SAML 服務工作流程

XML 中繼資料備註:

如果您正在使用「SAML 憑證要求」功能,您無法對兩個組態使用相同的 XML 中繼資料。SAML SSO 實體 ID 必須和 SAML 訪客要求實體 ID 不同。

提供您的識別提供者 (IdP) 中繼資料給 DigiCert

若要設定用於您的 CertCentral 帳戶的 SAML 單一登入 (SSO),SAML 管理員待辦事項清單上的第一個項目是設定您的 IdP 中繼資料。您可以用來自您的 IdP 的動態 URL 或靜態 XML 中繼資料執行此操作。

  • 動態中繼資料
    在與您的 IdP 中繼資料連結的動態 URL 上設定您的 IdP。使用動態連結可以自動更新您的中繼資料。如果每天有使用者登入您的帳戶,將每 24 小時更新一次。自某人登入後已超過 24 小時,將在下次使用者登入您的帳戶時登新。
  • 靜態中繼資料
    上傳包含您的所有 IDP 中繼資料的靜態 XML 檔案以設定您的 IdP。若要更新您的中繼資料,您需要登入您的帳戶,然後上傳有更新的 IdP 中繼資料的新 XML 檔案。

使 CertCentral 使用者和 SSO 使用者相符:指派屬性或使用 nameID 欄位

如果要讓 SAML 單一登入成功,DigiCert 必須比對 CertCentral 使用者和他們的 SSO 名稱。您必須決定如何讓使用者的 SSO 判斷與他們在 CertCentral 中的使用者名稱相符。

  • 屬性
    您可以在 SSO 中指派屬性 (電郵等) 以使用 CertCentral 帳戶識別使用者。DigiCert 將使用此屬性讓 CertCentral 使用者名稱與他們的 SSO 使用者相符。
  • NameID
    您可以使用 NameID 欄位識別 CertCentral 使用者。DigiCert 將使用 NameID 欄位比對 CertCentral 使用者名稱與他們的 SSO 使用者。

無論使用哪一個識別方法 – 屬性或 NameID 欄位 – 讓使用者登入他們的帳戶,DigiCert 必須可以讓 CertCentral 使用者名稱符合所選擇的 SAML 判斷值。

同盟名稱

為了讓您的 SAML SSO 使用者更容易識別您的 SP 起始的自訂 SSO URL,建議新增同盟 (易記名稱)。此名稱將是 SP 起始的自訂 SSO URL 的一部份。您可以傳送此自訂 URL 給您的僅 SSO 使用者以登入他們的帳戶。

同盟名稱必須是唯一的。建議使用您的公司名稱。

DigiCert 服務提供者 (SP) 中繼資料

在您設定「識別提供者」中繼資料後,指派用於識別所有單一簽入使用者的屬性,並且新增同盟名稱,我們將提供 DigiCert SP 中繼資料給您。此中繼資料必須新增到您的 IdP 中,這樣可以讓您的 IdP 和 CertCentral 帳戶連線。您可以使用動態 URL 或 XML 中繼資料。

  • 動態中繼資料
    使用動態 IdP 可以視需要存取的動態 URL,將 DigiCert SP 中繼資料新增到您的 IdP 中以保留更新的中繼資料。
  • 靜態中繼資料
    使用靜態 XML 檔案將 DigiCert 的 SP 中繼資料新增到您的 IdP 中。如果您需要更新 IdP,您將需要登入您的 CertCentral 帳戶和取得有 DigiCert 的 SP 中繼資料的更新的 XML 檔案。

服務提供者 (SP) 起始的自訂 SSO 登入 URL,或識別提供者 (IdP) 起用 SSO 登入 URL。

您一新增 DigiCert 的 SP 中繼資料到您的 IdP 後,即使用 SAML SSO 登入您的 CertCentral 帳戶。透過 SP 起始的自訂 SSO 登入 URL,或您自己的 IdP 起始的登入 URL 登入。

  • SP 起始的自訂 SSO 登入 URL
    隨著新 SAML 程序變更後,建立新的自訂 SSO 登入 URL。SSO 使用者使用此登入他們的 CertCentral 帳戶 (自訂 SSO 登入 URL 的範例:https://www.digicert.com/account/sso/"federation-name"/login)。
  • IdP 起始的 SSO 登入 URL
    如果您想要,請使用 IdP 起始的登入 URL 登入您的 CertCentral 帳戶。但您需要提供此 IdP 起始的 URL 或應用程式給您的 SSO 使用者。

確認 IdP 連線

準備好最終化您的 SAML SSO 連線嗎?第一次透過您的 SSO URL (SP 或 IdP 起始) 登入您的 CertCentral 帳戶以最終化連線。