SAML SSO 및 Spark Messaging Certificate 롤오버

Vault는 SAML SSO(Single Sign-On) 요청 및 Spark Messaging 연결 서명에 사용되는 인증서를 롤오버하도록 예약되어 있습니다.

어떤 조치가 필요한가요?

SAML SSO with Vault는 SAML 2.0 표준을 사용합니다. Vault는 이 표준의 일부로서 ID 공급업체(IdP)에 대한 인증 요청에 디지털 서명합니다. 이는 사용자가 Vault를 방문한 후 IdP로 리디렉션되는 Vault 시작 로그인 과정 중에 일어납니다.

Vault 시작 로그인에서 IdP는 서명 인증을 위해 Vault의 서비스 제공업체 인증서(SP 인증서)를 요구합니다. 이 때문에 이 단계가 작동하려면 Vault에서 SP 인증서를 변경할 때 IdP에 새 인증서를 제공해야 합니다.

새 인증서를 항상 직접 업로드해야 하는 것은 아닙니다. 일부 IdP는 SAML 프로필에 구성된 SP 메타데이터 URL을 기반으로 인증서를 동적으로 검색할 수 있습니다. 필요시 IdP 공급자에게 자세한 IdP 관련 지침을 문의하십시오. 아래 표에는 Vault에서 가장 많이 사용되는 일부 IdP에 대해 조치가 필요한지 여부가 설명되어 있습니다.

SAML SSO

Third-Party IdP 작업
Microsoft ADFS 필요한 조치: 새 SP 인증서를 ADFS에 업로드합니다. 롤오버 기간 동안 ADFS는 두 개의 인증서(기존 및 신규)를 동시에 지원할 수 있습니다.
Microsoft Azure AD ID 공급자 측에서는 어떤 조치도 필요하지 않습니다.
Okta ID 공급자 측에서는 어떤 조치도 필요하지 않습니다.
PingFederate 선택 사항: PingFederate 문서를 참고하십시오.

Spark Messaging

Vault는 서명 인증서로 모든 아웃바운드 Spark Messaging에 디지털 서명합니다. 외부 연결의 경우, 외부 애플리케이션이 이 서명을 확인해 수신된 메시지가 예상대로 Vault에서 발송한 보안 Spark Messaging인지 확인합니다.

Vault에서 인증서 롤오버 시, 메시지 서명 확인을 위한 외부 애플리케이션용 코드는 변경할 필요가 없습니다. 하지만 외부 애플리케이션이 이전 서명을 캐시했을 가능성이 있습니다. 고객은 Spark 메시지를 수신하는 외부 애플리케이션이 이전 서명을 캐시하지 않았음을 확인해야 합니다. 개발자 포털에서 메시지 서명을 확인하는 데 필요한 코드에 대해 자세히 학습하십시오.

다음 표는 Spark Messaging을 활용하는 다양한 유형의 연결 레코드에 대해 조치가 필요한지 여부를 보여줍니다.

Connection 작업
외부 Spark Messaging를 수신하는 외부 애플리케이션이 이전 서명을 캐시하지 않았음을 확인합니다.
Vault to Vault 조치 불필요.
Local 조치 불필요.

언제 조치를 취해야 하나요?

Veeva Trust에서도 다음 날짜를 확인할 수 있습니다.

날짜 및 시간 이벤트 작업
2023년 2월 3일 오후 7:00(태평양 표준시)(2023년 2월 4일 03:00:00 UTC) 새 인증서 게시
새 인증서를 다운로드할 수 있습니다. 새 인증서를 다운로드하여 테스트를 시작할 수 있습니다.		 새 인증서를 사용하도록 Vault와 IdP를 구성하여 새 인증서를 테스트합니다.
또한 모든 SAML 프로필에서 SP 시작 요청에 SP 인증서 포함 옵션을 선택하는 것을 권장합니다.
2023년 2월 3일 오후 7:00(태평양 표준시)(2023년 2월 4일 03:00:00 UTC)부터
2023년 3월 3일 오후 6:00(태평양 표준시)(2023년 3월 4일 02:00:00 UTC)까지

 새 인증서 테스트 기간
이 기간 동안 새 인증서를 테스트할 수 있습니다. 이전 인증서와 새 인증서 모두가 지원됩니다.		 새 인증서를 계속 테스트합니다. 준비가 되면 새 인증서를 사용하도록 운영환경 Vault를 구성합니다.
2023년 3월 3일 오후 6:00(태평양 표준시)(2023년 3월 4일 02:00:00 UTC) 롤백 옵션이 있는 새 인증서 롤오버
Vault는 모든 SAML 프로필 및 Spark 연결에서 새 서명 인증서를 사용하도록 모든 Vault를 자동으로 업그레이드합니다.		 이슈가 발생하면 인증서를 이전 인증서로 롤백할 수 있습니다.
2023년 3월 3일 오후 6:00(태평양 표준시)(2023년 3월 4일 02:00:00 UTC)부터
2023년 3월 24일 오후 6:00(태평양 표준시)(2023년 3월 25일 01:00:00 UTC)까지

 새 인증서 및 이전 인증서에 대한 지원
추가 테스트를 위한 시간을 제공하기 위해 이전 인증서와 새 인증서 모두가 지원됩니다.		 인증서를 롤백한 경우, SAML SSO 프로필 및 Spark Messaging 통합을 테스트하고 최대한 신속하게 새 인증서를 구성합니다.
2023년 3월 24일 오후 6:00(태평양 표준시)(2023년 3월 25일 01:00:00 UTC) 최종 인증서 롤오버
이전 서명 인증서는 더 이상 지원되지 않습니다. 이전 인증서로 롤백된 Vault의 경우, Vault는 새 서명 인증서를 사용하도록 모든 Vault를 자동으로 업그레이드합니다. 새 인증서가 아직 구성되지 않은 경우 차단 이슈가 발생할 수 있습니다.		 이슈가 발생하면 최대한 신속하게 새 인증서를 구성합니다.

왜 조치가 필요한가요?

새 인증서를 제때에 테스트하고 구성하지 않으면 Vault가 새 인증서로 자동 업그레이드될 때 차단 이슈가 발생할 수 있습니다.

SAML SSO

SAML 프로필에 대한 새 인증서를 구성하지 않으면 Vault 사용자가 로그인하지 못할 수 있습니다. 새 인증서를 사용하도록 구성되지 않은 SAML SSO 프로필을 가진 Vault 사용자는 로그인을 시도할 때 다음 메시지가 표시될 수 있습니다.

Vault 인증서가 IdP로 제대로 구성되지 않은 경우 SAML SSO 사용자에게 표시될 수 있는 오류 메시지입니다.

롤백 옵션이 있는 새 인증서 롤오버 기간 동안 이 이슈가 발생하는 경우, Vault 관리자는 사용자의 SAML SSO 프로필을 이전 인증서로 롤백해 사용자가 즉시 로그인할 수 있도록 허용할 수 있습니다. 그런 다음 관리자는 최종 인증서 롤오버 날짜 전에 새 인증서를 테스트하고 구성해야 합니다.

최종 인증서 롤오버 후에 이 이슈가 발생하면, 새 인증서가 구성될 때까지 사용자는 로그인할 수 없습니다. 관리자는 IdP로 새 인증서를 구성해야 합니다.

Spark Messaging

외부 Spark Messaging 통합이 새 인증서를 사용할 준비가 되지 않은 경우, Vault를 새 인증서로 업그레이드할 때 이 통합이 실패할 수 있습니다. 통합 실패는 비즈니스 프로세스에 큰 지장을 줄 수 있습니다.

롤백 옵션이 있는 새 인증서 롤오버 기간 동안 통합 오류가 발생하면, Vault 관리자는 이전 인증서로 연결을 롤백해 즉시 통합 차단을 해제할 수 있습니다. 그런 다음 관리자는 최종 인증서 롤오버 날짜 전에 새 인증서를 테스트하고 구성해야 합니다.

최종 인증서 롤오버 후에 이 이슈가 발생하면 새 인증서가 구성될 때까지 Spark Messaging 통합은 계속 실패합니다.

새 인증서에 맞춘 Vault 구성 업데이트 방법

새 인증서를 사용하기 위해 Vault 관리자는 Vault의 영향을 받는 SAML SSO 프로필 또는 연결 레코드를 구성해야 합니다.

SAML SSO

새 인증서로 SAML SSO 프로필을 구성하려면 다음을 수행합니다.

  1. Vault 관리자에서 설정 > SAML 프로필로 이동하여 프로필을 선택합니다.
  2. 편집 버튼을 클릭합니다.
  3. SP 인증서 섹션에서 새 인증서 옆의 확인란을 선택합니다. 이 인증서를 IdP에 제공해야 하는 경우, 인증서 옆에 있는 다운로드 아이콘을 클릭합니다.
  4. IdP가 허용하는 경우, SP 시작 요청에 SP 인증서 포함 확인란 선택을 강력히 권장합니다.
  5. 저장를 클릭해 선택한 인증서를 활성화합니다.

새 인증서가 선택된 Vault UI의 SAML 프로필.

Spark Messaging

새 인증서로 연결 레코드를 구성하려면 다음을 수행합니다.

  1. Vault 관리자에서 관리자 > 연결로 이동해 연결 레코드를 선택합니다.
  2. 작업 메뉴에서 서명 인증서 관리를 선택합니다.
  3. 서명 인증서 관리 대화 상자에서 새 인증서 옆의 확인란을 선택합니다. 새 인증서를 다운로드해야 하는 경우 다운로드 아이콘을 클릭합니다.
  4. 저장을 클릭해 Spark Messaging에 대한 새 인증서를 활성화합니다.

새 인증서가 선택된 Vault UI의 연결 레코드.

IdP로 새 인증서를 구성하는 방법

초기 롤오버 이벤트 전에 해당 공급자의 시스템에서 새 인증서를 구성해야 합니다. Vault 서명 인증서를 다운로드해 IdP에 제공합니다.

서버에서 인증서를 업데이트하는 절차에 대한 자세한 내용은 IdP 관리자에게 문의하십시오. 일부 SAML SSO IdP는 새 SP 인증서로 자동 업데이트할 수 있지만 일부는 업데이트할 수 없습니다. 다른 질문이 있는 경우 Veeva 지원팀에 문의하십시오.

이전 인증서로 롤백하는 방법

인증서 롤오버 중에 이슈가 발생하면, Vault 관리자는 IdP 관리자 없이도 Vault UI 내에서 이전 인증서로 신속하게 롤백할 수 있습니다. 최대한 신속하게 IdP 프로필을 구성하는 것을 권장하지만, 사용자나 Spark Messaging 통합 차단 해제가 더 급할 수도 있습니다.

SAML SSO

SAML SSO 프로필에 대해 이전 인증서로 롤백하려면 다음을 수행합니다.

  1. Vault 관리자에서 설정 > SAML 프로필로 이동하여 프로필을 선택합니다.
  2. 편집 버튼을 클릭합니다.
  3. SP 인증서 섹션에서 이전 인증서 옆의 확인란을 선택합니다.
  4. IdP가 허용하는 경우, SP 시작 요청에 SP 인증서 포함 확인란 선택을 강력히 권장합니다.
  5. 저장를 클릭해 선택한 인증서를 활성화합니다.

이전 인증서가 선택된 Vault UI의 SAML 프로필.

인증서를 롤백한 경우 최종 인증서 롤오버 전에 새 인증서를 구성해야 합니다.

Spark Messaging

연결 레코드를 이전 인증서로 롤백하려면 다음을 수행합니다.

  1. Vault 관리자에서 관리자 > 연결로 이동해 연결 레코드를 선택합니다.
  2. 작업 메뉴에서 서명 인증서 관리를 선택합니다.
  3. 서명 인증서 관리 대화 상자에서 이전 인증서 옆의 확인란을 선택합니다.
  4. 저장을 클릭해 Spark Messaging에 대한 이전 인증서를 활성화합니다.

이전 인증서가 선택된 Vault UI의 연결 레코드.

인증서를 롤백한 경우 최종 인증서 롤오버 전에 새 인증서를 구성해야 합니다.

이것이 Veeva Snap이나 다른 모바일 애플리케이션에 영향을 미치나요?

아니요. Veeva Snap은 SAML이 아닌 OAuth / OpenID Connect를 활용합니다. 인증서 롤오버는 Veeva Snap, Vaut Mobile 또는 기타 모바일 애플리케이션에 영향을 미치지 않습니다.

사전 릴리즈 Vault에서 테스트할 수 있나요?

예. 새 인증서 테스트 기간은 사전 릴리즈, 일반 릴리즈 및 Limited 릴리즈 Vault를 포함한 모든 Vault에 적용됩니다.