De vraag
Je organisatie maakt gebruik van SAML SSO via Azure AD (Microsoft Entra ID) om in te loggen op PlusPort Academy. Het SAML-ondertekeningscertificaat in Azure verloopt binnenkort of is al verlopen, en je wilt weten of je dit certificaat kunt vervangen zonder dat dit gevolgen heeft voor de SSO-koppeling met PlusPort Academy.
Het antwoord
Ja, je kunt het SAML-certificaat in Azure zonder problemen vervangen. PlusPort Academy slaat het SAML-certificaat niet lokaal op. Bij elke inlogpoging via SSO wordt het certificaat automatisch uit de SAML-response van Azure AD gelezen. Zodra je het nieuwe certificaat in Azure hebt geactiveerd, bevat de SAML-response automatisch het nieuwe certificaat en gebruikt PlusPort Academy dit direct.
Er is geen actie nodig aan de kant van PlusPort.
Wat is het SAML-certificaat?
Het SAML-certificaat is een ondertekeningscertificaat dat wordt gebruikt door je Identity Provider (Azure AD) om de SAML-responses digitaal te ondertekenen. PlusPort Academy verifieert deze handtekening om te bevestigen dat de inlogpoging afkomstig is van een vertrouwde bron. Het certificaat zit ingebed in elke SAML-response die Azure AD stuurt bij een inlogpoging — PlusPort Academy leest het certificaat daaruit, en slaat het niet apart op.
Hoe werkt het vervangen?
- Ga in Azure AD (Microsoft Entra ID) naar de Enterprise Application die is gekoppeld aan PlusPort Academy
- Open de sectie SAML-ondertekeningscertificaat (of SAML Signing Certificate)
- Maak een nieuw certificaat aan of importeer een nieuw certificaat
- Activeer het nieuwe certificaat als het actieve ondertekeningscertificaat
- Controleer of de App Federation Metadata URL nog correct is — deze URL blijft normaal gesproken ongewijzigd
Na het activeren van het nieuwe certificaat ondertekent Azure AD alle nieuwe SAML-responses met het nieuwe certificaat. PlusPort Academy leest het certificaat uit de eerstvolgende SAML-response en gebruikt dit automatisch.
Let op: Zorg ervoor dat het oude certificaat pas wordt verwijderd nadat het nieuwe certificaat actief is. Als je het oude certificaat verwijdert voordat het nieuwe actief is, kunnen gebruikers tijdelijk niet inloggen via SSO.
Veelgestelde vragen
Moet ik PlusPort informeren als ik het certificaat vervang?
Nee, dat is niet nodig. PlusPort Academy slaat het certificaat niet lokaal op, maar leest het bij elke inlogpoging uit de SAML-response van je Identity Provider. Het vervangen verloopt volledig aan jouw kant.
Ervaren gebruikers downtime tijdens het vervangen?
Als je het nieuwe certificaat activeert voordat je het oude verwijdert, is er geen downtime. Azure AD ondersteunt het gelijktijdig actief hebben van meerdere certificaten, zodat je kunt wisselen zonder onderbreking.
Wat als gebruikers na het vervangen niet meer kunnen inloggen?
Controleer de volgende punten:
- Is het nieuwe certificaat in Azure AD geactiveerd als het actieve ondertekeningscertificaat?
- Is de App Federation Metadata URL nog bereikbaar en correct?
- Staat het juiste NameID-formaat nog ingesteld (bijvoorbeeld e-mailadres)?
Als het probleem aanhoudt, neem dan contact op met het Customer Success team via customersuccess@plusport.com.
Hoe vaak moet het SAML-certificaat worden vervangen?
Azure AD genereert standaard certificaten met een geldigheid van drie jaar. Azure stuurt van tevoren een notificatie wanneer het certificaat bijna verloopt. Het is aan te raden om het certificaat ruim voor de vervaldatum te vernieuwen.
Geldt dit ook voor andere Identity Providers dan Azure AD?
Het principe is hetzelfde: PlusPort Academy leest het ondertekeningscertificaat uit de SAML-response van je Identity Provider, ongeacht welke IdP je gebruikt. Vervang het certificaat bij je IdP en de koppeling blijft werken. Raadpleeg de documentatie van je specifieke Identity Provider voor de exacte stappen.