Citrix Cloud

SAML-Signaturzertifikat des Dienstanbieters aktualisieren

SAML-Verbindungen, die signierte Anforderungen und Antworten verwenden, hängen von zwei verschiedenen SAML-Signaturzertifikaten ab. Eins für jede Seite der SAML-Verbindung.

Dienstanbieter-Signaturzertifikat

Dieses Zertifikat wird regelmäßig von Citrix bereitgestellt und in Ihre SAML-Anwendung hochgeladen oder über die Citrix Cloud SAML-Metadaten abgerufen.

SAML-Signaturzertifikate müssen vor ihrem Ablaufdatum rotiert werden, damit Citrix Cloud-Administratoren Zeit haben, sich auf die Bereitstellung vorzubereiten. Die Zertifikatsrotation wird sowohl von Dienstanbietern als auch Identitätsanbietern verlangt, um die Abstimmung sicherzustellen und Downtime zu vermeiden.

Wenn ein ausgewählter SAML-Anbieter die automatische Rotation des SP-SAML-Signaturzertifikats nicht unterstützt, muss eine manuelle Rotation des SAML-Signaturzertifikats innerhalb Ihres SAML-Anbieters durchgeführt werden, um das ablaufende Zertifikat zu ersetzen.

Wichtig:

Alle vorhandenen Anleitungen in diesem SAML-eDoc-Abschnitt enthalten Details zur Konfiguration der Signierung auf beiden Seiten der SAML-Verbindung. Citrix empfiehlt nur signierte SAML-Konfigurationen, da diese sicherer sind und bei einigen SAML-Anbietern für eine erfolgreiche Abmeldung (SLO) erforderlich sind.

Häufig gestellte Fragen

Was ist eine SAML-Signatur?

SAML-Signaturzertifikate sind X.509-Zertifikate, die zur Überprüfung von Daten verwendet werden, die zwischen dem Dienstanbieter (SP) und dem SAML-Anbieter (IdP) gesendet werden. Ihr SAML-Anbieter (IdP) verwendet das Citrix Cloud SAML-Signaturzertifikat, um die von Citrix Cloud in der SAML-Authentifizierungsanforderung gesendete Signatur zu überprüfen. Citrix Cloud verwendet das SAML-Anbieter-Signaturzertifikat, um zu überprüfen, ob die SAML-Antwort von einem vertrauenswürdigen und verbundenen IdP stammt.

Was ist die Durchsetzung von SAML-signierten Anforderungen?

Nur weil Citrix Cloud so konfiguriert ist, dass signierte Anfragen gesendet werden, garantiert dies nicht, dass der SAML-Anbieter die Verwendung von Signaturen erzwingt und alle unsignierten eingehenden SAML-Anforderungen ablehnt. Die meisten SAML-Anbieter haben die Option, signierte Anforderungen durchzusetzen. Wenn also eine unsignierte Anforderung zur Anmeldung beim SAML-Anbieter eingeht, schlägt die Anmeldung fehl. Es liegt in der Verantwortung des SAML-Anbieter-Administrators, den Status der IdP-Konfiguration zu überprüfen. Der Citrix Support kontrolliert nicht und hat keinen Überblick darüber, ob signierte Anforderungen in Ihrer SAML-Anwendung durchgesetzt werden.

Wie oft rotiert Citrix sein Dienstanbieter-SAML-Signaturzertifikat?

Um viele Überschneidungen zwischen dem aktiven Dienstanbieter-Signaturzertifikat und dem neu ausgestellten zu ermöglichen, rotiert Citrix das Dienstanbieter-Signaturzertifikat ungefähr alle 11 Monate. Dadurch wird sichergestellt, dass Citrix Cloud-Kunden 30 Tage vor Ablauf des vorhandenen Zertifikats ein gültiges Zertifikat zur Verfügung steht.

Was ist die Ankündigungsphase für das Dienstanbieter-SAML-Signaturzertifikat?

Während der Ankündigungsphase sind das aktuelle und das Ersatz-SAML-Signaturzertifikat in den Citrix Cloud-Metadaten vorhanden. Nur das aktive Zertifikat kann bis zum Datum und zur Uhrzeit der Rotation für die Überprüfung der SAML-Anforderung verwendet werden.

Warum habe ich per E-Mail und in der Citrix Cloud-Verwaltungskonsole eine Benachrichtigung erhalten, dass das aktuelle Citrix Cloud-SAML-Signaturzertifikat bald abläuft und ersetzt werden muss?

SAML-Anbieter (IdP) benötigen ein gültiges und aktuelles Zertifikat, um die Signatur eingehender SAML-Anforderungen von Dienstanbietern wie Workspace und der Citrix Cloud-Administratorkonsole zu überprüfen. Citrix Cloud-Kunden, die SAML für Workspace oder die Anmeldung an der Citrix Cloud-Admin-Konsole verwenden, werden kontaktiert, um sie über eine bevorstehende Rotation des SAML-Signaturzertifikats zu informieren.

Citrix Cloud-Konsolenbenachrichtigung

Citrix Cloud-E-Mail-Benachrichtigung

Woher weiß ich, ob mein Citrix Cloud-Kunde von der Rotation des Citrix Cloud SAML-Signaturzertifikats betroffen ist?

Dies wirkt sich auf Citrix Cloud-Kunden mit der folgenden SAML-Konfiguration aus.

  • Ihre SAML-Verbindung in Citrix Cloud ist mit Authentifizierungsanforderungen signieren = Jakonfiguriert
  • Sie haben Ihren SAML-Anbieter wie Azure Active Directory, ADFS oder Okta so konfiguriert, dass unsignierte SAML-Anforderungen abgelehnt werden (Durchsetzung signierter Anforderungen).
  • Sie haben Single Logout (SLO) in Ihrer Citrix Cloud SAML-Verbindung und in Ihrem SAML-Anbieter konfiguriert. Ihr SAML-Anbieter verlangt möglicherweise, dass SLO-Anforderungen signiert werden, z. B. für Okta und PingFederate.

Wie überprüfe ich die Signaturkonfiguration meiner Citrix Cloud SAML-Verbindung?

Navigieren Sie zu Identitäts- und Zugriffsmanagement > SAML 2.0 > Anzeigen, um zu überprüfen, ob Sie Authentifizierungsanforderungen signieren in Ihrer Citrix Cloud SAML-Verbindung aktiviert haben. Alle neuen SAML-Verbindungen in Citrix Cloud verwenden standardmäßig Identitätsanbieter-Authentifizierungsanforderung/-Abmeldungsanforderung (SLO) signieren = Ja sowohl für die Anmeldung (SSO) als auch für die Abmeldung (SLO).

IDP-Authentifizierungsanforderung signieren

IDP-Abmeldungsanforderung (SLO) signieren

Wie überprüfe ich, ob die Durchsetzung von Signaturen in meiner SAML-App konfiguriert ist?

Dies hängt vom verwendeten SAML-Anbieter ab. Einige bieten diese Option möglicherweise nicht einmal an. AzureAD, ADFS, Okta und PingFederate unterstützen alle die Durchsetzung von Signaturen. Es ist wichtig, dass der SAML-Administrator die Funktionen Ihres SAML-Anbieters und dessen aktuelle Konfiguration kennt. Der Citrix-Support hat diesbezüglich keine Kontrolle oder Sichtbarkeit.

Wo erhalte ich eine Kopie des neuesten Dienstanbieter-Signaturzertifikats?

Dieses Zertifikat wird von Citrix über die Citrix Cloud SAML-Metadaten bereitgestellt und während der Ankündigungsphase der SP-Signaturzertifikatsrotation regelmäßig aktualisiert. Dies geschieht mindestens einmal im Kalenderjahr.

USA, EU und APS: https://saml.cloud.com/saml/metadata

JP: https://saml.citrixcloud.jp/saml/

GOV: https://saml.cloud.us/saml/metadata

Wann ist es sicher, das alte Citrix Cloud SAML-Signaturzertifikat zu entfernen, wenn meine SAML-App mehrere Verifizierungszertifikate unterstützt?

Entfernen Sie das alte Citrix Cloud-Signaturzertifikat erst nach dem Datum und der Uhrzeit der Zertifikatsrotation, die in der E-Mail und der Benachrichtigung der Citrix Cloud-Verwaltungskonsole angegeben sind.

Metadatenaustausch verwenden, um den SAML-Anbieter automatisch mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat zu aktualisieren

Mithilfe des SAML-Metadatenaustauschs verbraucht der SAML-Anbieter die Citrix Cloud SAML-Metadaten automatisch, indem er die Metadaten-URL überwacht, z. B. https://saml.cloud.com/saml/metadata. Wenn Ihr SAML-Anbieter den SAML-Metadatenaustausch unterstützt, wird das SP-Signaturzertifikat möglicherweise bereits automatisch aktualisiert. Stellen Sie sicher, dass Ihr SAML-Anbieter den Metadatenaustausch unterstützt. Anschließend können Sie überprüfen, ob das Update erfolgt ist, bevor das aktuelle SAML-Signaturzertifikat abläuft.

Citrix Cloud SP SAML-Signaturzertifikat

Wichtig

Es gibt große Unterschiede in Bezug auf die SAML-Funktionen, die jeder SAML-Drittanbieter unterstützt. Der Citrix Cloud-Administrator ist dafür verantwortlich, die Funktionen und Anforderungen des von Ihnen verwendeten SAML-Anbieters zu kennen und zu verstehen. Dies ist erforderlich, um sicherzustellen, dass sowohl die Citrix Cloud SAML-Verbindungskonfiguration (SP) als auch die SAML-Anbieterkonfiguration (IdP) übereinstimmen. Lesen Sie in der Dokumentation Ihres SAML-Anbieters nach, ob er die Signaturüberprüfung unterstützt und ob SAML-Anforderungen und -Antworten signiert werden müssen.

SAML-Anbieter manuell mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat aktualisieren

Wichtig

Die Rotation des SP-Zertifikats muss jedes Mal erfolgen, wenn ein neues Zertifikat aus Citrix Cloud veröffentlicht wird. Andernfalls wird die SAML-Anmeldung beeinträchtigt und es kommt zu Ausfallzeiten.

  1. Rufen Sie die neuesten SAML-Metadaten von Citrix Cloud ab, indem Sie Ihre aktuelle SAML-Verbindung in Identitäts- und Zugriffsverwaltung anzeigen, auf Authentifizierungklicken, SAML-Verbindung auswählen und auf Anzeigen klicken. Das folgende Bild ist ein Beispiel dafür, wie diese Datei für Citrix Cloud-Regionen wie USA, EU und APS aussehen könnte:

    https://saml.cloud.com/saml/metadata

    Beispiel für eine Metadaten-XML-Datei

    In diesem Beispiel für eine Metadaten-XML-Datei gibt es zwei x509 Citrix Cloud SAML-Signaturzertifikate.

  2. Es ist möglich, das x509-Zertifikat aus den Metadaten zu extrahieren, indem Sie die XML-Datei in ein Drittanbieter-Tool hochladen oder die Metadaten-URL angeben.
  3. Navigieren Sie zu https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
  4. Geben Sie die SAML-Metadaten-URL ein, die Ihrer Citrix Cloud-Kundenregion entspricht:

    Auszug aus Metadatenzertifikat

    Laden Sie das SAML-Signaturzertifikat von https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtractherunter.

    Auszug aus Metadatenzertifikat

  5. Laden Sie das neu extrahierte Citrix Cloud SP SAML-Zertifikat auf Ihren SAML-Anbieter hoch. Dieser Prozess unterscheidet sich je nach SAML-Anbieter. Überprüfen Sie das richtige Verfahren zur Rotation von SP-Signaturzertifikaten anhand der Dokumentation Ihres spezifischen SAML-Anbieters.

    Abhängig von Ihrem SAML-Anbieter muss das vorhandene SAML-Signaturzertifikat möglicherweise durch das neue ersetzt werden. In einigen Fällen unterstützt der SAML-Anbieter möglicherweise mehrere SP-Signaturzertifikate gleichzeitig, sodass nur das Hochladen des neuen Zertifikats ausreicht. Es wird empfohlen, das alte Zertifikat zu entfernen, sobald es abgelaufen ist.

Ersatz-SAML-Signaturzertifikat von Citrix Cloud in Ihre Azure Active Directory-SAML-Anwendung hochladen

Bevor Sie die Azure Active Directory-SAML-App konfigurieren, lesen Sie Überprüfung der SAML-Anforderungssignatur, um weitere Informationen zu erhalten.

  1. Navigieren Sie zu Azure Active Directory, wählen Sie Unternehmensanwendungen aus und klicken Sie auf Ihre SAML-App.
  2. Suchen Sie den Abschnitt für die SAML-Zertifikate in der SAML-Anwendung.

    SAML SSO Produktion

  3. Wählen Sie Zertifikat hochladen und laden Sie das Citrix Cloud SAML-Signaturzertifikat als Ersatz hoch, das Sie aus den SAML-Metadaten erhalten haben.

    Verifizierungszertifikate

Hinweis:

In Azure Active Directory-SAML-Apps können mehrere Signaturüberprüfungszertifikate konfiguriert werden, sodass es möglich ist, ein Ersatzzertifikat hochzuladen, lange bevor das aktuelle Zertifikat abgelaufen ist. Der folgende Screenshot zeigt zwei gültige Zertifikate. Eines der Zertifikate läuft in naher Zukunft ab. Sofern mindestens eines der hochgeladenen Zertifikate gültig und noch nicht abgelaufen ist, ist eine SAML-Anmeldung bei Citrix Workspace und Citrix Cloud weiterhin erfolgreich und es kommt zu keinem Ausfall.

Verifizierungszertifikat

Wichtig:

Entfernen Sie das vorhandene Überprüfungszertifikat erst, nachdem das Datum und die Uhrzeit der SAML-Rotation, die in der E-Mail und der Benachrichtigung über die Citrix Cloud-Verwaltungskonsole angegeben sind, abgelaufen sind. Das neue Citrix Cloud-Zertifikat wird erst an dem Datum und zu der Uhrzeit aktiv, die in diesen beiden Benachrichtigungen angegeben sind.

Neues Citrix Cloud SAML-Signaturzertifikat in Ihre Okta SAML-Anwendung hochladen

Okta unterstützt nicht mehrere SP-SAML-Signaturzertifikate gleichzeitig. Sie haben keine andere Wahl, als das vorhandene Citrix Cloud SP-Signaturzertifikat, das Sie derzeit verwenden, mit dem neuen zu überschreiben. Es wird empfohlen, dies in einem geplanten Wartungsfenster zu tun.

  1. Navigieren Sie zu Anwendungen, wählen Sie Anwendungen aus und suchen Sie nach Ihrer Okta SAML-App

    Okta-SAML-Anwendung suchen

  2. Navigieren Sie unter Allgemein zu SAML-Einstellungen, klicken Sie auf Bearbeiten, wählen Sie SAML konfigurieren aus, wählen Sie Erweiterte Einstellungen anzeigenund klicken Sie auf Signaturzertifikat, um ein Ersatzzertifikat hochzuladen. Okta zeigt das aktuelle Citrix Cloud SAML-Signaturzertifikat nicht in der Upload-Benutzeroberfläche an. Das Ersatzzertifikat wird erst angezeigt, nachdem es hochgeladen wurde.

    Signaturzertifikat

  3. Wählen Sie Signaturzertifikat, klicken Sie auf Dateien durchsuchen und laden Sie das Citrix Cloud SAML-Signaturzertifikat als Ersatz hoch, das Sie aus den Citrix Cloud SAML-Metadaten erhalten haben.

    Signaturzertifikat

Wichtig

Überschreiben Sie das vorhandene Überprüfungszertifikat erst nach dem Datum und der Uhrzeit der SAML-Rotation, die in der E-Mail und der Benachrichtigung der Citrix Cloud-Verwaltungskonsole angegeben sind. Das neue Citrix Cloud-Zertifikat wird erst an dem Datum und zu der Uhrzeit aktiv, die in diesen beiden Benachrichtigungen angegeben sind.