如何在公司的 Procore 单点登录配置设置中更新即将到期的 x509 证书?
背景
必须在 Procore 公司的单点登录(SSO)配置设置中输入x509证书,才能完成 Procore 单点登录的设置。 x509证书在一段时间后会过期,此时需要将更新的证书输入到单点登录配置设置中,以便维护具有目标域的用户的登录功能。 Procore 不会提供x509证书过期的通知。 你的单点登录身份标识提供商(IdP)可能会提供证书即将过期的通知。
答案
当从 IdP 收到有关你公司的 Procore 单点登录配置的 x509 证书即将到期的通知时,可以按照以下步骤更新单点登录配置设置,以便包含新的 x509 证书。
重要提示
必须在到期日期之前更新此证书,以便防止用户登录体验的中断。如果证书已过期并且无法访问 Procore 账户,请联系 Procore 支持寻求帮助。步骤
- 从 IdP 生成新的 x509 证书。
注意:请参考 IdP 的支持文档,了解有关此操作的更多详细信息。 - 将证书另存为文本文件。
- 复制 x509 证书的开始和结束标记之间显示的证书数据。
警告
如果使用 Azure AD(如下图所示),请勿复制 HTML 开始和结束标记。对于其他 IdP 生成的证书,请勿复制文本文件中的 --- BEGIN CERTIFICATE --- 或 ---END CERTIFICATE --- 开始和结束标记。仅需复制上述标记之间的文本。
开始标记:<X509Data><X509Certificate>
结束标记:</X509Data></X509Certificate>
- 登录到 Procore 账户,然后导航到公司级别管理员工具。
- 在导航面板中,选择单点登录配置。
- 删除单点登录x509证书字段中的现有x509证书。
- 将新证书粘贴到单点登录x509证书字段中。
- 点击保存。
提示
如果单点登录配置已设置为服务提供商发起的,但希望在将新证书保存到当前配置之前测试它是否正常运行,则可以在保存前选择“允许密码登录”而不是“服务提供商转发”。此操作将暂时可允许用户选择使用 Procore 凭证和单点登录登录,防止进行这些变更时,如果发生错误可能将你自己和你的用户锁定在 Procore 账户之外的情况。确认新证书按预期运行后,可以编辑单点登录配置,以便重新选择“服务提供商转发”并返回到服务提供商发起的登录流程。