ADFS и полагающиеся партийные подписывающие маркер сертификаты
Я не вполне получил схватывание функциональности полагающегося партийного подписывающего маркер сертификата с ADFS 2.0 / 3.0. После того как автоматическая самоподписанная трансформация сертификата происходит (по умолчанию), существуют сценарии, куда необходимо вручную поставить новый подписывающий маркер сертификат (обычно) внешнему поставщику приложения SSO для них для размещения нового сертификата в их конец, таким образом, SSO будет продолжать функционировать.
Однако это может произойти автоматически. Лучшее я нашел его, объяснило здесь:
AD FS и самоподписанные Подписывающие Маркер сертификаты | Блог Kloud
[ADFS]... может автоматически возобновить самоподписанные сертификаты перед истечением, и если полагающееся партийное доверие настроено для автоматических обновлений метаданных федерации, автоматически предоставьте новый открытый ключ полагающейся стороне. Эта автоматизация делает для устойчивого сервиса федерации низких эксплуатационных расходов в этом, ключевой сертификат, используемый сервисом, не требует периодического внимания.
Вопрос; как я знаю, настроено ли полагающееся партийное доверие для автоматических обновлений метаданных федерации? Эта плоскость и просто эта установка в доверии (спасибо поиск изображения Google):
Если так, как я могу удостовериться, что обновление было успешно (помимо возможно 'последней проверенной' даты), и полагающаяся сторона автоматически получила новый сертификат или его открытый ключ?
Есть несколько сертификатов в трастах SAML2 и WS-Federation. Я проигнорирую здесь сертификат TLS URL-адреса https серверов (ADFS называет его сертификатом связи).
Каждая сторона может иметь сертификат подписи. Сообщения, которые отправляет сторона, подписываются закрытым ключом этого сертификата. Стороны SAML2 часто подписывают и запросы, и ответы. Пассивный WS-Federation не подписывает запрос (поэтому у пассивного RP его нет). Сертификат подписи публикуется в метаданных. Во время переворота их может быть два (старый и новый).
Каждая сторона может иметь сертификат шифрования. Когда запрос или ответ отправляется стороне с сертификатом шифрования, тогда открытый ключ этого сертификата может использоваться для шифрования ключа шифрования. Сделать сообщение нечитаемым для всех, кроме адресата. Сертификат шифрования публикуется в метаданных. В большинстве случаев в метаданных публикуется только один сертификат шифрования. Но старые сертификаты принимаются на какое-то время, чтобы пролонгация прошла без проблем.
Автоматический переход ADFS - это круто. Я предлагаю вам оставить это так или заменить его самозаверяющим сертификатом со сроком действия 10 лет. ADFS будет следовать метаданным, опубликованным его партнерами, если ADFS имеет URL-адрес для их метаданных.
Проверяющие стороны в стране WS-Fed читают приложения Microsoft .NET (также называемые WIF). Это зависит от приложения. Приложения могут публиковать свои метаданные, что удобно для администратора ADFS, потому что им не нужно много печатать, меньше внеполосных сообщений и т. Д. Беспроигрышный вариант для всех. Поэтому каждое приложение должно публиковать свои метаданные. Лучше для всех. Но для пассивных полагающихся сторон WS-Fed не будет сертификата подписи. Может быть сертификат шифрования. В .NET есть классы для чтения и генерации метаданных «по запросу» в System.IdentityModel.Metadata. В Интернете есть несколько его образцов. Один из примеров - Thinktecture IdentityServer.
Проверяющие стороны могут читать метаданные ADFS. Всегда была доступна запланированная задача. Он прочитал метаданные ADFS, а затем обновил файл web.config приложения. Я никогда не использовал его, потому что у него был побочный эффект повторного использования пула (даже если не было изменений), и он затирал каталог старыми версиями web.config. Если у вас возникли проблемы с написанием кода для читателя или писателя, свяжитесь со мной в автономном режиме. Это можно сделать для любого приложения (в том числе для SharePoint). Это вопрос затрат: делать это вручную (один раз в год) или писать код, чтобы делать это автоматически.
это может происходить автоматически.
Более того, это происходит автоматически! Ваши сертификаты автоматически обновляются каждые X дней, где X является значением свойства CertificateRolloverInterval (или, может быть, CertificateDuration, я сомневаюсь; запустите Get-ADFSProperties, чтобы получить их).
как мне узнать, полагается ли партийное доверие настроено для автоматического обновления метаданных федерации?
Вы не можете знать ... Это не контролируется вашим сервером ADFS. Именно другая сторона решает, проверять ли они ваши метаданные регулярно или нет. Ну, очевидно, если вы поменяете сертификаты,и ваша система единого входа прерывается, значит, вы знаете, что другая сторона не проверяет ваш ADFS ...
На экране печати отображается обратное, т.е. вы проверяете метаданные другой стороны. Если вы отправите этот экран для печати своему партнеру, он будет знать, что может изменить свои сертификаты «безопасно».
Заключительное примечание: по моему опыту, единственное приложение, которое имеет встроенную функцию «автообновления», - это сам ADFS. . Его нет даже в Sharepoint и Dynamics CRM. Поэтому я считаю это бесполезным.
В заключение, я предлагаю отключить свойство «AutoCertificateRollover» ADFS и управлять своими сертификатами самостоятельно. Преимущество заключается в том, что вы используете нужный сертификат с выбранной вами датой истечения срока действия (для среды TEST установите дату истечения 50 лет спустя, что очень полезно). И напишите в своем календаре большое напоминание об обновлении трастов, когда истечет срок действия вашего сертификата!
Пока отвечающие стороны используют вашу службу AD FS, вы не можете контролировать работу приложений отвечающей стороны. Вам необходимо работать с ними, чтобы сократить время простоя обслуживания.