Skip To Content

Configurare un provider di identità conforme a SAML con un portale

Security Assertion Markup Language (SAML) è uno standard aperto per lo scambio protetto di dati di autenticazione e autorizzazione tra un provider di identità specifico dell'organizzazione ed un provider di servizi (in questo caso, Portal for ArcGIS). Tale approccio è noto come Single Sign-On Web SAML.

Il portale è compatibile conSAML 2.0 e si integra con i provider di identità che supportano il Sigle Sign-On Web SAML2. ConfigurareSAML presenta il vantaggio di non dover creare ulteriori account di accesso al portale ArcGIS Enterprise, perché in questo caso gli utenti accedono con l'account di accesso già configurato in un archivio di identità. Nella documentazione tale processo è descritto come "configurazione di account di accesso specifica dell'organizzazione".

Se si desidera, è possibile specificare nel portale i metadati relativi ai gruppi aziendali nell'archivio identità. In questo modo è possibile creare gruppi nel portale che utilizzano i gruppi aziendali esistenti nell'archivio identità.

Quando i membri si registrano nel portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. Se non si specificano i metadati necessari del gruppo aziendale, è ancora possibile creare gruppi. Tuttavia, le regole di appartenenza sono controllate dal portale ArcGIS Enterprise e non dall'archivio identità.

Abbina i nomi utenteArcGIS Online presenti nel portale ArcGIS Enterprise.

Se si utilizza lo stesso provider di identità conforme aSAML nell'organizzazione e nel portale ArcGIS Online, i nomi utente specifici dell'organizzazione possono essere configurati affinché corrispondano. Tutti i nomi utenti specifici dell'organizzazione inArcGIS Online hanno il nome breve dell'organizzazione aggiunto alla fine. Gli stessi nomi utente specifici dell'organizzazione possono essere utilizzati nel portale definendo la proprietàdefaultIDPUsernameSuffix nella configurazione di sicurezza del portale ArcGIS Enterprisee impostandola in modo che corrisponda al nome breve dell'organizzazione. Ciò è necessario se è abilitato il monitoraggio delle modifiche su un Feature Service che viene modificato da utenti specifici dell'organizzazione sia daArcGIS Online che dal portale.

Accesso a SAML

Portal for ArcGIS supporta gli account di accesso specifici dell'organizzazione avviati dal provider di servizi e gli account di accesso specifici dell'organizzazione avviati dal provider di identità. L'esperienza di accesso tra l'uno e l'altro è differente.

Account di accesso basati su provider di servizi

Con gli account di accesso basati su provider di servizi, gli utenti accedono direttamente al portale e possono scegliere di effettuare l'accesso con account predefiniti(gestiti dal portale) o tramite account gestiti da provider di identità conformi a SAML. Se l'utente sceglie l'opzione del provider di identità SAML, verrà indirizzato ad una pagina Web (nota come gestore di accesso) in cui viene richiesto di immettere il nome utente e la password SAML. In seguito alla verifica delle credenziali di accesso dell'utente, il provider di identità conforme a SAML informerà Portal for ArcGIS che l'identità dell'utente è stata verificata. L'utente verrà quindi reindirizzato al portale Web.

Se l'utente sceglie l'opzione dell'account predefinito, verrà aperta la pagina di accesso al portale Web di ArcGIS Enterprise. L'utente potrà quindi immettere nome utente e password predefiniti per accedere al sito Web. È possibile utilizzare l'opzione dell'account predefinito come opzione fail-safe nel caso in cui il provider di identità conforme a SAML non sia disponibile, a condizione che l'opzione per accedere con un account ArcGIS non sia stata disabilitata.

Credenziali di accesso basati su provider di identità

Con gli account di accesso basati su provider di identità, gli utenti accedono direttamente alla Gestione accessi ed effettuano l'accesso con il proprio account. Quando l'utente invia le informazioni sul proprio account, il provider di identità invia la risposta SAML direttamente aPortal for ArcGIS. L'utente effettua quindi l'accesso e viene reindirizzato al sito Web del portale in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.

L'opzione per effettuare l'accesso con account predefiniti non è accessibile da Gestione accessi. Per effettuare l'accesso all'organizzazione con account predefiniti, i membri devono accedere direttamente al Portale Web.

Nota:

Se gli accessi SAML non funzionano a causa di problemi con il provider di identità e l'opzione degli account predefiniti è disabilitata, non sarà possibile accedere al portale ArcGIS Enterprise fino a quando non si abiliterà nuovamente questa opzione. Per istruzioni, consultare questa domanda in Problemi comuni e relative soluzioni.

Provider di identità SAML

Portal for ArcGIS supporta tutti i provider di identità conformi a SAML. È possibile trovare istruzioni dettagliate sulla configurazione di alcuni comuni provider di identità conformi a SAML nel repository ArcGIS/idp GitHub.

Il processo di configurazione dei fornitori di identità con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore del provider di identità SAML per ottenere i parametri indispensabili per la configurazione.

Informazioni obbligatorie

Portal for ArcGIS richiede che informazioni specifiche sugli attributi siano ricevute dall'IDP quando un utente esegue l'accesso utilizzando gli account SAML. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML affinché la federazione con Portal for ArcGIS funzioni. Dal momento che Portal for ArcGIS usa il valore di NameID per identificare in modo univoco un utente con nome, si consiglia di usare un valore costante che identifica l'utente in modo univoco. Quando un utente di IDP effettua l'accesso, NameID crea un nuovo utente con il nome utente Portal for ArcGIS nel proprio archivio utenti. Per il valore inviato da NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.

Portal for ArcGIS supporta l'afflusso dell'indirizzo e-mail di un utente, l'appartenenza al gruppo, un nome fornito e il cognome provenienti dal provider di identità SAML.

Configurare il portale con un provider di identità SAML

È possibile configurare il portale in modo che gli utenti possano effettuare l’accesso utilizzando il nome utente e la password utilizzati con sistemi locali esistenti. Prima di impostare gli accessi specifici dell'organizzazione, è necessario configurare un tipo di utente predefinito per l'organizzazione.

  1. Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
  2. Nella sezione Login, cliccare il pulsante Nuovo login SAML e selezionare l'opzione Un provider di identità. Nella pagina Specificare proprietà, digitare il nome dell'organizzazione (ad esempio, City of Redlands).

    Quando gli utenti accedono al Sito Web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML, ad esempio con l'account City of Redlands.

  3. Selezionare Automaticamente o Su invito di un amministratore per specificare se gli utenti possono iscriversi all'organizzazione automaticamente o su invito.
    Le prima opzione consente agli utenti di accedere all'organizzazione con l'account di accesso specifico dell'organizzazione senza intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Pythondi esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
    Suggerimento:

    Si consiglia di designare almeno un account SAML come amministratore del portale e di abbassare o eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account nel sito Web del portale per impedire agli utenti di creare i propri account. Per istruzioni, consultare la sezione Designare un account specifico dell'organizzazione come un amministratore riportata di seguito.

  4. Specificare l'origine a cui il portale dovrà accedere per ottenere le informazioni dei metadati. Ciò fornisce le informazioni dei metadati necessarie sul provider di identità conforme a SAML. È possibile trovare istruzioni per ottenere i metadati da provider certificati nel repository ArcGIS/idp GitHub. Sono tre le possibili origini delle informazioni sui metadati:
    • Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
      Nota:

      Se il provider di identità include un certificato autofirmato, potrebbe verificarsi un errore quando si specifica l'URL HTTPS dei metadati. Questo errore si verifica perchéPortal for ArcGIS non è in grado di verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti oppure configurare il provider di identità con un certificato attendibile.

    • Un file: caricare un file che contiene le informazioni dei metadati sul provider di identità.
    • Parametri specificati qui: immettere direttamente le informazioni dei metadati sul provider di identità specificando quanto segue:
      • URL di accesso (reindirizzamento): fornire l'URL del provider di identità (che supporta l'associazione reindirizzamento HTTP) che verrà utilizzato da Portal for ArcGIS per consentire ad un membro di effettuare l'accesso.
      • URL di accesso (POST): fornire l'URL del provider di identità (che supporta l'associazione HTTP POST) che verrà usato da Portal for ArcGIS per consentire a un membro di effettuare l'accesso.
      • Certificato: specificare il certificato del provider di identità, codificato in formato BASE 64. Si tratta del certificato che consente al Portal for ArcGIS di verificare la firma digitale nelle risposte SAML inviate dal provider di identità.
    Nota:

    Per informazioni sull'origine delle informazioni dei metadati da specificare, contattare l'amministratore del provider di identità.

  5. Registrare i metadati del fornitore di servizi del portale con il provider di identità per completare il processo di configurazione e stabilire una relazione di attendibilità con il provider di identità. Per ottenere i metadati dal portale, attenersi alla seguente procedura:
    • Nella sezione Sicurezza nella scheda Impostazioni dell'organizzazione, fare clic sul pulsante Scarica metadati del provider di servizi per scaricare il file di metadati del provider di servizi per l'organizzazione.
    • Aprire l'URL dei metadati e salvarlo in formato .xml sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nella casella di testo URL applicazione Web. Nessun'altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta è supportata e può comportare la generazione di un token non valido.

    È possibile trovare istruzioni per la registrazione dei metadati del provider di servizi del portale con provider certificati nel repository ArcGIS/idp GitHub.

  6. Configurare le impostazioni avanzate, laddove applicabile:
    • Crittografare asserzione: indica al provider di identità SAML che Portal for ArcGIS supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione delle risposte SAML. Tutto il traffico SAML verso e daPortal for ArcGIS è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
    • Abilita richiesta firmata: consente a Portal for ArcGIS di firmare la richiesta di autenticazione SAML inviata al provider di identità. La firma della richiesta di accesso iniziale inviata daPortal for ArcGIS consente al provider di identità di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
      Suggerimento:

      Abilitare questa impostazione per garantire l'integrità delle richieste SAML. È possibile abilitare questa opzione in qualsiasi momento nelle impostazioni avanzate, anche se è stata saltata durante la configurazione iniziale del portale.

    • Propaga logout a provider di identità: consente a Portal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente dal provider di identità. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se il provider di identità richiede che l'URL di disconnessione sia firmato, anche l'impostazione Abilita richiesta firmata deve essere abilitata. Quando questa impostazione non è selezionata, facendo clic su Disconnetti in Portal for ArcGIS, si eseguirà la disconnessione dell'utente da Portal for ArcGIS ma non dal provider di identità. Se la cache del browser Web dell'utente non viene cancellata, eseguire immediatamente l'accesso a Portal for ArcGIS utilizzando l'opzione di accesso specifica dell'organizzazione, che comporterà un accesso senza fornire credenziali utente al provider di identità SAML. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
    • Aggiorna profilo all'accesso: consente a Portal for ArcGIS di aggiornare i givenName degli utenti e attributi email address se sono cambiati rispetto all'ultimo accesso. Questa opzione è abilitata per impostazione predefinita.
    • Abilita appartenenza al gruppo basata su SAML: consente agli amministratori del portale di collegare i gruppi nel provider di identità SAML ai gruppi creati nel portale ArcGIS Enterprise. Quando questa opzione è abilitata, Portal for ArcGIS analizza la risposta all'asserzione SAML per identificare a quali gruppi appartiene un membro. È possibile quindi specificare uno o più gruppi aziendali forniti dal provider di identità per Chi può iscriversi al gruppo quando si crea un nuovo gruppo nel portale. Questa funzionalità è disabilitata per impostazione predefinita.
    • URL di disconnessione: immettere l'URL del provider di identità da utilizzare per disconnettere l'utente attualmente connesso. Se si specifica questa proprietà nel file di metadati del provider di identità, questa viene impostata automaticamente.
    • ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca l'organizzazionePortal for ArcGIS al provider di identità SAML.

Configurare un IDP conforme a SAML per un portale in alta affidabilità

Portal for ArcGIS utilizza un certificato con alias samlcert quando si inviano richieste firmate (login e logout) all'IDP, e quando si decodificano risposte criptate dall'IDP. Se si sta configurando un portale ArcGIS Enterprise ad alta affidabilità e si sta utilizzando un IDP conforme a SAML, è necessario assicurarsi che ogni istanza di Portal for ArcGIS utilizzi lo stesso certificato durante la comunicazione con l'IDP.

Il modo migliore per assicurarsi che tutte le istanze utilizzino un certificato identico per SAML è generare un nuovo certificato con alias samlcert e importarlo in ogni istanza di Portal for ArcGIS nell'installazione ad alta affidabilità.

  1. Effettuare l'accesso a Portal Administrator Directory su https://example.domain.com:7443/arcgis/portaladmin.
  2. Navigare in Sicurezza > sslcertificates e cliccare il certificato esistente samlcert.
  3. Fare clic su elimina.
  4. Ripetere i passaggi da 1 a 3 per eliminare i certificati samlcert esistenti in tutte le istanze del portale ad alta affidabilità.
  5. Generare un nuovo certificato autofirmato da ArcGIS Portal Administrator Directory.
  6. Durante la configurazione del certificato, specificare samlcert come alias e il nome host del bilanciatore di carico dell'installazione come sia il nome per Nome Comune che per l'alias DNS nel campo Nome Soggetto Alternativo.
  7. Quando il certificato è stato generato, esportarlo in un file .pfx:
    1. Avviare una sessione del terminale e autenticarsi come utente che ha installato Portal for ArcGIS.
    2. Dalla linea di comando, navigare fino alla cartella <Portal installation location>/etc/ssl.
    3. Digitare il seguente comando per esportare il samlcert nel formato file .pfx:
      ..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
  8. Importare il nuovo certificato in ogni istanza di Portal for ArcGIS dalla pagina Sicurezza > sslcertificates > Importa Certificato Server Esistente.
  9. Riavviare Portal for ArcGIS su ogni istanza del portale ad alta affidabilità.

È possibile usare il file dei metadati del provider del servizio nel portale ArcGIS Enterprise per verificare che i certificati in uso per la comunicaznone con l'IDP SAML siano gli stessi nel portale ad alta affidabilità.

  1. Nel riquadro Organizzazione, navigare verso Modifica Impostazioni > Sicurezza.
  2. Nell'elemento Accessi Enterprise tramite SAML nella pagina Sicurezza, cliccare Modifica Provider d'Identità. Aprire il menu Mostra impostazioni avanzate e assicurarsi che l'opzione Crittografia Asserzione sia selezionata. Se non lo è, selezionarla e cliccare Aggiorna Provider d'Identità per salvare le modifiche.
  3. Ritornare agli elementi Accessi Enterprise tramite SAML e selezionare Ottieni Provider di Servizio. Ciò esporterà i metadati del provider di servizio come file .xml nel computer.
  4. Aprire il file .xml scaricato. Assicurarsi che la seguente frase sia presente: <md:KeyDescriptor use="encryption">. Ciò indica che il certificato per la crittografia è presente.
  5. Notare i valori nella sottosezione <ds:KeyInfo>.
  6. Ripetere questi passaggi per ogni istanza di Portal for ArcGIS in ogni computer dell'installazione per ottenere i file metadati del provider di servizio di ognuno.

I file metadati esportati devono avere tutti le stesse informazioni nella sottosezione <ds:KeyInfo>, indicando che lo stesso certificato è in uso in ogni istanza di Portal for ArcGIS durante la comunicazione con l'IDP conforme a SAML.

Designare un account specifico dell'organizzazione come amministratore

La modalità di designazione di un account specifico dell'organizzazione come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Su invito di un amministratore.

Iscriversi all'organizzazione automaticamente

Se è stata selezionata l'opzione Automaticamente che consente agli utenti di iscriversi all'organizzazione automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account specifico dell'organizzazione che si desidera utilizzare come amministratore del portale.

Quando un account viene aggiunto automaticamente al portale per la prima volta, gli viene assegnato il ruolo predefinito configurato per i nuovi membri. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account specifico dell'organizzazione.

  1. Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account SAML che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
  2. Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
  3. Nel browser, aprire il sito Web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
  4. Individuare l'account SAML che si desidera utilizzare per amministrare il portale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.

L'account SAML scelto è ora un amministratore del portale.

Aggiungere manualmente account specifici dell'organizzazione al portale.

Se è stata selezionata l'opzione Su invito di un amministratore che consente agli utenti di iscriversi all'organizzazione solo con un invito, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Scegliere il ruolo Amministratore per un account SAML che si desidera utilizzare per amministrare il portale.

Abbassare di livello o eliminare l'account amministratore iniziale

Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare l'account di amministratore iniziale a un altro ruolo oppure eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Impedire agli utenti di creare i propri account

È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.

Impedire agli utenti di accedere con un account ArcGIS.

Per impedire agli utenti di accedere al portale utilizzando un account ArcGIS, disabilitare il selettore Accesso ad ArcGIS nella pagina di accesso.

  1. Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
  2. Nella sezione Accessi, disattivare il selettore per l'Accesso ad ArcGIS.

Nella pagina di accesso viene visualizzato il pulsante per accedere al portale utilizzando un account provider di identità e non sarà disponibile il pulsante Accesso ad ArcGIS. Per riabilitare gli accessi per i membri con gli account ArcGIS, attivare il selettore Accesso ad ArcGIS nella sezione Accessi.

Modificare o rimuovere l'IDP di SAML

Una volta configurato un IDP di SAML, è possibile aggiornare le sue impostazioni facendo clic sul pulsante Modifica, Modifica accanto all'IDP diSAML attualmente registrato. Aggiornare le impostazioni nella finestra Modificare accesso SAML.

Per rimuovere l'IDP attualmente registrato, fare clic sul pulsante Modifica Modifica accanto all'IDP e fare clic su Eliminare accesso nella finestra Modificare accesso a SAML. Dopo aver rimosso un IDP, se lo si desidera è possibile configurare un IDP o una federazione di IDP nuovi.

Procedure consigliate per la sicurezza SAML

Per abilitare gli accessi SAML, è possibile configurare ArcGIS Enterprise come SP per l'IDP SAML. Per assicurare una sicurezza efficace, tenere in considerazione le procedure consigliate descritte di seguito.

Firmare digitalmente le richieste di accesso e disconnessione SAML e firmare la risposta delle asserzioni SAML

Le firme vengono utilizzate per assicurare l'integrità dei messaggi SAML e per agire come protezione contro gli attacchi man-in-the-middle (MITM). La firma digitale della richiesta SAML assicura inoltre che le richieste vengano inviate da un SP attendibile, consentendo all'IDP di offrire una migliore protezione dagli attacchi denial-of-service (DOS). Attivare l'opzione Abilita richiesta firmata nelle impostazioni avanzate durante la configurazione degli accessi SAML.

Nota:

L'abilitazione delle richieste firmate richiede che l'IDP sia aggiornato ogni volta che il certificato di firma usato dall'SP viene rinnovato o sostituito.

Configurare l'IDP SAML per firmare la risposta SAML per evitare che i dati in transito alterino la risposta delle asserzioni SAML.

Nota:

L'abilitazione delle richieste firmate richiede che l'SP (ArcGIS Enterprise) sia aggiornato ogni volta che il certificato di firma usato dall'IDP viene rinnovato o sostituito.

Utilizzare l'endpoint HTTPS dell'IDP

Qualsiasi comunicazione tra l'SP e l'IDP e il browser dell'utente inviata su qualsiasi rete interna o su Internet in un formato non crittografato può essere intercettata da soggetti con intenzioni dolose. Se l'IDP SAML supporta HTTPS, si consiglia di utilizzare l'endpoint HTTPS per assicurare la riservatezza dei dati trasmessi durante gli accessi SAML.

Crittografare la risposta delle asserzioni SAML

L'utilizzo di HTTPS per le comunicazioni SAML mette in sicurezza i messaggi SAML inviati tra IDP e SP. Tuttavia, gli utenti che hanno effettuato l'accesso possono comunque decodificare e visualizzare i messaggi SAML tramite il browser Web. L'abilitazione della crittografia delle risposte di asserzione evita che gli utenti visualizzino informazioni riservate o sensibili comunicate tra IDP e SP.

Nota:

L'abilitazione delle asserzioni crittografate richiede che l'IDP sia aggiornato ogni volta che il certificato di crittografia usato dall'SP (ArcGIS Enterprise) viene rinnovato o sostituito.

Gestione sicura dei certificati di firma e di crittografia

Utilizzare certificati con chiavi crittografiche forti per la firma digitale o per la crittografia di messaggi SAML, ed eseguire il rinnovo o la sostituzione dei certificati in un intervallo che va dai tre ai cinque anni.