更新时间:2023-09-28 GMT+08:00

管理证书

IAM身份中心使用证书在IAM身份中心和外部身份提供商之间建立SAML信任关系。在切换身份源为外部身份提供商时,必须从外部身份提供商获得至少一个SAML 2.0证书。该证书通常包含在SAML元数据文件中,在切换身份源上传IdP SAML元数据时自动安装。

您可能需要定期导入证书,以便轮换身份提供商颁发的无效或过期证书,这有助于防止身份验证中断或停机。用新证书替换旧证书的过程称为证书轮换。所有导入的证书都将自动激活,当前最多支持同时存在两个证书。只有在确保相关身份提供商不再使用证书后,才可以删除证书。

你还应该考虑到某些身份提供商可能不支持多个证书。在这种情况下,使用证书轮换可能意味着您的用户会暂时中断服务,证书轮换成功重新建立与该身份提供商的信任关系后,服务将恢复。因此建议在非高峰时段执行此操作。

如果发现现有SAML证书出现泄露或处理不当的迹象时,应立即删除并轮换该证书。

证书轮换

  1. 从外部身份提供商处获取新证书。

    前往外部身份提供商网站下载SAML 2.0证书,确保是以PEM编码格式下载证书文件。大多数身份提供商都允许创建多个SAML 2.0证书,它们很可能会被标记为已禁用或未激活状态。

  2. 将新证书导入IAM身份中心。

    1. 登录华为云控制台
    2. 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
    3. 单击左侧导航栏的“设置”,进入“设置”页面。
    4. 在“身份源”页签中的“身份验证方法”列,单击“修改SAML2.0配置”。
    5. 进入“编辑SAML2.0配置”页面,单击“上传证书”。
    6. 在“导入SAML 2.0证书”对话框中,单击“添加文件”,选择从步骤1中获取的新证书,然后单击“导入证书”。
      图1 导入证书

    此时,IAM身份中心将信任通过您导入的两个证书签名的所有传入的SAML消息。

  3. 在外部身份提供商中激活新证书。

    返回外部身份提供商网站并将您之前创建的新证书标记为主证书或已激活证书。此时,所有由外部身份提供商签名的SAML消息都应使用新证书。

  4. 删除旧证书。

    在删除证书之前,请确保外部身份提供商不再使用此证书来签署SAML响应。

    证书列表中必须始终存在至少一个有效证书,并且不能将其删除。

    1. 进入“编辑SAML2.0配置”页面,在证书列表中选择需要删除的证书,单击“删除”。
    2. 在“删除SAML 2.0 证书”对话框中,输入“删除”,然后单击 “确定”。
      图2 删除证书
    3. 返回外部身份提供商网站,执行相关操作删除较旧的证书。