Zum Hauptinhalt gehen
Deutsch' English

Single Sign-On (SSO) – SAML-Zertifikat oder OIDC clientSecret läuft ab oder ist abgelaufen?

Andreas Föll
  • Aktualisiert

Sowohl das Security Assertion Markup Language (SAML)-Zertifikat als auch das OpenID Connect (OIDC) clientSecret für Ihren eingerichteten SSO hat eine zeitlich begrenzte Gültigkeit. Sobald diese überschritten ist und kein neues Zertifikat oder clientSecret eingespielt wurde, ist der SSO-Login nicht mehr möglich.
Typische Fehlermeldung beim SSO-Login:

SSO_IDP_error_DE.png

Bitte beachten Sie: Die Überwachung zeitlichen Gültigkeit liegt in Verantwortung Ihrer IT. Nutzen Sie daher ggf. je nach verwendetem Identity Provider (IDP) interne Überwachungsmöglichkeiten.

Vorgehen für den Wechsel: SAML-Zertifikat

  • Falls noch nicht geschehen, stellen Sie dem AEB Support die App Federation Metadata URL des SAML-Zertifikates zur verwendeten Business Application und die ID der Business Application zur Verfügung.
            
    SAML_Zertifikate.png
            
    Mit dieser richtet AEB einen Automatismus ein, der bei jedem SSO-Login das aktuell eingerichtete Zertifikat abruft.

App Federation Metadata URL kann zur Verfügung gestellt und vom AEB Support eingepflegt werden:

  1. Suchen Sie die App Federation Metadata URL für die Business Application heraus.
  2. Erstellen Sie ein neues SAML-Zertifikat für die Business Application.
  3. Erstellen Sie über folgenden Link ein Ticket beim AEB Support:
    Metadata URL für SAML-Zertifikat einrichten
    Folgende Informationen im Ticket eintragen:
    • Business Application ID
    • App Federation Metadata URL
    • Ablaufdatum des alten SAML-Zertifikats
  4. Sie erhalten Rückmeldung vom AEB Support, sobald die Verwendung, des aktuell in der Business Application eingerichteten SAML-Zertifikates, aktiv ist.
  5. Wechseln Sie für die Business Application auf das neue SAML-Zertifikat.
  6. Testen Sie abschließend die Funktionalität des SSO-Logins. Nutzen Sie dazu ein InPrivate- bzw. Incognito-Browserfenster, um Caching-Probleme auszuschließen.
  • Diese Schritte sind nur ein mal notwendig, danach wird für den SSO automatisch das aktuell hinterlegte SAML-Zertifikat gezogen.

App Federation Metadata URL kann nicht zur Verfügung gestellt werden:

  1. Erstellen Sie ein neues SAML-Zertifikat für die Business Application.
  2. Erstellen Sie über folgenden Link ein Ticket beim AEB Support:
    SAML-Zertifikat tauschen
    Folgende Informationen im Ticket eintragen:
    • Business Application ID
    • Ablaufdatum des alten SAML-Zertifikats
    • neues SAML-Zertifikat als .CER-Datei
  3. Außerdem wird im Ticket ein Zeitpunkt mit dem AEB Support vereinbart, zu dem das SAML-Zertifikat gewechselt wird. Dieser Tausch sollte möglichst zeitgleich stattfinden, da bei einem Unterschied zwischen dem Zertifikat in Ihrem Unternehmen und dem von AEB erwartetem Zertifikat der SSO-Login nicht möglich ist.
  4. Wechseln Sie zum vereinbarten Zeitpunkt für die Business Application auf das neue SAML-Zertifikat.
  5. Testen Sie abschließend die Funktionalität des SSO-Logins. Nutzen Sie dazu ein InPrivate- bzw. Incognito-Browserfenster, um Caching-Probleme auszuschließen.
  • Diese Schritte sind immer wieder notwendig, sobald das SAML-Zertifikat gewechselt wird. Daher empfiehlt der AEB Support, die App Federation Metadata URL für eine automatische Synchronisierung zur Verfügung zu stellen.

Vorgehen für den Wechsel: OIDC clientSecret

  1. Erstellen Sie ein neues clientSecret für die Business Application.
  2. Erstellen Sie über folgenden Link ein Ticket beim AEB Support:
    OpenID Connect Client Secret tauschen
    Folgende Informationen im Ticket eintragen:
    • Business Application ID
    • Ablaufdatum des alten clientSecret
    • Ablaufdatum des neuen clientSecret
  3. Geben Sie Ihren clientSecret niemals im Klartext an AEB weiter. Nutzen Sie für die Übertragung Ihres clientSecret ausschließlich sichere Übertragungswege. Dies kann beispielsweise durch den Wechsel auf ein anderes Medium erfolgen, über einen sicheren Link auf ein Passwort-Tool (hierfür stellt der AEB Support eine personalisierte E-Mail-Adresse zur Verfügung) oder durch einen Upload auf ein OneDrive von AEB.
  4. Außerdem wird im Ticket ein Zeitpunkt mit dem AEB Support vereinbart, zu dem das clientSecret gewechselt wird. Dieser Tausch sollte möglichst zeitgleich stattfinden, da bei einem Unterschied zwischen dem clientSecret in Ihrem Unternehmen und dem von AEB erwartetem clientSecret der SSO-Login nicht möglich ist.
  5. Wechseln Sie zum vereinbarten Zeitpunkt für die Business Application auf das neue clientSecret.
  6. Testen Sie abschließend die Funktionalität des SSO-Logins. Nutzen Sie dazu ein InPrivate- bzw. Incognito-Browserfenster, um Caching-Probleme auszuschließen.
  • Diese Schritte sind immer wieder notwendig, sobald das OIDC clientSecret gewechselt wird. Hier ist keine automatische Synchronisierung möglich.

Verwandte Beiträge

Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.