Citrix Cloud

Mettre à jour le certificat de signature SAML du fournisseur de services

Les connexions SAML qui utilisent des demandes et des réponses signées dépendent de deux certificats de signature SAML différents. Un pour chaque côté de la connexion SAML.

Certificat de signature du fournisseur de services

Ce certificat est fourni périodiquement par Citrix et chargé dans votre application SAML ou obtenu via les métadonnées SAML de Citrix Cloud.

Les certificats de signature SAML doivent faire l’objet d’une rotation avant leur date d’expiration afin de donner aux administrateurs de Citrix Cloud le temps de préparer le déploiement. La rotation des certificats est requise à la fois par les fournisseurs de services et les fournisseurs d’identité afin de garantir l’alignement et d’éviter tout temps d’arrêt.

Si un fournisseur SAML sélectionné ne prend pas en charge la rotation automatique du certificat de signature SAML de fournisseur de services, une rotation manuelle du certificat de signature SAML au sein de votre fournisseur SAML doit être effectuée afin de remplacer le certificat expirant.

Important :

Tous les guides existants dans cette section eDoc SAML incluent des détails sur la façon de configurer la signature des deux côtés de la connexion SAML. Citrix recommande uniquement les configurations SAML signées, car elles sont plus sécurisées et sont requises par certains fournisseurs SAML pour que la déconnexion (SLO) réussisse.

Questions fréquentes

Qu’est-ce que la signature SAML ?

Les certificats de signature SAML sont des certificats X.509 utilisés pour vérifier les données envoyées entre le fournisseur de services et le fournisseur SAML (fournisseur d’identité). Votre fournisseur SAML (fournisseur d’identité) utilise le certificat de signature SAML Citrix Cloud pour vérifier la signature envoyée par Citrix Cloud dans sa demande d’authentification SAML. Citrix Cloud utilise le certificat de signature du fournisseur SAML pour vérifier que la réponse SAML provient d’un fournisseur d’identité fiable et connecté.

Qu’est-ce que l’application des demandes signées SAML ?

La configuration de Citrix Cloud pour envoyer des demandes signées ne garantit pas que le fournisseur SAML appliquera l’utilisation des signatures et rejettera toutes les demandes SAML entrantes non signées. La plupart des fournisseurs SAML disposent d’une option permettant d’appliquer les demandes signées, ce qui signifie que si une demande non signée de connexion au fournisseur SAML est reçue, la connexion échouera. Il est de la responsabilité de l’administrateur du fournisseur SAML de vérifier l’état de la configuration du fournisseur d’identité. Le support Citrix ne contrôle pas et n’a aucune visibilité sur l’application des demandes signées dans votre application SAML.

À quelle fréquence Citrix effectue-t-il une rotation de son certificat de signature SAML du fournisseur de services ?

Afin de permettre un chevauchement important entre le certificat de signature du fournisseur de services actif et le certificat nouvellement émis, Citrix fait alterner le certificat de signature du fournisseur de services environ tous les 11 mois. Cela permet de garantir qu’un certificat valide est disponible pour les clients de Citrix Cloud 30 jours avant l’expiration du certificat existant.

En quoi consiste la phase d’annonce du certificat de signature SAML du fournisseur de services ?

Pendant la phase d’annonce, les certificats de signature SAML actuels et de remplacement seront présents dans les métadonnées Citrix Cloud. Seul le certificat actif peut être utilisé pour la vérification des demandes SAML jusqu’à la date et à l’heure de la rotation.

Pourquoi ai-je reçu une notification par e-mail et dans la console d’administration Citrix Cloud indiquant que le certificat de signature SAML Citrix Cloud actuel est sur le point d’expirer et doit être remplacé ?

Les fournisseurs SAML (fournisseur d’identité) ont besoin d’un certificat valide et à jour pour vérifier la signature des demandes SAML entrantes provenant de fournisseurs de services tels que Workspace et la console d’administration Citrix Cloud. Les clients Citrix Cloud utilisant SAML pour la connexion à Workspace ou à la console d’administration Citrix Cloud seront contactés pour les informer d’une rotation imminente des certificats de signature SAML.

Notification relative à la console Citrix Cloud

Notification par courrier électronique Citrix Cloud

Comment savoir si mon client Citrix Cloud est concerné par la rotation des certificats de signature SAML de Citrix Cloud ?

Cela affectera les clients Citrix Cloud dotés de la configuration SAML suivante.

  • Votre connexion SAML au sein de Citrix Cloud est configurée avec Signer demande d’authentification = Oui
  • Vous avez configuré votre fournisseur SAML tel qu’Azure Active Directory, ADFS ou Okta pour rejeter les demandes SAML non signées (application des demandes signées).
  • La déconnexion unique (SLO) est configurée dans votre connexion SAML Citrix Cloud et dans votre fournisseur SAML. Votre fournisseur SAML peut exiger la signature des demandes SLO, par exemple pour Okta et PingFederate.

Comment vérifier la configuration de signature de ma connexion SAML Citrix Cloud ?

Accédez à Gestion des identités et des accès > SAML 2.0 > Afficher pour vérifier si l’option Signer demande d’authentification est activée dans votre connexion SAML Citrix Cloud. Toutes les nouvelles connexions SAML au sein de Citrix Cloud seront définies par défaut sur Demande d’authentification de signature du fournisseur d’identité/Demande de déconnexion signée (SLO) du fournisseur d’identité = Oui pour la connexion (SSO) et la déconnexion (SLO).

Signer demande d'authentification du fournisseur d'identité

Demande de déconnexion signée (SLO) du fournisseur d'identité

Comment puis-je vérifier si l’application de signature est configurée dans mon application SAML ?

Cela varie en fonction du fournisseur SAML que vous utilisez. Certains n’offrent peut-être même pas cette option. AzureAD, ADFS, Okta et PingFederate prennent tous en charge l’application de la signature. Il est essentiel que l’administrateur SAML connaisse les fonctionnalités de votre fournisseur SAML et sa configuration actuelle. Le support Citrix n’a aucun contrôle ni aucune visibilité à ce sujet.

Où puis-je obtenir une copie du dernier certificat de signature du fournisseur de services ?

Ce certificat est fourni par Citrix via les métadonnées SAML de Citrix Cloud et est mis à jour périodiquement pendant la phase d’annonce de la rotation des certificats de signature du fournisseur de services. Cela se produit au moins une fois par année civile.

États-Unis, UE et Asie-Pacifique Sud : https://saml.cloud.com/saml/metadata

Japon : https://saml.citrixcloud.jp/saml/

Gouvernement : https://saml.cloud.us/saml/metadata

Quand puis-je supprimer en toute sécurité l’ancien certificat de signature SAML de Citrix Cloud si mon application SAML prend en charge plusieurs certificats de vérification ?

Ne supprimez l’ancien certificat de signature Citrix Cloud qu’après la date et l’heure de rotation des certificats indiquées dans l’e-mail et la notification de la console d’administration Citrix Cloud.

Utilisez l’échange de métadonnées pour mettre automatiquement à jour le fournisseur SAML avec le dernier certificat de signature SAML du fournisseur de services Citrix Cloud

À l’aide de l’échange de métadonnées SAML, le fournisseur SAML consomme automatiquement les métadonnées SAML de Citrix Cloud en surveillant l’URL des métadonnées, telle que https://saml.cloud.com/saml/metadata. Si votre fournisseur SAML prend en charge l’échange de métadonnées SAML, le certificat de signature du fournisseur de services est peut-être déjà mis à jour automatiquement. Vérifiez que votre fournisseur SAML prend en charge l’échange de métadonnées. Ensuite, vous pouvez vérifier si la mise à jour a eu lieu avant l’expiration du certificat de signature SAML actuel.

Certificat de signature SAML du fournisseur de services Citrix Cloud

Important

Les fonctionnalités SAML prises en charge par chaque fournisseur SAML tiers varient considérablement. Il est de la responsabilité de l’administrateur Citrix Cloud de connaître et de comprendre les fonctionnalités et les exigences du fournisseur SAML que vous utilisez. Cela est nécessaire pour garantir que la configuration de connexion SAML (fournisseur de services) de Citrix Cloud et la configuration du fournisseur SAML (fournisseur d’identité) correspondent. Consultez la documentation de votre fournisseur SAML pour déterminer s’il prend en charge la vérification des signatures et si les demandes et réponses SAML doivent être signées.

Mettre à jour manuellement le fournisseur SAML avec le dernier certificat de signature SAML du fournisseur de services Citrix Cloud

Important

La rotation des certificats de fournisseur de services doit être effectuée chaque fois qu’un nouveau certificat est publié depuis Citrix Cloud, faute de quoi l’ouverture de session SAML sera affectée et vous serez confronté à un temps d’arrêt.

  1. Obtenez les dernières métadonnées SAML auprès de Citrix Cloud en consultant votre connexion SAML actuelle dans Gestion des identités et des accès, cliquez sur Authentification, sélectionnez Connexion SAML, puis cliquez sur Afficher. L’image suivante est un exemple de ce à quoi ce fichier peut ressembler pour les régions Citrix Cloud telles que les États-Unis, l’UE et l’Asie-Pacifique Sud :

    https://saml.cloud.com/saml/metadata

    Exemple de fichier XML de métadonnées

    Dans cet exemple de fichier XML de métadonnées, il existe deux certificats de signature SAML Citrix Cloud x509.

  2. Il est possible d’extraire le certificat x509 à partir des métadonnées en téléchargeant le fichier XML vers un outil tiers ou en fournissant l’URL des métadonnées.
  3. Accéder à https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
  4. Entrez l’URL des métadonnées SAML qui correspond à la région de votre client Citrix Cloud :

    Extrait du certificat de métadonnées

    Téléchargez le certificat de signature SAML depuis https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract.

    Extrait du certificat de métadonnées

  5. Téléchargez le certificat SAML du fournisseur de services Citrix Cloud récemment extrait vers votre fournisseur SAML. Ce processus sera différent pour chaque fournisseur SAML. Vérifiez la procédure de rotation des certificats de signature du fournisseur de services appropriée à l’aide de la documentation de votre fournisseur SAML spécifique.

    Selon votre fournisseur SAML, le certificat de signature SAML existant devra peut-être être remplacé par le nouveau. Dans certains cas, le fournisseur SAML peut prendre en charge plusieurs certificats de signature du fournisseur de services en même temps. Il suffira donc de télécharger le nouveau certificat. Il est recommandé de supprimer l’ancien certificat une fois qu’il a expiré.

Télécharger un certificat de signature SAML Citrix Cloud de remplacement dans votre application SAML Azure Active Directory

Avant de configurer l’application SAML Azure Active Directory, consultez la section Vérification de la signature des demandes SAML pour plus d’informations.

  1. Accédez à Azure Active Directory, sélectionnez Applications d’entreprise, puis cliquez sur votre application SAML.
  2. Localisez la section des certificats SAML dans l’application SAML.

    Production de SSO SAML

  3. Sélectionnez Télécharger le certificat et chargez le certificat de signature SAML Citrix Cloud de remplacement obtenu à partir des métadonnées SAML.

    Certificats de vérification

Remarque :

Les applications SAML Azure Active Directory peuvent avoir plusieurs certificats de vérification de signature configurés. Il est donc possible de télécharger un certificat de remplacement bien avant l’expiration du certificat actuel. La capture d’écran suivante montre deux certificats valides. L’un des certificats doit expirer prochainement. À condition qu’au moins un des certificats chargés soit valide et n’ait pas encore expiré, la connexion SAML à Citrix Workspace et Citrix Cloud continuera de fonctionner et vous ne rencontrerez aucune panne.

Certificat de vérification

Important :

Ne supprimez le certificat de vérification existant qu’une fois la date et l’heure de rotation SAML indiquées dans l’e-mail et la notification de la console d’administration Citrix Cloud passées. Le nouveau certificat Citrix Cloud n’est actif qu’à la date et à l’heure indiquées dans ces deux notifications.

Télécharger un certificat de signature SAML Citrix Cloud de remplacement dans votre application SAML Okta

Okta ne prend pas en charge plusieurs certificats de signature SAML de fournisseur de services en même temps. Vous n’avez pas d’autre choix que de remplacer le certificat de signature du fournisseur de services Citrix Cloud que vous utilisez actuellement par le nouveau. Il est recommandé de le faire dans une fenêtre de maintenance planifiée.

  1. Accédez à Applications, sélectionnez Applications, puis recherchez votre application SAML Okta

    Rechercher l'application SAML Okta

  2. Dans Général, accédez aux Paramètres SAML, cliquez sur Modifier, sélectionnez Configurer SAML, sélectionnez Afficher les paramètres avancés, puis cliquez sur Certificat de signature afin de télécharger un certificat de remplacement. Okta n’affiche pas le certificat de signature SAML Citrix Cloud actuel dans l’interface utilisateur de téléchargement. Le certificat de remplacement ne sera affiché qu’une fois celui-ci chargé.

    Certificat de signature

  3. Sélectionnez Certificat de signature, cliquez sur Parcourir les fichiers et téléchargez le certificat de signature SAML Citrix Cloud de remplacement obtenu à partir des métadonnées SAML Citrix Cloud.

    Certificat de signature

Important

Ne remplacez pas le certificat de vérification existant avant la date et l’heure de rotation SAML indiquées dans l’e-mail et dans la notification de la console d’administration Citrix Cloud. Le nouveau certificat Citrix Cloud n’est actif qu’à la date et à l’heure indiquées dans ces deux notifications.