Inserito il: May 13, 2020
Gli amministratori AWS Single Sign-on (AWS SSO) ora possono effettuare la rotazione dei certificati X.509 che utilizzano per i provider di identità esterni (IdP) senza tempi di inattività dell'autenticazione.
Per contrastare la compromissione dei certificati, una best practice è quella di effettuare la rotazione periodica dei certificati. A tal fine, è consigliato applicare date di scadenza dei certificati a breve termine. Durante la rotazione dei certificati, gli amministratori devono aggiornare i certificati sui propri IdP e AWS SSO, e durante il processo è possibile che si verifichino tempi di inattività dell'autenticazione. Per evitare errori di autenticazione durante la rotazione, ora AWS SSO consente agli amministratori di installare un certificato sostitutivo in AWS SSO mentre il certificato esistente rimane disponibile per l'uso. Gli amministratori possono quindi aggiornare il proprio IdP per abilitare il nuovo certificato e rimuovere il vecchio certificato, senza causare tempi di inattività dell'autenticazione. AWS SSO consente agli amministratori di disporre di più certificati attivi per facilitare tale modalità di rotazione ottimizzata.
Questa funzionalità è disponibile nella console di gestione AWS SSO senza costi aggiuntivi in tutte le regioni supportate da AWS SSO.
Per ulteriori informazioni su come gestire al meglio i certificati dei provider di identità esterni nel proprio ambiente AWS SSO, consulta la documentazione AWS SSO - Gestione del certificato dell’IdP esterno.