Vault 计划滚动更新用于签署 SAML 单点登录 (SSO) 请求和 Spark Messaging 连接的证书。
需要进行什么操作?
配置了 Vault 的 SAML SSO 使用 SAML 2.0 标准。作为该标准的一部分,Vault 对身份提供方 (IdP) 的身份验证请求进行数字签名。这发生在由 Vault 发起的登录期间,即当用户访问 Vault 并被重定向到 IdP 时。
在由 Vault 发起的登录中,您的 IdP 需要 Vault 的服务提供商证书(SP 证书)来验证我们的签名。这意味着当 Vault 更改 SP 证书时,您必须向您的 IdP 提供新证书,以使此步骤生效。
不一定需要手动上传新证书。部分 IdP 可以根据 SAML 配置文件中配置的 SP Metadata URL 动态发现证书。请联系您的 IdP 供应商以获得更详细的、特定于 IdP 的说明。下表描述了与 Vault 一起使用的一些最常用的 IdP 是否需要操作:
SAML SSO
| 第三方 IdP | 操作 |
|---|---|
| Microsoft ADFS | 需要进行的操作:上传新 SP 证书到 ADFS。在滚动更新期内,ADFS 可以同时支持两个证书(旧证书和新证书)。 |
| Microsoft Azure AD | 身份提供方无需任何操作。 |
| Okta | 身份提供方无需任何操作。 |
| PingFederate | 可选:参见 PingFederate 的文档 |
Spark Messaging
Vault 使用签名证书对所有出站 Spark 消息进行数字签名。对于外部连接,外部应用程序将验证该签名,以确保接收到的消息是来自 Vault 的预期安全 Spark 消息。
当 Vault 滚动更新证书时,用于验证消息签名的外部应用程序代码应不需要更改。但是,您的外部应用程序可能已经缓存了旧的签名。客户需要确保接收 Spark 消息的外部应用程序没有缓存旧签名。在开发人员门户中了解有关验证消息签名所需的代码的更多信息。
下表说明了使用 Spark Messaging 的不同类型的连接记录是否需要执行操作:
| 连接 | 操作 |
|---|---|
| 外部 | 确保接收 Spark 消息的外部应用程序没有缓存旧签名。 |
| Vault 至 Vault | 无需操作。 |
| 本地 | 无需操作。 |
我什么时候需要操作?
您也可以在 Veeva Trust 上找到以下日期:
| 日期和时间 | 事件 | 操作 |
|---|---|---|
| 太平洋时间 2023 年 2 月 3 日下午 7:00(协调通用时间 2023 年 2 月 4 日 03:00:00) | 新证书发布 新证书可供下载。您可以下载并开始使用新证书执行测试。 |
通过配置 Vault 和 IdP 来测试新证书,以使用新证书。 我们还建议在所有 SAML 配置文件中勾选在 SP 发起请求中包含 SP 证书选项。 |
| 从 太平洋时间 2023 年 2 月 3 日下午 7:00(协调通用时间 2023 年 2 月 4 日 03:00:00) 至 太平洋时间 2023 年 3 月 3 日下午 6:00(协调通用时间 2023 年 3 月 4 日 02:00:00) |
新证书测试期 您可以在此期间测试新证书。支持新证书和旧证书。 |
继续测试新证书。准备就绪后,配置生产 Vault,以使用新证书。 |
| 太平洋时间 2023 年 3 月 3 日下午 6:00(协调通用时间 2023 年 3 月 4 日 02:00:00) | 使用回滚选项对新证书进行滚动更新 Vault 自动升级所有 Vault,以在所有 SAML 配置文件和 Spark 连接上使用新的签名证书。 |
如果遇到问题,可以将证书回滚到旧证书。 |
| 从 太平洋时间 2023 年 3 月 3 日下午 6:00(协调通用时间 2023 年 3 月 4 日 02:00:00) 至 太平洋时间 2023 年 3 月 24 日下午 6:00(协调通用时间 2023 年 3 月 25 日 01:00:00) |
为新证书和旧证书提供支持 为了提供时间进行其他测试,同时支持旧证书和新证书。 |
如果回滚了证书,请测试 SAML SSO 配置文件和 Spark Messaging 集成,并尽快配置新证书。 |
| 太平洋时间 2023 年 3 月 24 日下午 6:00(协调通用时间 2023 年 3 月 25 日 01:00:00) | 最终证书滚动更新 不再支持旧的签名证书。对于回滚到旧证书的任何 Vault,Vault 将自动升级所有 Vault 以使用新的签名证书。如果您的新证书尚未配置,您可能会遇到阻止问题。 |
如果遇到问题,请尽快配置新证书。 |
为什么需要操作?
如果不及时测试和配置新证书,在 Vault 自动升级到新证书时,可能会遇到阻止问题。
SAML SSO
未能为 SAML 配置文件配置新证书可能会阻止 Vault 用户登录。具有 SAML SSO 配置文件但未配置为使用新证书的 Vault 用户在尝试登录时可能会看到这条消息:
如果在使用使用回滚选项对新证书进行滚动更新期间发生这种情况,Vault 管理员可以通过将用户的 SAML SSO 配置文件回滚到旧证书,立即允许用户登录。然后,管理员必须在最终证书滚动更新日期之前测试和配置新证书。
如果这种情况发生在最终证书滚动更新之后,在配置新证书之前,用户将无法登录。管理员必须使用他们的 IdP 配置新证书。
Spark Messaging
如果您的外部 Spark Messaging 集成没有准备好使用新证书,那么当 Vault 升级到新证书时,这些集成可能会开始失败。集成失败可能对业务流程造成极大的破坏。
如果在使用回滚选项对新证书进行滚动更新期间发生集成失败,Vault 管理员可以通过将连接回滚到旧证书,立即解除对集成的阻止。然后,管理员必须在最终证书滚动更新日期之前测试和配置新证书。
如果这种情况发生在最终证书滚动更新之后,在配置新证书之前,Spark Messaging 集成将继续失败。
如何为新证书更新 Vault 配置
Vault 管理员必须配置 Vault 的受影响 SAML SSO 配置文件或连接记录,以使用新证书。
SAML SSO
要使用新证书配置 SAML SSO 配置文件:
- 从 Vault 管理,导航到设置 > SAML 配置文件,然后选择一个配置文件。
- 单击编辑按钮。
- 在 SP 证书节段中,选中新证书旁边的复选框。如果您需要向您的 IdP 提供该证书,您可以单击证书旁边的下载图标。
- 如果您的 IdP 允许,我们强烈建议勾选在 SP 发起的请求中包含 SP 证书复选框。
- 单击保存,以激活选定证书。
Spark Messaging
要使用新证书配置您的连接记录:
- 从 Vault 管理,导航到管理 > 连接并选择一个连接记录。
- 从操作菜单中,选择管理签名证书。
- 从管理签名证书对话框中,选中新证书旁边的复选框。如果您需要下载新证书,单击下载图标。
- 单击保存以激活 Spark Messaging 的新证书。
如何使用 IdP 配置新证书
必须在您的提供方的系统上配置新证书,首次滚动更新事件才会发生。下载 Vault 签名证书并提供给 IdP。
请联系您的 IdP 管理员,以了解有关他们服务器上的证书更新过程的详细信息。有些 SAML SSO IdP 可以自动更新为新的 SP 证书,有些则不能。如果您遇到其他问题,请联系 Veeva Product Support。
如何回滚到旧证书
如果您在证书回滚期间遇到问题,Vault 管理员可以在 Vault UI 中快速回滚到旧证书,而无需涉及 IdP 管理员。虽然我们建议尽快配置您的 IdP 配置文件,但我们理解您可能需要尽快解除对用户或 Spark Messaging 集成的阻止。
SAML SSO
要回滚到 SAML SSO 配置文件的旧证书:
- 从 Vault 管理,导航到设置 > SAML 配置文件,然后选择一个配置文件。
- 单击编辑按钮。
- 在 SP 证书节段中,选中旧证书旁边的复选框。
- 如果您的 IdP 允许,我们强烈建议勾选在 SP 发起的请求中包含 SP 证书复选框。
- 单击保存,以激活选定证书。
如果回滚了证书,则必须在最终证书滚动更新之前配置新证书。
Spark Messaging
要将连接记录回滚到旧证书:
- 从 Vault 管理,导航到管理 > 连接并选择一个连接记录。
- 从操作菜单中,选择管理签名证书。
- 从管理签名证书对话框中,选中旧证书旁边的复选框。
- 单击保存以激活 Spark Messaging 的旧证书。
如果回滚了证书,则必须在最终证书滚动更新之前配置新证书。
这是否会影响 Veeva Snap 或其他移动应用程序?
否,Veeva Snap 使用 OAuth/OpenID Connect,而不是 SAML。该证书滚动更新不会影响 Veeva Snap、Vault 移动版或任何其他移动应用程序。
我可以在Pre-release Vault 中测试它吗?
是。新证书测试期适用于所有 Vault,包括Pre-release Vault、General Release Vault 和Limited Release Vault。