SAML 憑證要求服務工作流程

XML 中繼資料備註

如果您正在使用「SAML 單一登一」功能,您無法對兩個組態使用相同的 XML 中繼資料。SAML 憑證要求實體 ID 必須和 SAML SSO 實體 ID 不同。

提供您的識別提供者 (IdP) 中繼資料給 DigiCert

若要設定用於您的 CertCentral 帳戶的 SAML 憑證要求,SAML 管理員待辦事項清單上的第一個項目是設定您的 IdP 中繼資料。您可以用來自您的 IdP 的動態 URL 或靜態 XML 中繼資料執行此操作。

  • 動態中繼資料
    在與您的 IdP 中繼資料連結的動態 URL 上設定您的 IdP。使用動態連結可以自動更新您的中繼資料。如果每天有使用者登入您的帳戶,將每 24 小時更新一次。自某人登入後已超過 24 小時,將在下次使用者登入您的帳戶時登新。
  • 靜態中繼資料
    上傳包含您的所有 IDP 中繼資料的靜態 XML 檔案以設定您的 IdP。若要更新您的中繼資料,您需要登入您的帳戶,然後上傳有更新的 IdP 中繼資料的新 XML 檔案。

同盟名稱

為了讓您的 SAML 使用者更容易識別您的 SP 起始的憑證要求 URL,建議新增同盟 (易記名稱) 到其中。此名稱是 SP 起始的憑證要求 URL 的一部份,您可以傳送給 SAML 使用者以要求 Client 憑證。同盟名稱也將在您的「SP 起始的憑證要求登入」頁面的標題中。

同盟名稱必須是唯一的。建議使用您的公司名稱。

預期來自 SAML 判斷的「欄位對應」

為了讓 SAML 憑證要求成功,您必須在 SAML 判斷中,設定 IdP 端的欄位對應。

  • 組織
    我們將尋找 SAML 屬性 "organization"。
    組織屬性必須和 DigiCert 已驗證組織驗證 (OV) 的 CertCentral 帳戶中的使用中組織相符。例如,如果您想要使用 DigiCert, Inc.,那麼您的 SAML “organization” 屬性必須是 “DigiCert, Inc.” (<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>)。
  • 一般名稱
    我們將尋找 SAML 屬性 “common_name”。網域必須和 DigiCert 已驗證組織驗證 (OV) 的 CertCentral 帳戶中的網域相符。
  • 電子郵件地址
    我們將尋找 SAML 屬性“電子郵件”
  • 個人 ID (選用)
    只有在判斷中未包含 NameID 時才需要個人 ID。如果不包括 NameID,我們將尋找 SAML 屬性 “person_id”。
    “person_id” 屬性對使用者必須是唯一的。此 ID 允許他們存取他們之前下的訂單。
    這些欄位對應必須在 IdP 端上設定,這樣 DigiCert 可以正確剖析中繼資料,以及在您的 SAML 憑證要求 Client 憑證申請表中顯示正確的資訊。
Example SAML assertion
<saml:AttributeStatement>
	<saml:Attribute Name="organization">
		<saml:AttributeValue>Example Organization</saml:AttributeValue>
</saml:Attribute>
	<saml:Attribute Name="common_name">
		<saml:AttributeValue>Jane Doe</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="email">
		<saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue>
	</saml:Attribute>
	<saml:Attribute Name="person_id">
		<saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue>
	</saml:Attribute>
</saml:AttributeStatement>

憑證申請表上的可用產品

一驗證 SAML 憑證要求頁面時,您必須選擇您的 SAML 使用者可以訂購的用戶端憑證。目前,我們僅支援用於 SAML 憑證要求的用戶端憑證。

若要啟用供您的 SAML 憑證要求使用的用戶端憑證,必須啟用此憑證供您的帳戶使用。若要取得啟用供您的帳戶使用的用戶端憑證,請聯絡您的 DigiCert 客服代表或我們的支援團隊

  • Authentication Only – 提供用戶端驗證。
  • Authentication Plus – 提供用戶端驗證和文件簽署*。
  • Digital Signature Plus – 提供用戶端驗證、電子郵件簽署和文件簽署*。
  • Premium –提供用戶端驗證、電子郵件加密、電子郵件簽署和文件簽署*。

文件簽署

關於支援數位簽章和加密的應用程式,用戶端可以簽署文件和加密文件等寶貴資料。關於使用「Adobe 核准的信任清單」,您需要使用 DigiCert Document Signing (文件簽署) 憑證。

產品限制組態

產品限制您在產品設定頁面上的設定,在您的 CertCentral 中不會套用到 SAML 憑證要求功能的產品。(在資訊看板選單中,按一下設定 > 產品設定)。

自訂欄位

目前,SAML 憑證要求功能不支援在憑證要求上增加自訂欄位。

  • 不使用必填的自訂欄位
    如果您計書啟用適用於 SAML 憑證要求的用戶端憑證,不要新增必填的欄位到憑證中。必填的自訂欄位會中斷 SAML 憑證要求程序,導致發生錯誤。
  • SAML 憑證申請表不包括選填的自訂欄位
    您可以新增選填的自訂欄位到用戶端憑證中,然後仍可以啟用適用於 SAML 憑證要求的該憑證。然而,選用的自訂欄位未通過 SAML 憑證申請表。

DigiCert 服務提供者 (SP) 中繼資料

設定「識別提供者」中繼資料後,新增同盟名稱,並設定允許用於憑證要求的用戶端憑證產品,我們將提供 DigiCert 的 SP 中繼資料給您。此中繼資料必須新增到您的 IdP 中,這樣可以讓您的 IdP 和 CertCentral 帳戶連線。您可以使用動態 URL 或 XML 中繼資料。

  • 動態中繼資料
    使用您的 IdP 可以視需要存取的動態 URL,將 DigiCert 的 SP 中繼資料新增到您的 IdP 中以保留更新的中繼資料。
  • 靜態中繼資料
    使用靜態 XML 檔案將 DigiCert 的 SP 中繼資料新增到您的 IdP 中。如果您將來需要更新 IdP,您將需要登入您的 CertCentral 帳戶和取得有 DigiCert 的 SP 中繼資料的更新的 XML 檔案。

服務提供者 (SP) 起始的自訂憑證要求 URL,或識別提供者 (IdP) 起始的憑證要求 URL。

您一新增 DigiCert 的 SP 中繼資料到您的 IdP 後,即使用 SAML 憑證要求 URL 要求用戶端憑證。透過 SP 起始的自訂憑證要求 URL,或您自己的 IdP 起始的憑證要求 URL 登入。

  • SP 起始的自訂憑證要求 URL
    隨著新 SAML 程序變更後,建立新的自訂憑證要求 URL。SSO 使用者可以用其要求用戶端憑證 (例如 https://www.digicert.com/account/saml-certificate-request/"federation-name"/login)。
  • IdP 起始的憑證要求 URL
    如果您想要,請使用 IdP 起始的登入 URL 登入和訂購用戶端憑證。但您需要提供此 IdP 起始的 URL 或應用程式給您的 SAML 使用者。

確認 IdP 連線

準備好最終化您的 SAML 憑證要求 URL 連線。第一次登入憑證要求 URL (SP 或 IdP 起用) 以最終化連線。