張貼日期: May 13, 2020
AWS Single Sign-on (AWS SSO) 管理員現可在零身分驗證停機時間的情況下,輪換其用於外部身分供應商 (IdP) 的 X.509 憑證。
最佳實務是透過定期輪換憑證,並強制執行短期憑證到期日期,作為強制功能來阻止憑證洩露。輪換憑證時,管理員必須在其 IdP 和 AWS SSO 上更新憑證,在處理期間,這可能會導致身分驗證停機時間。為了避免輪換期間出現身分驗證失敗,AWS SSO 現在可讓管理員在 AWS SSO 中安裝取代憑證的同時,仍然保持憑證可供使用。管理員隨後可更新其 IdP,以啟用新憑證並移除舊憑證,而不會導致身分驗證停機時間。AWS SSO 讓管理員能夠擁有多個作用中憑證,使輪換操作得以順暢執行。
在支援 AWS SSO 的所有區域,均可透過 AWS SSO 管理主控台使用此功能,而無需支付額外費用。
如需有關如何在 AWS SSO 環境中最佳管理外部身分供應商憑證的詳細資訊,請參閱 AWS SSO - 外部 IdP 憑證管理文件。