Alternar um certificado SAML 2.0 - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alternar um certificado SAML 2.0

Talvez seja necessário importar certificados periodicamente para alternar certificados inválidos ou expirados emitidos pelo seu provedor de identidades. Isso ajuda a evitar a interrupção da autenticação ou o tempo de inatividade da autenticação. Todos os certificados importados são automaticamente ativos. Os certificados só devem ser excluídos depois de garantir que não estejam mais em uso com o provedor de identidades associado.

Você também deve considerar que alguns IdPs podem não oferecer suporte a vários certificados. Nesse caso, o ato de alternar certificados com eles IdPs pode significar uma interrupção temporária do serviço para seus usuários. O serviço é restaurado quando a confiança com esse IdP é restabelecida com sucesso. Planeje essa operação com cuidado fora do horário de pico, se possível.

nota

Como prática recomendada de segurança, em caso de qualquer sinal de comprometimento ou manuseio incorreto de um certificado SAML existente, você deve remover e alternar o certificado imediatamente.

A rotatividade de um certificado do IAM Identity Center é um processo de várias etapas que envolve o seguinte:

  • Obtendo um novo certificado do IdP

  • Importação do novo certificado para o IAM Identity Center

  • Ativando o novo certificado no IdP

  • Excluindo o certificado antigo

Use todos os procedimentos a seguir para concluir o processo de rotação de certificados e, ao mesmo tempo, evitar qualquer tempo de inatividade da autenticação.

Etapa1: Obter um novo certificado do IdP

Acesse o site do IdP e baixe o certificado SAML 2.0. Certifique-se de que o arquivo do certificado seja baixado no formato codificado PEM. A maioria dos provedores permite que você crie vários certificados SAML 2.0 no IdP. É provável que sejam marcados como desativados ou inativos.

Etapa 2: Importar o novo certificado para o IAM Identity Center

Use o procedimento a seguir para importar o novo certificado usando o console do IAM Identity Center.

  1. No console do IAM Identity Center, escolha Configurações.

  2. Na página Configurações, escolha a guia Origem da identidade e escolha Ações > Gerenciar autenticação.

  3. Na página Gerenciar certificados SAML 2.0 escolha Importar certificado.

  4. Na caixa de diálogo Importar certificado SAML 2.0, selecione Escolher arquivo, navegue até seu arquivo de certificado, selecione-o e, em seguida, escolha Importar certificado.

Nesse ponto, o IAM Identity Center confiará em todas as mensagens SAML recebidas assinadas pelos dois certificados que você importou.

Etapa 3: Ativar o novo certificado no IdP

Volte ao site do IdP e marque o novo certificado que você criou anteriormente como primário ou ativo. Nesse ponto, todas as mensagens SAML assinadas pelo IdP devem estar usando o novo certificado.

Etapa 4: Excluir o certificado antigo

Use o procedimento a seguir para concluir o processo de rodízio de certificados do seu IdP. Sempre deve haver pelo menos um certificado válido listado e ele não pode ser removido.

nota

Certifique-se de que seu provedor de identidades não esteja mais assinando respostas SAML com esse certificado antes de excluí-lo.

  1. Na página Gerenciar certificados SAML 2.0, escolha o certificado que você quer excluir. Escolha Excluir.

  2. Na caixa de diálogo Excluir certificado SAML 2.0, digite DELETE para confirmar e escolha Excluir.

  3. Volte ao site do IdP e execute as etapas necessárias para remover o certificado inativo antigo.