SAML 证书请求服务工作流
重要
XML 元数据备注
如果您使用 SAML 单一登录功能,则无法为两个配置使用相同的 XML 元数据。SAML 证书请求实体 ID 必须和 SAML SSO 实体 ID 不同。
向 DigiCert 提供您的标识提供程序 (IdP) 元数据
要为您的 CertCentral 帐户配置 SAML 证书请求,SAML 管理员待办列表中的第一个事项就是设置您的 IdP 元数据。您可以使用您的 IdP 的动态 URL 或静态 XML 元数据来完成。
动态元数据
通过链接到您的 IdP 元数据的动态 URL 配置您的 IdP。通过动态链接,您的元数据会自动更新。如果您有用户每天登录您的帐户,它会每 24 小时更新一次。如果超过 24 小时无人登录,它将在用户下一次登录您的帐户时更新。
静态元数据
通过包含您的所有 IdP 元数据的静态 XML 文件配置您的 IdP。要更新您的元数据,您需登录您的帐户并使用更新的 IdP 元数据上传新的 XML 文件。
联盟名称
为了方便您的 SAML 用户识别您的由 SP 发起的证书请求 URL,我们建议添加联盟(友好名称)。该名称将作为 SP 发起的证书请求 URL 的一部分,您可以将其发送给 SAML 用户以请求获取客户端证书。它也会包括在由 SP 发起的证书请求登录页的标题中。
注意
联盟名称必须唯一。我们建议使用您的公司名。
预计来自 SAML 声明的字段映射
为了成功请求获取 SAML 证书,必须在 IdP 侧的 SAML 断言中配置字段映射:
组织
我们将查找 SAML 属性“组织”。
组织属性必须和 DigiCert 已经进行组织验证 (OV) 的有效组织匹配。例如,如果您要使用 DigiCert, Inc.,您的 SAML“组织”属性必须是“DigiCert, Inc.”(
<saml:AttributeValue>DigiCert, Inc.</saml:AttributeValue>)。公用名
我们将查找 SAML 属性“common_name”。域必须匹配 DigiCert 已经为组织验证 (OV) 进行验证的域。
电子邮件地址
我们将查找 SAML 属性“电子邮件地址”。
个人 ID(可选)
个人 ID 只有当声明中不包括 NameID 时才需要。如果不包括 NameID,系统将查找 SAML 属性“person_id”。
“person_id”属性必须对应唯一用户。ID 使用户可以访问提交过的订单。
这些字段映射必须在 IdP 侧进行配置,DigiCert 才能正确解析元数据并在您的 SAML 证书请求表中显示正确的信息。
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
证书请求表上的可用产品
您必须选择您的 SAML 用户通过身份验证进入 SAML 证书请求页面后可以订购的客户端证书。我们目前仅针对 SAML 证书请求支持客户端证书。
要对您的 SAML 证书请求启用客户端证书,必须对您的帐户启用它。如需对您的帐户启用客户端证书,请联系您的 DigiCert 客户代表或 DigiCert 支持团队。
Authentication Only - 提供客户端身份验证。
Authentication Plus – 提供客户端身份验证和文档签名*。
Digital Signature Plus – 提供客户端身份验证、电子邮件签名和文档签名*。
Premium – 提供客户端身份验证、电子邮件加密、电子邮件签名和文档签名*。
注意
*文档签名
对于支持数字签名和加密应用程序的程序,客户端可以对文档签名并对其重要数据(例如文档)加密。对于使用 Adobe 批准的信任列表的程序,需要使用 DigiCert 文档签名证书。
产品限制配置
您在 CertCentral 的产品设置页面上配置的产品限制不适用于产品的 SAML 证书请求功能(在侧栏菜单中,单击设置 > 产品设置)。
自定义字段
目前,SAML 证书请求功能不支持在证书请求表上添加自定义字段。
不使用必填自定义字段
如果您计划为 SAML 证书请求启用客户端证书,请勿将必填自定义字段添加到证书。必填自定义字段会中断 SAML 证书请求过程,导致其因错误而退出。
可选自定义字段不包括在 SAML 证书请求表上
您可以将可选自定义字段添加到客户端证书表,并且仍然为 SAML 证书请求启用该证书。但是,可选自定义字段不会传递到 SAML 证书请求表。
DigiCert 服务提供商 (SP) 元数据
为证书请求设置标识提供程序元数据、添加联盟名称并配置允许的客户端证书产品之后,我们会向您提供 DigiCert 的 SP 元数据。
该元数据必须添加到您的 IdP,以便在您的 IdP 和 CertCentral 帐户之间建立连接。您可以使用动态 URL 或 XML 元数据。
动态元数据
使用动态 URL 将 DigiCert SP 元数据添加到您的 IdP,使您的 IdP 可以访问以维护更新的元数据。
静态元数据
使用静态 XML 文件将 DigiCert 的 SP 元数据添加到您的 IdP。如果您将来要更新 IdP,您需登录 CertCentral 帐户并使用 DigiCert 的 SP 元数据获取更新的 XML 文件。
服务提供商 (SP) 发起的自定义证书请求 URL 或标识提供程序 (IdP) 发起的证书请求 URL
将 DigiCert 的 SP 元数据添加到您的 IdP 后,使用 SAML 证书请求 URL 请求客户端证书。通过 SP 发起的自定义证书请求 URL 或您自己的 IdP 发起的证书请求 URL 登录。
由 SP 发起的自定义证书请求 URL
在更改新的 SAML 流程时,创建新的自定义证书请求 URL。SSO 用户可以用它来请求客户端证书(例如,https://www.digicert.com/account/saml-certificate-request/ "federation-name" /login)。
IdP 发起的证书请求 URL
如果您愿意,可以使用 IdP 发起的登录 URL 登录及订购客户端证书。但是,您需要向您的 SAML 用户提供此 IdP 发起的 URL 或应用程序。
确认 IdP 连接
准备最终建立您的 SAML 证书请求 URL 连接?
第一次登录证书请求 URL(SP 或 IdP 发起)以完成连接。