Azure AD SAML 身份验证签名证书更改
Azure AD SAML authentication signing certificate change
我们使用 Azure AD 进行 SAML 身份验证过程。 Azure 使用 Microsoft 在此处发布的联合元数据设置为信任提供者:https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml,我们在系统中配置 X509Certificate 值以验证信任,从而对登录进行身份验证。我们观察到签名证书的变化,证书值的变化反过来导致我们系统上的登录问题。
有解决这个问题的线索吗?提前致谢。
你 right.This 被 Azure 改变了。它被称为Signing key rollover。确实会影响你的申请。
For security purposes, Azure AD’s signing key rolls on a periodic
basis and, in the case of an emergency, could be rolled over
immediately. Any application that integrates with Azure AD should be
prepared to handle a key rollover event no matter how frequently it
may occur. If it doesn’t, and your application attempts to use an
expired key to verify the signature on a token, the sign-in request
will fail.
如何解决:
我明白你的意思和原因。但目前,Azure 没有关于此签名密钥轮转的通知。我也遇到了这个问题。实际上,最好的解决方法是让我的应用程序通过代码自动处理密钥翻转。这里有一些 examples。
否则,如果您的应用程序不支持自动翻转,则您需要编写脚本来监视变化。This GitHub repository包含有关如何执行此操作的脚本和说明。
我已将此问题报告给 Azure PG 团队。
希望对您有所帮助!
我们使用 Azure AD 进行 SAML 身份验证过程。 Azure 使用 Microsoft 在此处发布的联合元数据设置为信任提供者:https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml,我们在系统中配置 X509Certificate 值以验证信任,从而对登录进行身份验证。我们观察到签名证书的变化,证书值的变化反过来导致我们系统上的登录问题。
有解决这个问题的线索吗?提前致谢。
你 right.This 被 Azure 改变了。它被称为Signing key rollover。确实会影响你的申请。
For security purposes, Azure AD’s signing key rolls on a periodic basis and, in the case of an emergency, could be rolled over immediately. Any application that integrates with Azure AD should be prepared to handle a key rollover event no matter how frequently it may occur. If it doesn’t, and your application attempts to use an expired key to verify the signature on a token, the sign-in request will fail.
如何解决:
我明白你的意思和原因。但目前,Azure 没有关于此签名密钥轮转的通知。我也遇到了这个问题。实际上,最好的解决方法是让我的应用程序通过代码自动处理密钥翻转。这里有一些 examples。
否则,如果您的应用程序不支持自动翻转,则您需要编写脚本来监视变化。This GitHub repository包含有关如何执行此操作的脚本和说明。
我已将此问题报告给 Azure PG 团队。
希望对您有所帮助!