Expiration du certificat SSO x509
Quand dois-je agir ?
Une action urgente est requise si votre organisation a explicitement activé la vérification de signature (également appelée vérification d’empreinte digitale) pour les demandes d’authentification SAML à l’aide du certificat Contentful current x509. Si votre organisation n’a pas activé la vérification de signature pour les demandes d’authentification SAML, il n’y aura aucun impact sur votre service lorsque le nouveau certificat sera activé.
Qu’est-ce que le certificat x509 de Contentful pour les demandes d’authentification SAML valables après le 1er novembre 2021 et jusqu’en septembre 2026 ?
Contentful’s x509 certificate for SAML authentication requests valid after 1st November 2021
Vous pouvez également la trouver via https://be.contentful.com/sso/ {YOUR-ORGANIZATION-ID}/metadata, où YOUR ORGANIZATION ID est l’identifiant de votre organisation dans Contentful.
Pour trouver l’identifiant de votre organisation, accédez à la page Paramètres de l’organisation et consultez l’URL du navigateur.
Qu’est-ce que le certificat x509 de Contentful pour les demandes d’authentification SAML valable jusqu’au 1er novembre 2021 ?
Clé publique :
Contentful certificate valid until November 1st
SHA1 Fingerprint=1E:F9:24:A1:4C:C5:8F:AF:8A:15:4E:75:BC:82:9B:88:5E:A5:D4:55
Mon SSO sera-t-il affecté par cette modification ?
Seuls les utilisateurs SSO qui ont activé la vérification de signature (c’est-à-dire la vérification d’empreintes digitales) pour les demandes d’authentification SAML à l’aide du certificat x509 actuel de Contentful seront affectés par ce changement.
Les fournisseurs d’authentification unique Contentful qui autorisent la vérification de signature, et qui pourraient donc être affectés, sont les suivants :
Microsoft Azure.
miniOrange.
Ping.
Si vous utilisez l’un des fournisseurs énumérés ci-dessus et que vous n’avez PAS activé la vérification de la signature, aucune action n’est requise et les modifications n’affecteront pas votre service SSO pour Contentful.
Les fournisseurs qui n’autorisent pas la vérification de la signature, et qui ne seront donc PAS affectés, sont les suivants :
Okta.
OneLogin.
Que se passe-t-il si nous ne sommes pas en mesure d’apporter ces modifications avant le 1er novembre ?
Vous pouvez désactiver la vérification des demandes d’authentification SAML dans le tableau de bord d’administration de votre fournisseur d’identité. Cependant, nous ne recommandons cette démarche.
Les utilisateurs seront-ils déconnectés à la suite de cette modification ?
Non, cela n’affectera pas les utilisateurs qui sont déjà connectés à Contentful via SSO.
La seule perturbation peut se produire si vous mettez le certificat x509 de Contentful dans votre système de fournisseur d’identité, que vous avez activé la vérification de signature et que vous ne mettez pas à jour le certificat vers le nouveau le/avant le 1er novembre : vos utilisateurs ne pourront pas s’authentifier et recevront une erreur d’authentification.
Comment puis-je vérifier que la modification de certificat a fonctionné ?
Une fois le nouveau certificat en place, allez sur la page de connexion SSO de Contentful (NB : allez bien sur la page Contentful, et non sur celle de votre fournisseur d’identité) — dans une fenêtre de navigation privée — et connectez-vous pour tester si le nouveau certificat est bien accepté pour authentifier votre connexion.