Faire pivoter un certificat SAML 2.0 - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Faire pivoter un certificat SAML 2.0

Il se peut que vous deviez importer des certificats périodiquement afin de remplacer les certificats non valides ou expirés émis par votre fournisseur d'identité. Cela permet d'éviter toute interruption ou interruption de l'authentification. Tous les certificats importés sont automatiquement actifs. Les certificats ne doivent être supprimés qu'après avoir vérifié qu'ils ne sont plus utilisés par le fournisseur d'identité associé.

Vous devez également tenir compte du fait que certains IdPs peuvent ne pas prendre en charge plusieurs certificats. Dans ce cas, le fait d'alterner les certificats avec ces derniers IdPs peut entraîner une interruption de service temporaire pour vos utilisateurs. Le service est rétabli lorsque la confiance avec cet IdP a été rétablie avec succès. Planifiez cette opération avec soin en dehors des heures de pointe si possible.

Note

Pour des raisons de sécurité, dès que des signes de compromission ou de mauvaise gestion d'un certificat SAML existant apparaissent, vous devez immédiatement le supprimer et le faire pivoter.

La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :

  • Obtenir un nouveau certificat auprès de l'IdP

  • Importation du nouveau certificat dans IAM Identity Center

  • Activation du nouveau certificat dans l'IdP

  • Supprimer l'ancien certificat

Utilisez toutes les procédures suivantes pour terminer le processus de rotation des certificats tout en évitant toute interruption de l'authentification.

Étape 1 : obtenir un nouveau certificat auprès de l'IdP

Accédez au site Web de l'IdP et téléchargez leur certificat SAML 2.0. Assurez-vous que le fichier de certificat est téléchargé au format PEM codé. La plupart des fournisseurs vous permettent de créer plusieurs certificats SAML 2.0 dans l'IdP. Il est probable qu'ils soient marqués comme désactivés ou inactifs.

Étape 2 : Importer le nouveau certificat dans IAM Identity Center

Utilisez la procédure suivante pour importer le nouveau certificat à l'aide de la console IAM Identity Center.

  1. Dans la console IAM Identity Center, sélectionnez Paramètres.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Gérer l'authentification.

  3. Sur la page Gérer les certificats SAML 2.0, choisissez Importer le certificat.

  4. Dans la boîte de dialogue Importer un certificat SAML 2.0, choisissez Choisir un fichier, accédez à votre fichier de certificat et sélectionnez-le, puis choisissez Importer un certificat.

À ce stade, IAM Identity Center fera confiance à tous les messages SAML entrants signés à partir des deux certificats que vous avez importés.

Étape 3 : activer le nouveau certificat dans l'IdP

Retournez sur le site Web de l'IdP et marquez le nouveau certificat que vous avez créé précédemment comme principal ou actif. À ce stade, tous les messages SAML signés par l'IdP doivent utiliser le nouveau certificat.

Étape 4 : Supprimer l'ancien certificat

Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre IdP. Il doit toujours y avoir au moins un certificat valide répertorié, et il ne peut pas être supprimé.

Note

Assurez-vous que votre fournisseur d'identité ne signe plus les réponses SAML avec ce certificat avant de le supprimer.

  1. Sur la page Gérer les certificats SAML 2.0, sélectionnez le certificat que vous souhaitez supprimer. Sélectionnez Delete (Supprimer).

  2. Dans la boîte de dialogue Supprimer le certificat SAML 2.0, tapez DELETE pour confirmer, puis choisissez Supprimer.

  3. Retournez sur le site Web de l'IdP et effectuez les étapes nécessaires pour supprimer l'ancien certificat inactif.