Aktualisieren Sie das SAML-Signaturzertifikat des Identitätsanbieters
SAML-Verbindungen, die signierte Anforderungen und Antworten verwenden, hängen von zwei verschiedenen SAML-Signaturzertifikaten ab. Eins für jede Seite der SAML-Verbindung.
SAML-Anbieter-Signaturzertifikat
Dieses Zertifikat wird von Ihrem SAML-Anbieter bereitgestellt und bei der Konfiguration der SAML-Verbindung in Citrix Cloud hochgeladen.
SAML-Signaturzertifikate müssen vor ihrem Ablaufdatum rotiert werden, damit Citrix Cloud-Administratoren Zeit haben, sich auf die Bereitstellung vorzubereiten. Die Zertifikatsrotation wird sowohl von Dienstanbietern als auch Identitätsanbietern verlangt, um die Abstimmung sicherzustellen und Downtime zu vermeiden.
Häufig gestellte Fragen
Wofür wird das SAML-Anbieterzertifikat verwendet?
Das SAML-Anbieterzertifikat wird verwendet, um die Signatur von SAML-Antworten zu verifizieren, die während des Authentifizierungsprozesses vom SAML-Anbieter an Citrix Cloud gesendet wurden.
Wo erhalte ich eine Kopie des neuesten Identitätsanbieter-(IdP-)Signaturzertifikats?
Dieses Zertifikat wird von Ihrem SAML-Anbieter wie Azure AD, Okta, PingFederate oder ADFS bereitgestellt. Citrix kontrolliert die Rotation und Aktualisierung dieses Zertifikats nicht. Dieses Zertifikat wird in Citrix Cloud hochgeladen, wenn Sie die SAML-Verbindung zum ersten Mal erstellen. IdP-Signaturzertifikate laufen in der Regel erst nach einem langen Zeitraum ab. Sie müssen möglicherweise alle paar Jahre ausgetauscht werden, nicht so häufig wie das Dienstanbieter-Signaturzertifikat
Woher weiß ich, ob mein SAML-Anbieter-Signaturzertifikat bald abläuft und sich auf meine Citrix Cloud SAML-Verbindung auswirkt?
Citrix Cloud zeigt 30 Tage vor Ablaufdatum Ihres SAML-Anbieter-Signaturzertifikats Warnungen an.
Certificate Expiring Soon: <certExpirationDate>
Es wird auch ein Fehler angezeigt, sobald das Zertifikat tatsächlich abgelaufen ist, wie unten gezeigt.
Kann ich das SAML-Anbieterzertifikat ohne Downtime aktualisieren, während ich die SAML-Verbindung weiterhin verwende?
Nein. Es ist notwendig, während eines geplanten Wartungsfensters eine SAML-Verbindung zu trennen und die Verbindung wiederherzustellen. Das Identitätsanbieter-(IdP-)Signaturzertifikat aktualisieren
-
Wählen Sie in der Workspace-Konfiguration einen alternativen IdP aus und wählen Sie Authentifizierung aus, während Sie den Vorgang zum Trennen und erneuten Herstellen der SAML-Verbindung ausführen, z. B. Active Directory.
- Sichern Sie Ihre vorhandene GO-URL, wie beispielsweise
https://citrix.cloud.com/go/<yourgourl>
, die für die SAML-Anmeldung bei Citrix Cloud verwendet wird. -
Erstellen Sie ein Backup Ihrer vorhandenen SAML-Endpunkte. Diese können von der Citrix Cloud-Konsole kopiert werden. Sichern Sie die folgenden SAML-Endpunkte von Ihrer vorhandenen SAML-Verbindung aus.
- Entitäts-ID des Identitätsanbieters
- URL für den SSO-Dienst des Identitätsanbieters
- Abmelde-URL des Identitätsanbieters
Sichern Sie die EntityID, die SSO-URL und die Abmelde-URL.
Wichtig:
Stellen Sie sicher, dass Sie über eine Kopie des vorhandenen und des Ersatz-IdP-Signaturzertifikats verfügen, bevor Sie die Verbindung trennen. Auf diese Weise können Sie ein Rollback auf das alte Zertifikat ausführen, falls das neue SAML-Anbieterzertifikat ungültig ist und Anmeldeprobleme verursacht. Sie können keine Kopie des alten Zertifikats von der Citrix Cloud-Benutzeroberfläche abrufen, bevor Sie die Verbindung trennen. Sie müssen es aus Ihrer SAML-Anwendung beziehen.
- Trennen Sie SAML in Identitäts- und Zugriffsverwaltung, navigieren Sie zu Authentifizierung, wählen Sie die SAML-Verbindung aus, klicken Sie auf die Ellipse und wählen Sie Trennen
-
Verbinden Sie SAML erneut in Identitäts- und Zugriffsverwaltung und klicken Sie auf Authentifizierung
- Akzeptieren Sie alle standardmäßigen SAML-Verbindungseinstellungen.
-
Geben Sie alle SAML-Anwendungsendpunkte, die Sie zuvor gesichert haben, erneut ein, oder rufen Sie diese erneut für Ihre SAML-App über die Benutzeroberfläche Ihres SAML-Anbieters ab.
- Entitäts-ID des Identitätsanbieters
- URL für den SSO-Dienst des Identitätsanbieters
- Abmelde-URL des Identitätsanbieters
Wichtig:
Wenn Sie das Feature “Scoped EntityID” verwenden, müssen Sie auch Ihre SAML-Anwendung mit der neuen Bereichs-ID aktualisieren, nachdem Sie die SAML-Verbindung trennen/wiederherstellen. Weitere Informationen zur Funktion “Scoped EntityID” finden Sie unter SAML-Anwendung mit bereichsbezogener Entitäts-ID in Citrix Cloud konfigurieren. Kopieren Sie die neu generierte Bereichs-ID aus der Citrix Cloud SAML-Benutzeroberfläche und aktualisieren Sie die Entitäts-ID Ihrer SAML-Anwendung mit der Ersatzbereichs-ID. EntityId sollte auf
https://saml.cloud.com/<new scope ID after reconnect>
aktualisiert werden.