Dit artikel geeft enkele aanbevelingen over hoe Rainbow metadata in te zetten voor bedrijven die de SSO SAML-authenticatiemethode geactiveerd hebben,
Rainbow metadata worden gebruikt om de Identity Provider (IDP) automatisch te configureren met Rainbow SAML URL's en certificaten.
Zelfs als dit zelden gebeurt, kan het nodig zijn om deze metadata in de IDP opnieuw te laden in geval van wijziging van het SAML-certificaat.
In zo'n scenario moeten bedrijven die de standaard niet veranderd hebben en geen handtekening of encryptie implementeren, de gegevens bijwerken, hoewel dit met vertraging doen geen onderbreking van de dienstverlening tot gevolg zal hebben.
Deze certificaatupdate zou alleen verplicht zijn voor bedrijven die de standaardconfiguratie hebben gewijzigd en SAML-verzoekhandtekeningen en/of encryptie van SAML-bevestigingen hebben ingeschakeld. Voor die bedrijven MOET de IdP beheerder de informatie van het Rainbow certificaat bijwerken om dienstonderbreking te voorkomen.
Procedure:
SAML metadata kunnen gedownload worden in het Rainbow admin menu Settings>Security:
Wij raden aan om, als het mogelijk is, een regelmatige poll van de Rainbow metagegevens te activeren met de URL die in de entityID sectie van de SAML metagegevens staat. Dit voorkomt handmatige actie in geval van verandering.
https://openrainbow.com/api/rainbow/authentication/v1.0/saml/xxxx/metadata.xml
Voor IDP-servers die geen pollingmethode op basis van een URL voorstellen, moeten de metagegevens handmatig worden geüpload. ALE zou een melding publiceren als dit nodig was.
Voor Azure AD moet dit handmatig gebeuren:
Voor ADFS, in Relying Party Trust, tabblad "handtekening":
Het oude certificaat moet worden verwijderd en vervangen door het nieuwe certificaat uit het bestand met metadata.
Opmerking: Voor het huidige zelfondertekende certificaat is het nodig om het toe te voegen aan de trusted root authorities trust store.
Optionele stap:
Versleuteling van SAML assertion is niet nodig omdat uitwisselingen al versleuteld zijn in HTTPS.
Als versleuteling echter was ingeschakeld op de IDP, is het nodig om het oude certificaat te verwijderen en het nieuwe toe te voegen op het tabblad "Encryption" (Versleuteling):
Rationeel over het gebruik van een zelfondertekend certificaat:
Om de operationele complexiteit voor het beheren van de vernieuwing van SAML-certificaten te verminderen, en om te voldoen aan de meest uiteenlopende SAML-servers en aan de laatste stand van de techniek, gebruikt Rainbow nu een zelfondertekend certificaat met een lange geldigheidsduur. Dit is een manier om een oplossing op lange termijn mogelijk te maken zonder de veiligheid in gevaar te brengen, aangezien ALE een goede afhandeling van dit certificaatbeheer garandeert.
Waarom gebruiken we zelfondertekende certificaten voor de SAML-functie in Rainbow?
Door SAML 2.0 te gebruiken, heeft Rainbow een specifieke URL geïmplementeerd die de metadata van een bedrijf kan communiceren. Het bevat het certificaat dat gebruikt moet worden voor handtekeningvalidatie en als encryptie-ontvanger.
Het bedrijf dat de metadata gebruikt om hun IDP op hun specifieke manier te configureren, kan deze terughalen van Rainbow via een API oproep of met een Webclient. In beide gevallen wordt een HTTPS-kanaal met normale certificaatvalidatie gebruikt. Dit wordt een veilig communicatiekanaal genoemd.
Door deze manier te gebruiken kunnen de metagegevens die voor een bedrijf in Rainbow worden teruggehaald als vertrouwde metagegevens worden beschouwd. Omdat het vertrouwde metagegevens zijn, wordt de blob die het certificaat bevat als vertrouwd beschouwd.
Aangezien dat certificaat (van de vertrouwde metagegevens) per definitie vertrouwd is, biedt het gebruik van een CA-ondertekend certificaat geen significant voordeel ten opzichte van het gebruik van een zelfondertekend certificaat. Er is dus geen reden om een CA-ondertekend certificaat te gebruiken, en wel een reden om dat niet te doen. Het kan bijvoorbeeld in sommige gevallen aanbevolen worden om certificaten met een geldigheid van minstens 10 jaar te gebruiken om te voorkomen dat uw omgeving vaak vernieuwd wordt, wat zou kunnen leiden tot handmatige of beveiligingsfouten.