配置 SAML 单一登录

在开始之前

在开始之前,请确保满足以下先决条件:

  • 为您的帐户启用 SAML
  • 持有您的 IdP 元数据(动态或静态)
  • 将 CertCentral 用户与 SAML 用户匹配(名称 ID 字段或属性)所需满足的条件。

请参阅 SAML 单一登录先决条件SAML 服务工作流程

配置 SAML 单一登录

  1. 转到“联盟设置”页

    1. 在侧栏菜单中,单击设置 > 单一登录
    2. 在“单一登录 (SS)”页面上,单击编辑联盟设置
  1. 设置标识提供程序元数据

    在“联盟设置”页面的“IDP 元数据”部分完成以下任务。

    1. 添加 IDP 元数据
      在“您将如何发送 IDP 中的数据?”下,使用其中一个选项添加元数据。
      1. XML 元数据
        向 DigiCert 提供 XML 格式的 IdP 元数据。
        如果您的 IdP 元数据有变,您需手动在您的帐户中更新 IdP 元数据。
      2. 使用动态 URL
        向 DigiCert 提供您的 IdP 元数据的链接。
        如果您的 IdP 元数据有变,您的帐户中的 IdP 元数据将自动更新。
    2. 标识用户
      要成功完成 SAML 单一登录,您必须决定如何将您的 SSO 声明与 CertCentral 中的 SSO 用户的用户名匹配。
      您将如何识别用户?使用其中一种选项将 SSO 用户与其在 CertCentral 中的用户名匹配。
      1. NameID
        使用 NameID 字段将您的 CertCentral 用户与其 SAML 单一登录 (SSO) 用户匹配。
      2. 使用 SAML 属性
        使用属性将您的 CertCentral 用户与其 SAML 单一登录 (SSO) 用户匹配。
        在方框中输入您要使用的属性(例如,电子邮件地址)。
        该属性需显示在您的 IdP 发送到 DigiCert 的声明中:
        <AttributeStatement>
        <Attribute
        Name="email">
        <AttributeValue>
        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. 添加联盟名称
      联盟名称下,输入要包括在创建的自定义 SSO URL 中的联盟名称(友好名称)。您将此 SSO URL 发送到仅 SSO 用户。
      注意:联盟名称必须唯一。我们建议使用您的公司名。
    4. 包括联盟名称
      默认情况下,我们将您的联盟名称添加到 IdP 选择页面,使您的 SSO 用户可以轻松访问 SP 发起的自定义 SSO URL。
      要阻止您的联盟名称显示在 IdP 选择页面的 IdP 列表上,请取消选中将我的联盟名称添加到 IdP 列表
    5. 保存
      完成后,单击保存并完成
  1. 添加 DigiCert 服务提供商 (SP) 元数据

    在“单一登录 (SSO)”页面上的“DigiCert 的 SP 元数据”部分,完成以下其中一项任务,将 DigiCert SP 元数据添加到您的 IDP 元数据:

    • DigiCert SP 元数据的动态 URL
      将动态 URL 复制到 DigiCert SP 元数据并将其添加到您的 IdP,以帮助建立 SSO 连接。
      如果 DigiCert SP 元数据有变,您的 IdP 中的 SP 元数据将自动更新。
    • 静态 XML
      将 DigiCert XML 形式的 SP 元数据复制并添加到您的 IdP,以帮助建立 SSO 连接。
      如果 DigiCert SP 元数据有变,您需要在 IdP 中手动更新。
  1. 为用户配置 SSO 设置

    添加用户到您的帐户时,您可以限制用户仅使用单一登录身份验证(仅 SSO 用户)。这些用户没有 API 权限(例如,无法创建工作 API 密钥)。

    要允许仅 SSO 用户创建 API 密钥和构建 API 集成,请选中为仅 SSO 用户启用 API 访问权限

为仅 SSO 用户启用 API 访问权限选项允许持有 API 密钥的仅 SSO 用户绕过单一登录。为仅 SSO 用户禁用 API 访问权限不会吊销现有的 API 密钥。它只会阻止生成新的 API 密钥。

  1. 登录并完成 SAML SSO 到 CertCentral 的连接

    在“单一登录”页面上的“SP 发起的自定义 SSO URL”部分,复制 URL 并将其粘贴到浏览器中。然后,使用您的 IdP 凭证登录 CertCentral 帐户。

如果您愿意,可以改为使用 IdP 发起的登录 URL 登录 CertCentral 帐户。但是,您需要向您的 SSO 用户提供此 IdP 发起的 URL 或应用程序。

接下来

开始在您的帐户中管理单一登录用户(在您的帐户中添加仅 SAML SSO 用户、将现有帐户用户转换成仅 SAML SSO 用户等)。请参阅 管理 SAML 单一登录 (SSO) 用户允许访问 SAML 设置权限