Beim SAML SSO werden zwischen dem Service Provider (anny) und dem Identity Provider (z.B. Microsoft) Zertifikate ausgetauscht. Diese Zertifikate sind essentiell für die sichere Authentifizierung beim SSO. Mit den Zertifikaten wird der Austausch von Daten zwischen Service Provider und Identity Provider signiert. Beide Parteien können die Signatur überprüfen, um sicherzustellen, dass die Anfrage nicht kompromittiert ist.
Key Rollover Erklärung
Diese Zertifikate werden bei der Einrichtung über die Metadaten ausgetauscht. Jedes Zertifikat hat ein bestimmtes Ablaufdaten. Ist dieses erreicht, ist das Zertifikat nicht mehr gültig. Alle Anfragen werden abgelehnt, welche mit einem abgelaufenem Zertifikat signiert sind.
Damit weiterhin ein Login möglich ist, wird regelmäßig ein Key Rollover durchgeführt. Das läuft in zwei Schritten ab.
Schritt 1: Es wird ein neues Zertifikat erstellt und veröffentlicht
Zu diesem Zeitpunkt sind beide Zertifikate gültig und der Identity Provider oder der Service Provider kann das neue Zertifikat speichern. Es werden weiterhin Anfragen mit dem bestehenden Zertifikat signiert. Dadurch kommt es zu keiner Unterbrechung.
Schritt 2: Das alte Zertifikat wird nicht mehr verwendet
Nach einer Karenzzeit wird das schließlich das alter Zertifikat nicht mehr verwendet und nicht mehr in den Metadaten veröffentlicht. Alle Anfragen werden nun mit dem neuen Zertifikat signiert. Der Service Provider oder Identity Provider hat in der Zwischenzeit dieses Zertifikat bereits hinterlegt.
So ist gewährleistet, dass der Login durchgängig ohne Unterbrechunungen möglich ist.
Identity Provider Key Rollover
Wenn dein Identity Provider den Key Rollover durchführt und du bei anny die Metadaten URL hinterlegt hast, hast du nichts weiter zu tun. Wir überprüfen zweimal täglich, ob dein Identity Provider neue Zertifikate veröffentlicht hat und aktualisieren diese bei uns.
Föderationen Key Rollover
Ist dein Identity Provider teil einer Föderation wie z.B. der DFN AAI, so musst du ebenfall nichts weiter machen. Wir kümmern uns automatisiert um die Key Rollover. Sobald dein Identity Provider das Zertifikat in der Föderation veröffentlicht hat, aktualiseren wir dieses bei uns.
Service Provider (anny) Key Rollover
Als Service Provider führen wir voll automatisch den Key Rollover durch. 14 Tage bevor das Zertifikat abläuft, erstellen und veröffentlichen wir das neue Zertifikat. Du erhälst dann eine Benachrichtigung von uns.
Im Regelfall automatisiert dein Identity Provider diese Zertifikate voll automatisch. Passiert das nicht, muss du das neue Zertifikat in deinem Identity Provider hinterlegen.