Ein SAML 2.0-Zertifikat rotieren - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein SAML 2.0-Zertifikat rotieren

Möglicherweise müssen Sie Zertifikate regelmäßig importieren, um ungültige oder abgelaufene Zertifikate, die von Ihrem Identitätsanbieter ausgestellt wurden, rotieren zu lassen. Dies trägt dazu bei, Unterbrechungen oder Ausfallzeiten bei der Authentifizierung zu vermeiden. Alle importierten Zertifikate sind automatisch aktiv. Zertifikate sollten erst gelöscht werden, nachdem sichergestellt wurde, dass sie nicht mehr mit dem zugehörigen Identitätsanbieter verwendet werden.

Sie sollten auch berücksichtigen, dass einige Zertifikate IdPs möglicherweise nicht mehrere Zertifikate unterstützen. In diesem Fall IdPs kann die Rotation von Zertifikaten mit diesen Zertifikaten eine vorübergehende Unterbrechung des Dienstes für Ihre Benutzer bedeuten. Der Dienst wird wiederhergestellt, wenn das Vertrauen zu diesem IdP erfolgreich wiederhergestellt wurde. Planen Sie diesen Vorgang möglichst außerhalb der Spitzenzeiten sorgfältig.

Anmerkung

Aus Sicherheitsgründen sollten Sie bei Anzeichen einer Beeinträchtigung oder falschen Handhabung eines vorhandenen SAML-Zertifikats das Zertifikat sofort entfernen und rotieren lassen.

Die Rotation eines IAM Identity Center-Zertifikats ist ein mehrstufiger Prozess, der Folgendes umfasst:

  • Ein neues Zertifikat vom IdP erhalten

  • Das neue Zertifikat wird in das IAM Identity Center importiert

  • Aktivierung des neuen Zertifikats im IdP

  • Löschen des älteren Zertifikats

Verwenden Sie alle der folgenden Verfahren, um den Zertifikatsrotationsprozess abzuschließen und gleichzeitig Ausfallzeiten bei der Authentifizierung zu vermeiden.

Schritt 1: Besorgen Sie sich ein neues Zertifikat vom IdP

Gehen Sie zur IdP-Website und laden Sie ihr SAML 2.0-Zertifikat herunter. Stellen Sie sicher, dass die Zertifikatsdatei im PEM-codierten Format heruntergeladen wurde. Bei den meisten Anbietern können Sie mehrere SAML 2.0-Zertifikate im IdP erstellen. Es ist wahrscheinlich, dass diese als deaktiviert oder inaktiv markiert werden.

Schritt 2: Importieren Sie das neue Zertifikat in IAM Identity Center

Gehen Sie wie folgt vor, um das neue Zertifikat mithilfe der IAM Identity Center-Konsole zu importieren.

  1. Wählen Sie in der IAM Identity Center-Konsole Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Authentifizierung verwalten“.

  3. Wählen Sie auf der Seite SAML 2.0-Zertifikate verwalten die Option Zertifikat importieren aus.

  4. Wählen Sie im Dialogfeld SAML 2.0-Zertifikat importieren die Option Datei auswählen aus, navigieren Sie zu Ihrer Zertifikatsdatei, wählen Sie sie aus und wählen Sie dann Zertifikat importieren aus.

Ab diesem Zeitpunkt vertraut IAM Identity Center allen eingehenden SAML-Nachrichten, die von beiden importierten Zertifikaten signiert wurden.

Schritt 3: Aktivieren Sie das neue Zertifikat im IdP

Gehen Sie zurück zur IdP-Website und markieren Sie das neue Zertifikat, das Sie zuvor erstellt haben, als primär oder aktiv. Zu diesem Zeitpunkt sollten alle vom IdP signierten SAML-Nachrichten das neue Zertifikat verwenden.

Schritt 4: Löschen Sie das alte Zertifikat

Gehen Sie wie folgt vor, um den Zertifikatsrotationsprozess für Ihren IdP abzuschließen. Es muss immer mindestens ein gültiges Zertifikat aufgeführt sein, das nicht entfernt werden kann.

Anmerkung

Stellen Sie sicher, dass Ihr Identitätsanbieter keine SAML-Antworten mehr mit diesem Zertifikat signiert, bevor Sie es löschen.

  1. Wählen Sie auf der Seite SAML 2.0-Zertifikate verwalten das Zertifikat aus, das Sie löschen möchten. Wählen Sie Löschen.

  2. Geben Sie im Dialogfeld SAML 2.0-Zertifikat löschen DELETE zur Bestätigung den Text ein, und wählen Sie dann Löschen aus.

  3. Kehren Sie zur Website des IdP zurück und führen Sie die erforderlichen Schritte aus, um das ältere inaktive Zertifikat zu entfernen.