Rotación de certificados de SSO de Zoom

Descripción general

Zoom ha mejorado el soporte de certificado de Inicio de sesión único (SSO), lo que permite a los propietarios y administradores de la cuenta hacer que Zoom actualice el certificado de forma automática cuando haya uno nuevo disponible, en lugar de hacerlo manualmente. Los administradores también pueden revertir su configuración de SSO para utilizar un certificado anterior.

Nota: Para mantenerse al día con las prácticas estándar del sector, Zoom retirará su certificado de inicio de sesión único (SSO) antes de su vencimiento el miércoles, 2 de febrero de 2022. Antes de rotar el certificado, es posible que deba hacer algo para evitar la interrupción del servicio y utilizar el SSO para iniciar sesión en Zoom:

Este artículo trata sobre:

Requisitos previos

Nuevas opciones de administración de certificados de SSO

Certificado de proveedor de servicios

Los certificados de proveedor de servicios se utilizan para firmar la solicitud de SAML y la solicitud de cierre de sesión de SAML al enviar tales solicitudes a su IDP. Debido a que su IDP utiliza estos certificados para verificar la firma de la solicitud de SAML y de cierre de sesión, es imperativo que los certificados sean los mismos tanto en Zoom como en su IDP. Si el certificado es diferente, su IDP podría dar un error y no permitir que un usuario inicie sesión.

Este certificado se puede encontrar dentro de los metadatos de SAML de Zoom en https://yourvanityurl.zoom.us/saml/metadata/sp.

Administrar el certificado automáticamente

EstadoComportamientos
Activado (Predeterminado)

Se configurarán dos certificados para los metadatos de Zoom si se detecta que el certificado más reciente no está seleccionado actualmente para las solicitudes de SAML.

Zoom intentará rotar automáticamente (actualizar) el certificado si su IDP está configurado para supervisar la URL de metadatos de Zoom y admite la afirmación cifrada (la opción «Admitir afirmaciones cifradas» debe estar activada).

Desactivado

Solo se configura un certificado para los metadatos de Zoom en la configuración de SSO. Zoom no rotará automáticamente a un nuevo certificado.

Rotación de certificados de ADFS

Si su servidor de ADFS no tiene habilitada la opción Supervisar usuario de confianza para la URL de metadatos de SAML de Zoom, deberá actualizar el certificado manualmente.

Actualizar el certificado automáticamente a través de la URL de metadatos

Para habilitar la opción de supervisión en su servidor de ADFS, haga lo siguiente:

    1. Inicie sesión en su servidor de ADFS.
    2. Abra Herramientas administrativas y, a continuación, abra la Consola de administración (MMC) de AD FS.
    3. En el panel de navegación izquierdo, haga clic en Relaciones de confianza y, a continuación, haga clic en Relaciones de confianza para usuario autenticado.
    4. Haga clic derecho en Relación de confianza para usuario autenticado para Zoom y, a continuación, haga clic en Propiedades.
    5. En la pestaña Supervisión, ingrese la URL de metadatos de SAML de Zoom (https://yourvanityurl.zoom.us/saml/metadata/sp).
    6. Habilite Supervisar usuario de confianza.
    7. Haga clic en Apply (Aplicar).

Actualizar el certificado manualmente a través de la URL de metadatos

Para actualizar el certificado manualmente a través de la URL de metadatos, haga lo siguiente:

    1. En la Configuración de SSO de Zoom, actualice el certificado de Zoom con el certificado más reciente.
    2. Inicie sesión en su servidor de ADFS.
    3. Abra Herramientas administrativas y, a continuación, abra la Consola de administración (MMC) de AD FS.
    4. En el panel de navegación izquierdo, haga clic en Relaciones de confianza y, a continuación, haga clic en Relaciones de confianza para usuario autenticado.
    5. Haga clic derecho en Relación de confianza para usuario autenticado para Zoom y, a continuación, haga clic en Propiedades.
    6. Ingrese la URL de metadatos de SAML de Zoom (https://yourvanityurl.zoom.us/saml/metadata/sp).
    7. Haga clic en Probar URL.
    8. Después de la validación correcta, haga clic en Aceptar y, a continuación, haga clic en Aplicar.
    9. Cierre la ventana Propiedades.
    10. Haga clic derecho en Relación de confianza para usuario autenticado para Zoom y, a continuación, haga clic en Actualizar desde los metadatos de Federation.
    11. En la pestaña Identificadores, haga clic en Actualizar.
    12. Verifique que las fechas de entrada en vigencia y vencimiento en el nuevo certificado estén en las pestañas Cifrado y Firma.
      Nota: la pestaña Cifrado solo puede contener un certificado o ninguno si su SSO no tiene habilitada la opción Admitir afirmaciones cifradas. Esto también se aplica para la pestaña Firma si el SSO no tiene habilitada la opción Firmar solicitud de SAML o Firmar solicitud de cierre de sesión de SAML.

Una vez que se ha actualizado el certificado, Zoom recomienda realizar dos pruebas de inicio de sesión para asegurarse de que SSO funciona correctamente.

Resolución de problemas en el registro de ADFS

Error de certificado de firma MSIS3015

«Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: El certificado de firma de confianza del proveedor de reclamaciones 'xxxxxxxx.zoom.us' identificado por huella digital '175F66EE7911A55ECF3549280C85A0BB941CEC16' no es válido».

Error de certificado de cifrado MSIS3014

«Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: El certificado de cifrado de relación de confianza para usuario autenticado 'microsoft:identityserver:xxxxxxx.zoom.us' identificado por huella digital '175F66EE7911A55ECF3549280C85A0BB941CEC16' no es válido».

Si recibe alguno de estos errores, esto podría indicar que el certificado se ha revocado, ha vencido o que la cadena de certificados no es de confianza. Recomendamos revertir el certificado a uno anterior y realizar una prueba para asegurarse de que se han resuelto los errores. Una vez resueltos los errores, vuelva a actualizar el certificado mediante la URL de metadatos.

Actualizar el certificado manualmente por archivo

Descargar el certificado desde Zoom

    1. Vaya a la configuración de SSO de Zoom
    2. En la lista desplegable Certificado de proveedor de servicios (SP), selecciones el certificado más reciente (el certificado con la fecha de vencimiento más lejana).
    3. Haga clic en Ver para abrir la página de detalles del certificado.
    4. Haga clic en Descargar para descargar el archivo del certificado.

Cargar el certificado en ADFS

    1. Inicie sesión en su servidor de ADFS.
    2. Abra Herramientas administrativas y, a continuación, abra la Consola de administración (MMC) de AD FS.
    3. En el panel de navegación izquierdo, haga clic en Relaciones de confianza y, a continuación, haga clic en Relaciones de confianza para usuario autenticado.
    4. Haga clic derecho en Relación de confianza para usuario autenticado para Zoom y, a continuación, haga clic en Propiedades.
    5. Haga clic en la pestaña Cifrado y, a continuación, haga clic en Examinar.
    6. Abra el archivo del certificado descargado.
    7. Haga clic en la pestaña Firma.
    8. Elimine los certificados que están actualmente en la lista.
    9. Haga clic en Agregar y elija el certificado más reciente.

Una vez que se ha actualizado el certificado, Zoom recomienda realizar dos pruebas de inicio de sesión para asegurarse de que SSO funciona correctamente.

Si los inicios de sesión SSO no funcionan correctamente al realizar las pruebas, revierta al certificado anterior y pruebe los inicios de sesión. Si el inicio de sesión de SSO se realiza correctamente, vuelva a cargar el certificado siguiendo los pasos anteriores.

Rotación de certificados de Shibboleth

Shibboleth V3

Nota: cuando utilice Shibboleth, asegúrese de que esté habilitada la opción Admitir afirmaciones cifradas.

Si el Shibboleth utiliza el tipo de proveedor de metadatos HTTPMetadataProvider, FileBackedHTTPMetadataProvider o DynamicHTTPMetadataProvider, entonces Shibboleth supervisará los metadatos de Zoom. Si no utiliza uno de los tipos de proveedor de metadatos enumerados, usted deberá cargar y actualizar manualmente el archivo de metadatos en el servidor de Shibboleth.

Si el Shibboleth utiliza el tipo de proveedor de metadatos ResourceBackedMetadataProvider, LocalDynamicMetadataProvider, FilesystemMetadataProvider, usted podrá actualizar el archivo de metadatos sin reiniciar el servidor web (como Apache Tomcat u otra aplicación Java).

Para obtener más detalles, visite la Wiki de configuración de Shibboleth.

Actualizar el certificado manualmente reiniciando el servidor web

    1. En la Configuración de SSO de Zoom, actualice el certificado de Zoom con el certificado más reciente.
    2. Descargue los nuevos metadatos de https://yourvanityurl.zoom.us/saml/metadata/sp.
    3. Actualice el archivo de metadatos existente en el servidor de Shibboleth con el nuevo archivo de certificado.
    4. Reinicie el servidor web.

Nota: Si no reinicia el servidor web, tendrá que esperar a que Shibboleth cargue el archivo, lo que puede llevar 5 minutos como mínimo, pero hasta 24 horas como máximo. Durante este período, es posible que los usuarios no puedan iniciar sesión con SSO.

Actualización manual correcta del certificado

    1. Descargue los nuevos metadatos de https://yourvanityurl.zoom.us/saml/metadata/sp.
    2. Actualice el archivo de metadatos existente en el servidor de Shibboleth con el nuevo archivo de certificado.
    3. Espere 48 horas para que Zoom detecte y actualice automáticamente el nuevo certificado.
    4. Compruebe la Configuración de SSO de Zoom para ver si el certificado se actualizó automáticamente al más reciente (2022).
      • Si se realiza correctamente: vuelva a descargar el archivo de metadatos de la URL de metadatos y actualice el servidor con el archivo nuevo.
      • Si no se realiza correctamente: espere un día más para que Zoom detecte automáticamente el nuevo certificado.