Für die Nutzung von Single Sign-on (SSO) tauschen Service Provider (d.vinci) und Identity Provider (ein Dienst eurer Wahl) Informationen aus in Form einer Metadata-XML-Datei (siehe auch Single Sign-on einrichten).
Die Metadata-XML-Datei beinhaltet ein Zertifikat mit zeitlichem Ablaufdatum. Dieses Zertifikat muss regelmäßig aktualisiert werden, bevor es ausläuft.
Eine Aktualisierung des Zertifikats findet auf der Seite Grundeinstellungen in der Registerkarte SSO statt. Hier kann das neue Zertifikat hochgeladen werden.
Achtung
- Eure IT-Kollegen sind dafür zuständig, die Metadata-XML-Datei eures Identity Providers zu erneuern und für das Hochladen in d.vinci bereitzustellen.
- Eure System-Administratoren (Benutzer mit dem Recht, SSO-Einstellungen zu bearbeiten) müssen sicherstellen, dass die Metadata-XML-Datei in d.vinci rechtzeitig aktualisiert wird.
- Wenn das enthaltene Zertifikat des Identity Providers ausläuft, kann Single Sign-on nicht länger funktionieren und alle SSO-Benutzer werden aus dem System ausgeschlossen, sofern sie sich nicht zusätzlich per Benutzername und Passwort anmelden können.
- Ein Austausch des Zertifikats nach Ablauf der Gültigkeit ist nicht ohne Weiteres möglich.
Manuelle Aktualisierung
Die Metadata-XML-Datei, welche das Zertifikat beinhaltet, kann manuell hochgeladen und muss entsprechend manuell aktualisiert werden.
Ab 20 Tage vor Ablauf erhalten Benutzer mit dem Recht, die SSO-Einstellungen zu bearbeiten, folgende Warnmeldung:
Das Single-Sign-on-Zertifikat läuft bald ab. Benutzer können sich dann nicht mehr mit dem Single Sign-on anmelden. Bitte Zertifikat aktualisieren.
Hinweis
Die Warnmeldung dient der Unterstützung der System-Administratoren und wird daher nur an Benutzer ausgegeben, welche die SSO-Einstellungen bearbeiten und die Zertifikate aktualisieren können. System-Administratoren, die sich nur sporadisch im System anmelden, können das Zeitfenster für die angezeigte Warnung verpassen. Wenn Sie die manuelle Aktualisierung verwenden, sollten Sie als Administrator:in daher die Ablaufdaten der Zertifikate auch außerhalb von d.vinci im Blick behalten, z. B. durch einen Kalendereintrag.
Automatische Aktualisierung
Ihr könnt den automatisierten Abruf der Metadata-XML-Datei nutzen, wenn als Quelle der Metadata-XML-Datei ein URL-Pfad angegeben wurde. Das System prüft täglich die URL und vergleicht die dort gefundene Datei mit der in d.vinci verwendeten. Wenn das System feststellt, dass die Datei hinter dem URL-Pfad von der verwendeten Datei abweicht, lädt es automatisch die neue Datei herunter und ersetzt die bisherige. Auf diese Weise bleiben die Austauschdaten der SSO-Dienste aktuell und auch die enthaltenen Zertifikate werden erneuert.
Im Regelfall funktioniert die automatisierte Aktualisierung reibungslos und als System-Administratoren braucht ihr lediglich sicherzustellen, dass die Datei hinter dem URL-Pfad regelmäßig aktualisiert wird.
In Ausnahmefällen kann es passieren, dass aus unterschiedlichsten Gründen die automatisierte Aktualisierung fehlschlägt. d.vinci versucht es dann erneut. Nach drei Fehlschlägen gibt das System eine Warnmeldung aus.
Das Fehlschlagen der Aktualisierung hat nicht zwangsläufig mit dem Ablaufdatum des enthaltenen Zertifikats zu tun. Es kann passieren, dass das Zertifikat noch einige Wochen gültig ist, aber der automatisierte Abruf trotzdem fehlschlägt.
Aus diesen Gründen können folgende Warnmeldungen ausgegeben werden.
- Der Abruf ist 3x fehlgeschlagen, es bleiben mehr als 5 Tagebis zum Ablauf (dringlich):
Single-Sign-on funktioniert nicht korrekt. Bitte prüfen Sie die SSO-Einstellungen.
- Der Abruf ist 3x fehlgeschlagen, es bleiben weniger als 5 Tagebis zum Ablauf (sehr dringlich):
Single-Sign-on funktioniert nicht korrekt. Bitte prüfen Sie die SSO-Einstellungen.