Vault 使用证书保证服务器和 Web 浏览器 (HTTPS) 之间的安全数据传输,并使用单独的证书支持 SAML SSO 和 Spark Messaging。
HTTPS Web 服务器证书定期滚动更新,几乎没有影响。在有些情况下,用户可能需要清除本地浏览器缓存,但是通常不要求这样。用于 SAML 和 Spark Messaging 的证书每年滚动更新一次,可能需要管理员或开发人员检查现有配置文件或进行集成,以确保它们能够使用新证书正常工作。
关于 SAML SSO 和 Spark Messaging 证书
所有 Vault 都使用同一个签名证书,此证书每年滚动更新一次。在发布新证书之前,Veeva 会发出一个维护通知,其中会详细说明即将推出的滚动更新,包括日期。在发布新证书之后,Vault 会自动更新所有 SAML 配置文件和 Spark Messaging 连接,以使新证书可供使用。
在滚动更新期间,上一个证书仍然可用,您可以根据需要在新证书与以前的证书之间切换,例如当打破了集成或者您需要在切换到新证书之前执行测试时。一旦滚动更新期结束,新的证书将成为唯一处于活动状态的证书。下载 Vault 签名证书
SAML SSO 和 Spark Messaging 证书滚动更新分为五个阶段:
- 新证书发布新证书可供下载。您可以开始使用新证书执行测试。下载 Vault 签名证书。
- 新证书测试期。在此期间,可以测试新的签名证书。
- 使用回滚选项对新证书进行滚动更新。新的签名证书将在所有 SAML 配置文件和 Spark 连接上生效。
- 为新证书和旧证书提供支持。上一个证书仍受支持,并可以在需要执行其他测试时回滚。
- 最终证书滚动更新。如果回滚到上一个证书,新的签名证书会再次生效。上一个签名证书将不再可用。
在滚动更新期间,您可以切换证书、查看初始滚动更新日期和最终滚动更新日期,以及同时从连接或 SAML 配置文件中下载证书。
有关证书滚动更新期间的操作的更多详细信息,请参阅 SAML SSO(单点登录)和 Spark 消息通信证书汇总。
常见的 SAML SSO 和 Spark Messaging 滚动更新问题
- 有些 SAML SSO 身份提供方能够自动更新到新的服务提供商证书,但有些不会自动更新。可能需要在您的提供方的系统上配置新证书,首次滚动更新事件才会发生。请联系您的身份提供方管理员,以了解有关他们的服务器上的证书更新过程的详细信息。如果您遇到其他问题,可以随时联系 Veeva 支持人员。
- 在发布新证书之后,Vault SAML 服务提供商元数据会同时包含旧证书和新证书。有些 IdP 会从 Vault SAML 配置文件下载服务提供商元数据,安装旧证书和新证书,以便自动为自己的服务提供商配置更新证书。这样可能导致 ADFS 等 IdP 拒绝 Vault 发布的服务提供商发起的 SAML 调用,因为 IdP 不知道要使用哪个证书来验证签名。请参阅关于服务提供商证书。
- 有些 Spark Messaging 集成可能缓存证书,因此当发生首次证书滚动更新时,可能不会立即选用新证书。请确保将缓存的证书设置为频繁刷新。