設定 SAML 單一登入
在您開始前
確定您符合以下的先決條件:
已啟用適用於您的帳戶的 SAML。
有您的 IdP 中繼資料 (動態或靜態)。
您有讓 CertCentral 使用者符合 SAML 使用者 (名稱 ID 欄位或屬性) 所需。
請參閱 SAML 單一登入先決條件和 SAML 服務工作流程。
設定 SAML 單一登入
前往「同盟設定」頁面。
在資訊看板功能表中,按一下設定 > 單一登入。
在「單一登入 (SS)」頁面上,按一下編輯同盟設定。
設定您的身分提供者中繼資料。
在「同盟設定」頁面的「您的 IDP 的中繼資料」的區段中,完成以下的工作。
新增 IDP 中繼資料
在您如何從您的 IDP 傳送資料?下,使用這些選項之一新增您的中繼資料:
XML 中繼資料
提供您的 XML 格式的 IdP 中繼資料給 DigiCert。
如果您的 IdP 中繼資料變更,您需要在您的帳戶中手動更新您的 IdP 中繼資料。
使用動態 URL
提供有到您的 IdP 中繼資料的連結給 DigiCert。
如果您的 IdP 中繼資料變更,您的帳戶中也會自動更新您的 IdP 中繼資料。
識別使用者。
為了讓「SAML 單一登入」登入成功,您必須決定如何使您的 SSO 判斷與 CertCentral 中的 SSO 使用者的使用者名稱相符。
在您如何識別使用者?下,使用這些選項之一讓 SSO 使用者與 CertCentral 中的使用者名稱相符。
NameID
使用 NameID 欄位使您的 CertCentral 使用者符合他們的 SAML 單一登入 (SSO) 使用者。
使用 SAML 屬性
使用屬性使您的 CertCentral 使用者符合他們的 SAML 單一登入 (SSO) 使用者。
在方塊中,輸入您要使用的屬性 (例如 email)。
此屬性需要出現在您的 IdP 傳送給 DigiCert 的判斷中:
<AttributeStatement> <Attribute
Name="email"
> <AttributeValue>
user@example.com
</AttributeValue> </Attribute> </AttributeStatement>
新增同盟名稱。
在同盟名稱下,輸入要納入建立的自訂 SSO URL 中的同盟名稱 (易記名稱)。您將此 SSO URL 傳送給僅 SSO 使用者。
Note
同盟名稱必須是唯一的。建議使用您的公司名稱。
納入同盟名稱:
根據預設值,我們將您的同盟名稱新增到
IdP 選取頁面中,在此,您的 SSO 使用者可以輕鬆存取您的 SP 起始的自訂 SSO URL。
若要防止您的同盟名稱出現在 IdP 選取頁面的 IdP 清單中,請取消勾選新增我的同盟名稱到 IdP 清單中。
儲存。
當您完成時,按一下儲存並完成。
新增 DigiCert 服務提供者 (SP) 中繼資料
在「單一登入 (SSO)」頁面的 DigiCert 的 SP 中繼資料區段中,完成這些工作之一以新增 DigiCert SP 中斷資料到您的 IdP 的中繼資料中:
DigiCert 的 SP 中繼資料的動態 URL
將動態 URL 複製到 DigiCert SP 中繼資料並新增到您的 IdP 中,以協助進行 SSO 連線。
如果 DigiCert SP 中繼資料變更,您的 IdP 中也會自動更新您的 SP 中繼資料。
靜態 XML
複製動態 XML 格式化的 SP 中繼資料並新增到您的 IdP 中,以協助進行 SSO 連線。
如果 DigiCert SP 中繼資料變更,您需要在您的 IdP 中手動更新。
設定使用者的 SSO 設定
新增使用者到您的帳戶時,您可以將使用者限制為僅「單一登入」身份驗證 (僅 SSO 使用者)。這些使用者沒有 API 存取權限 (例如,無法建立作用中的 API 金鑰)。
若要允許僅 SSO 使用者建立 API 金鑰和 API 整合,請勾選啟用僅限 SSO 使用者的 API 存取。
Note
啟用僅限 SSO 使用者的 API 存取選項允許有 API 金鑰的僅限 SSO 使用者繞過「單一登入」。停用僅 SSO 使用者的 API 存取權限不會撤銷現有的 API 金鑰。只會封鎖新的 API 金鑴的建立。
登入和最終化 SAML SSO 到 CertCentral 連線
在「單一登入」頁面的 SP 起始自訂 SSO URL 區段中,複製 URL 並將其貼到瀏覽器中。然後,使用您的 IdP 認證登入您的 CertCentral 帳戶。
Note
啟用僅限 SSO 使用者的 API 存取選項允許有 API 金鑰的僅限 SSO 使用者繞過「單一登入」。停用僅 SSO 使用者的 API 存取權限不會撤銷現有的 API 金鑰。只會封鎖新的 API 金鑴的建立。
下一步是什麼
在您的帳戶中,開始管理您的單一登入使用者 (新增僅限 SAML SSO 使用者到您的帳戶,將現有的帳戶使用者轉換成僅限 SAML SSO 使用者等)。請參閱 管理 SAML 單一登入 (SSO) 使用者 和 允許存取 SAML 設定權限。