтвердите связь с IdP

Готовность к завершению соединения с URL-адресом вашего запроса на сертификат SAML. Первая регистрация по URL-адресу запроса на сертификат (инициированного SP или IdP) для завершения соединения.