設定 SAML 單一登入

在您開始前

在您開始前,確定您符合以下的先決條件:

  • 啟用適用於您的帳戶的 SAML
  • 取得您的 IdP 中繼資料 (動態或靜態)
  • 取得您讓 CertCentral 使用者符合 SAML 使用者 (名稱 ID 欄位或屬性) 所需

請參閱 SAML 單一登入先決條件SAML 服務工作流程

設定 SAML 單一登入

  1. 前往「同盟設定」頁面

    1. 在資訊看板選單中,按一下設定 > 單一登入
    2. 在「單一登入 (SS)」頁面上,按一下編輯同盟設定
  1. 設定您的識別提供者中繼資料

    在「同盟設定」頁面的「您的 IDP 的中繼資料」的區段中,完成以下的工作。

    1. 新增 IdP 中繼資料
      在「您如何從您的 IDP 傳送資料?」下,使用這些選項之一新增您的中繼資料。
      1. XML 中繼資料
        提供您的 XML 格式的 IdP 中繼資料給 DigiCert。
        如果您的 IdP 中繼資料變更,您需要在您的帳戶中手動更新您的 IdP 中繼資料。
      2. 使用動態 URL
        提供有到您的 IdP 中繼資料的連結給 DigiCert。
        如果您的 IdP 中繼資料變更,您的帳戶中也會自動更新您的 IdP 中繼資料。
    2. 識別使用者
      為了讓「SAML 單一登入」登入成功,您必須決定如何使您的 SSO 判斷與 CertCentral 中的 SSO 使用者的使用者名稱相符。
      在「您如何識別使用者?」下,使用這些選項之一讓 SSO 使用者與 CertCentral 中的使用者名稱相符。
      1. NameID
        使用 NameID 欄位使您的 CertCentral 使用者符合他們的 SAML 單一登入 (SSO) 使用者。
      2. 使用 SAML 屬性
        使用屬性使您的 CertCentral 使用者符合他們的 SAML 單一登入 (SSO) 使用者。
        在方塊中,輸入您要使用的屬性 (例如電子郵件)。
        此屬性需要出現在您的 IdP 傳送給 DigiCert 的判斷中:
        <AttributeStatement>
        <Attribute
        Name="email">
        <AttributeValue>
        user@example.com
        </AttributeValue>
        </Attribute>
        </AttributeStatement>
    3. 新增同盟名稱
      同盟名稱下,,輸入要納入建立的自訂 SSO URL 中的同盟名稱 (易記名稱)。您將此 SSO URL 傳送給僅 SSO 使用者。
      註:同盟名稱必須是唯一的。建議使用您的公司名稱。
    4. 包含同盟名稱
      根據預設值,我們將您的同盟名稱新增到 IdP 選擇頁面中,在此,您的 SSO 使用者可以輕鬆存取您的 SP 起始的自訂 SSO URL。
      若要防止您的同盟名稱出現在 IdP 選擇頁面的 IdP 清單中,請取消勾選新增我的同盟名稱到 IdP 清單中
    5. 儲存
      當您完成時,按一下儲存並完成
  1. 新增 DigiCert 服務提供者 (SP) 中繼資料

    在「單一登入 (SSO)」頁面的「DigiCert 的 SP 中繼資料」區段中,完成這些工作之一以新增 DigiCert SP 中斷資料到您的 IdP 的中繼資料中:

    • DigiCert 的 SP 中繼資料的動態 URL
      將動態 URL 複製到 DigiCert SP 中繼資料並新增到您的 IdP 中,以協助進行 SSO 連線。
      如果 DigiCert SP 中繼資料變更,您的帳戶中也會自動更新您的 SP 中繼資料。
    • 靜態 XML
      複製 DigiCert XML 格式的 SP 中繼資料,然後新增到您的 IdP 中協助進行 SAML Certificate Request (憑證要求) 連線。
      如果 DigiCert SP 中繼資料變更,您將需要在您的 IdP 中手動更新。
  1. 設定使用者的 SSO 設定

    新增使用者到您的帳戶時,您可以將使用者限制為僅「單一登入」驗證 (僅 SSO 使用者)。這些使用者沒有 API 存取權限 (例如,無法建立作用中T的 API 金鑰)。

    若要允許僅 SSO 使用者建立 API 金鑰和 API 整合,請勾選啟用僅限 SSO 使用者的 API 存取

啟用僅限 SSO 使用者的 API 存取選項允許有 API 金鑰的僅限 SSO 使用者繞過「單一登入」。停用僅 SSO 使用者的 API 存取權限不會撤銷現有的 API 金鑰。只會封鎖新的 API 金鑴的建立。

  1. 登入和最終化 SAML SSO 到 CertCentral 連線

    在「單一登入」頁面的「SP 起始自訂 SSO URL」區段中,複製 URL 並將其貼到瀏覽器中。然後,使用您的 IdP 認證登入您的 CertCentral 帳戶。

如果您想要,請改用 IdP 起始的登入 URL 登入您的 CertCentral 帳戶。但您需要提供此 IdP 起始的 URL 或應用程式給您的 SSO 使用者。

下一步是什麼

在您的帳戶中,開始管理您的單一登入使用者 (新增僅限 SAML SSO 使用者到您的帳戶,將現有的帳戶使用者轉換成僅限 SAML SSO 使用者等)。請參閱管理 SAML 單一登入 (SSO) 使用者允許存取 SAML 設定的權限