Rotation d'un certificat IAM Identity Center - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rotation d'un certificat IAM Identity Center

La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :

  • Génération d'un nouveau certificat

  • Ajouter le nouveau certificat sur le site Web du fournisseur de services

  • Configuration du nouveau certificat pour qu'il soit actif

  • Supprimer le certificat inactif

Utilisez toutes les procédures suivantes dans l'ordre suivant pour terminer le processus de rotation des certificats pour une application donnée.

Étape 1 : générer un nouveau certificat

Les nouveaux certificats IAM Identity Center que vous générez peuvent être configurés pour utiliser les propriétés suivantes :

  • Période de validité — Spécifie le temps imparti (en mois) avant l'expiration d'un nouveau certificat IAM Identity Center.

  • Taille de clé — Détermine le nombre de bits qu'une clé doit utiliser avec son algorithme cryptographique. Vous pouvez définir cette valeur sur 1024 bits RSA ou 2048 bits. RSA Pour des informations générales sur le fonctionnement de la taille des clés en cryptographie, consultez la section Taille des clés.

  • Algorithme — Spécifie l'algorithme utilisé par IAM Identity Center lors de la signature de l'SAMLassertion/de la réponse. Vous pouvez définir cette valeur sur SHA -1 ou SHA -256. AWS recommande d'utiliser SHA -256 lorsque cela est possible, sauf si votre fournisseur de services exige SHA -1. Pour des informations générales sur le fonctionnement des algorithmes de cryptographie, voir Cryptographie à clé publique.

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Dans la liste des applications, sélectionnez l'application pour laquelle vous souhaitez générer un nouveau certificat.

  4. Sur la page des détails de l'application, choisissez l'onglet Configuration. Sous les métadonnées IAM d'Identity Center, choisissez Gérer le certificat. Si vous n'avez pas d'onglet Configuration ou si le paramètre de configuration n'est pas disponible, il n'est pas nécessaire de faire pivoter le certificat pour cette application.

  5. Sur la page du certificat IAM Identity Center, choisissez Générer un nouveau certificat.

  6. Dans la boîte de dialogue Générer un nouveau certificat IAM Identity Center, spécifiez les valeurs appropriées pour la période de validité, l'algorithme et la taille de la clé. Choisissez ensuite Generate.

Étape 2 : mise à jour du site Web du fournisseur de services

Suivez la procédure ci-dessous pour rétablir la confiance avec le fournisseur de services de l'application.

Important

Lorsque vous téléchargez le nouveau certificat auprès du fournisseur de services, il est possible que vos utilisateurs ne soient pas en mesure de s'authentifier. Pour corriger cette situation, définissez le nouveau certificat comme actif, comme décrit à l'étape suivante.

  1. Dans la console IAM Identity Center, choisissez l'application pour laquelle vous venez de générer un nouveau certificat.

  2. Sur la page des détails de l'application, choisissez Modifier la configuration.

  3. Choisissez Afficher les instructions, puis suivez les instructions du site Web de votre fournisseur de services d'application spécifique pour ajouter le certificat nouvellement généré.

Étape 3 : Activez le nouveau certificat

Jusqu'à deux certificats peuvent être attribués à une application. IAMIdentity Center utilisera la certification définie comme active pour signer toutes les SAML assertions.

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Dans la liste des applications, sélectionnez votre application.

  4. Sur la page des détails de l'application, choisissez l'onglet Configuration. Sous les métadonnées IAM d'Identity Center, choisissez Gérer le certificat.

  5. Sur la page du certificat IAM Identity Center, sélectionnez le certificat que vous souhaitez définir comme actif, choisissez Actions, puis sélectionnez Définir comme actif.

  6. Dans la boîte de dialogue Définir le certificat sélectionné comme actif, confirmez que vous comprenez que le fait de définir un certificat comme actif peut nécessiter le rétablissement de la confiance, puis choisissez Rendre actif.

Étape 4 : Supprimer l'ancien certificat

Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre demande. Vous ne pouvez supprimer qu'un certificat dont l'état est inactif.

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Dans la liste des applications, sélectionnez votre application.

  4. Sur la page des détails de l'application, sélectionnez l'onglet Configuration. Sous les métadonnées IAM d'Identity Center, choisissez Gérer le certificat.

  5. Sur la page du certificat IAM Identity Center, sélectionnez le certificat que vous souhaitez supprimer. Choisissez Actions, puis Delete (Supprimer).

  6. Dans la boîte de dialogue Supprimer le certificat, choisissez Supprimer.