De sleutel en het verificatiecertificaat maken en uploaden
Als u SSO wilt instellen met de SAML-instantie waarbij Google de serviceprovider (SP) is, moet u een reeks openbare en privésleutels genereren, evenals een X.509-certificaat dat de openbare sleutel bevat. De openbare sleutels en certificaten moeten zijn gegenereerd met het RSA- of DSA-algoritme en zijn geregistreerd bij Google. Upload de sleutel en het certificaat via de Google-beheerdersconsole om te registreren.
De methode voor het genereren van sleutels en certificaten is afhankelijk van uw ontwikkelplatform en programmeertaal. X509-certificaten kunnen worden gegenereerd met de opdracht openssl
. U kunt OpenSSL, de tool Certificate Creation en de tool Pvk2pfx in .NET, Keytool in Java en Java Cryptography Architecture gebruiken om openbaar/privé-sleutelparen te maken. Zie Sleutels en certificaten genereren voor SSO voor meer informatie.
- Upload het verificatiecertificaat.
Het certificaatbestand moet een X.509-certificaat met een ingesloten openbare sleutel zijn.
Het certificaatbestand moet de openbare sleutel bevatten, zodat Google inlogverzoeken kan verifiëren.
De openbare sleutel moet zijn gegenereerd met het DSA- of RSA-algoritme. De sleutel wordt gebruikt om de SAML-reactie die u naar Google verzendt te verifiëren: kwam de SSO-verklaring echt van u? Het controleert ook of de SSO-verklaring niet is aangepast tijdens het verzenden.
De ingesloten openbare sleutel in het X.509-certificaat moet overeenkomen met de privésleutel waarmee de SAML-reactie wordt ondertekend.
Alleen in Chrome wordt gecontroleerd of het certificaat is geüpload, niet in andere browsers. - Vink optioneel het vakje aan voor Gebruik een domeinspecifieke uitgever om een domeinspecifieke uitgever in te schakelen. Als u deze functie inschakelt, verzendt Google een uitgever specifiek naar uw domein, google.com/a/uw_domein.com, waarbij uw_domein.com wordt vervangen door uw feitelijke domeinnaam.
Als u het vakje niet aanvinkt om een domeinspecifieke uitgever in te schakelen, verzendt Google de algemene uitgever, google.com, in het SAML-verzoek.
- Klik op Wijzigingen opslaan.
Zie Door partners uitgevoerde SAML Single sign-on-service (SSO) voor meer informatie.