发布于: May 13, 2020
AWS Single Sign-on (AWS SSO) 管理员现在可以在零停机身份验证的情况下轮换其用于外部身份提供商 (IdP) 的 X.509 证书。
它可以定期轮换证书,并将强制执行短期证书到期日期作为一项必需执行的措施,因此,是一项阻止证书泄露的最佳实践。轮换证书时,管理员必须更新其 IdP 和 AWS SSO 上的证书,这可能会在过程中导致身份验证停机。为了避免在轮换过程中出现身份验证失败,AWS SSO 现在支持管理员在 AWS SSO 中安装替换证书,同时让现有证书保持可用。管理员随后可以更新其 IdP 以启用新的证书并删除旧证书,而不会造成身份验证停机。AWS SSO 支持管理员使用多个有效证书来加快这一正常轮换。
此功能已在所有支持 AWS SSO 的区域中的 AWS SSO 管理控制台中免费推出。
有关如何在 AWS SSO 环境中出色地管理外部身份提供商证书的更多信息,请参阅 AWS SSO - 外部 IdP 证书管理文档。