我们将Azure AD用于SAML身份验证过程。使用Microsoft在此发布的联合元数据将Azure设置为信任提供程序:https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml,我们在系统中配置X509Certificate值以验证信任,以便对登录进行身份验证。我们观察到签名证书的更改,导致证书值的变化导致我们系统上的登录问题。
解决这个问题的任何线索?提前谢谢。
答案 0 :(得分:1)
你是对的。这是由Azure更改的。它被称为Signing key rollover。它确实会影响你的应用程序。
出于安全考虑,Azure AD的签名密钥会定期滚动 基础,在紧急情况下,可以延期 立即。任何与Azure AD集成的应用程序都应该是 准备处理密钥翻转事件,无论它多么频繁 可能导致。如果没有,并且您的应用程序尝试使用 过期密钥,用于验证令牌上的签名,登录请求 会失败。
如何解决此问题:
我明白你的意思和原因。但目前, Azure没有此签名密钥翻转的通知。我也遇到过这个问题。 Acutlly,最好的解决方法是让我的应用程序通过代码自动处理密钥翻转。这是一些examples。
否则,如果您的应用程序不支持自动翻转,则需要编写脚本来监视chagnes。This GitHub repository包含有关如何执行此操作的脚本和说明。
我已将此问题报告给Azure PG团队。
希望这有帮助!