Skip to main content

SAML 服务工作流

重要

XML 元数据备注:

如果您使用 SAML 证书请求功能,则无法为两个配置使用相同的 XML 元数据。SAML SSO 实体 ID 必须和 SAML 来宾请求实体 ID 不同。

向 DigiCert 提供您的标识提供程序 (IdP) 元数据

要为您的 CertCentral 帐户配置 SAML 单一登录 (SSO),SAML 管理员待办列表中的第一个事项就是设置您的 IdP 元数据。您可以使用您的 IdP 的动态 URL 或静态 XML 元数据来完成:

  • 动态元数据:

    通过链接到您的 IdP 元数据的动态 URL 配置您的 IdP。通过动态链接,您的元数据会自动更新。如果您有用户每天登录您的帐户,它会每 24 小时更新一次。如果超过 24 小时无人登录,它将在用户下一次登录您的帐户时更新。

  • 静态元数据:

    通过包含您的所有 IdP 元数据的静态 XML 文件配置您的 IdP。要更新您的元数据,您需登录您的帐户并使用更新的 IdP 元数据上传新的 XML 文件。

将 CertCentral 用户与 SSO 用户匹配:分配属性或使用 nameID 字段

要成功完成 SAML 单一登录,DigiCert 必须将 CertCentral 用户与其 SSO 用户名匹配。您必须描述如何匹配用户的 SSO 声明及其在 CertCentral 中的用户名。

  • 属性:

    您可以在 SSO 中分配属性(例如,电子邮件)以标识具有 CertCentral 帐户的用户。DigiCert 将使用该属性将 CertCentral 用户名与其 SSO 用户匹配。

  • NameID:

    您可以使用 NameID 字段标识 CertCentral 用户。DigiCert 将使用 NameID 字段匹配 CertCentral 用户名与其 SSO 用户。

无论对登录帐户的用户使用哪种标识方法(属性还是 NameID 字段),DigiCert 都必须能够将 CertCentral 用户名和所选的 SAML 声明值匹配。

联盟名称

为了方便您的 SAML SSO 用户识别由 SP 发起的自定义 SSO URL,我们建议添加联盟名称(友好名称)。此名称将成为由 SP 发起的自定义 SSO URL 的一部分。您可以将此自定义 URL 发送到您的仅 SSO 用户用于登录帐户。

注意

联盟名称必须唯一。我们建议使用您的公司名。

DigiCert 服务提供商 (SP) 元数据

设置标识提供程序元数据、分配用于识别所有单一登录用户的属性并且添加联盟名称后,我们将向您提供 DigiCert SP 元数据。该元数据必须添加到您的 IdP,以便在您的 IdP 和 CertCentral 帐户之间建立连接。您可以使用动态 URL 或 XML 元数据。

  • 动态元数据:

    使用动态 URL 将 DigiCert SP 元数据添加到您的 IdP,使您的 IdP 可以根据需要进行访问以维护更新的元数据。

  • 静态元数据:

    使用静态 XML 文件将 DigiCert 的 SP 元数据添加到您的 IdP。如果您要更新 IdP,您需登录 CertCentral 帐户并使用 DigiCert 的 SP 元数据获取更新的 XML 文件。

服务提供商 (SP) 发起的自定义 SSO 登录 URL 或标识提供程序 (IdP) 发起的 SSO 登录 URL

将 DigiCert 的 SP 元数据添加到您的 IdP 后,使用 SAML SSO 登录 CertCentral 帐户。通过 SP 发起的自定义 SSO 登录 URL 或您自己的 IdP 发起的登录 URL 登录。

  • 由 SP 发起的自定义 SSO 登录 URL:

    在更改新的 SAML 流程时,创建新的自定义 SSO 登录 URL。SSO 用户使用它来登录 CertCentral 帐户(自定义 SSO 登录 URL 示例:https://www.digicert.com/account/sso/ "federation-name" /login)。

  • IdP 发起的 SSO 登录 URL:

    如果您愿意,可以改为使用 IdP 发起的登录 URL 登录 CertCentral 帐户。但是,您需要向您的 SSO 用户提供此 IdP 发起的 URL 或应用程序。

确认 IdP 连接

准备最终建立您的 SAML SSO 连接?通过 SSO URL(SP 或 IdP 发起)第一次登录 CertCentral 帐户以完成连接。