更新服务提供商 SAML 签名证书
使用签名请求和响应的 SAML 连接取决于两种不同的 SAML 签名证书。SAML 连接的每一端都有一个。
服务提供商签名证书
此证书由 Citrix 定期提供并上载到您的 SAML 应用程序中或通过 Citrix Cloud SAML 元数据获取。
SAML 签名证书需要在过期日期之前进行轮换,以便让 Citrix Cloud 管理员有时间为部署做准备。服务提供商和身份提供商都要求轮换证书,以确保一致性并防止任何停机。
如果选定的 SAML 提供商不支持 SP SAML 签名证书的自动轮换,则必须在 SAML 提供商内手动轮换 SAML 签名证书以替换即将到期的证书。
重要:
此 SAML eDoc 部分中的所有现有指南都包含有关如何在 SAML 连接两端配置签名的详细信息。Citrix 只推荐签名的 SAML 配置,因为这些配置更安全,而且某些 SAML 提供商要求这些配置才能成功注销 (SLO)。
常见问题解答
什么是 SAML 签名
SAML 签名证书是 X.509 证书,用于验证服务提供商 (SP) 和 SAML 提供商 (IdP) 之间发送的数据。您的 SAML 提供商 (IdP) 使用 Citrix Cloud SAML 签名证书来验证 Citrix Cloud 在其 SAML 身份验证请求中发送的签名。Citrix Cloud 使用 SAML 提供商签名证书来验证 SAML 响应来自可信且互连的 IdP。
什么是 SAML 签名请求的执行
仅仅因为 Citrix Cloud 配置为发送签名请求,这并不能保证 SAML 提供商将强制使用签名并拒绝任何未签名的传入 SAML 请求。大多数 SAML 提供商都可以选择强制执行签名请求,这意味着如果收到未签名的登录 SAML 提供商的请求,则登录将失败。检查 IdP 配置的状态是 SAML 提供商管理员的责任。Citrix 支持部门无法控制也无法查看是否在您的 SAML 应用程序中强制执行签名请求。
Citrix 多久轮换一次其服务提供商 SAML 签名证书
为了允许有效的服务提供商签名证书和新颁发的签名证书之间有足够的重叠之处,Citrix 大约每 11 个月轮换一次服务提供商签名证书。这是为了确保在现有证书到期前 30 天向 Citrix Cloud 客户提供有效证书。
什么是服务提供商 SAML 签名证书广告阶段
在广告阶段,当前和替换的 SAML 签名证书将出现在 Citrix Cloud 元数据中。在轮换日期和时间之前,只有有效的证书可以用于 SAML 请求验证。
为什么我通过电子邮件和 Citrix Cloud 管理控制台收到通知,表明当前 Citrix Cloud SAML 签名证书即将到期,必须更换
SAML 提供商 (IdP) 需要有效且有效的证书来验证来自 Workspace 和 Citrix Cloud 管理员控制台等服务提供商的传入 SAML 请求的签名。将联系使用 SAML for Workspace 或 Citrix Cloud 管理控制台登录的 Citrix Cloud 客户,告知他们即将轮换 SAML 签名证书。
如何知道我的 Citrix Cloud 客户是否受到 Citrix Cloud SAML 签名证书轮换的影响
这将影响使用以下 SAML 配置的 Citrix Cloud 客户。
- 您在 Citrix Cloud 中的 SAML 连接配置为使用签名身份验证请求 = 是
- 您已将 Azure Active Directory、ADFS 或 Okta 等 SAML 提供商配置为拒绝未签名的 SAML 请求(强制执行签名请求)。
- 您在 Citrix Cloud SAML 连接和 SAML 提供商中配置了单点注销 (SLO)。您的 SAML 提供商可能要求签署 SLO 请求,例如 Okta 和 PingFederate 的请求。
如何检查我的 Citrix Cloud SAML 连接的签名配置
导航到身份识别和访问管理 > SAML 2.0 > 查看,检查您是否在 Citrix Cloud SAML 连接中启用了签名身份验证请求。对于登录 (SSO) 和注销 (SLO),Citrix Cloud 中所有新的 SAML 连接都将默认为身份提供商签名身份验证/注销请求 = 是。
如何检查我的 SAML 应用程序中是否配置了强制签名
这因您使用的 SAML 提供商而异。有些人甚至可能不提供此选项。AzureAD、ADFS、Okta 和 PingFederate 都支持强制签名。SAML 管理员必须了解您的 SAML 提供商的功能及其当前配置。Citrix 支持人员无法控制或查看这一点。
在哪里可以获得最新的服务提供商 (SP) 签名证书的副本
该证书由 Citrix 通过 Citrix Cloud SAML 元数据提供,并在 SP 签名证书轮换的广告阶段定期更新。这种情况每个日历年至少发生一次。
美国、欧盟和亚太南部:https://saml.cloud.com/saml/metadata
JP:https://saml.citrixcloud.jp/saml/
GOV:https://saml.cloud.us/saml/metadata
如果我的 SAML 应用程序支持多个验证证书,何时可以安全地删除旧的 Citrix Cloud SAML 签名证书
只有在电子邮件和 Citrix Cloud 管理控制台通知中给出的证书轮换日期和时间之后才删除旧的 Citrix Cloud 签名证书。
使用元数据交换使用最新的 Citrix Cloud SP SAML 签名证书自动更新 SAML 提供商
使用 SAML 元数据交换,SAML 提供商通过监视元数据 URL 来自动使用 Citrix Cloud SAML 元数据,例如 https://saml.cloud.com/saml/metadata。如果您的 SAML 提供商支持 SAML 元数据交换,则 SP 签名证书可能已经自动更新。 确认您的 SAML 提供商支持元数据交换。之后,您可以验证更新是否在当前 SAML 签名证书到期之前发生。
重要
每个第三方 SAML 提供商支持的 SAML 功能存在很大差异。Citrix Cloud 管理员有责任了解和了解您正在使用的 SAML 提供商的功能和要求。 这是确保 Citrix Cloud SAML 连接配置 (SP) 和 SAML 提供商 (IdP) 配置匹配所必需的。请参阅您的 SAML 提供商的文档,以确定其是否支持签名验证以及是否需要对 SAML 请求和响应进行签名。
使用最新的 Citrix Cloud SP SAML 签名证书手动更新 SAML 提供商
重要
每次从 Citrix Cloud 发布新证书时都必须轮换 SP 证书,否则 SAML 登录将受到影响,您将面临停机。
-
在身份识别和访问管理中查看当前 SAML 连接,从 Citrix Cloud 获取最新的 SAML 元数据,单击“身份验证”,选择“SAML 连接”,然后单击“查看”。 下图是该文件在 Citrix Cloud 地区(例如美国、欧盟和亚太南部)的外观示例:
https://saml.cloud.com/saml/metadata
在此元数据 XML 文件示例中,有两个 x509 Citrix Cloud SAML 签名证书。
- 通过将 XML 文件上载到第三方工具或提供元数据 URL,可以从元数据中提取 x509 证书。
- 导航到 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
-
输入与您的 Citrix Cloud 客户区域相对应的 SAML 元数据 URL:
- 美国、欧盟和亚太南部:https://saml.cloud.com/saml/metadata
- JP:https://saml.citrixcloud.jp/saml/metadata
- GOV:https://saml.cloud.us/saml/metadata
从 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract 下载 SAML 签名证书。
-
将新提取的 Citrix Cloud SP SAML 证书上载到您的 SAML 提供商。 对于每个 SAML 提供商,此过程将有所不同。使用特定的 SAML 提供商文档,验证正确的 SP 签名证书轮换程序。
视您的 SAML 提供商而定,可能需要用新的 SAML 签名证书替换现有的 SAML 签名证书。在某些情况下,SAML 提供商可能同时支持多个 SP 签名证书,因此仅上载新的 SP 签名证书就足够了。建议您在旧证书过期后将其删除。
将替换的 Citrix Cloud SAML 签名证书上载到您的 Azure Active Directory SAML 应用程序
在配置 Azure Active Directory SAML 应用程序之前,请参阅 SAML 请求签名验证以了解更多信息。
- 导航到 Azure Active Directory,选择“企业应用程序”,然后单击“您的 SAML 应用程序”。
-
在 SAML 应用程序中找到 SAML 证书部分。
-
选择上载证书,然后上载从 SAML 元数据中获得的替换 Citrix Cloud SAML 签名证书。
注意:
Azure Active Directory SAML 应用程序可以配置多个签名验证证书,因此可以在当前证书到期之前很久就上载替换证书。以下屏幕截图显示了两个有效的证书。其中一份证书将在不久的将来过期。只要上载的证书中至少有一个有效且尚未过期,将继续通过 SAML 登录 Citrix Workspace 和 Citrix Cloud,并且不会出现中断的情况。
重要:
在电子邮件和 Citrix Cloud 管理控制台通知中提供的 SAML 轮换日期和时间结束之前,不要删除现有验证证书。新的 Citrix Cloud 证书仅在这两份通知中给出的日期和时间生效。
将替换的 Citrix Cloud SAML 签名证书上载到您的 Okta SAML 应用程序
Okta 不支持同时支持多个 SP SAML 签名证书。您别无选择,只能用新证书覆盖您目前正在使用的现有 Citrix Cloud SP 签名证书。建议您在定期维护时段内执行此操作。
-
导航到“应用程序”,选择“应用程序”,然后搜索您的 Okta SAML 应用程序
-
在“常规”中,导航到“SAML 设置”,单击“编辑”,选择“配置 SAML”,选择“显示高级设置”,然后单击“签名证书”以上载替代证书。Okta 不在上载用户界面中显示当前 Citrix Cloud SAML 签名证书。它只会在上载后显示替换证书。
-
选择签名证书,单击“浏览文件”,然后上载从 Citrix Cloud SAML 元数据中获得的替换 Citrix Cloud SAML 签名证书。
重要
在电子邮件和 Citrix Cloud 管理控制台通知中提供的 SAML 轮换日期和时间之前,不要覆盖现有验证证书。新的 Citrix Cloud 证书仅在这两份通知中给出的日期和时间生效。