Skip to main content

配置 SAML 单一登录

How to configure you security assertion markup language (SAML) single sign-on in CertCentral.

在开始之前

确保满足以下先决条件:

  • 为您的帐户启用 SAML。

  • 持有 IdP 元数据(动态或静态)。

  • 将 CertCentral 用户与 SAML 用户匹配(名称 ID 字段或属性)所需满足的条件。

请参阅 SAML 单一登录先决条件SAML 服务工作流

配置 SAML 单一登录

  1. 转到“联盟设置”页。

    1. 在侧栏菜单中,单击设置 > 单一登录

    2. 在“单一登录 (SS)”页面上,单击编辑联盟设置

  2. 设置标识提供程序元数据。

    在“联盟设置”页面的“IDP 元数据”部分完成以下任务。

    1. 添加 IDP 元数据

      您将如何发送 IDP 中的数据?下,使用其中一个选项添加元数据:

      1. XML 元数据

        向 DigiCert 提供 XML 格式的 IdP 元数据。

        如果您的 IdP 元数据有变,您需手动在您的帐户中更新 IdP 元数据。

      2. 使用动态 URL

        向 DigiCert 提供您的 IdP 元数据的链接。

        如果您的 IdP 元数据有变,您的帐户中的 IdP 元数据将自动更新。

    2. 标识用户。

      要成功完成 SAML 单一登录,您必须决定如何将您的 SSO 声明与 CertCentral 中的 SSO 用户的用户名匹配。

      您将如何识别用户?下,使用其中一种选项将 SSO 用户与其在 CertCentral 中的用户名匹配。

      1. NameID

        使用 NameID 字段将您的 CertCentral 用户与其 SAML 单一登录 (SSO) 用户匹配。

      2. 使用 SAML 属性

        使用属性将您的 CertCentral 用户与其 SAML 单一登录 (SSO) 用户匹配。

        此属性需要出现在 IdP 发送给 DigiCert 的声明中:

        <AttributeStatement> <AttributeName="email"> <AttributeValue>user@example.com </AttributeValue> </Attribute> </AttributeStatement>

    3. 添加联盟名称。

      联盟名称下,输入要包括在创建的自定义 SSO URL 中的联盟名称(友好名称)。您将此 SSO URL 发送到仅 SSO 用户。

      联盟名称下,输入要包括在创建的自定义 SSO URL 中的联盟名称(友好名称)。您将此 SSO URL 发送到仅 SSO 用户。

      重要

      联盟名称必须唯一。我们建议使用您的公司名。

    4. 包括联盟名称:

      IdP 选择页面,SSO 用户可以在其中轻松访问由 SP 发起的自定义 SSO URL。

      要阻止您的联盟名称显示在 IdP 选择页面的 IdP 列表上,请取消选中将我的联盟名称添加到 IdP 列表

  3. Configure single logout

    Select Use single logout service to logout from IDP to log out from your IDP as you log out of CertCentral.

    With this enabled, CertCentral sends a message to your IDP telling it to terminate the session on the IDP as you log out of CertCentral.

  4. 添加 DigiCert 服务提供商 (SP) 元数据

    在“单一登录 (SSO)”页面上的 DigiCert 的 SP 元数据部分,完成以下其中一项任务,将 DigiCert SP 元数据添加到您的 IDP 元数据:

    • DigiCert SP 元数据的动态 URL

      将动态 URL 复制到 DigiCert SP 元数据并将其添加到您的 IdP,以帮助建立 SSO 连接。

      如果 DigiCert SP 元数据有变,您的 IdP 中的 SP 元数据将自动更新。

    • 静态 XML

      复制 DigiCert XML 格式的 SP 元数据并将其添加到您的 IdP,以帮助建立 SSO 连接。

      如果 DigiCert SP 元数据有变,您需要在 IdP 中手动更新。

  5. Once ready, select Save SAML settings.

  6. 为用户配置 SSO 设置

    添加用户到您的帐户时,您可以限制用户仅使用单一登录身份验证(仅 SSO 用户)。这些用户没有 API 权限(例如,无法创建工作 API 密钥)。

    API keys for SSO-only users

    To allow SSO-only users to create API keys and build API Integrations, select Enable API access for SSO-only users.

    • The Enable API access for SSO-only users option allows SSO-only users with API keys to bypass single sign-on.

    • Disabling API access for SSO-only users doesn't revoke existing API keys. It only blocks the creation of new API keys.

  7. 登录并完成 SAML SSO 到 CertCentral 的连接

    在“单一登录”页面上的 SP 发起的自定义 SSO URL 部分,复制 URL 并将其粘贴到浏览器中。然后,使用您的 IdP 凭证登录 CertCentral 帐户。

接下来

开始在您的帐户中管理单一登录用户(在您的帐户中添加仅 SAML SSO 用户、将现有帐户用户转换成仅 SAML SSO 用户等)。请参阅 管理 SAML 单一登录 (SSO) 用户允许访问 SAML 设置权限

本节内容如下: