产品文档
Citrix Cloud
查看 PDF

更新身份提供商 SAML 签名证书

February 7, 2025
Author:  Mark Dear

使用签名请求和响应的 SAML 连接依赖于两个不同的 SAML 签名证书。 SAML 连接的每一侧各一个。

SAML 提供商签名证书

此证书由您的 SAML 提供商提供,并在您配置 SAML 连接时上传到 Citrix Cloud。

SAML 签名证书需要在到期之前进行轮换,以便 Citrix Cloud 管理员有时间为部署做好准备。 服务提供商和身份提供商都需要进行证书轮换,以确保一致性并防止任何停机。

常问问题

SAML 提供商证书有何用途

SAML 提供程序证书用于验证在身份验证过程中从 SAML 提供程序发送到 Citrix Cloud 的 SAML 响应的签名。

我可以在哪里获得最新身份提供商 (IdP) 签名证书的副本

此证书由您的 SAML 提供商(例如 Azure AD、Okta、PingFederate 或 ADFS)提供。 Citrix 不控制此证书的轮换和更新。 当您最初创建 SAML 连接时,此证书将上传到 Citrix Cloud。 IDP 签名证书 的到期日期通常很长。 它们可能需要每隔几年更换一次,而且频率低于 SP 签名证书

我如何知道我的 SAML 提供商签名证书是否即将过期并影响我的 Citrix Cloud SAML 连接

Citrix Cloud 将在您的 SAML 提供商签名证书到期前 30 天显示警告。

Certificate Expiring Soon: <certExpirationDate>

一旦证书实际过期,它还会显示错误,如下所示。

证书已过期

我是否可以在不停机的情况下更新 SAML 提供商证书同时仍使用 SAML 连接

不。 有必要在计划的维护时段内执行 SAML 断开连接并重新连接。 更新身份提供商 (IdP) 签名证书

  1. 工作区配置中选择备用 IdP,在执行 SAML 断开/重新连接操作(例如 Active Directory)时选择 身份验证

    工作区配置

  2. 备份您现有的 GO URL,例如 https://citrix.cloud.com/go/<yourgourl> 用于 SAML 登录 Citrix Cloud。

  3. 备份您现有的 SAML 端点。 这些可以从 Citrix Cloud 控制台复制。 从现有的 SAML 连接中备份以下 SAML 端点。

    • 身份提供者实体 ID
    • 身份提供商 SSO 服务 URL
    • 身份提供商注销 URL

    备份 EntityID、SSO URL 和注销 URL。

    重要:

    在断开连接之前,请确保您拥有现有和替换 IDP 签名证书的副本。 这样,如果新的 SAML 提供商证书无效并导致任何登录问题,您就可以回滚到旧证书。 在执行断开连接之前,您将无法从 Citrix Cloud UI 获取旧证书的副本。 您需要从 SAML 应用程序中获取它。

  4. 断开 身份和访问管理中的 SAML,导航到 身份验证,选择 SAML 连接,单击椭圆并选择 删除身份提供者

  5. 身份和访问管理 内重新连接 SAML,然后单击 身份验证

    SAML 管理员登录

    删除身份提供者

  6. 接受所有默认的 SAML 连接设置。

  7. 重新输入您之前备份的所有 SAML 应用程序端点,或从 SAML 提供程序 UI 中为您的 SAML 应用再次获取这些端点。

    • 身份提供者实体 ID
    • 身份提供商 SSO 服务 URL
    • 身份提供商注销 URL

重要:

如果您正在使用 Scoped EntityID 功能,则还需要在执行 SAML 断开/重新连接后使用新的范围 ID 更新您的 SAML 应用程序。 有关 Scoped EntityID 功能的更多信息,请参阅 在 Citrix Cloud中使用范围实体 ID 配置 SAML 应用程序。 从 Citrix Cloud SAML UI 复制新生成的范围 ID,并使用替换范围 ID 更新您的 SAML 应用程序实体 ID。 EntityID 应更新为 https://saml.cloud.com/<new scope ID after reconnect>

更新身份提供商 SAML 签名证书
February 7, 2025
Author:  Mark Dear
February 7, 2025
Author:  Mark Dear

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.