Citrix Cloud

Actualizar el certificado de firma SAML del proveedor de identidades

Las conexiones SAML que usan solicitudes y respuestas firmadas dependen de dos certificados de firma SAML diferentes. Uno para cada lado de la conexión SAML.

Certificado de firma del proveedor de SAML

El proveedor de SAML proporciona este certificado y se carga en Citrix Cloud al configurar la conexión SAML.

Los certificados de firma de SAML deben rotarse antes de que caduquen para que los administradores de Citrix Cloud tengan tiempo de prepararse para la implementación. Tanto los proveedores de servicios como los proveedores de identidades requieren la rotación de certificados para garantizar la alineación y evitar cualquier tiempo de inactividad.

Preguntas frecuentes

¿Para qué se usa el certificado del proveedor de SAML?

El certificado del proveedor de SAML se usa para verificar la firma de las respuestas SAML enviadas desde el proveedor de SAML a Citrix Cloud durante el proceso de autenticación.

¿Dónde puedo obtener una copia del certificado de firma del proveedor de identidades (IdP) más reciente?

Este certificado lo proporciona su proveedor de SAML, como Azure AD, Okta, PingFederate o ADFS. Citrix no controla la rotación ni la actualización de este certificado. Este certificado se carga en Citrix Cloud cuando se crea inicialmente la conexión SAML. La fecha de caducidad de los certificados de firma del proveedor de identidades suele ser de larga duración. Es posible que sea necesario reemplazarlos cada pocos años y con una frecuencia inferior a la del certificado de firma del proveedor de servicios

¿Cómo puedo saber si el certificado de firma de mi proveedor de SAML está a punto de caducar y afectar a mi conexión SAML de Citrix Cloud?

Citrix Cloud mostrará advertencias 30 días antes de la fecha de caducidad del certificado de firma de su proveedor de SAML.

Certificate Expiring Soon: <certExpirationDate>

También mostrará un error una vez que el certificado haya caducado, como se muestra a continuación.

Certificado caducado

¿Puedo actualizar el certificado del proveedor de SAML y seguir usando la conexión SAML sin tiempo de inactividad?

No. Es necesario realizar una desconexión de SAML y volver a conectar durante un período de mantenimiento programado. Actualizar el certificado de firma del proveedor de identidades (IdP)

  1. Seleccione un IdP alternativo en Configuración de Workspace y seleccione Autenticación mientras realiza la operación de desconexión y reconexión de SAML, como Active Directory.

    Configuración de Workspace

  2. Haga una copia de reserva de la URL de GO existente, como https://citrix.cloud.com/go/<yourgourl>, usada para iniciar sesión con SAML en Citrix Cloud.
  3. Haga una copia de reserva de sus dispositivos de punto final de SAML. Estos se pueden copiar desde la consola de Citrix Cloud. Haga una copia de reserva de los dispositivos de punto final de SAML siguientes desde su conexión SAML.

    • ID de entidad del proveedor de identidades
    • URL del servicio SSO del proveedor de identidades
    • URL de cierre de sesión del proveedor de identidades

    Haga una copia de reserva del ID de entidad, la URL de SSO y la URL de cierre de sesión.

Importante:

Asegúrese de que tiene una copia del certificado de firma del IdP existente y del de reemplazo antes de realizar la desconexión. De este modo, podrá revertir al certificado anterior si el nuevo certificado del proveedor de SAML no es válido y provoca problemas de inicio de sesión. No podrá obtener una copia del certificado antiguo desde la interfaz de usuario de Citrix Cloud antes de realizar la desconexión. Tendrá que obtenerlo de su aplicación SAML.

  1. Desconecte SAML en Administración de acceso e identidad, vaya a Autenticación, seleccione la conexión SAML, haga clic en los puntos suspensivos y seleccione Desconectar
  2. Reconecte SAML en Administración de acceso e identidad y haga clic en Autenticación

    Inicio de sesión de administrador de SAML

    Conectado

  3. Acepte todos los parámetros de conexión SAML predeterminados.
  4. Introduzca de nuevo todos los dispositivos de punto final de la aplicación SAML de los que haya realizado copia de reserva anteriormente o vuelva a obtenerlos para su aplicación SAML desde la interfaz de usuario de su proveedor de SAML.

    • ID de entidad del proveedor de identidades
    • URL del servicio SSO del proveedor de identidades
    • URL de cierre de sesión del proveedor de identidades

Importante:

Si usa la función ID de entidad con ámbito, tendrá que actualizar su aplicación SAML con el nuevo ID de ámbito después de realizar la desconexión o reconexión de SAML. Para obtener más información sobre la función ID de entidad con ámbito, consulte Configurar una aplicación SAML mediante un ID de entidad con ámbito en Citrix Cloud. Copie el ID de ámbito recién generado de la interfaz de usuario de SAML de Citrix Cloud y actualice el ID de entidad de la aplicación SAML con el ID de ámbito de reemplazo. El ID de entidad debe actualizarse a https://saml.cloud.com/<new scope ID after reconnect>.

Actualizar el certificado de firma SAML del proveedor de identidades