Mettre à jour le certificat de signature SAML du fournisseur d’identité
Les connexions SAML qui utilisent des demandes et des réponses signées dépendent de deux certificats de signature SAML différents. Un pour chaque côté de la connexion SAML.
Certificat de signature du fournisseur SAML
Ce certificat est fourni par votre fournisseur SAML et chargé dans Citrix Cloud lorsque vous configurez la connexion SAML.
Les certificats de signature SAML doivent faire l’objet d’une rotation avant leur date d’expiration afin de donner aux administrateurs de Citrix Cloud le temps de préparer le déploiement. La rotation des certificats est requise à la fois par les fournisseurs de services et les fournisseurs d’identité afin de garantir l’alignement et d’éviter tout temps d’arrêt.
Questions fréquentes
À quoi sert le certificat du fournisseur SAML ?
Le certificat du fournisseur SAML est utilisé pour vérifier la signature des réponses SAML envoyées par le fournisseur SAML à Citrix Cloud lors du processus d’authentification.
Où puis-je obtenir une copie du dernier certificat de signature du fournisseur d’identité ?
Ce certificat est fourni par votre fournisseur SAML tel qu’Azure AD, Okta, PingFederate ou ADFS. Citrix ne contrôle pas la rotation ni la mise à jour de ce certificat. Ce certificat est chargé dans Citrix Cloud lors de la création initiale de la connexion SAML. La date d’expiration des certificats de signature du fournisseur d’identité est généralement longue. Il peut être nécessaire de les remplacer après quelques années et à une fréquence inférieure à celle du certificat de signature du fournisseur de services
Comment savoir si mon certificat de signature du fournisseur SAML est sur le point d’expirer et si cela a un impact sur ma connexion SAML Citrix Cloud ?
Citrix Cloud affichera des avertissements 30 jours avant l’approche de la date d’expiration de votre certificat de signature du fournisseur SAML.
Certificate Expiring Soon: <certExpirationDate>
Une erreur s’affichera également une fois que le certificat aura effectivement expiré, comme indiqué ci-dessous.
Puis-je mettre à jour le certificat du fournisseur SAML tout en utilisant la connexion SAML sans temps d’arrêt ?
Non. Il est nécessaire d’effectuer une déconnexion et une reconnexion SAML pendant une fenêtre de maintenance planifiée. Mettre à jour le certificat de signature du fournisseur d’identité
-
Sélectionnez un autre fournisseur d’identité dans Configuration de l’espace de travail, puis sélectionnez Authentification pendant que vous effectuez l’opération de déconnexion/reconnexion SAML, telle qu’Active Directory.
- Sauvegardez votre URL GO existante, telle que celle utilisée pour la connexion SAML à Citrix Cloud :
https://citrix.cloud.com/go/<yourgourl>. -
Effectuez une sauvegarde de vos points de terminaison SAML existants. Vous pouvez les copier depuis la console Citrix Cloud. Sauvegardez les points de terminaison SAML suivants depuis votre connexion SAML existante.
- ID d’entité du fournisseur d’identité
- URL du service SSO du fournisseur d’identité
- URL de déconnexion du fournisseur d’identité
Sauvegardez l’EntityID, l’URL SSO et l’URL de déconnexion.
Important :
Assurez-vous de disposer d’une copie du certificat de signature du fournisseur d’identité existant et du certificat de signature du fournisseur d’identité de remplacement avant de procéder à la déconnexion. Cela vous permet de revenir à l’ancien certificat si le nouveau certificat du fournisseur SAML n’est pas valide et entraîne des problèmes de connexion. Vous ne pourrez pas obtenir de copie de l’ancien certificat depuis l’interface utilisateur de Citrix Cloud avant d’effectuer la déconnexion. Vous devrez l’obtenir à partir de votre application SAML.
- Déconnectez SAML dans la Gestion des identités et des accès, accédez à Authentification, puis sélectionnez la connexion SAML. Cliquez sur l’ellipse et sélectionnez Déconnecter
-
Reconnectez SAML dans la Gestion des identités et des accès, puis cliquez sur Authentification
- Acceptez tous les paramètres de connexion SAML par défaut.
-
Entrez à nouveau tous les points de terminaison de l’application SAML que vous avez sauvegardés précédemment ou récupérez-les pour votre application SAML depuis l’interface utilisateur de votre fournisseur SAML.
- ID d’entité du fournisseur d’identité
- URL du service SSO du fournisseur d’identité
- URL de déconnexion du fournisseur d’identité
Important :
Si vous utilisez la fonctionnalité Scoped EntityID, vous devrez également mettre à jour votre application SAML avec le nouvel ID d’étendue après avoir effectué la déconnection/reconnexion SAML. Pour plus d’informations sur la fonctionnalité Scoped EntityID, consultez Configurer une application SAML avec un ID d’entité étendue dans Citrix Cloud. Copiez l’ID d’étendue nouvellement généré depuis l’interface utilisateur SAML de Citrix Cloud et mettez à jour l’ID d’entité de votre application SAML avec l’ID d’étendue de remplacement. EntityID doit être défini sur
https://saml.cloud.com/<new scope ID after reconnect>.