Die Zoom Community ist da!
Wir laden alle Zoom-Kunden ein, in der Zoom Community zusammenzukommen, um Fragen zu stellen, Lösungen zu finden und mit Gleichgesinnten zusammenzuarbeiten.
Melden Sie sich mit Ihren Zoom-Kontodaten an und beginnen Sie mit der Zusammenarbeit!

Zoom SSO-Zertifikatswechsel Folgen

Überblick

Zoom hat die Unterstützung für SSO-Zertifikate (Single Sign-On) optimiert. Jetzt können Kontoinhaber und Administratoren das Zertifikat automatisch aktualisieren, wenn ein neues Zertifikat verfügbar ist, anstatt das Zertifikat manuell zu aktualisieren. Administratoren können auch ein Rollback ihrer SSO-Konfiguration vornehmen, um ein früheres Zertifikat zu verwenden.

Hinweis: Um mit den branchenüblichen Verfahren Schritt zu halten, wird Zoom sein Single Sign-On-Zertifikat (SSO) vor dessen Ablauf am Freitag, den 26. März, deaktivieren. Vor dem Zertifikatswechsel sind möglicherweise Maßnahmen auf Ihrer Seite erforderlich, um Dienstunterbrechungen zu vermeiden und SSO weiterhin für die Anmeldung bei Zoom verwenden zu können:

  • Konten, die einen Identitätsanbieter (IDP) und/oder eine Konfiguration verwenden, die eine dynamische Metadatenaktualisierung unterstützt, müssen nichts unternehmen, da der IDP des Kontos automatisch das neueste Zoom-Zertifikat herunterlädt und ab Montag, dem 22. Februar in die Konfiguration des Kontos rotiert. Anschließend sollten die folgenden Optionen in den Single Sign-On-Einstellungen im Zoom Web Portal angezeigt werden. Wenn für Ihre IDP-Implementierung kein Dienstanbieterzertifikat erforderlich ist, werden die folgenden Optionen in Web Portal nicht angezeigt, und es sind keine weiteren Aktionen erforderlich.
  • Für folgenden Single Sign-On-Konfigurationen in Zoom ist eine Aktion erforderlich:
    • Signatur der SAML-Anforderung
    • Signatur der SAML-Abmeldeanforderung
    • Unterstützt verschlüsselte Assertionen
      Screen_Shot_2021-04-26_at_10.32.04_AM.png
  • Wenn Sie die automatische Aktualisierung deaktivieren oder Ihr IDP den automatischen Zertifikatswechsel nicht unterstützt, ist zwischen dem 22. Februar und dem 25. März eine Aktion erforderlich. Sie können den Vorgang zum Zertifikatswechsel starten, indem Sie das neue Zertifikat in den Single Sign-On-Einstellungen im Zoom Web Portal auswählen. Sie können auch angeben, welches Zertifikat Zoom für die Interaktion mit Ihrem IDP auf dieser Seite verwenden soll. Nach dem Wechsel zum neuen Zertifikat können Sie und Ihre Benutzer sich ohne Unterbrechung weiterhin mit SSO bei Zoom anmelden.

In diesem Artikel:

Voraussetzungen

    • Zoom Inhaber- oder Administratorrechte
    • Business- oder Enterprise-Konto mit genehmigter Vanity-URL

Neue Optionen für die Verwaltung von SSO-Zertifikaten

Dienstanbieterzertifikat

Die Dienstanbieterzertifikate werden für die Signatur der SAML-Anforderung und der SAML-Abmeldeanforderung verwendet, wenn diese Anforderungen an Ihren IDP gesendet werden. Da Ihr IDP diese Zertifikate verwendet, um die Signatur der SAML-Anforderung bzw. SAML-Abmeldeanforderung zu überprüfen, müssen die Zertifikate sowohl in Zoom als auch bei Ihrem IDP identisch sein. Wenn die Zertifikate nicht übereinstimmen, gibt Ihr IDP möglicherweise einen Fehler aus und verhindert, dass Benutzer sich anmelden. 

Dieses Zertifikat finden Sie in den Zoom SAML-Metadaten unter https://ihrervanityurl.zoom.us/saml/metadata/sp.

Zertifikat automatisch verwalten

Status Verhaltensweisen
Ein (Standard)

Für die Zoom-Metadaten werden zwei Zertifikate festgelegt, wenn das zuletzt erkannte Zertifikat derzeit nicht für SAML-Anforderungen ausgewählt ist. 

Zoom versucht, das Zertifikat automatisch zu wechseln (d. h. zu aktualisieren), wenn Ihr IDP so konfiguriert ist, dass die Zoom Metadaten-URL überwacht wird und verschlüsselte Assertionen unterstützt (die Option zur Unterstützung von verschlüsselten Assertionen muss dabei aktiviert sein).

Aus

In den SSO-Einstellungen wird nur ein Zertifikat für die Zoom-Metadaten festgelegt. Zoom wechselt nicht automatisch zu einem neuen Zertifikat.

AD FS-Zertifikatswechsel 

Wenn auf Ihrem AD FS-Server die Option Monitor relying party (Vertrauende Seite überwachen) für die Zoom SAML-Metadaten-URL nicht aktiviert ist, müssen Sie das Zertifikat manuell aktualisieren.

Automatische Aktualisierung des Zertifikats über die Metadaten-URL

So aktivieren Sie die Überwachungsoption auf Ihrem AD FS-Server:

    1. Melden Sie sich bei Ihrem AD FS-Server an.
    2. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    3. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    4. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    5. Geben Sie auf der Registerkarte Monitoring (Überwachung) Ihre Zoom SAML-Metadaten-URL ein (https://ihrevanityurl.zoom.us/saml/metadata/sp).
    6. Aktivieren Sie die Option Monitor relying party (Vertrauende Seite überwachen).
    7. Klicken Sie auf Übernehmen.

Manuelles Aktualisieren des Zertifikats über die Metadaten-URL

So aktualisieren Sie das Zertifikat manuell mithilfe der Metadaten-URL:

    1. Aktualisieren Sie in Ihren Zoom SSO-Einstellungen das Zoom-Zertifikat auf das neueste Zertifikat.
    2. Melden Sie sich bei Ihrem AD FS-Server an.
    3. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    4. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    5. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    6. Geben Sie Ihre Zoom SAML-Metadaten-URL ein (https://ihrevanityurl.zoom.us/saml/metadata/sp).
    7. Klicken Sie auf Test URL (URL testen).
    8. Klicken Sie nach der erfolgreichen Überprüfung auf OK und anschließend auf Übernehmen.
    9. Schließen Sie das Einstellungen-Fenster.
    10. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Update from Federation Metadata (Update ausführen aus Verbundmetadaten).
    11. Klicken Sie auf der Registerkarte Identifiers (Kennzeichner) auf Aktualisieren.
    12. Überprüfen Sie auf den Registerkarten Verschlüsselung und Signature (Signatur), ob das Gültigkeits- und Ablaufdatum des Zertifikats für das neue Zertifikat angegeben ist.
      Hinweis: Auf der Registerkarte Verschlüsselung ist nur ein Zertifikat oder möglicherweise kein Zertifikat sichtbar, wenn für SSO die Unterstützung von verschlüsselten Assertionen nicht aktiviert ist. Dies gilt auch für die Registerkarte Signature (Signatur), wenn für SSO die Option Sign SAML Request (Signatur der SAML-Anforderung) bzw. Sign SAML Logout Request (Signatur der SAML-Abmeldeanforderung) nicht aktiviert ist.

Zoom empfiehlt, nach Aktualisierug des Zertifikats einige Testanmeldungen durchzuführen, um sicherzustellen, dass SSO ordnungsgemäß funktioniert.

Fehlerbehebung bei Fehlern im AD FS-Protokoll

Fehler in Signaturzertifikat MSIS3015

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: Das Signaturzertifikat der Anspruchsanbieter-Vertrauensstellung 'xxxxxxxx.zoom.us', die durch den Fingerabdruck '175F66EE7911A55ECF3549280C85A0BB941CEC16' identifiziert wird, ist nicht gültig."

Fehler in Verschlüsselungszertifikat MSIS3014

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Das Verschlüsselungszertifikat für die Vertrauensstellung 'microsoft:identityserver:xxxxxxx.zoom.us' der vertrauenden Seite, die durch den Fingerabdruck '175F66EE7911A55ECF3549280C85A0BB941CEC16' identifiziert wird, ist nicht gültig."

Wenn Sie eine dieser Fehlermeldungen erhalten, kann dies darauf hindeuten, dass das Zertifikat gesperrt oder abgelaufen ist oder dass die Zertifikatkette nicht vertrauenswürdig ist Wir empfehlen, ein Rollback des Zertifikats auf das vorherige Zertifikat und anschließend einen Test durchzuführen, um sicherzustellen, dass die Fehler behoben wurden. Wenn die Fehler behoben wurden, aktualisieren Sie das Zertifikat erneut über die Metadaten-URL.

Manuelles Aktualisieren des Zertifikats über eine Datei

Laden Sie das Zertifikat von Zoom herunter.

    1. Navigieren Sie zu Ihren Zoom SSO-Einstellungen.
    2. Wählen Sie in der Dropdownliste Service Provider (SP) Certificate (Dienstanbieterzertifikat) das aktuelle Zertifikat aus (das Zertifikat mit dem am weitesten entfernten Ablaufdatum).
    3. Klicken Sie auf View (Anzeigen), um die Detailseite für das Zertifikat zu öffnen.
    4. Klicken Sie auf Download (Herunterladen), um die Zertifikatsdatei herunterzuladen.

Hochladen des Zertifikats in AD FS

    1. Melden Sie sich bei Ihrem AD FS-Server an.
    2. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    3. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    4. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    5. Klicken Sie auf die Registerkarte Verschlüsselung und anschließend auf Browse (Durchsuchen).
    6. Öffnen Sie die heruntergeladene Zertifikatsdatei.
    7. Klicken Sie auf die Registerkarte Signature (Signatur).
    8. Entfernen Sie alle aktuell aufgeführten Zertifikate.
    9. Klicken Sie auf Hinzufügen, und wählen Sie das neueste Zertifikat aus.

Zoom empfiehlt, nach Aktualisierung des Zertifikats einige Testanmeldungen durchzuführen, um sicherzustellen, dass SSO ordnungsgemäß funktioniert.

Wenn SSO-Anmeldungen beim Testen nicht ordnungsgemäß funktionieren, führen Sie ein Rollback auf das vorherige Zertifikat und anschließend eine Testanmeldung durch. Wenn die SSO-Anmeldung erfolgreich ist, laden Sie das Zertifikat anhand der oben beschriebenen Schritte erneut hoch.

Shibboleth-Zertifikatswechsel 

Shibboleth V3

Hinweis: Stellen Sie bei Verwendung von Shibboleth sicher, dass die Option zur Unterstützung verschlüsselter Assertionen aktiviert ist.

Wenn Shibboleth als Metadatenanbieter HTTPMetadataProvider, FileBackedHTTPMetadataProvider oder DynamicHTTPMetadataProvider verwendet, überwacht Shibboleth die Metadaten von Zoom. Wenn keiner der aufgeführten Metadatenanbieter verwendet wird, müssen Sie die Metadatendatei manuell auf den Shibboleth-Server herunterladen und aktualisieren.

Wenn Shibboleth als Metadatenanbieter ResourceBackedMetadataProvider, LocalDynamicMetadataProvider oder FilesystemMetadataProvider verwendet, können Sie die Metadatendatei unter Umständen aktualisieren, ohne den Webserver (z. B. Apache Tomcat oder eine andere Java-Anwendung) neu zu starten.

Weitere Informationen finden Sie im Wiki zu Shibboleth-Konfigurationen.

Manuelle Aktualisierung des Zertifikats über einen Webserver-Neustart

    1. Aktualisieren Sie in Ihren Zoom SSO-Einstellungen das Zoom-Zertifikat auf das neueste Zertifikat.
    2. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp herunter.
    3. Aktualisieren Sie die vorhandene Metadatendatei auf dem Shibboleth-Server mit der neuen Zertifikatsdatei.
    4. Starten Sie den Webserver neu.

Hinweis: Wenn Sie den Webserver nicht neu starten, müssen Sie warten, bis Shibboleth die Datei geladen hat. Dies kann zwischen 5 Minuten und maximal 24 Stunden dauern. Während dieses Zeitraums können sich Benutzer möglicherweise nicht mit SSO anmelden. 

Ordnungsgemäße manuelle Aktualisierung des Zertifikats

    1. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp. herunter.
    2. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp herunter.
    3. Warten Sie 48 Stunden, bis Zoom das neue Zertifikat automatisch erkennt und eine Aktualisierung auf das neue Zertifikat durchführt.
    4. Überprüfen Sie Ihre Zoom SSO-Konfiguration, um sicherzustellen, dass das Zertifikat automatisch auf das neueste Zertifikat (2022) aktualisiert wird.
      • Wenn erfolgreich: Laden Sie die Metadatendatei erneut über die Metadaten-URL herunter, und aktualisieren Sie den Server mit der neuen Datei.
      • Wenn nicht erfolgreich: Warten Sie einen weiteren Tag, bis Zoom das neue Zertifikat automatisch erkennt.

 

 

Powered by Zendesk