Mettre à jour le certificat de signature SAML du fournisseur de services
Les connexions SAML qui utilisent des requêtes et des réponses signées dépendent de deux certificats de signature SAML différents. Un pour chaque côté de la connexion SAML.
Certificat de signature du fournisseur de services
Ce certificat est fourni par Citrix via les métadonnées SAML de Citrix Cloud™ et est mis à jour pendant la phase de publicité de la rotation du certificat de signature du SP. Cela se produit au moins une fois par année civile.
Les certificats de signature SAML doivent être renouvelés avant leur date d’expiration afin de laisser aux administrateurs Citrix Cloud le temps de préparer le déploiement. La rotation des certificats est requise par les fournisseurs de services et les fournisseurs d’identité pour assurer la cohérence et éviter toute interruption de service.
Si un fournisseur SAML sélectionné ne prend pas en charge la rotation automatisée du certificat de signature SAML du SP, une rotation manuelle du certificat de signature SAML au sein de votre fournisseur SAML doit être effectuée afin de remplacer le certificat arrivant à expiration.
Important :
Tous les guides existants dans cette section eDoc SAML incluent des détails sur la façon de configurer la signature des deux côtés de la connexion SAML. Citrix® recommande uniquement les configurations SAML signées, car elles sont plus sécurisées et sont requises par certains fournisseurs SAML pour que la déconnexion (SLO) réussisse.
FAQ
Qu’est-ce que la signature SAML ?
Le protocole SAML utilise des messages pour demander l’authentification et pour envoyer des assertions d’identité. La sécurité de ces messages dépend à la fois de la sécurité au niveau du transport et au niveau du message. Les messages sont des documents XML signés conformément à la syntaxe de signature XML. Cela garantit à la fois l’intégrité du message et l’authentification de l’expéditeur en prouvant qu’il détient la clé privée. Le modèle de confiance est décrit par : Considérations de sécurité et de confidentialité SAML. Les clés publiques utilisées pour définir les clés privées de confiance peuvent être distribuées dans n’importe quel format approprié. Citrix utilise les certificats X.509 comme conteneurs appropriés pour distribuer et consommer des clés.
Qu’est-ce que l’application des requêtes SAML signées ?
Ce n’est pas parce que Citrix Cloud est configuré pour envoyer des requêtes signées au sein de la connexion SAML que le fournisseur SAML appliquera l’utilisation des signatures et rejettera toute requête SAML entrante non signée. La plupart des IdP SAML ont une option pour appliquer les requêtes signées. Si une requête non signée pour se connecter au fournisseur SAML est reçue, la connexion SAML échouera. Certains IdP SAML, comme Duo, n’offrent même pas cette option. Il incombe à l’administrateur de l’IdP SAML de vérifier l’état de la configuration de l’IdP SAML. Le support Citrix ne contrôle pas et n’a aucune visibilité sur l’application des requêtes signées au sein de votre application SAML.
À quelle fréquence Citrix renouvelle-t-il son certificat de signature SAML du fournisseur de services ?
Afin de permettre un chevauchement suffisant entre le certificat de signature du fournisseur de services actif et le nouveau certificat émis, Citrix renouvelle le certificat de signature du fournisseur de services environ tous les 11 mois. Cela garantit qu’un certificat valide est disponible pour les clients Citrix Cloud 30 jours avant l’activation du nouveau certificat.
Qu’est-ce que la phase de publicité du certificat de signature SAML du fournisseur de services ?
Pendant la phase de publicité, les certificats de signature SAML actuels et de remplacement seront présents dans les métadonnées de Citrix Cloud. Seul le certificat actif peut être utilisé pour la vérification des requêtes SAML jusqu’à la date et l’heure de rotation. Il s’agit de la date et de l’heure spécifiées dans les e-mails Citrix Cloud et les notifications de la console Citrix Cloud.
-
Important :
-
-
La date d’expiration du certificat de signature n’est pas la même que la date d’activation. C’est à la date d’activation que les administrateurs Citrix et IdP doivent prêter attention, et NON à la date d’expiration du certificat. Le certificat de signature Citrix Cloud sera toujours renouvelé avant son expiration.
Vous pouvez vérifier la date et l’heure de publicité et d’activation en utilisant ce lien Plan de rotation.
Les dates et heures sont fournies sous forme d’horodatages Unix epoch pour chaque événement du processus de rotation du certificat de signature du fournisseur de services.
Utilisez Convertisseur d’époque pour convertir les horodatages Unix epoch en un format de date et d’heure lisible par l’homme.
Pourquoi Citrix a-t-il décidé d’utiliser un certificat de signature SAML Citrix Cloud auto-signé plutôt qu’un certificat signé par une autorité de certification publique telle que Digicert ?
L’Émetteur : dans la dernière version du certificat de signature SAML que vous devez télécharger dans vos applications SAML est désormais “samlsigning.cloud.com, Citrix Systems Inc.” au lieu d’une autorité de certification publique comme Digicert. L’utilisation de certificats de signature SP auto-signés vise à atténuer une vulnérabilité SAML connue avec les certificats émis en externe, appelée “Silver SAML”.
Pourquoi ai-je reçu une notification par e-mail et dans la console Citrix Cloud indiquant que le certificat de signature SAML Citrix Cloud actuel est sur le point d’expirer et doit être remplacé ?
Les fournisseurs SAML (IdP) exigent un certificat valide et à jour pour vérifier la signature des requêtes SAML entrantes provenant de fournisseurs de services tels que Workspace et la console Citrix Cloud. Les clients Citrix Cloud utilisant SAML pour la connexion à Workspace ou à la console Citrix Cloud seront contactés pour les informer d’une rotation imminente du certificat de signature SAML.
Comment savoir si mon client Citrix Cloud est affecté par la rotation du certificat de signature SAML Citrix Cloud ?
Cela affectera les clients Citrix Cloud ayant la configuration SAML suivante.
- Votre connexion SAML au sein de Citrix Cloud est configurée avec **Sign Authentication Requests = Yes**
- Vous avez configuré votre fournisseur SAML, tel qu'Azure Active Directory, ADFS ou Okta, pour rejeter les requêtes SAML non signées (application de la signature).
- Vous avez configuré la déconnexion unique (SLO) au sein de votre connexion SAML Citrix Cloud et au sein de votre fournisseur SAML. Les requêtes SLO doivent être signées dans le cadre des meilleures pratiques de sécurité.
Comment vérifier la configuration de signature de ma connexion SAML Citrix Cloud ?
Accédez à Gestion des identités et des accès > SAML 2.0 > Afficher pour vérifier si l’option Signer les requêtes d’authentification est activée dans votre connexion SAML Citrix Cloud. Toutes les nouvelles connexions SAML au sein de Citrix Cloud auront par défaut l’option Signer les requêtes d’authentification/déconnexion du fournisseur d’identité = Oui pour la connexion (SSO) et la déconnexion (SLO).
- 
- ### Comment vérifier si l'application de la signature est configurée dans mon application SAML ?
Cela varie en fonction du fournisseur SAML que vous utilisez. Toutes les solutions SAML documentées par Citrix incluent des étapes pour activer l’application de la signature dans le cadre des meilleures pratiques de sécurité.
Exemple d’application de la signature EntraID :
Exemple d’application de la signature Okta :
Où puis-je obtenir une copie du dernier certificat de signature du fournisseur de services (SP) ?
Ce certificat est fourni par Citrix via les métadonnées SAML de Citrix Cloud et est mis à jour périodiquement pendant la phase de publication de la rotation du certificat de signature SP. Cela se produit au moins une fois par année civile.
US, UE et APS : https://saml.cloud.com/saml/metadata
JP : https://saml.citrixcloud.jp/saml/
GOV : https://saml.cloud.us/saml/metadata
Quand est-il sûr de supprimer l’ancien certificat de signature SAML Citrix Cloud si mon application SAML prend en charge plusieurs certificats de vérification ?
Ne supprimez l’ancien certificat de signature Citrix Cloud de vos applications SAML qu’après la date et l’heure d’activation du certificat indiquées dans l’e-mail et la notification de la console Citrix Cloud. Certains fournisseurs d’identité SAML (IdP) tels qu’Okta n’autorisent le téléchargement que d’un seul certificat de signature à la fois. Dans cette situation, il n’y a pas d’autre choix que d’écraser le certificat actuel avec le nouveau après la date et l’heure d’activation. Cela ne doit pas être fait avant la date et l’heure d’activation.
Utiliser l’échange de métadonnées pour mettre à jour automatiquement le fournisseur SAML avec le dernier certificat de signature SAML SP de Citrix Cloud
En utilisant l’échange de métadonnées SAML, le fournisseur SAML consomme automatiquement les métadonnées SAML de Citrix Cloud en surveillant l’URL des métadonnées, telle que https://saml.cloud.com/saml/metadata. Si votre fournisseur SAML prend en charge l’échange de métadonnées SAML, le certificat de signature SP pourrait déjà être mis à jour automatiquement. Vérifiez que votre fournisseur SAML prend en charge l’échange de métadonnées. Ensuite, vous pouvez vérifier si la mise à jour a eu lieu avant l’expiration du certificat de signature SAML actuel.
Important
Il existe une grande variation concernant les fonctionnalités SAML prises en charge par chaque fournisseur SAML tiers. Il incombe à l’administrateur Citrix Cloud de connaître et de comprendre les capacités et les exigences du fournisseur SAML que vous utilisez. Cela est nécessaire pour garantir que la configuration de la connexion SAML Citrix Cloud (SP) et la configuration du fournisseur SAML (IdP) correspondent. Reportez-vous à la documentation de votre fournisseur SAML pour déterminer s’il prend en charge la vérification de signature et si les requêtes et réponses SAML doivent être signées.
Mettre à jour manuellement le fournisseur SAML avec le dernier certificat de signature SAML SP de Citrix Cloud
Important
La rotation du certificat SP doit être effectuée chaque fois qu’un nouveau certificat est publié par Citrix Cloud, sinon la connexion SAML sera affectée et vous subirez des temps d’arrêt.
Obtenir une copie du futur certificat du fournisseur de services à partir des métadonnées Citrix Cloud
-
Acquérez les dernières métadonnées SAML de Citrix Cloud en affichant votre connexion SAML actuelle dans Gestion des identités et des accès, cliquez sur Authentification, sélectionnez Connexion SAML et cliquez sur Afficher. L’image suivante est un exemple de ce à quoi ce fichier pourrait ressembler pour les régions Citrix Cloud telles que les États-Unis, l’UE et l’APS :
https://saml.cloud.com/saml/metadata
Dans cet exemple de fichier XML de métadonnées, il y a deux certificats de signature SAML Citrix Cloud x.509.
- Il est possible d’extraire le certificat x.509 des métadonnées en téléchargeant le fichier XML vers un outil tiers ou en fournissant l’URL des métadonnées.
- Accédez à https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
-
Saisissez l’URL des métadonnées SAML qui correspond à la région de votre client Citrix Cloud :
- US, UE et APS : https://saml.cloud.com/saml/metadata
- JP : https://saml.citrixcloud.jp/saml/metadata
- GOV : https://saml.cloud.us/saml/metadata
Téléchargez le certificat de signature SAML depuis https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract.
-
Chargez le certificat SAML du fournisseur de services (SP) Citrix Cloud nouvellement extrait vers votre fournisseur SAML. Ce processus varie selon le fournisseur SAML. Vérifiez la procédure de rotation appropriée du certificat de signature SP en consultant la documentation de votre fournisseur SAML spécifique.
Selon votre fournisseur SAML, le certificat de signature SAML existant pourrait devoir être remplacé par le nouveau. Dans certains cas, le fournisseur SAML peut prendre en charge plusieurs certificats de signature SP simultanément ; le simple chargement du nouveau certificat sera donc suffisant. Il est recommandé de supprimer l’ancien certificat une fois qu’il a expiré.
OU,
Obtenir une copie du futur certificat de fournisseur de services depuis l’interface utilisateur de Citrix Cloud
-
Dans l’assistant de configuration SAML 2.0 pour les nouvelles connexions créées manuellement.
-
Accédez à la page Fournisseur d’identité dans le flux de l’assistant.
-
Sélectionnez Je ne peux pas utiliser l’URL des métadonnées. Quelles sont les autres options ?
-
Sélectionnez Saisir manuellement les champs de métadonnées et accédez à la section Certificats du fournisseur de services.
-
Téléchargez la future version du certificat de signature Citrix Cloud.
Charger un certificat de signature SAML Citrix Cloud de remplacement dans votre application SAML Azure Active Directory
Avant de configurer l’application SAML Azure Active Directory, consultez Vérification de la signature de la demande SAML pour plus d’informations.
- Accédez à Azure Active Directory, sélectionnez Applications d’entreprise et cliquez sur Votre application SAML.
-
Localisez la section des certificats SAML dans l’application SAML.
-
Sélectionnez Charger le certificat et chargez le certificat de signature SAML Citrix Cloud de remplacement obtenu à partir des métadonnées SAML.
Remarque :
Les applications SAML Azure Active Directory peuvent avoir plusieurs certificats de vérification de signature configurés, il est donc possible de charger un certificat de remplacement bien avant l’expiration du certificat actuel. La capture d’écran suivante montre deux certificats valides. L’un des certificats doit expirer prochainement. Tant qu’au moins un des certificats chargés est valide et n’a pas encore expiré, une connexion SAML à Citrix Workspace™ et Citrix Cloud continuera de réussir et vous ne subirez aucune interruption.
Important :
Ne supprimez pas le certificat de vérification existant avant que la date et l’heure de rotation SAML indiquées dans l’e-mail et la notification de la console Citrix Cloud ne soient passées. Le nouveau certificat Citrix Cloud ne devient actif qu’à la date et à l’heure spécifiées dans ces deux notifications.
Charger un certificat de signature SAML Citrix Cloud de remplacement dans votre application SAML Okta
Okta ne prend pas en charge plusieurs certificats de signature SAML SP simultanément. Vous n’avez d’autre choix que d’écraser le certificat de signature SAML SP Citrix Cloud existant que vous utilisez actuellement avec le nouveau. Il est recommandé d’effectuer cette opération pendant une fenêtre de maintenance planifiée.
-
Accédez à Applications, sélectionnez Applications et recherchez votre application SAML Okta.
-
Depuis Général, accédez à Paramètres SAML, cliquez sur Modifier, sélectionnez Configurer SAML, sélectionnez Afficher les paramètres avancés, puis cliquez sur Certificat de signature afin de charger un remplacement. Okta n’affiche pas le certificat de signature SAML Citrix Cloud actuel dans l’interface utilisateur de chargement. Il n’affichera le certificat de remplacement qu’après son chargement.
-
Sélectionnez Certificat de signature, cliquez sur Parcourir les fichiers et chargez le certificat de signature SAML Citrix Cloud de remplacement obtenu à partir des métadonnées SAML Citrix Cloud.
Important
N’écrasez pas le certificat de vérification existant avant la date et l’heure de rotation SAML indiquées dans l’e-mail et la notification de la console Citrix Cloud. Le nouveau certificat Citrix Cloud ne devient actif qu’à la date et à l’heure spécifiées dans ces deux notifications.
Dans cet article
- Certificat de signature du fournisseur de services
- FAQ
- Utiliser l’échange de métadonnées pour mettre à jour automatiquement le fournisseur SAML avec le dernier certificat de signature SAML SP de Citrix Cloud
- Mettre à jour manuellement le fournisseur SAML avec le dernier certificat de signature SAML SP de Citrix Cloud
- Charger un certificat de signature SAML Citrix Cloud de remplacement dans votre application SAML Azure Active Directory