Configurar o logon único usando provedores de identidade de terceiros

Chave SAML e certificado de verificação

Criar e fazer o upload da chave e do certificado de verificação

Para configurar o logon único (SSO, na sigla em inglês) usando a instância SAML na qual o Google é o provedor de serviços (SP, na sigla em inglês), você precisa gerar um conjunto de chaves públicas e privadas e um certificado X.509 que contenha a chave pública. As chaves públicas e os certificados precisam ser gerados com o algoritmo RSA ou DSA e registrados no Google. Para fazer o registro, faça o upload da chave e do certificado no Google Admin Console.

A maneira como você gera chaves e certificados normalmente depende da sua plataforma de desenvolvimento e da linguagem de programação preferida. É possível usar o comando openssl para gerar certificados X509. Para criar pares de chaves públicas e particulares, você pode usar o OpenSSL, a ferramenta Criação de certificado e a ferramenta Pvk2pfx em .NET, Keytool em Java ou a Java Cryptography Architecture. Para saber mais detalhes, consulte Gerar chaves e certificados para SSO.

  1. Faça o upload do certificado de verificação.

    O arquivo do certificado precisa estar no formato X.509 com uma chave pública incorporada.

    O arquivo do certificado precisa conter a chave pública para que o Google confirme as solicitações de login. 

    A chave pública precisa ser gerada com os algoritmos DSA ou RSA. Essa chave é usada para confirmar a resposta do SAML que você envia para o Google, isto é, se a declaração de SSO foi realmente enviada por você. Ela também garante que a declaração de SSO não foi modificada durante a transmissão.

    É importante associar a chave pública incorporada ao certificado X.509 à chave privada que você usa para assinar a resposta do SAML.

    Apenas o Chrome confirma o upload do seu certificado. Outros navegadores não fazem isso.

  2. Para ativar um emissor específico do domínio, também é possível marcar a caixa Usar um emissor específico do domínio. Se você ativar esse recurso, o Google enviará um emissor específico para seu domínio, google.com/a/seu_dominio.com, onde seu_dominio.com é substituído pelo nome do seu domínio.

    Se você não marcar a caixa para ativar um emissor específico do domínio quando configurar o SSO, o Google enviará o emissor padrão, google.com, na solicitação do SAML.

  3. Clique em Salvar alterações.

Para mais informações, consulte o Serviço de logon único SAML (SSO) operado por parceiros.

Isso foi útil?
Como podemos melhorá-lo?