SAML 证书请求服务工作流

XML 元数据备注

如果您使用 SAML 单一登录功能,则无法为两个配置使用相同的 XML 元数据。SAML 证书请求实体 ID 必须和 SAML SSO 实体 ID 不同。

向 DigiCert 提供您的标识提供程序 (IdP) 元数据

要为您的 CertCentral 帐户配置 SAML 证书请求,SAML 管理员待办列表中的第一个事项就是设置您的 IdP 元数据。您可以使用您的 IdP 的动态 URL 或静态 XML 元数据来完成。

  • 动态元数据
    通过链接到您的 IdP 元数据的动态 URL 配置您的 IdP。通过动态链接,您的元数据会自动更新。如果您有用户每天登录您的帐户,它会每 24 小时更新一次。如果超过 24 小时无人登录,它将在用户下一次登录您的帐户时更新。
  • 静态元数据
    通过包含您的所有 IdP 元数据的静态 XML 文件配置您的 IdP。要更新您的元数据,您需登录您的帐户并使用更新的 IdP 元数据上传新的 XML 文件。

联盟名称

为了方便您的 SAML 用户识别您的由 SP 发起的证书请求 URL,我们建议添加联盟(友好名称)。此名称将成为由 SP 发起的证书请求 URL 的一部分,您可以将它发送到申请客户端证书的 SAML 用户。它也会包括在由 SP 发起的证书请求登录页的标题中。

联盟名称必须唯一。我们建议使用您的公司名。

预计来自 SAML 声明的字段映射

为了成功完成 SAML 证书请求,您必须在 SAML 声明中的 IdP 侧配置字段映射。

  • 组织
    我们将查找 SAML 属性"组织"。
    组织属性必须和您的 CertCentral 帐户中的活跃组织匹配,且 DigiCert 已经为组织验证 (OV) 进行验证。例如,如果您要使用 DigiCert, Inc.,您的 SAML “组织”属性必须是 “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>)。
  • 公用名
    我们将查找 SAML 属性 “common_name”。域必须和 DigiCert 已经为组织验证 (OV) 进行验证的 CertCentral 帐户中的域匹配。
  • 电子邮件地址
    我们将查找 SAML 属性“电子邮件”
  • 个人 ID(可选)
    只有当声明中不包括 NameID 时才需要个人 ID。如果不包括 NameID,我们将查找 SAML 属性 “person_id”。
    “person_id”属性必须对用户唯一。该 ID 允许其访问之前提交的订单。
    必须在 IdP 侧配置这些字段映射,使 DigiCert 可以正确分析元数据并在您的 SAML 证书请求客户端证书请求表中显示正确信息。
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

证书请求表上的可用产品

对 SAML 证书请求页面进行身份验证后,您必须选择您的 SAML 用户可以订购的客户端证书。目前,我们仅支持 SAML 证书请求的客户端证书。

要对您的 SAML 证书请求启用客户端证书,必须对您的帐户启用它。要对您的帐户启用客户端证书,请联系您的 DigiCert 客户经理或我们的支持团队

  • Authentication Only - 提供客户端身份验证。
  • Authentication Plus – 提供客户端身份验证和文档签名*。
  • Digital Signature Plus – 提供客户端身份验证、电子邮件签名和文档签名*。
  • Premium – 提供客户端身份验证、电子邮件加密、电子邮件签名和文档签名*。

*文档签名

对于支持数字签名和加密应用程序的程序,客户端可以对文档签名并对其重要数据(例如文档)加密。对于使用 Adobe 批准的信任列表的程序,需要使用 DigiCert 文档签名证书。

产品限制配置

您在 CertCentral 的产品设置页面上配置的产品限制不适用于 SAML 证书请求功能产品。(在侧栏菜单中,单击设置 > 产品设置。)

自定义字段

目前,SAML 证书请求功能不支持在证书请求表上添加自定义字段。

  • 不使用必填自定义字段
    如果您计划为 SAML 证书请求启用客户端证书,请勿将必填自定义字段添加到证书。必填自定义字段会中断 SAML 证书请求过程,导致其因错误而退出。
  • 可选自定义字段不包括在 SAML 证书请求表上
    您可以将可选自定义字段添加到客户端证书表,并且仍然为 SAML 证书请求启用该证书。但是,可选自定义字段不会传递到 SAML 证书请求表。

DigiCert 服务提供商 (SP) 元数据

为证书请求设置标识提供程序元数据、添加联盟名称并且配置允许的客户端证书产品后,我们将向您提供 DigiCert 的 SP 元数据。该元数据必须添加到您的 IdP,以便在您的 IdP 和 CertCentral 帐户之间建立连接。您可以使用动态 URL 或 XML 元数据。

  • 动态元数据
    使用动态 URL 将 DigiCert 的 SP 元数据添加到您的 IdP,使您的 IdP 可以根据需要进行访问以维护更新的元数据。
  • 静态元数据
    使用静态 XML 文件将 DigiCert 的 SP 元数据添加到您的 IdP。如果您将来要更新 IdP,您需登录 CertCentral 帐户并使用 DigiCert 的 SP 元数据获取更新的 XML 文件。

服务提供商 (SP) 发起的自定义证书请求 URL 或标识提供程序 (IdP) 发起的证书请求 URL

将 DigiCert 的 SP 元数据添加到您的 IdP 后,使用 SAML 证书请求 URL 请求客户端证书。通过 SP 发起的自定义证书请求 URL 或您自己的 IdP 发起的证书请求 URL 登录。

  • SP 发起的自定义证书请求 URL
    在更改新的 SAML 流程时,创建了新的自定义证书请求 URL。SSO 用户可以用它来请求客户端证书(例如,https://www.digicert.com/account/saml-certificate-request/"federation-name"/login)。
  • IdP 发起的证书请求 URL
    如果您愿意,可以使用 IdP 发起的登录 URL 登录及订购客户端证书。但是,您需要向您的 SAML 用户提供此 IdP 发起的 URL 或应用程序。

确认 IdP 连接

准备最终建立您的 SAML 证书请求 URL 连接。第一次登录证书请求 URL(SP 或 IdP 发起)以完成连接。