Следует ли мне беспокоиться о сбоях в работе при автоматическом обновлении сертификатов токенов ADFS?

Я не согласен с принятым ответом. По моему опыту, типичная полагающаяся сторона:

• Не принимает автоматически новые метаданные
• Определенно выходит из строя каждый раз, когда происходит перенос сертификата
• Полностью удивлен, когда сообщаю об отключении, даже если это произошло 3 года подряд
• Не знает, как использовать метаданные, и требует, чтобы я вместо этого отправил им сертификат по электронной почте

Так что да, волнуйтесь.

Моя самая большая полагающаяся сторона, Google, похоже, не реализует автоматическое обновление метаданных и предоставляет только один слот для загрузки сертификата, что означает, что нет способа сделать плавный переход. Вы должны загрузить сертификат в Google в тот момент, когда он станет основным на сервере ADFS, в противном случае произойдет сбой.

(Я предполагаю, что цель наличия обоих сертификатов в метаданных состоит в том, чтобы позволить проверяющим сторонам фактически принимать оба сертификата во время перекрытия в их диапазонах дат, что сделало бы возможным плавный перенос. В Google такого нет.)

Даже более компетентная доверяющая сторона, использующая на своей стороне ADFS, не смогла выполнить автоматическое обновление, и ей удалось выполнить обновление только из метаданных XML, воссоздав доверительные отношения с нуля.

Очень волнуйтесь.

Из ADFS PoV ничего делать не нужно.

Да - сертификат удален.

Однако любой CP и RP, которые не принимают новые метаданные автоматически, сломаются, так как они будут думать, что токен неправильно подписан.

Их необходимо обновить вручную.