Für die Nutzung von Single Sign-on (SSO) tauschen Service Provider (d.vinci) und Identity Provider (ein Dienst Ihrer Wahl) miteinander Informationen aus in Form einer Metadata-XML-Datei (siehe auch Single Sign-on einrichten).
Die Metadata-XML-Datei beinhaltet ein Zertifikat mit zeitlichen Ablaufdatum. Dieses Zertifikat muss regelmäßig aktualisiert werden, bevor es ausläuft.
Eine Aktualisierung des Zertifikats findet auf der Seite Grundeinstellungen in der Registerkarte SSO statt. Hier kann das neue Zertifikat hochgeladen werden.
Achtung
- Ihre IT-Kollegen sind dafür zuständig, die Metadata-XML-Datei Ihres Identity Providers zu erneuern und für das Hochladen in d.vinci bereitzustellen.
- Ihre System-Administratoren (Benutzer mit dem Recht, SSO-Einstellungen zu bearbeiten) müssen sicherstellen, dass die Metadata-XML-Datei in d.vinci rechtzeitig aktualisiert wird.
- Wenn das enthaltene Zertifikat des Identity Providers ausläuft, kann Single Sign-on nicht länger funktionieren und alle SSO-Benutzer werden aus dem System ausgeschlossen, sofern sie sich nicht zusätzlich per Benutzername und Passwort anmelden können.
- Ein Austausch des Zertifikats nach Ablauf der Gültigkeit ist nicht ohne Weiteres möglich.
Manuelles Aktualisieren
Die Metadata-XML-Datei, welche das Zertifikat beinhaltet, kann manuell hochgeladen werden und muss entsprechend manuell aktualisiert werden.
Ab 20 Tage vor Ablauf erhalten Benutzer mit dem Recht, die SSO-Einstellungen zu bearbeiten, folgende Warnmeldung:
Das Single-Sign-on-Zerfitikat läuft bald ab. Benutzer können sich dann nicht mehr mit dem Single-Sing-on anmelden. Bitte aktualisieren Sie das Zertifikat.
Hinweis
Die Warnmeldung dient der Unterstützung der System-Administratoren und wird daher nur an Benutzer ausgegeben, welche die SSO-Einstellungen bearbeiten und die Zertifikate aktualisieren können. System-Administratoren, die sich nur sporadisch im System anmelden, können das Zeitfenster für die angezeigte Warnung verpassen. Wenn Sie die manuelle Aktualisierung verwenden, sollten Sie als Administrator daher die Ablaufdaten der Zertifikate auch außerhalb von d.vinci im Blick behalten, z. B. durch einen Kalendereintrag.
Automatisiertes Aktualisieren
Sie können den automatisierten Abruf der Metadata-XML-Datei nutzen, wenn Sie als Quelle der Metadata-XML-Datei einen URL-Pfad angegeben haben. Das System prüft täglich die URL und vergleicht die dort gefundene Datei mit der in d.vinci verwendeten. Wenn das System feststellt, dass die Datei hinter dem URL-Pfad von der verwendeten Datei abweicht, lädt es automatisch die neue Datei herunter und ersetzt die bisherige. Auf diese Weise bleiben die Austauschdaten der SSO-Dienste aktuell und auch die enthaltenen Zertifikate werden erneuert.
Im Regelfall funktioniert die automatisierte Aktualisierung reibungslos und als System-Administrator brauchen Sie lediglich sicherzustellen, dass die Datei hinter dem URL-Pfad regelmäßig aktualisiert wird.
In Ausnahmefällen kann es passieren, dass aus unterschiedlichsten Gründen die automatisierte Aktualisierung fehlschlägt. d.vinci versucht es dann erneut. Nach drei Fehlschlägen gibt das System eine Warnmeldung aus.
Das Fehlschlagen der Aktualisierung hat nicht zwangsläufig mit dem Ablaufdatum des enthaltenen Zertifikats tun tun. Es kann passieren, dass das Zertifikat noch einige Wochen gültig ist, aber der automatisierte Abruf trotzdem fehlschlägt.
Aus diesen Gründen können folgende Warnmeldungen ausgegeben werden.
- Der Abruf ist 3x fehlgeschlagen, es bleiben mehr als 5 Tage bis zum Ablauf (dringlich):
Single-Sign-on funktioniert nicht korrekt. Bitte prüfen Sie die SSO-Einstellungen
- Der Abruf ist 3x fehlgeschlagen, es bleiben weniger als 5 Tage bis zum Ablauf (sehr dringlich):
Single-Sign-on funktioniert nicht korrekt. Bitte prüfen Sie die SSO-Einstellungen