Ип свидетельство: Я хочу получить свидетельство о регистрации ИП повторно | ФНС России

Ип свидетельство: Я хочу получить свидетельство о регистрации ИП повторно | ФНС России

Содержание

Документы и тарифы обслуживания среднего и крупного бизнеса — «Альфа-Банк»

Многих индивидуальных предпринимателей интересует вопрос, какие документы нужны для открытия расчётного счёта ИП в банке.

Документы для открытия расчётного счёта ИП в Альфа-Банке:

  • устав юридического лица;

  • свидетельство о регистрации ЕГРЮЛ и ИНН;

  • выписка из ЕГРЮЛ;

  • карточка с образцом печати и подписей;

  • паспорт или другое удостоверение личности;

  • патент, лицензия, выписка ЕГРИП, свидетельство о регистрации;

  • нотариально заверенная карточка с образцами подписей и печати;

  • заявление на открытие счёта и анкета ИП.

Дополнительно банк может запросить и другие документы.

Стоит отметить, что сегодня для расчётно-кассового обслуживания своего бизнеса Альфа⁠-⁠Банк выбирает каждый 5-й предприниматель. И это вполне объяснимо: надёжная репутация банка подкреплена 28-летней историей успеха на отечественном рынке. Клиенты банка отмечают, что здесь можно оформить полный перечень услуг для юрлиц по выгодным тарифам.

Еще одно преимущество: бесплатное предоставление ряда услуг в мобильном и интернет-банке — таких, как открытие и ведение расчётного счёта и выпуск карты Alfa-Cash для работы с наличными, переводы бизнес-клиентам банка и платежи в бюджет, переводы на свой счёт в банке до 100 000 ₽ в месяц, подключение эквайринга и аренда терминалов.

Для удобства клиентов введен пролонгированный операционный день: 24/7 внутри банка. А ещё в банке можно получать доход на остаток денежных средств на счёте.

Как выглядит свидетельство ОГРНИП|Как выглядит ИНН предпринимателя

Всем привет! Спасибо что посещаете мой сайт! Сегодня у меня довольно своеобразная тема для статьи: «Как выглядят свидетельства ОГРНИП и ИНН предпринимателя?«

Почему я решил написать эту статью ? Все очень просто, многие новички довольно часто спрашивают данный вопрос.

Давайте подробнее рассмотрим данную тему:

Как выглядит свидетельство ОГРНИП

ОГРНИП — расшифровывается как общероссийский государственный регистрационный номер индивидуального предпринимателя.

Каждому предпринимателю присваивается свой уникальный код, который не изменяется все время пока предприниматель ведет свою деятельность.

Данный код указывается во всех договорах которые заключает предприниматель, так же этот код указывается на печати которую себе делает ИП.

Само свидетельство может изменяться в случае если ИП вносит в свою деятельность какие-нибудь изменения, НО ОГРНИП при этом всегда остается один

и тот же.

Вы можете посмотреть на примере моего свидетельства ОГРНИП в котором проводились изменения:



Как выглядит ИНН предпринимателя

ИНН — расшифровывается идентификационный налоговый номер

Тут нет ничего сложного. Предприниматель является физическим лицом и именно из-за этого его ИНН не меняется, а остается таким же как и был.

В случае если у ИП до этого не было ИНН, напомню что данный документ выдается когда Вы в первый раз устраиваетесь на работу, то при регистрации ИП вместе со свидетельством ОГРНИП и листом записи Вам выдадут и свидетельство ИНН.

ИНН так же присваивается человеку пожизненно и никогда не изменится. В случае утери или порчи документа Вы получите новый, но ИНН в нем будет тот же.

Вот посмотрите мой ИНН:


Как видите я выложил интересующие документы в статью и Вы можете, что говорится в живую посмотреть как они выглядят.

Процедура государственной регистрации индивидуального предпринимателя теперь стала еще проще, подготовьте документы на регистрацию ИП совершенно бесплатно не выходя из дома через проверенный мной онлайн сервис: «Регистрация ИП бесплатно за 15 минут».

На этом статью заканчиваю. По интересующим вопросам обращайтесь в мою группу ВК «Секреты бизнеса для новичка», консультации бесплатны.

Удачных начинаний! Пока!

Смена ИП после смены фамилии – нужно ли менять

Индивидуальный предприниматель должен заранее узнать, какие документы подлежат замене

Надо ли что-то менять в документах ИП

Через неделю Алина выходит замуж. Ей уже не терпится «примерить» фамилию мужа. Огорчает лишь мысль, что после свадьбы ждет беготня по разным инстанциям с ворохом бумаг. Девушка решила заранее узнать, какие документы ей нужно будет поменять.

Алина – индивидуальный предприниматель, у нее небольшой бизнес в сфере торговли. Смена фамилии ИП сопряжена с определенными хлопотами и финансовыми затратами.

После получения нового паспорта нужно будет внести изменения в документы, связанные с предпринимательской деятельностью, и известить своих партнеров. А также заказать новую печать и перерегистрировать кассовый аппарат.

Как поменять документы: процедуры и сроки

Процедуру замены документов можно условно разделить на восемь этапов. Пять из них обязательны для всех ИП, а три затрагивают только некоторых. Чтобы избежать проблем, каждый из этапов нужно проходить в установленные сроки.

  • Замена паспорта

В течение 30 дней гражданин должен подать документы на замену паспорта. Сделать это можно в территориальном отделении МВД, в многофункциональном центре (МФЦ) или через портал госуслуг.

Перечень необходимых документов:

  • заявление по форме № 1П;
  • документ, подтверждающий смену фамилии;
  • две фотографии 35х45 мм;
  • квитанция об оплате госпошлины;
  • документы для внесения дополнительных отметок (свидетельства о рождении детей до 14 лет, военный билет).

Срок изготовления нового паспорта – 10 дней при обращении в орган МВД по месту прописки, 30 дней во всех остальных случаях.

Заменить паспорт нужно в течение 30 дней
  • Замена свидетельства ИНН

Идентификационный номер налогоплательщика закрепляется за человеком на всю жизнь, замене подлежит только свидетельство. Чтобы получить обновленный бланк, подайте заявление по форме № 2-2-Учет в Федеральную налоговую службу (ФНС).

Это можно сделать тремя способами:

  1. явиться в отделение лично,
  2. направить заявку в электронном виде через сайт ФНС,
  3. отправить заявление заказным письмом, приложив нотариально заверенную копию паспорта.
  • Извещение Пенсионного фонда (ПФР)

Страховой номер индивидуального лицевого счета (СНИЛС), как и ИНН, остается прежним. Но нужно известить Пенсионный фонд об изменении данных в течение 30 дней. Заявление можно подать в отделении ПФР.

Важно: Пенсионный фонд больше не выдает зеленые пластиковые свидетельства с номером СНИЛС. На смену им пришли бумажные и электронные уведомления. Бумажное можно получить в отделении ПФР или в МФЦ, электронное – на сайте ПФР.

  • Получение выписки из Единого государственного реестра индивидуальных предпринимателей (ЕГРИП)

МВД передает сведения в ФНС по каналам межведомственного взаимодействия. Предприниматель должен проконтролировать этот процесс. Через две недели после замены паспорта рекомендуется запросить выписку из ЕГРИП на сайте ФНС.

Если данные не обновились, заполните заявление по форме № Р24001 и передайте его в ФНС лично или по почте.

  • Извещение банка и контрагентов

После замены паспорта предприниматель должен известить банк, осуществляющий расчетно-кассовое обслуживание (РКО), и контрагентов. Иначе могут возникнуть проблемы с банковскими переводами. Номер расчетного счета остается прежним, меняется только наименование ИП.

Для уточнения порядка процедуры, сроков и необходимых документов обратитесь к менеджеру банка. Контрагентам можно направить уведомление в свободной форме с указанием новых реквизитов.

В Совкомбанке действуют специальные условия по РКО для малого и среднего бизнеса. Клиенты других банков могут воспользоваться программой trade-in и получить до двух лет бесплатного расчетно-кассового обслуживания.

  • Перерегистрация кассового аппарата

Контрольно-кассовую технику (ККТ) при смене наименования ИП необходимо перерегистрировать. В налоговый орган нужно предоставить заявление, карточку регистрации и паспорт ККТ, документ, подтверждающий смену данных, а также сам аппарат.

Сделать это необходимо не позднее одного рабочего дня после смены фамилии.

Кассовый аппарат нужно перерегистрировать
  • Перевыпуск электронной цифровой подписи (ЭЦП) и изготовление новой печати

Если в работе вы используете ЭЦП и печать, в них нужно внести изменения. После смены фамилии ЭЦП становится недействительной и подлежит перевыпуску. Обратитесь в удостоверяющий центр для получения разъяснений. Печать тоже подлежит замене, так как на ней указывается наименование ИП.

  • Извещение кредиторов

ИП, оформившим кредит на ведение бизнеса, необходимо сообщить новые данные финансовой организации. Порядок и сроки устанавливает банк.

Процедура Куда обращаться Сроки
Замена паспорта МВД, портал госуслуг Не позднее 30 дней после изменения фамилии
Замена свидетельства ИНН ФНС

После замены паспорта

Извещение Пенсионного фонда ПФР Не позднее 30 дней после изменения фамилии
Получение выписки из ЕГРИП ФНС Через 2-3 недели после замены паспорта
Извещение банка и контрагентов Банк, в котором открыт расчетный счет, и контрагенты После получения выписки из ЕГРИП
Перерегистрация кассового аппарата ФНС Не позднее одного рабочего дня после смены фамилии
Перевыпуск ЭЦП Удостоверяющий центр, выдавший ЭЦП До совершения операций, требующих использования ЭЦП
Извещение кредиторов

Банк, выдавший кредит

После замены паспорта

Что будет, если предприниматель не поменяет документы

Документы, оформленные на старую фамилию, теряют юридическую силу. Если вовремя не поменять их, возникнут проблемы. Например, суд может признать недействительными договоры, подписанные старой электронной подписью. Поэтому отнеситесь ко всем требованиям ответственно.

Алина внимательно изучила этапы, которые ей предстоит пройти. Она решила подготовиться к ним заранее: собрать документы и разложить их по папкам, оплатить госпошлины, узнать адреса учреждений.

Теперь мысль о предстоящих бюрократических процедурах не вызывает у девушки панику, и она может сосредоточиться на подготовке к свадьбе.

Пенсия для Индивидуального предпринимателя

Главное для подтверждения стажа ИП для пенсии — это уплата взносов ПФР. Платежи являются условием обеспечения права индивидуальных предпринимателей на получение пенсии. То есть взносы ИП для пенсии — эту пенсию и формируют.

Кто такой Индивидуальный предприниматель (ИП)?

Правовой статус индивидуальных предпринимателей определён Федеральным Законом от 11 июля 2007 года «О развитии малого и среднего предпринимательства в Российской Федерации». Этим законом (пункт 1, статья 4) определено, что к субъектам малого и среднего предпринимательства относятся физические лица, внесенные в единый государственный реестр индивидуальных предпринимателей и осуществляющие предпринимательскую деятельность без образования юридического лица.

Страховой стаж для ИП?

В страховой стаж включаются периоды работы и (или) иной деятельности, которые выполнялись на территории Российской Федерации, при условии, что за эти периоды уплачивались страховые взносы в Пенсионный фонд Российской Федерации. На основании внесенных страховых взносов, происходит начисление пенсии индивидуальному предпринимателю.

 Периоды работы ИП подтверждаются справками об уплате страховых взносов в ПФР, выданными территориальными органами ПФР и документами об осуществлении предпринимательской деятельности.

После регистрации гражданина в качестве застрахованного лица в системе обязательного пенсионного страхования указанные периоды работы и (или) иной деятельности подтверждаются сведениями индивидуального (персонифицированного) учета.

При неуплате ИП  страховых взносов в бюджет ПФР периоды осуществления предпринимательской деятельности  в страховой стаж не засчитываются.

В случае прекращения деятельности страхователя в установленном порядке до 31 декабря текущего года в страховой стаж подлежит включению фактический период деятельности не позднее даты ее прекращения.

Как подтвердить страховой стаж Индивидуально предпринимателю?

При назначении пенсии для ИП в страховой стаж (для определения права) и в общий трудовой стаж (до 01.01.2002 г. для исчисления размера пенсии) включаются периоды, за которые уплачивались страховые взносы в ПФР.

В зависимости от применяемой ИП системы налогообложения, зависит и перечень документов, необходимых для подсчета и подтверждения стажа ИП.

В случае невозможности подтверждения страхового стажа в качестве ИП можно рассчитывать только на «социальную» пенсию. Также напомним, если физическое лицо не снято с учета как ИП, то взносы в ПФР должны платить, независимо от того получаете ли в данный момент доход или нет.

Какие документы нужны ИП для оформления пенсии?

По закону РФ ИП выходят на пенсию также, как и все. Женщины в 60 лет, мужчины в 65 лет. За назначением пенсии гражданам, в том числе и ИП необходимо обращаться самостоятельно. Подать заявление в территориальный орган ПФР возможно по месту жительства, месту пребывания, месту фактического проживания, через МФЦ либо через личный кабинет гражданина  на сайте ПФР.

Для начисления пенсии в 2019 году необходимо иметь страхового стажа не менее 10 лет. Если же этот срок будет менее 10 лет, то права на получение страховой пенсии по старости у такого гражданина не возникает.

Если же по каким-то причинам, взносы не уплачивались своевременно, то этот период осуществления работы в качестве индивидуального предпринимательской деятельности не будет зачтён в страховой стаж, и соответственно не следует рассчитывать, что и размер предполагаемой пенсии будет выше.

Основными документами, подтверждающими периоды осуществления предпринимательской деятельности (страховой стаж) являются:

  • свидетельство о регистрации в качестве ИП и начале предпринимательской деятельности с определённого числа;
  • выписка из ЕГРН (для определения вида деятельности)
  • свидетельство об окончании деятельности индивидуального предпринимателя.

У предпринимателя страховой стаж рассчитывается так же, как и у обычного гражданина, работающего на предприятии. При подсчёте входят все года и месяцы, за которые были уплачены страховые взносы в ПФР.

«Северный» стаж для Индивидуального предпринимателя

Аналогичный порядок применяется при исчислении стажа, дающего право на досрочное назначение страховой пенсии по старости в связи с работой на Крайнем Севере.

При этом отмечаем, что факт непосредственного осуществления предпринимательской деятельности  в  районах Крайнего Севера и приравненных к ним местностях  должен быть подтвержден документально.

Если лицо, зарегистрированное в качестве индивидуального предпринимателя, в соответствующий период непосредственно не  осуществляло свою деятельность в районах Крайнего Севера или приравненных к ним местностях, этот период не может быть включен в «северный» стаж, независимо от уплаты страховых взносов, в том числе в виде фиксированного платежа, в Пенсионный фонд Российской Федерации.

 

Поделиться новостью

Шаг 1. Зарегистрируйтесь и активируйте аккаунт

Зарегистрируйтесь

  1. Перейдите на страницу входа и нажмите Зарегистрироваться.

  2. Выберите страну, из которой вы будете продавать товары.

  3. Укажите имя, фамилию, адрес электронной почты и придумайте пароль для входа в личный кабинет. Нажмите Далее.

  4. Дождитесь письма со ссылкой для подтверждения и перейдите по этой ссылке.

  5. Введите ваш адрес электронной почты и пароль и нажмите Войти.

Наша система не обслуживает адреса электронной почты, в которых содержатся русские буквы или слова.

Пожалуйста, не используйте такие электронные адреса для регистрации в системе Ozon.

  1. Заполните оставшиеся поля и выберите, что вы хотите продавать на Ozon. Нажмите Готово. Если вы хотите продавать и товары, и услуги, создайте отдельные личные кабинеты: один — для товаров, другой — для услуг. Используйте разные адреса электронной почты. Данные компании могут совпадать.

Активируйте аккаунт

В настройках личного кабинета заполните поля в разделах, помеченных значком предупреждения. Если отчество отсутствует, поставьте прочерк.

В разделе Информация о компании заполните поля:

  • Форма собственности. Выберите из выпадающего списка.
  • Фамилия генерального директора / индивидуального предпринимателя.
  • Имя генерального директора / индивидуального предпринимателя.
  • Юридическое название компании. Будет указано в Договоре с Ozon.
  • Название компании. Будет показано на карточках ваших товаров на сайте Ozon. Согласно ГК РФ, это название не может совпадать с зарегистрированным товарным знаком, если у вас нет разрешения на его использование. Также это название не может содержать рекламу или контактные данные, например, сайт или телефон.
  • Контактный телефон.
  • Юридический адрес.
  • Почтовый адрес, если он отличается от юридического. Для этого выберите Почтовый адрес отличается от юридического и заполните поля.

Для продавцов с формой ИП адрес на странице компании не отображается.

В разделе Документы компании загрузите документы.

Требования к файлам:

  • формат: PDF, JPEG или PNG,
  • размер: до 32 МБ.

Чтобы изменить систему налогообложения, напишите в службу поддержки.

В разделе Платежные реквизиты заполните все поля.

Нажмите Отправить на проверку. Через один рабочий день вам на почту придет письмо об активации аккаунта.

Возможные проблемы и решения

Не пришло письмо с подтверждением активации

Проверьте папку со спамом — письмо могло попасть туда. Если в ней не оказалось письма, напишите нам: перейдите в Службу поддержки или нажмите значок сообщения в личном кабинете внизу экрана и выберите пункт Создать заявку. Выберите тему Настройки личного кабинета → Регистрация и активация.

Пришло письмо с отказом

Если вы указали некорректные данные в личном кабинете, вам могут отказать в размещении. Напишите нам о том, какие данные надо заменить, и приложите необходимые документы. Если заблокировали ваш аккаунт и вы не знаете, в чем именно ошибка, напишите на [email protected]

Восстановление доступа к личному кабинету

Если не получается войти в личный кабинет, например, вы забыли пароль и потеряли доступ к своей электронной почте, вы можете восстановить к нему доступ:

  1. Напишите в службу поддержки на [email protected]

    Укажите в письме:

    • название вашей компании и её организационно-правовую форму;

    • электронную почту, которую нужно поменять — если у вашей компании несколько личных кабинетов;

    • электронную почту, на которую нужно отправить ссылку для восстановления.

      Рекомендуем использовать электронную почту, которую вы зарегистрировали на свои Ф.И.О. и доступ к которой можно восстановить по номеру телефона. Не используйте электронную почту, которая заканчивается на .co или .su — мы не сможем зарегистрировать её в системе.

    К письму приложите:

    • если вы действуете на основании доверенности — копию доверенности;
    • копию паспорта;
    • вашу фотографию с паспортом в руках, на котором хорошо видно лицо и данные паспорта.

    После проверки мы отправим ссылку для восстановления на почту, которую вы укажете в письме.

  2. Проверьте почту и перейдите по ссылке для восстановления.

  3. Напишите в службу поддержки, чтобы привязать личный кабинет к новой почте и использовать её для входа.

Следующие шаги

Шаг 2. Прочитайте и примите оферту

Шаг 3. Подключите электронный документооборот

Шаг 4. Загрузите товары или услуги

Шаг 5. Дождитесь результатов модерации

Шаг 6. Выберите схему работы и начните продавать

Создание и обновление сертификата подписи SP для аутентификации SAML — Документация по Remedy Single Sign-On 19.08

Чтобы создать сертификат подписи SP

  1. Чтобы создать файл хранилища ключей, содержащий пару ключей для запроса подписи SP SAML, выполните следующую команду:

      keytool -keystore  -genkey -alias  -keyalg RSA -sigalg SHA256withRSA -keysize 2048 -validity 730  

    А детская кроватка.jks создается файл хранилища ключей. Файл содержит пару ключей с псевдонимом sp-signed .

    Пример:

      keytool -keystore cot.jks -genkey -alias sp-signed -keyalg RSA -sigalg SHA256withRSA -keysize 2048 -validity 730  
  2. Сохраните созданный файл в файловой системе машины, на которой установлен сервер Remedy Single Sign-On.

  3. (, режим HA ) Сохраните файл хранилища ключей на каждом узле сервера Remedy SSO в кластере в том же каталоге файлов.

Для обновления сертификата SP на сервере Remedy SSO

Если срок действия сертификата подписи SP истек, выполните следующие задачи для обновления сертификата на сервере Remedy SSO и на стороне провайдера идентификации:

* /]]>

Примечания

  • Пути, указанные в следующих процедурах, предназначены для ОС Windows.
  • Имя файла хранилища ключей java — cot.jks .

Чтобы обновить файл cot.jks хранилища ключей Java

Выполните следующие шаги в системе, где установлен сервер Remedy SSO.

  1. Перейдите в каталог \ rsso \ WEB-INF \ classes .
  2. Найдите файл cot.jks и создайте резервную копию файла.

  3. Чтобы удалить псевдоним sp-подписи из существующего файла cot.jks , выполните следующую команду:

      keytool -delete -alias test2 -keystore cot.jks  
  4. Для создания новой пары ключей с псевдонимом « test2 » в существующей кроватке .jks , выполните следующую команду:

      keytool -keystore cot.jks -genkey -alias test2 -keyalg RSA -sigalg SHA256withRSA -keysize 2048 -validity 730  
  5. Чтобы экспортировать сертификат « test2 » в формат PEM, выполните следующую команду:

      keytool -export -keystore cot.jks -alias test2 -file test2.pem –rfc  

    Система создает файл test2.pem .

  6. Сделайте резервную копию обновленной кроватки .jks файл.
  7. ( HA mode ) Если у вас есть сервер Remedy SSO в кластере, замените файл cot.jks в папке \ rsso \ WEB-INF \ classes на обновленный cot.jks файл.

Чтобы обновить сертификат подписи в консоли администратора Remedy SSO

  1. Войдите в консоль администратора Remedy SSO.
  2. Перейдите на вкладку Общие> Дополнительно .
  3. Введите следующие данные:
    • Файл хранилища ключей
    • Пароль хранилища ключей
    • Псевдоним ключа подписи
  4. Нажмите Сохранить и подождите 15 секунд.
  5. Перейдите в область Realm и выберите область, настроенную для аутентификации SAML.
  6. На вкладке Authentication щелкните View Metadata и проверьте, обновлены ли метаданные SP новым сертификатом подписи.

Для обновления метаданных SP на стороне IdP

  1. Экспортируйте метаданные SP и сохраните их в локальный файл.
  2. Поделитесь экспортированными метаданными SP и новым сертификатом подписи с группой IdP.
  3. Если у вас настроены службы федерации Active Directory (AD FS) как IdP, выполните следующие действия, чтобы добавить новый сертификат подписи:
    1. Откройте диалоговое окно Properties проверяющей стороны для Remedy SSO.
    2. Перейдите на вкладку Подпись и щелкните Добавить .
    3. Выберите новый файл сертификата подписи и нажмите ОК .

Чтобы обновить сертификат SP в среде высокой доступности

Если у вас есть Remedy SSO, развернутый в режиме высокой доступности, и AD FS настроен как IdP, для достижения нулевого времени при обновлении сертификата подписи, выполните следующие действия:

  1. Выключите один экземпляр сервера Remedy SSO и обновите java keystore cot.jks на нем.
  2. Обновите сертификат подписи в консоли администратора Remedy SSO.
  3. Обновите метаданные SP на стороне IdP.

    Примечание

    Вы не должны удалять старый сертификат подписи.

  4. Снова включите экземпляр сервера единого входа Remedy.
  5. Повторите шаги с 1 по 4 для всех экземпляров сервера Remedy SSO.
  6. После обновления хранилища ключей cot.jks на всех экземплярах сервера Remedy SSO удалите старый сертификат подписи на проверяющей стороне Remedy SSO на стороне AD FS.

Примечания к сертификатам SP | Северная Каролина Шибболет

В Shibboleth IdP и SP обмениваются информацией с помощью сообщений SAML. проходит через соединения браузера пользователя. SP использует пара открытого / закрытого ключей для подписи сообщений, отправленных IdP, и декодировать сообщения, отправленные ему от IdP. IdP использует собственный пара открытого / закрытого ключей для подписи своих сообщений, отправленных SP, поэтому SP можете проверить подлинность сообщения.

В каждом случае SP и IdP должны иметь возможность проверять сертификат. предлагает другой.Это осуществляется путем обмена метаданными. через федерацию. Сертификаты всех IdP и SP в федерации собираются вместе и подписываются ключом федерации.

Стандартная установка SP создает подходящий ключ и самоподписывается. сертификат (в том же каталоге, что и shibboleth3.xml) с именем sp-key.pem и sp-cert.pem и настраивает shibboleth3.xml для их использования.

Обратите внимание, что все в сертификате, кроме самого открытого ключа (так что срок действия, имя хоста и т. д.) игнорируется программным обеспечением Shibboleth — сертификат — это просто удобный стандартный контейнер для перевозки ключ в метаданных. Программное обеспечение Shibboleth IdP и SP незаметно игнорировать сертификаты с истекшим сроком действия, если они найдены в правильных метаданных и в настоящее время подписано федерацией.

Однако другие поставщики SAML оказались менее приемлемыми сертификаты с истекшим сроком действия. Мы сталкивались со случаями, когда другие IdP SAML отказываться от отправки атрибутов нашим поставщикам услуг, если срок их сертификата истек.Когда это происходит, мы должны обновить сертификат на SP и в зарегистрированные метаданные.

Обновление сертификата с истекшим сроком действия

Цель этого раздела — сохранить существующую пару открытого / закрытого ключей. для действующего SP и для выпуска нового сертификата с использованием этого существующего открытый ключ. Мы не хотим повторно запускать скрипт keygen.sh, потому что это создаст совершенно новую пару ключей. Вместо этого мы изменим некоторые код, найденный в скрипте, чтобы убедиться, что мы просто генерируем новый сертификат из существующие ключи.

Во-первых, нам нужно создать файл конфигурации для openssl. Это расскажет Программа openssl, как пометить сертификат при его создании. Этот код в точности совпадает с кодом, сгенерированным скриптом keygen.sh. К сожалению, этот сценарий удаляет этот файл после его использования, поэтому мы придется сделать копию для себя.

  компакт-диск / etc / shibboleth
cat> sp-cert.cnf << КОНЕЦ
# Файл конфигурации OpenSSL для создания sp-cert.pem
[req]
подсказка = нет
default_bits = 2048
encrypt_key = нет
default_md = sha1
отличительное_имя = dn
Только # PrintableStrings
string_mask = МАСКА: 0002
x509_extensions = ext
[дн]
CN = ВАШ.HOST.ncsu.edu
[доб]
subjectAltName = DNS: ВАШ.ХОСТ.ncsu.edu
subjectKeyIdentifier = хеш
КОНЕЦ
vi sp-cert.cnf
    # теперь отредактируйте две записи "YOUR.HOST" выше
  

Затем мы делаем резервную копию текущего файла sp-cert.pem, а затем используем openssl для создания нового сертификата. Этот код предполагает, что вы хотите срок действия вашего самоподписанного сертификата составляет 3652 дня = 10 лет.

  cp sp-cert.pem sp-cert.old.pem
openssl req -new -x509 -days 3652 -key sp-key.pem \
        -config sp-cert.cnf> sp-cert.new.pem
  

Затем установите новый сертификат на свой сервер и перезапустите службы.

  cp sp-cert.new.pem sp-cert.pem
перезапуск службы shibd
перезапуск службы httpd
  

Наконец, отправьте электронное письмо на адрес [email protected] с просьбой, чтобы мы повторно загрузите метаданные SP, чтобы зарегистрировать обновленный сертификат. Примерно так будет работать:

  Кому: [email protected]
Тема: Обновите метаданные для https: // your.host.ncsu.edu/sp/shibboleth

Недавно мы обновили сертификат на нашем SP. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

Проблемы со сменой сертификатов

Как упоминалось выше, программное обеспечение Shibboleth SP и IdP игнорирует даты истечения срока действия ваших сертификатов. Не должно быть потери между этими поставщиками во время обновления сертификата. Другой SAML провайдеры могут быть затронуты в период между изменением сертификат на SP, а обновление сертификата в опубликованные метаданные.

Рассмотрим следующие ситуации:

  1. SP использует сертификат с истекшим сроком действия, а также метаданные. содержит этот сертификат с истекшим сроком действия.

    • Shibboleth SP и IdP - будут работать нормально.
    • Non-Shibboleth SAML IdP - может отказаться отправлять сообщения поставщику услуг пока у него просроченный сертификат.
  2. SP обновил свой сертификат до сертификата, срок действия которого еще не истек. В метаданные по-прежнему содержат старый сертификат с истекшим сроком действия.

    • Shibboleth SP и IdP - будут работать нормально.
    • Non-Shibboleth SAML IdP - может отказаться принимать сообщения от SP потому что сообщение SAML содержит копию сертификата SP и это не соответствует сертификату в метаданных.
  3. Метаданные обновлены новым сертификатом, а удаленный IdP загрузил последние метаданные.

    • Shibboleth SP и IdP - будут работать нормально.
    • Не-Shibboleth SAML IdP - должен принимать сообщения и нормально работать.

Выдача нового ключа и сертификата

Этот процесс описывает, как полностью заменить ключ и сертификат. пара, используемая SP, не вызывая потери обслуживания. Эти инструкции основаны на руководстве, предоставленном SWITCH.

Во избежание проблем, описанных в предыдущем разделе, нам необходимо для временного использования двух пар ключ / сертификат на SP во время переключения. Этот процесс займет как минимум день или два.

Шаг 1. Создайте новую пару ключ / сертификат для SP.Сделайте это в отдельном каталог из конфигов shibboleth, чтобы случайно не перезаписать текущую пару ключ / сертификат.

  cd / tmp
/etc/shibboleth/keygen.sh -y 10 \
  -h ваш.host.ncsu.edu \
  -e https://your.host.ncsu.edu/sp/shibboleth
        # h - имя хоста
        # e - это entityID
ls / tmp / sp- *
    /tmp/sp-cert.pem /tmp/sp-key.pem
  

Шаг 2: Настройте SP на ожидание пары ключ / сертификат. Скопируйте новый ключ и сертификат в ваш каталог shibboleth под новым именем.Убедитесь, что права доступа к файлам правильные.

  cd / tmp
cp sp-cert.pem /etc/shibboleth/sp-cert-2017.pem
cp sp-key.pem /etc/shibboleth/sp-key-2017.pem
cd / etc / shibboleth
chown shibd.shibd sp-cert-2017.pem sp-key-2017.pem
ls -l sp *
    -rw-r - r-- 1 шибд шибд 1159 16 июля 2014 sp-cert.pem
    -rw-r - r-- 1 шибд шибд 1505 31 мая 09:48 sp-cert-2017.pem
    -rw ------- 1 шибд шибд 1675 9 октября 2009 г. sp-key.pem
    -rw ------- 1 shibd shibd 2484 31 мая 09:48 sp-key-2017.pem
  

Затем добавьте новый ключ / сертификат в конфигурацию SP в качестве вторичных учетных данных в параллельно текущей паре.

  vi /etc/shibboleth/shibboleth3.xml
    # найти тег CredentialResolver со старыми сертификатами
    # продублируйте его и измените имена для второго сертификата.
    # затем оберните обе записи в тег Chaining CredentialResolver

    # нравится:
    
        
        
        
        
    
  

Теперь перезапустите shibd, чтобы перезагрузить конфигурацию.

  перезапуск службы shibd
меньше /var/log/shibboleth/shibd.log
    # должны увидеть строки загрузки для обеих пар ключ / сертификат
  

Шаг 3. Сообщите федерации, что у вашего SP есть два сертификата. Отправьте электронное письмо на адрес [email protected] с просьбой, чтобы мы повторно загрузите метаданные SP, чтобы зарегистрировать дополнительный сертификат. Примерно так будет работать:

  Кому: shibboleth-help @ ncsu.edu
Тема: Обновите метаданные для https://your.host.ncsu.edu/sp/shibboleth

Заменяем ключ / сертификат на нашем ИП. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

Это запустит тикет ServiceNow, который мы будем использовать для оставшихся разговоры. Мы сообщим вам, когда Федерация будет обновлено. Затем вам нужно подождать несколько часов, пока серверы входа IdP получить обновленные метаданные.После этого обе стороны (SP и IdP) готовы использовать любую из пар сертификатов.

Шаг 4. Обновите SP, чтобы новая пара ключ / сертификат стала первичной. учетные данные.

  компакт-диск / etc / shibboleth
vi shibboleth3.xml
    # изменить порядок двух сертификатов, поставив на первое место сертификат 2017 г.
    
        
        
        
        
    

перезапуск службы shibd
меньше /var/log/shibboleth/shibd.log
    # должны увидеть строки загрузки для обеих пар ключ / сертификат
  

Шаг 5: Обновите Федерацию, чтобы удалить старый сертификат. Ты сможешь ответ на запрос ServiceNow, запущенный на шаге 3. Мы удалим старую запись сертификата из ваших метаданных и повторно опубликуйте Федерацию.потом мы ждем еще несколько часов для распространения обновлений.

Шаг 6: Удалите старую пару ключ / сертификат из вашего SP. Ты сможешь закомментируйте старую запись или удалите ее полностью, как вам удобнее. Ты можешь также хочу удалить старые файлы ключей / сертификатов.

  компакт-диск / etc / shibboleth
vi shibboleth3.xml
    
        
        
        
        
        ->
    

перезапуск службы shibd
меньше /var/log/shibboleth/shibd.log
    # должны увидеть строки загрузки только для текущей пары ключ / сертификат

# как только вы убедитесь, что они вам больше не понадобятся
rm sp-key.pem sp-cert.pem
  

Shibboleth SP Certificate Rollover - Поставщик услуг - Руководства - SWITCHaai

Для этой страницы необходим Javascript! Если javascript не включен, большинство функций работать не будут.

Ролловер сертификата поставщика услуг Shibboleth

На этой странице описывается процесс смены сертификата для поставщиков услуг Shibboleth. Описанная ниже процедура позволяет заменять сертификаты без перебоев в обслуживании.

Эта страница правильно работает только при включенном JavaScript. Пожалуйста, активируйте JavaScript!

Примечание

  • Обратите внимание, что инструкции применимы только к Shibboleth 2.x или 3.x Service Provider (SP) , настроенный в соответствии с руководствами по развертыванию SWITCH Shibboleth Service Provider!
    - Вы не используете Shibboleth SP?
  • Во избежание прерывания обслуживания обязательно полностью выполняйте все пронумерованные шаги.

Справочная информация

Поставщику услуг Shibboleth (SP) необходим сертификат для подписи запросов аутентификации и расшифровки утверждений SAML. Сертификат SP встроен в метаданные SAML, чтобы поставщики удостоверений (IdP) знали сертификат SP.Следовательно, новый сертификат необходимо добавить к:

После утверждения изменения в реестре ресурсов метаданным SWITCHaai требуется не менее одного часа для распространения среди всех доверяющих сторон. Следовательно, сертификат новой пары ключей нельзя заменить за один шаг.
Хотя большинство доверяющих сторон загрузят метаданные в течение двух часов, это не гарантируется для всех объектов. Однако смену сертификата можно выполнить без прерывания обслуживания. Чтобы это сработало, решающее значение имеют порядок и время выполнения следующих шагов.

Настройка

Некоторые из фрагментов конфигурации содержат значения, настроенные специально для поставщика услуг. Руководство будет использовать «# hostName #» в качестве имени хоста, «# oldCertPath #» в качестве пути для старого сертификата, «# oldKeyPath #» в качестве пути для старого файла ключей и «# os #» в качестве операционной системы.
Если вы хотите выбрать другие значения, заполните форму еще раз.

Перед началом обновления сертификата заполните следующую форму и нажмите «Обновить». Это создает настраиваемые фрагменты конфигурации в разделах ниже.

Инструкции по обновлению сертификата поставщика услуг

Следующие инструкции объясняют, как выполнить смену сертификата без прерывания обслуживания. Обзор общей процедуры можно найти на следующем рисунке.

Шаг 0: Создайте новый сертификат

SWITCH рекомендует использовать самозаверяющие сертификаты для связи SAML. Если у вас уже есть сертификат, соответствующий требованиям сертификатов SWITCHaai, перейдите к шагу 1.

Если размер вашей текущей пары ключей уже составляет 3072 бита, вы можете повторно использовать пару ключей и создать только новый самозаверяющий сертификат.
Отобразите размер ключа вашего текущего сертификата с помощью этой команды openssl:

openssl x509 -noout -text -in # oldCertPath #
 
openssl x509 -noout -text -in # oldCertPath #
 
openssl.exe x509 -noout -text -in # oldCertPath #
 
a) Повторно использовать существующую 3072-битную пару ключей

Чтобы повторно использовать 3072-битную пару ключей и создать только новый самозаверяющий сертификат для SP, выполните следующие команды от имени пользователя root:

sudo openssl req \
     -новый \
     -x509 -дней 3650 \
     -key # oldKeyPath # \
     -subj "/ CN = # имя_хоста #" \
     -out # newCertPath #

sudo chown --reference = # oldCertPath # # newCertPath #
sudo chmod --reference = # oldCertPath # # newCertPath #
 
sudo openssl req \
     -новый \
     -x509 -дней 3650 \
     -key # oldKeyPath # \
     -subj "/ CN = # имя_хоста #" \
     -out # newCertPath #

sudo chown --reference = # oldCertPath # # newCertPath #
sudo chmod --reference = # oldCertPath # # newCertPath #
 
openssl.exe req \
     -новый \
     -x509 -дней 3650 \
     -key # oldKeyPath # \
     -subj "/ CN = # имя_хоста #" \
     -out # newCertPath #

REM Убедитесь, что права доступа к файлу для # newCertPath #
REM такие же, как для # oldCertPath #
 

Если и только если вы можете повторно использовать существующую 3072-битную пару ключей , вы получите большое преимущество, так как вам не придется ждать распространения через метаданные.
Поскольку пара ключей SP не изменилась, SP может расшифровать утверждения, сгенерированные IdP, которые зашифровали его, с помощью старого или нового сертификата, который они находят в своей локальной копии метаданных SP.
Следовательно,

  • на шаге 1) ниже вам не нужно добавлять новый сертификат, вы напрямую замените путь для активного сертификата на # newCertPath # и оставьте путь закрытого ключа нетронутым
    Если у вас есть Дополнительный старый сертификат , отключите его, закомментировав (см. Шаг 5) ниже),
  • на шаге 2) ниже вам не нужно добавлять новый сертификат, вы напрямую заменяете существующий сертификат в поле Сертификаты ,
  • на шаге 3) ниже не нужно ждать , вы можете проверить конфигурацию и немедленно перезапустить SP,
  • смело игнорируйте шаг 4) ниже, поскольку вы непосредственно заменили самозаверяющий сертификат на шаге 2).
  • смело игнорируйте шаг 5) ниже, поскольку вы уже прокомментировали его выше.
б) Создайте новую пару ключей 3072
Чтобы сгенерировать новый самозаверяющий сертификат, выполните следующие команды:
 # Используйте временный каталог для создания нового ключа и сертификата.
cd / tmp

# Копируем текущий ключевой файл во временную директорию с сохранением прав доступа к файлу
cp -p # oldKeyPath # sp-key-temp.pem

# Создать новую пару файлов сертификата и ключа (в текущем каталоге)
/ etc / shibboleth / keygen.sh -y 10 -h # имя_хоста #

# Скопируйте содержимое во временный ключевой файл с правильными правами доступа к файлу
кошка sp-key.pem> sp-key-temp.pem

# Переместите файл временного ключа в правильный путь
mv sp-key-temp.pem # newKeyPath #

# Очистка
rm sp-key.pem

# Скопируйте сертификат в правильное место
mv sp-cert.pem # newCertPath #
 
# Используйте каталог shibboleth для создания нового ключа и сертификата
cd / etc / shibboleth

# Перенести существующие файлы сертификатов во временное место, если они существуют
[-e sp-cert.pem] && mv sp-cert.pem / tmp /
[-e sp-key.pem] && mv sp-key.pem / tmp /

# Создать новую пару файлов сертификата и ключа
shib-keygen -y 10 -h # имя_хоста #

# Скопируйте сертификат в правильное место
mv sp-cert.pem # newCertPath #

# Переместите ключевой файл в правильный путь
mv sp-key.pem # newKeyPath #

# Верните старый сертификат в правильное место
[-e /tmp/sp-cert.pem] && mv /tmp/sp-cert.pem / etc / shibboleth /
[-e /tmp/sp-key.pem] && mv /tmp/sp-key.pem / etc / shibboleth /
 
 компакт-диск C: \ Temp
C: \ opt \ shibboleth-sp \ etc \ shibboleth \ keygen.bat -h # имя хоста # -y 10 -o C: \ Temp

REM В более старых версиях Shibboleth SP опция -o пока не поддерживается.
REM Для этих версий просто опустите параметр -o и перейдите на C: \ opt \ shibboleth-sp \ etc \ shibboleth \ для следующих шагов.

переместить sp-cert.pem # newCertPath #
переместите sp-key.pem # newKeyPath # 
С помощью приведенных выше команд генерируются новый сертификат и закрытый ключ, которые перемещаются в каталог учетных данных Shibboleth IdP.
Убедитесь, что файл ключа # newKeyPath # доступен для чтения пользователем, который запускает процесс демона Shibboleth shibd .
Шаг 1. Настройте новый сертификат как «дополнительный новый сертификат»
Перед добавлением нового сертификата в метаданные федерации этот сертификат необходимо сначала добавить в конфигурацию SP ( shibboleth3.xml ). Таким образом, SP узнает о новом сертификате до того, как получит утверждения, зашифрованные с помощью нового сертификата. С другой стороны, необходимо предотвратить то, что SP уже активно использует новый сертификат для запросов атрибутов. Следовательно, сертификат должен быть настроен как «дополнительный новый сертификат».
В файле конфигурации Shibboleth shibboleth3.xml замените текущий элемент CredentialResolver следующим:
        
        
             
             
             
             
        
     
Важно, чтобы новый сертификат был добавлен после старого сертификата, потому что они используются в порядке их декларации !

После добавления нового сертификата в качестве «дополнительного нового сертификата» рекомендуется проверить конфигурацию (как администратор или root) с помощью команды:

 / sbin / shibd -tc / etc / shibboleth / shibboleth3.xml 
 шибд -tc /etc/shibboleth/shibboleth3.xml 
 C: \ opt \ shibboleth-sp \ sbin \ shibd.exe -check -config C: \ opt \ shibboleth-sp \ etc \ shibboleth \ shibboleth3.xml 
Следует сказать, что общая конфигурация является загружаемой без ошибок или критических сообщений.
Затем перезапустите демон Shibboleth с помощью:
 перезапуск службы shibd 
 перезапуск службы shibd 
 чистая остановка shibd_Default
чистый старт shibd_Default 
В результате этого изменения конфигурации SP может расшифровать утверждения, которые были зашифрованы старым или новым сертификатом.SP по-прежнему будет использовать старый сертификат для запросов атрибутов.
Шаг 2. Добавьте новый сертификат в метаданные
Этот шаг можно выполнить сразу после или одновременно с шагом 1. Теперь, когда SP настроил новый сертификат как «дополнительный новый сертификат», сертификат также должен быть распространен на IdP в федерации. Следовательно, новый сертификат необходимо включить в метаданные федерации.
Покажите новый сертификат с:
 cat # newCertPath # 
 cat # newCertPath # 
 тип # newCertPath # 
Затем перейдите в реестр ресурсов и добавьте новый сертификат в соответствующее описание ресурса SP.Порядок сертификатов не имеет значения.
Затем отправьте изменение на утверждение и дождитесь, пока администратор центра регистрации ресурсов (RRA) утвердит изменение.


Для утверждения нового сертификата администратор RRA может запросить у вас отпечаток SHA1 сертификата. Отпечаток пальца можно показать с помощью команды:

 openssl x509 -fingerprint -sha1 -noout -in # newCertPath # 
 openssl x509 -fingerprint -sha1 -noout -in # newCertPath # 
 openssl.exe x509 -fingerprint -sha1 -noout -in # newCertPath # 
После того, как изменения для описания ресурса будут одобрены , потребуется не более 2 часов, пока каждый IdP в федерации SWITCHaai загрузит новый файл метаданных федерации.
IdP, загрузившие метаданные, будут случайным образом выбирать сертификат, который они используют для шифрования утверждений для этого SP. Следовательно, SP к этому моменту уже должен иметь настроенный новый сертификат, чтобы иметь возможность расшифровывать утверждения как со старым, так и с новым сертификатом.
На всякий случай не следует переходить к следующему шагу до истечения этого времени.
Шаг 3. Настройте SP для использования нового сертификата
По истечении как минимум 2 часов каждый IdP в федерации SWITCHaai должен загрузить последний файл метаданных, который включает новый сертификат. Впоследствии поставщик услуг теперь может быть настроен на использование нового сертификата в качестве активного сертификата и сохранение старого в качестве «дополнительного старого сертификата». Чтобы новый сертификат стал активным, необходимо настроить перед старым сертификатом.
Для этого измените порядок элементов CredentialResolver в файле конфигурации Shibboleth shibboleth3.xml , как показано ниже:
        
        
             
             
             
             
             
        
     
Снова проверьте конфигурацию и перезапустите демон Shibboleth после применения этого изменения:
 шибд-тс / и т.д. / шибболет / шибболет3.xml 
 шибд -tc /etc/shibboleth/shibboleth3.xml 
 C: \ opt \ shibboleth-sp \ sbin \ shibd.exe -check -config C: \ opt \ shibboleth-sp \ etc \ shibboleth \ shibboleth3.xml 
А потом:
 перезапуск службы shibd 
 перезапуск службы shibd 
 чистая остановка shibd_Default
чистый старт shibd_Default 
Шаг 4. Удалите старый сертификат из метаданных
Этот шаг можно выполнить сразу после шага 3.
Перейдите в реестр ресурсов и удалите старый сертификат из соответствующего описания ресурса SP.После того, как это изменение было одобрено администратором RRA, пройдет не более 2 часов, пока изменение не будет распространено на все IdP в федерации SWITCHaai.
Шаг 5. Удалите старый сертификат из конфигурации поставщика услуг
В целях безопасности рекомендуется удалить старый сертификат из конфигурации. Этот шаг рекомендуется, даже если срок действия сертификата истек.
Прежде чем продолжить, важно подождать два часа после того, как изменение шага 4 было одобрено .Только тогда можно быть уверенным, что все IdP в федерации SWITCHaai загрузили новые метаданные.
Вместо удаления старого сертификата рекомендуется закомментировать его в файле конфигурации Shibboleth shibboleth3.xml , как показано ниже:
        
        
             
             
             
        
        ->
        
     
Снова проверьте конфигурацию и перезапустите демон Shibboleth после применения этого изменения:
 шибд-тс / и т.д. / шибболет / шибболет3.xml 
 шибд -tc /etc/shibboleth/shibboleth3.xml 
 C: \ opt \ shibboleth-sp \ sbin \ shibd.exe -check -config C: \ opt \ shibboleth-sp \ etc \ shibboleth \ shibboleth3.xml 
А потом:
 перезапуск службы shibd 
 перезапуск службы shibd 
 чистая остановка shibd_Default
чистый старт shibd_Default 

Список литературы

Понимание SAML | Okta Developer

Традиционно корпоративные приложения развертываются и запускаются в сети компании.Для получения информации о пользователях, например профилей пользователей и сведений о группах, многие из этих приложений созданы для интеграции с корпоративными каталогами, такими как Microsoft Active Directory. Что еще более важно, учетные данные пользователя обычно хранятся и проверяются с помощью каталога. Например, если вы используете SharePoint и Exchange, которые работают локально, ваши учетные данные для входа будут вашими учетными данными Active Directory.

Однако с расширением сотрудничества и переходом к облачным средам многие приложения вышли за пределы домена компании.Федеративная аутентификация - это решение этой проблемы.

Аутентификация

Прежде чем рассматривать федеративную аутентификацию, нам нужно понять, что на самом деле означает аутентификация. Аутентификация определяет способ идентификации и проверки пользователя с помощью каких-либо учетных данных в рамках процесса входа. Большинство приложений представляют конечному пользователю страницу входа, позволяющую пользователю указать имя пользователя и пароль. В некоторых случаях для поиска пользователя может потребоваться дополнительная информация, например идентификатор компании или код клиента.Эта информация позволяет приложению сузить поиск имени пользователя, применимого к предоставленной информации. Это часто используется для того, чтобы одно и то же имя пользователя могло существовать для нескольких клиентов, принадлежащих разным клиентам.

Большинство приложений имеют хранилище пользователей (DB или LDAP), которое, помимо прочего, содержит информацию о профиле пользователя и учетные данные. Когда пользователь входит в систему, учетные данные проверяются в этом пользовательском хранилище. Преимущество этого простого подхода заключается в том, что все управляется внутри приложения, обеспечивая единый и последовательный способ аутентификации конечного пользователя.Однако, если пользователю необходимо получить доступ к нескольким приложениям, каждое из которых требует разных наборов учетных данных, это становится проблемой для конечного пользователя. Во-первых, пользователю необходимо запомнить другие пароли в дополнение к любому другому корпоративному паролю (например, его паролю AD), который может уже существовать. Теперь пользователь вынужден поддерживать отдельные имена пользователей и пароли и должен обрабатывать разные политики паролей и сроки их действия. Кроме того, этот сценарий также создает головную боль для администраторов и независимых поставщиков программного обеспечения, когда пользователи приложений продолжают иметь доступ к приложениям, которые должны были быть отозваны.

Федеративная идентификация

Федеративная идентификация началась с необходимости поддерживать доступ к приложениям, выходящий за пределы компании или организации. Представьте себе отношения между компанией по производству соков (JuiceCo), продающей свой продукт большой сети супермаркетов (BigMart). Как сотруднику JuiceCo вам необходимо получить доступ к приложению, предоставленному BigMart, для управления взаимоотношениями и отслеживания поставок и продаж.

В этом случае BigMart (предоставляющий это приложение) должен будет позаботиться об аутентификации пользователя.Самый простой способ - потребовать от пользователей, работающих в JuiceCo, другое имя пользователя и пароль. Но подумайте обо всех пользователях, которых это приложение должно будет обслуживать, включая всех других поставщиков и их пользователей, которым необходим доступ к приложению.

Более элегантный способ решить эту проблему - позволить JuiceCo и всем остальным поставщикам делиться или «объединять» идентификационные данные с BigMart. Как сотрудник JuiceCo, у вас уже есть фирменный стиль и учетные данные. Федеративная идентификация обеспечивает безопасный способ для сети супермаркетов (поставщика услуг) внешней аутентификации путем интеграции с существующей инфраструктурой идентификации своих поставщиков (поставщик удостоверений).

Этот тип использования привел к рождению федеративных протоколов, таких как язык разметки утверждения безопасности (SAML) (открывается в новом окне).

См. Технический обзор языка разметки утверждений безопасности (SAML) V2.0 (открывается в новом окне) для более глубокого обзора.

Планирование SAML

SAML в основном используется в качестве веб-механизма аутентификации, поскольку он полагается на использование агента браузера для посредничества в потоке аутентификации. На высоком уровне поток аутентификации SAML выглядит следующим образом:

Теперь мы готовы ввести некоторые общие термины SAML.Мы рассмотрим их технические детали позже, но на этапе планирования важно понимать общую концепцию.

  • A Поставщик услуг (SP) - это организация, предоставляющая услугу, обычно в форме приложения.

  • Провайдер идентификационной информации (IdP) - это объект, предоставляющий идентификационные данные, включая возможность аутентификации пользователя. Поставщик удостоверений обычно также содержит профиль пользователя: дополнительную информацию о пользователе, такую ​​как имя, фамилия, код должности, номер телефона, адрес и т. Д.В зависимости от приложения, некоторым поставщикам услуг может потребоваться очень простой профиль (имя пользователя, электронная почта), тогда как другим может потребоваться более богатый набор пользовательских данных (код должности, отдел, адрес, местонахождение, менеджер и т. Д.).

  • Запрос SAML , также известный как запрос аутентификации, генерируется поставщиком услуг для «запроса» аутентификации.

  • Ответ SAML генерируется поставщиком удостоверений. Он содержит фактическое утверждение аутентифицированного пользователя.Кроме того, ответ SAML может содержать дополнительную информацию, например информацию о профиле пользователя и информацию о группе / роли, в зависимости от того, что может поддерживать поставщик услуг.

  • A Инициированный поставщиком услуг (инициированный поставщиком услуг) Вход описывает поток входа SAML, инициированный поставщиком услуг. Обычно это срабатывает, когда конечный пользователь пытается получить доступ к ресурсу или войти в систему непосредственно на стороне поставщика услуг, например, когда браузер пытается получить доступ к защищенному ресурсу на стороне поставщика услуг.

  • Инициированный поставщиком идентификации (инициированный IdP) Вход в систему описывает поток входа SAML, инициированный поставщиком идентификации. Вместо того, чтобы поток SAML запускался перенаправлением от поставщика услуг, в этом потоке поставщик удостоверений инициирует ответ SAML, который перенаправляется поставщику услуг для подтверждения личности пользователя.

Пара ключевых моментов, на которые следует обратить внимание:

  1. Поставщик услуг никогда не взаимодействует напрямую с поставщиком удостоверений.Браузер действует как агент для выполнения всех перенаправлений.

  2. Поставщик услуг должен знать, к какому провайдеру удостоверений следует выполнять перенаправление, прежде чем он получит какое-либо представление о том, кем является пользователь.

  3. Поставщик услуг не знает, кто является пользователем, до тех пор, пока подтверждение SAML не вернется от поставщика удостоверений.

  4. Этот поток не обязательно должен начинаться с поставщика услуг. Поставщик удостоверений может инициировать поток проверки подлинности.

  5. Поток аутентификации SAML является асинхронным.Поставщик услуг не знает, завершит ли он когда-либо весь поток. Из-за этого поставщик услуг не поддерживает состояние каких-либо сгенерированных запросов на аутентификацию. Когда поставщик услуг получает ответ от поставщика удостоверений, ответ должен содержать всю необходимую информацию.

Контрольный список для планирования

Хотя протокол SAML является стандартом, существуют разные способы его реализации в зависимости от характера вашего приложения.Ниже приводится контрольный список, который поможет вам разобраться в некоторых ключевых моментах.

  1. Понимание роли поставщика услуг

  2. Один IdP по сравнению с несколькими IdP

  3. Понимание потока входа, инициированного SP

  4. Доступность конфигурации SAML в SP

  5. Включение SAML для всех подмножество пользователей

  6. Реализация «бэкдора»

Понимание роли поставщика услуг

IdP SAML генерирует ответ SAML на основе конфигурации, взаимно согласованной IdP и SP.После получения утверждения SAML поставщику услуг SP необходимо подтвердить, что утверждение исходит от действительного IdP, а затем проанализировать необходимую информацию из утверждения: имя пользователя, атрибуты и т. Д.

Для этого SP требует как минимум следующего:

  • Сертификат - SP должен получить публичный сертификат от IdP для проверки подписи. Сертификат хранится на стороне SP и используется всякий раз, когда приходит ответ SAML.
  • Конечная точка ACS - URL-адрес службы потребителей утверждений - часто называемый просто URL-адресом для входа в SP.Это конечная точка, предоставляемая SP, где публикуются ответы SAML. SP должен предоставить эту информацию IdP.
  • URL-адрес входа IdP - это конечная точка на стороне IdP, где размещаются запросы SAML. SP должен получить эту информацию от IdP.

Самый простой способ внедрить SAML - использовать набор инструментов SAML с открытым исходным кодом. В конце статьи мы включили список рекомендуемых наборов инструментов для нескольких языков. Эти наборы инструментов обеспечивают логику, необходимую для переваривания информации во входящем ответе SAML.Кроме того, если SP должен поддерживать инициированный SP поток входа в систему, наборы инструментов также предоставляют логику, необходимую для генерации соответствующего запроса аутентификации SAML.

Единый IdP против нескольких IdP

Если вы строите внутреннюю интеграцию и хотите включить SAML для интеграции с вашим корпоративным поставщиком идентификационной информации SAML, то вам нужна поддержка только одного IdP. В этом случае ваша интеграция должна иметь дело только с одним набором метаданных IdP (сертификат, конечные точки и т. Д.).

Если вы независимый поставщик программного обеспечения, создающий корпоративный продукт SaaS, или если вы создаете внешний веб-сайт / портал / сообщество для своих клиентов и партнеров, то вам необходимо подумать о поддержке нескольких IdP. Это типичный вариант использования для многих SaaS ISV, которым необходимо интегрироваться с инфраструктурой корпоративной идентификации клиентов. В зависимости от архитектуры вашего приложения вам необходимо подумать о способах хранения конфигурации SAML (например, сертификатов или URL-адресов для входа IdP) от каждого поставщика удостоверений, а также о том, как предоставить необходимую информацию SP для каждого из них.

Ключевым моментом является конечная точка URL ACS на стороне SP, где публикуются ответы SAML. Можно открыть одну конечную точку даже при работе с несколькими IdP. Для мультитенантного приложения с одним экземпляром, где арендатор не определен в URL-адресе (например, при использовании поддомена), это может быть более простой способ реализации. Однако затем вы должны полагаться на дополнительную информацию в ответе SAML, чтобы определить, какой IdP пытается аутентифицироваться (например, используя IssuerID).Если ваше приложение настроено в многопользовательском режиме с информацией о домене в URL-адресе (например, с использованием https://domain1.example.com или https://www.example.com/domain1 ) , то наличие конечной точки URL ACS для каждого поддомена может быть хорошим вариантом, поскольку URL сам идентифицирует домен.

Общие сведения о потоке входа в систему, инициированном поставщиком услуг

Как обсуждалось ранее, поток входа в систему, инициированный поставщиком идентификационной информации, начинается с поставщика данных. Поскольку он начинается на стороне IdP, нет никакого дополнительного контекста о том, что пользователь пытается получить доступ на стороне SP, кроме того факта, что пользователь пытается пройти аутентификацию и получить доступ к SP.Обычно после аутентификации пользователя браузер переходит на общую целевую страницу в SP.

В потоке, инициированном SP, пользователь пытается получить доступ к защищенному ресурсу непосредственно на стороне SP, но IdP не знает об этой попытке. Возникают две проблемы. Во-первых, необходимо определить правильного IdP, если требуется аутентификация федеративного удостоверения. При входе в систему, инициированном SP, SP изначально ничего не знает об идентичности. Как разработчик, вам необходимо выяснить, как поставщик услуг SP может определить, какой IdP должен получать запрос SAML.В некоторых случаях, если URL-адреса вашего приложения содержат информацию о поддомене, которая сопоставлена ​​уникальному клиенту и IdP, то полученной ссылки на ресурс достаточно для идентификации IdP. Если это не так, вам может потребоваться запросить у конечного пользователя дополнительную информацию от конечного пользователя, такую ​​как идентификатор пользователя, адрес электронной почты или идентификатор компании. Вам нужно что-то, что позволяет SP определять, к какому IdP принадлежит пользователь, пытающийся получить доступ к ресурсу. Помните, вы запрашиваете только идентификатор, а не учетные данные.Okta также поддерживает передачу идентификатора IdP с параметром «LoginHint», так что пользователю не нужно снова вводить идентификатор при перенаправлении на IdP для входа в систему. Чтобы получить инструкцию для запуска Okta для отправки «LoginHint» в IdP, см. «Перенаправление с использованием глубоких ссылок SAML».

Еще одна проблема с потоком входа, инициированным SP, - это поддержка глубоких ссылок. Большинство приложений поддерживают глубокие ссылки. Например, вы можете получить ссылку на документ, который находится в системе управления контентом.В идеале, если вам нужно пройти аутентификацию до доступа к документу, вы хотели бы, чтобы документ был перенаправлен сразу после аутентификации.

SAML по своей конструкции является асинхронным протоколом. Процесс входа в систему, инициированный SP, начинается с генерации запроса аутентификации SAML, который перенаправляется IdP. На этом этапе SP не хранит никакой информации о запросе. Когда ответ SAML возвращается от IdP, SP ничего не знает о начальной глубинной ссылке, которая инициировала запрос аутентификации.К счастью, SAML поддерживает это с помощью параметра RelayState.

RelayState - это параметр HTTP, который может быть включен как часть запроса SAML и ответа SAML. В потоке входа, инициированном SP, SP может установить параметр RelayState в запросе SAML с дополнительной информацией о запросе. SAML IdP после получения запроса SAML принимает значение RelayState и просто присоединяет его обратно в качестве параметра HTTP в ответе SAML после аутентификации пользователя.Таким образом, по завершении цикла приема-передачи SP может использовать информацию RelayState для получения дополнительного контекста о начальном запросе аутентификации SAML.

В случае глубокой ссылки SP устанавливает RelayState в запросе SAML со значением глубокой ссылки. Когда возвращается ответ SAML, SP может использовать значение RelayState и направить аутентифицированного пользователя к нужному ресурсу.

Инструкции по созданию глубинной ссылки для SAML IdP см. В разделе «Перенаправление с использованием глубинных ссылок SAML».

Отображение конфигурации SAML в SP

Как обсуждалось ранее, SP требуется конфигурация IdP для завершения настройки SAML. Хотя многие независимые поставщики программного обеспечения предпочитают делать это через поддержку и электронную почту, лучший способ сделать это - открыть страницу самообслуживания администратора для ИТ-администратора вашего клиента, чтобы включить SAML. SAML поддерживает метаданные как на стороне IdP, так и на стороне SP. Один из способов настройки отношения IdP / SP на стороне SP - это создание возможности получения файла метаданных IdP и возможности создания файла метаданных SP для использования IdP.Это предпочтительный метод.

Однако некоторые независимые поставщики программного обеспечения разрешают настройку нескольких ключевых параметров SAML напрямую, а не через файл метаданных. Типичные параметры включают URL-адрес перенаправления IdP (для запроса SAML), IssuerID, URL-адрес выхода IdP. SP должен также разрешить загрузку или сохранение общедоступного сертификата IdP.

Использование файла метаданных является предпочтительным, поскольку он может обрабатывать любые будущие дополнения / улучшения в вашей поддержке SAML без внесения изменений пользовательского интерфейса, которые в противном случае потребовались бы, если вы предоставите определенные параметры конфигурации SAML в своем пользовательском интерфейсе.

Включение SAML для всех по сравнению с подмножеством пользователей

В зависимости от характера вашего приложения могут быть причины, по которым SAML разрешается только подмножеству пользователей. Представьте себе приложение, к которому обращаются внутренние сотрудники и внешние пользователи, например партнеры. Сотрудники могут использовать SAML для входа в приложение, а внешние пользователи могут использовать отдельный набор учетных данных.

Даже в тех случаях, когда намерение состоит в том, чтобы включить SAML для всех пользователей определенного клиента, может быть полезно включить только часть пользователей во время проверки правильности концепции, тестирования и развертывания для проверки аутентификации. с меньшим количеством пользователей перед запуском для всего населения.

Внедрение «бэкдора»

Это особенно важно, когда предполагается, что все население будет поддерживать SAML в вашем приложении. Иногда может быть ошибка в конфигурации SAML или что-то меняется в конечных точках SAML IdP. В любом случае вы не хотите, чтобы вас полностью заблокировали. Наличие бэкдора, доступного администратору для доступа к заблокированной системе, становится чрезвычайно важным. Это часто достигается за счет наличия «секретного» URL-адреса для входа, который не запускает перенаправление SAML при доступе.Обычно администратор использует имя пользователя и пароль для входа в систему и внесения необходимых изменений для решения проблемы.

Ссылка

SAML 2.0

Часто задаваемые вопросы по SAML

Как обновить / обновить сертификат SP в модуле SAML SSO Standard? - База знаний

Обратите внимание, что простая установка последней версии плагина не приведет к немедленной замене сертификата. Ваша система единого входа продолжит работать со старым сертификатом, если вы не обновите его, выполнив указанные ниже действия.

Случай 1: Версия подключаемого модуля 16+
Случай 2: Версия подключаемого модуля менее 16

Случай 1: Если вы уже используете более 16 версий стандартного плагина, выполните следующие действия:

  1. Перейти на панель управления >> Обновляет раздел WordPress.
  2. Выберите miniOrange SSO с использованием SAML 2.0 из списка и нажмите Обновить плагины .
  3. ( Примечание. Если вы не видите систему единого входа miniOrange с использованием SAML 2.0 в списке. Затем нажмите кнопку Проверить еще раз )

  4. Перейдите на вкладку «Управление сертификатами» в подключаемом модуле SAML miniOrange.
    1. Сначала загрузите новый сертификат или загрузите метаданные, как показано ниже на снимке экрана.
    2. Загрузите этот сертификат в свой IDP. Если ваш IDP ищет метаданные, вы можете предоставить файл метаданных, загруженный на предыдущем шаге. Эти метаданные содержат новый сертификат.
    3. После загрузки сертификата.Щелкните Проверить соединение, чтобы проверить, правильно ли работает загруженный сертификат.
    4. Если проверка прошла успешно, нажмите только на «Применить сертификат» и «Подтвердить обновление».

Случай 2: Если вы используете более низкие версии (<16) Стандартного плагина, выполните следующие действия:

  1. Щелкните здесь, чтобы войти в свою панель управления xecurify / miniOrange.
  2. Перейдите к лицензии >> Управление лицензиями в левом нижнем углу панели инструментов, как показано на снимке экрана ниже.
  3. Щелкните раздел «Выпуски и загрузки». Загрузите последнюю версию плагина по доступным ссылкам для скачивания. Если ссылка для скачивания недоступна, это означает, что срок действия вашей лицензии истек.
  4. Примечание. Чтобы продлить лицензию, свяжитесь с нами по адресу [email protected]

  5. Установка:
  6. Замена нового плагина через FTP:
      1. После загрузки плагина (.zip) с панели управления miniOrange.
      2. Подключитесь к своему WP-сайту через FTP и перейдите по адресу
        / www / wp-content / plugins
    1. Сделайте резервную копию установленного плагина - miniorange-saml-20-single-sign-on.backup
    2. Распакуйте zip-файл. Убедитесь, что имя папки - miniorange-saml-20-single-sign-on
    3. .

Чтобы обновить сертификат, выполните следующие действия.

Чтобы обновить сертификат, выполните следующие действия:

После установки последней версии подключаемого модуля вы можете выполнить следующие шаги, чтобы обновить новый сертификат:
Перейдите на вкладку «Управление сертификатами» в подключаемом модуле miniOrange SAML.

  1. Сначала загрузите новый сертификат или загрузите метаданные, как показано ниже на снимке экрана.
  2. Загрузите этот сертификат в свой IDP. Если ваш IDP ищет метаданные, вы можете предоставить файл метаданных для загрузки на предыдущем шаге. Эти метаданные содержат новый сертификат.
  3. После загрузки сертификата. Щелкните Проверить соединение, чтобы проверить, правильно ли работает загруженный сертификат.
  4. Если проверка прошла успешно, нажмите только на «Применить сертификат» и «Подтвердить обновление».

Обновление сертификатов для SP или IdP

Иногда может потребоваться обновить сертификаты поставщика услуг (SP) или поставщика удостоверений (IdP) для федеративных пар, настроенных в Access. Вы должны обновить сертификаты, если срок действия сертификата поставщика услуг или поставщика удостоверений скоро истечет или истек. Затем Access предоставляет уведомления, если приближается срок действия сертификата. Затем администратор может обновить сертификат, предоставив обновленные метаданные.Для получения информации об уведомлениях об истечении срока действия сертификата см. Уведомления об истечении срока действия сертификата.

Ivanti рекомендует обновить сертификаты для бесперебойной работы.

Информация о сертификате доступна в метаданных поставщика услуг или поставщика удостоверений, которые вы загружаете в Access. В зависимости от того, загрузили ли вы метаданные, добавили метаданные или ввели URL-адрес метаданных при настройке объединенной пары, выполните одно из следующих действий, чтобы обновить сертификат:

Access использует только информацию из метаданных.Если метаданные ссылаются на сертификат с истекшим сроком действия или сертификат с истекшим сроком действия, Access продолжит показывать уведомления об истечении срока действия сертификата.

Обновление сертификата, если вы загрузили метаданные

Выполните следующие действия, если вы загрузили метаданные от поставщика услуг (SP) или поставщика удостоверений (IdP) при настройке объединенной пары.

Процедура

  1. Получите метаданные от затронутого SP или IdP.
    См. Дополнительные сведения в Поваренных книгах Access.

  2. Перейдите в Профиль> Федерация.

  3. Щелкните «Обновить» рядом с предупреждающим сообщением, чтобы обновить сертификат для SP или IdP. Отобразится экран «Обновить метаданные IDP».


    1. (Необязательно) Нажмите «Изменить», чтобы указать URL-адрес или добавить метаданные вместо «Загрузить метаданные». ИЛИ
    2. Щелкните Выбрать файл, чтобы загрузить данные метаданных для SP или IdP в зависимости от ситуации.
    3. Щелкните Загрузить метаданные.
    4. Щелкните Готово.

Связанные темы

Обновление сертификата, если вы добавили метаданные

Сделайте следующее, если вы добавили метаданные при настройке объединенной пары.

Процедура

  1. Перейдите в Профиль> Федерация.
  2. Щелкните «Обновить» рядом с предупреждающим сообщением, чтобы обновить сертификат для SP или IdP. Отобразится экран «Обновить метаданные IDP».

    1. Обновите сертификат.
      Если действующий сертификат обновлен, появится подтверждающее сообщение об успешном обновлении.

    2. (Необязательно) Нажмите «Изменить», чтобы изменить метаданные для предоставления URL-адреса или «Загрузить метаданные» вместо «Добавить метаданные».

Обновление сертификата, если вы ввели URL-адрес метаданных

Выполните следующие действия, если вы ввели URL-адрес метаданных при настройке объединенной пары.

Процедура

  1. Перейдите в Профиль> Федерация.

  2. В зависимости от изменений выполните одно из следующих действий:

    1. Ссылка на обновление для метаданных, срок действия которых истек или истек. : В окне «Обновить метаданные IDP» доступна опция синхронизации.Щелкните Синхронизировать метаданные, чтобы завершить обновление. Однако измененные атрибуты не указаны.

    2. Ссылка на обновление для изменения метаданных : Откроется окно «Обновить метаданные IDP», и измененные атрибуты будут перечислены вместе с кнопкой синхронизации. Щелкните Синхронизировать метаданные, чтобы завершить обновление.


    3. Обновите метаданные SP или IDP с помощью пункта меню : это ссылка для операции синхронизации в один клик. При нажатии на опцию меню метаданные автоматически синхронизируются, а в окне быстрого обновления отображаются измененные атрибуты.

  3. (Необязательно) Нажмите «Изменить», чтобы загрузить или добавить метаданные вместо URL-адреса метаданных.
  4. Щелкните Синхронизировать метаданные> Закрыть.
    Отображается подтверждающее сообщение об успешном завершении синхронизации.

Для Office 365 и Microsoft ADFS, когда домен Office 365 объединен с Access, а Access объединен с ADFS, метаданные ADFS загружаются в Access или могут быть предоставлены с использованием URL-адреса метаданных.

ADFS имеет функцию смены сертификатов, при которой в метаданных предоставляются как первичные, так и вторичные сертификаты подписи.Когда истекает срок действия основного, ADFS переключается на дополнительный сертификат. Access также использует сертификат, срок действия которого истекает позже, и контролирует этот сертификат. Это не нарушает аутентификацию.

Однако всякий раз, когда сертификат обновляется на стороне ADFS, он должен быть либо загружен в Access, предоставив новые метаданные ADFS, либо также может быть синхронизирован с помощью «Синхронизировать метаданные IdP», если метаданные ADFS предоставляются с использованием URL-адреса.
Для получения дополнительной информации см. Https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-o365-certs.

Связанные темы

security saml-sp create

Настройка поставщика услуг SAML для аутентификации

Доступность: Эта команда доступна администраторам кластера с уровнем привилегий admin .

Описание

Команда security saml-sp create настраивает ONTAP с помощью разметки утверждения безопасности. Языковой (SAML) поставщик услуг (SP) для аутентификации с единым входом. Эта команда не включает SAML SP, а просто настраивает его.Настройка и включение SAML SP - это двухэтапный процесс:
  • Создайте конфигурацию SAML SP, используя систему безопасности saml-sp create команда.
  • Включите SAML SP с помощью безопасности saml-sp modify -is-enabled true

После создания конфигурации SAML SP ее нельзя изменить. Его необходимо удалить и создать заново, чтобы изменить какие-либо настройки.

Примечание. При этом перезапускается веб-сервер.Любые активные соединения HTTP / S будут прерваны.

Параметры

-idp-uri {(ftp | http): // (имя хоста | IPv4-адрес | '[' IPv6 Address ']') ...} - Расположение метаданных поставщика удостоверений (IdP)
Это URI метаданных желаемого поставщика удостоверений (IdP).
[-sp-host ] - Хост поставщика услуг SAML
Это указывает IP-адрес хоста поставщика услуг SAML.
{-cert-ca - ЦС, выдающий сертификат сервера
Здесь указывается ЦС, выдающий сертификат поставщика услуг.
-cert-serial - Серийный номер сертификата сервера
Здесь указывается серийный номер сертификата поставщика услуг.
| [-cert-common-name ]} - Общее имя сертификата сервера
Это указывает общее имя сертификата поставщика услуг.
[-verify-metadata-server {true | false} ] - Проверить идентичность сервера метаданных IdP
Когда метаданные IdP загружаются, идентичность сервера, на котором размещены метаданные, проверяется с использованием безопасности транспортного уровня (TLS), проверки сертификата X.509 сервера по списку центров сертификации (CA) в Data ONTAP и проверки того, что хост в сертификате сервера соответствует хосту в URI (поле idp-uri ).Эту проверку можно обойти, установив в этом поле значение false . Обход проверки сервера не рекомендуется, так как серверу нельзя доверять таким образом, но будет необходимо использовать не-TLS URI, например со схемой «http» или когда сертификаты сервера самозаверяющие. Если сертификат сервера был подписан центром сертификации, который не установлен в Data ONTAP, для его установки можно использовать команду security certificate install -type server-ca.
[-foreground {true | false} ] - Процесс переднего плана
Если для этого параметра установлено значение false , команда выполняется в фоновом режиме как задание.По умолчанию истинно , что приводит к возврату команды после операция завершена.

Примеры

В следующем примере ONTAP настраивается с использованием информации SAML SP IdP:
    cluster1 ::> безопасность saml-sp create -idp-uri http: // public-idp-uri -sp-host 1.1.1.1
    [Job 9] Работа выполнена успешно.
    cluster1 ::>
     
.

Об авторе

alexxlab administrator

Оставить ответ