Citrix Cloud

更新身份提供商 SAML 签名证书

使用签名请求和响应的 SAML 连接取决于两种不同的 SAML 签名证书。SAML 连接的每一端都有一个。

SAML 提供商签名证书

此证书由您的 SAML 提供商提供,并在配置 SAML 连接时上载到 Citrix Cloud。

SAML 签名证书需要在过期日期之前进行轮换,以便让 Citrix Cloud 管理员有时间为部署做准备。服务提供商和身份提供商都需要轮换证书,以确保一致性并防止停机。

常见问题解答

SAML 提供商证书的用途是什么

SAML 提供商证书用于验证身份验证过程中从 SAML 提供者发送到 Citrix Cloud 的 SAML 响应的签名。

在哪里可以获得最新的身份提供商 (IdP) 签名证书的副本

此证书由您的 SAML 提供商提供,例如 Azure AD、Okta、PingFederate 或 ADFS。 Citrix 不控制此证书的轮换和更新。此证书将在您最初创建 SAML 连接时上载到 Citrix Cloud。IDP 签名证书的过期日期通常很长。他们可能需要每隔几年更换一次,而且更换频率要低于 SP 签名证书

如何知道我的 SAML 提供商签名证书是否即将过期并影响我的 Citrix Cloud SAML 连接

Citrix Cloud 将在您的 SAML 提供商签名证书到期日临近 30 天前显示警告。

Certificate Expiring Soon: <certExpirationDate>

证书实际到期后,它还会显示错误,如下所示。

证书已过期

我是否可以在不停机的情况下在使用 SAML 连接的同时更新 SAML 提供商证书

否。必须在预定的维护时段内执行 SAML 断开连接并重新连接。 更新身份提供商 (IdP) 签名证书

  1. Workspace 配置中选择备用 IdP,在执行 SAML 断开/重新连接操作(例如 Active Directory)时选择身份验证

    Workspace 配置

  2. 将您的现有 GO URL(例如用于 SAML 登录的 https://citrix.cloud.com/go/<yourgourl>)备份到 Citrix Cloud。
  3. 备份您的现有 SAML 端点。这些可以从 Citrix Cloud 控制台复制。从现有 SAML 连接中备份以下 SAML 端点。

    • 身份提供商实体 ID
    • 身份提供商 SSO 服务 URL
    • 身份提供商注销 URL

    备份 EntityID、SSO URL 和注销 URL。

重要:

在执行断开连接之前,请确保您有现有和替换的 IDP 签名证书的副本。这样,如果新的 SAML 提供商证书无效并导致任何登录问题,您就可以回滚到旧证书。在执行断开连接之前,您将无法从 Citrix Cloud 用户界面获取旧证书的副本。您需要从您的 SAML 应用程序中获取它。

  1. 身份识别和访问管理中断开 SAML,导航到身份验证, 选择 SAML 连接,单击椭圆并选择断开连接
  2. 在“身份识别和访问管理”中重新连接 SAML,然后单击“身份验证

    SAML 管理员登录

    已连接

  3. 接受所有默认 SAML 连接设置。
  4. 重新输入您之前备份的所有 SAML 应用程序端点,或者在 SAML 提供商用户界面中再次为您的 SAML 应用程序获取这些端点。

    • 身份提供商实体 ID
    • 身份提供商 SSO 服务 URL
    • 身份提供商注销 URL

重要:

如果您使用的是 Scoped EntityID 功能,则在执行 SAML 断开/重新连接后,还需要使用新的作用域 ID 更新 SAML 应用程序。有关 Scoped EntityID 功能的更多信息,请参阅在 Citrix Cloud 中使用作用域实体 ID 配置 SAML 应用程序。从 Citrix Cloud SAML UI 复制新生成的作用域 ID,并使用替换作用域 ID 更新您的 SAML 应用程序实体 ID。 EntityID 应更新为 https://saml.cloud.com/<new scope ID after reconnect>

更新身份提供商 SAML 签名证书