本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
旋轉 SAML 2.0 憑證
您可能需要定期匯入憑證,以輪替身分提供者所發行的無效或過期憑證。這有助於防止驗證中斷或停機。所有匯入的憑證都會自動啟用。只有在確定憑證不再與相關的身分識別提供者搭配使用之後,才應刪除憑證。
您還應該考慮某些證書 IdPs 可能不支持多個證書。在這種情況下,使用這些證書輪換證書的行為 IdPs 可能意味著您的用戶臨時服務中斷。當具有該 IdP 的信任已成功重新建立時,就會還原服務。如果可能,請在非繁忙時間仔細規劃此操作。
注意
作為安全性最佳做法,在任何現有 SAML 憑證遭到入侵或處理不當的跡象時,您應立即移除並輪換憑證。
輪換 IAM 身分中心憑證是一個包含下列各項的多步驟程序:
-
從 IdP 取得新憑證
-
將新憑證匯入 IAM 身分中心
-
在 IdP 中啟動新憑證
-
刪除較舊的憑證
使用下列所有程序完成憑證輪替程序,同時避免任何驗證停機時間。
步驟 1:從 IdP 取得新憑證
前往 IdP 網站並下載他們的 SAML 2.0 憑證。請確定以 PEM 編碼格式下載憑證檔案。大多數提供者都允許您在 IdP 中建立多個 SAML 2.0 憑證。這些可能會被標記為已停用或非作用中。
步驟 2:將新憑證匯入 IAM 身分中心
使用下列程序,使用 IAM 身分中心主控台匯入新憑證。
-
在 IAM 身分中心主控台中
,選擇 [設定]。 -
在 [設定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [管理驗證]。
-
在「管理 SAML 2.0 憑證」頁面上,選擇「匯入憑證」。
-
在「匯入 SAML 2.0 憑證」對話方塊中,選擇「選擇檔案」,瀏覽至您的憑證檔案並加以選取,然後選擇「匯入憑證」。
此時,IAM 身分中心將信任從您匯入的兩個憑證簽署的所有內送 SAML 訊息。
步驟 3:在 IdP 中啟用新憑證
返回 IdP 網站,並將先前建立的新憑證標示為主要或作用中憑證。此時 IdP 簽署的所有 SAML 訊息都應使用新憑證。
步驟 4:刪除舊證書
使用下列程序來完成 IdP 的憑證輪替程序。必須至少列出一個有效的憑證,且無法移除。
注意
請確定您的身分提供者不再使用此憑證簽署 SAML 回應,然後再刪除它。
-
在「管理 SAML 2.0 憑證」頁面上,選擇您要刪除的憑證。選擇刪除。
-
在 [刪除 SAML 2.0 憑證] 對話方塊中,輸
DELETE入確認,然後選擇 [刪除]。 -
返回 IdP 的網站並執行必要步驟以移除較舊的非作用中憑證。
