對象
目前已經導入 HENNGE Access Control 並且使用舊版 SAML 簽署憑證串接其他服務的客戶
内容
說明在 HENNGE Access Control 中更新 SAML 簽署憑證的事前準備事項。
注意事項
1. 本文基於 2024 年 3 月時的產品規格撰寫,未來如有變更,將不另行通知。
2. 請使用 HENNGE Access Control 管理員權限確認實際介面及更改設定。
3. 請參考下方文章確認進入管理介面的方式。
進入 HENNGE Access Control 管理員介面的方法
4. 執行本操作,請事先切換到新式介面。
切換成 HENNGE Access Control 新式介面
5. 執行本操作,需要同時在 HENNGE Access Control 和對應的串接服務上進行更新。
6. 在執行這項操作期間,可能無法從 HENNGE Access Control 單一登入至對應的串接服務,請事先考慮操作的時機。
7. 一旦執行了更新操作,就無法撤銷。
詳細内容
① 確認 SAML 簽署憑證是否需要更新
本次的 SAML 簽署憑證更新,有些客戶可能僅需要更新部分設定。
請依照下列步驟確認是否需要更新。
<確認步驟>
【2024 年 4 月 3 日新增內容】
在 HENNGE Access Control 的管理介面中,需要更新 SAML 簽署憑證的服務會顯示 [ 請更新簽署憑證 ] 的圖示(如下方圖片)。
此外,當點擊具有該圖示的設定時,將在設定畫面頂部顯示如下圖所示的橫幅。可依照說明確認及更新SAML 簽署憑證的設定。
點擊 HENNGE Access Control 管理介面左側選單中的 [連線的服務] ,並選擇 [類型] 顯示為 [SAML SSO] 的服務。在該服務的 [設定連線的服務] 頁面的 [簽署憑證] 欄位中,若如以下圖片顯示為 [ 2048-bits ] 或 [ 1024-bits ] 的服務則為本次更新設定的目標。
※ 對於 [自定義密鑰] 的服務,不需要更新 SAML 簽署憑證。
※ 對於目前未使用或未來不再使用的需要更新的服務,請刪除相應設定。
② 確認服務端的變更設定方式
各個服務的變更設定方式基本可分為以下三種類型:
請先確認哪些服務的設定需要更新,然後確認相應的服務提供者(SP)屬於以下哪一種類型,並考慮更新SAML 簽署憑證的日期。
類型 A:可自行在管理介面操作設定
類型 B:需在服務提供者(SP)端進行操作,可指定操作日期
類型 C:需在服務提供者(SP)端進行操作,不可指定操作日期
因此請先確認各個服務是否可以從管理介面直接操作更新設定。
如果無法從管理介面直接設定,則需要聯繫服務提供者(SP)進行操作,請依照以下步驟與服務提供者(SP)聯繫
③(客戶無法自行更新 SAML 簽署憑證時)請向服務提供者(SP)確認以下事項
如果客戶無法從在所使用的服務管理畫面中更新 SAML 簽署憑證,需要請服務提供者(SP)協助設定,請使用以下內容與服務提供者(SP)聯繫。
現在和貴公司服務用 SAML 串接的 IdP 服務通知需要更新 SAML 簽署憑證。經確認在貴公司的管理畫面中無法直接更新 SAML 簽署憑證,需要請貴公司協助此操作。故煩請貴公司協助確認並回覆以下事項:
- 是否可以指定 SAML 簽署憑證的更新作業時間呢?
→ 為了盡可能減少由於 SAML 簽署憑證不一致導致的錯誤時間,我們希望能將 IdP 服務端的 SAML 簽署憑證更新日期和時間與貴公司服務 SAML 簽署憑證的更新安排在相同時間,因此請問是否可以指定作業日期和時間?
- 在貴公司的服務中,是否可以上傳兩個 SAML 簽署憑證呢?
→ 據了解有些服務可以支援上傳兩個 SAML 簽署憑證,以應對這種類型的 SAML 簽署憑證更新。請問貴公司的服務是否支援這一功能?
- 更新 SAML 簽署憑證時,是否會影響現有使用者的認證 session 呢?
→ 若貴公司服務更新 SAML 簽署憑證時,會中斷現有使用者的認證 session (即需要通過 IdP 重新進行認證),那麼會需要仔細考慮 IdP 服務端的 SAML 簽署憑證更新日期和時間。因此能否請貴公司提供相關資訊?
④ 制定實際更新計畫
確認各個服務更新 SAML 簽署憑證的類型後,請安排 SAML 簽署憑證的時程。
開始更新作業後,直到 HENNGE Access Control 及串接服務端的 SAML 簽署憑證都完成更新之前,服務的SAML 串接會有暫時性的錯誤。因此,對於能自行更新的類型 A 及可指定更新日期時間的類型 B 服務,建議將更新作業時間調整一致。
此外對於類型 C 的服務,由於部分服務提供者(SP)需要較長的更新作業時間,建議可以優先完成更新作業。
關於具體的更新步驟,請參考以下說明文章: