Criar e fazer o upload da chave e do certificado de verificação
Para configurar o logon único (SSO, na sigla em inglês) usando a instância SAML na qual o Google é o provedor de serviços (SP, na sigla em inglês), você precisa gerar um conjunto de chaves públicas e privadas e um certificado X.509 que contenha a chave pública. As chaves públicas e os certificados precisam ser gerados com o algoritmo RSA ou DSA e registrados no Google. Para fazer o registro, faça o upload da chave e do certificado no Google Admin Console.
A maneira como você gera chaves e certificados normalmente depende da sua plataforma de desenvolvimento e da linguagem de programação preferida. É possível usar o comando openssl
para gerar certificados X509. Para criar pares de chaves públicas e particulares, você pode usar o OpenSSL, a ferramenta Criação de certificado e a ferramenta Pvk2pfx em .NET, Keytool em Java ou a Java Cryptography Architecture. Para saber mais detalhes, consulte Gerar chaves e certificados para SSO.
- Faça o upload do certificado de verificação.
O arquivo do certificado precisa estar no formato X.509 com uma chave pública incorporada.
O arquivo do certificado precisa conter a chave pública para que o Google confirme as solicitações de login.
A chave pública precisa ser gerada com os algoritmos DSA ou RSA. Essa chave é usada para confirmar a resposta do SAML que você envia para o Google, isto é, se a declaração de SSO foi realmente enviada por você. Ela também garante que a declaração de SSO não foi modificada durante a transmissão.
É importante associar a chave pública incorporada ao certificado X.509 à chave privada que você usa para assinar a resposta do SAML.
Apenas o Chrome confirma o upload do seu certificado. Outros navegadores não fazem isso. - Para ativar um emissor específico do domínio, também é possível marcar a caixa Usar um emissor específico do domínio. Se você ativar esse recurso, o Google enviará um emissor específico para seu domínio, google.com/a/seu_dominio.com, onde seu_dominio.com é substituído pelo nome do seu domínio.
Se você não marcar a caixa para ativar um emissor específico do domínio quando configurar o SSO, o Google enviará o emissor padrão, google.com, na solicitação do SAML.
- Clique em Salvar alterações.
Para mais informações, consulte o Serviço de logon único SAML (SSO) operado por parceiros.