Skapa och överföra nyckel och verifieringscertifikat
När du konfigurerar SSO med den SAML-instans som har Google som tjänsteleverantör behöver du skapa en uppsättning offentliga och privata nycklar och ett X.509-certifikat som innehåller den offentliga nyckeln. De offentliga nycklarna och certifikaten måste ha skapats med RSA- eller DSA-algoritmen och registrerats hos Google. Vid registreringen överför du nyckeln och certifikatet via Google Administratörskonsol.
Hur du genererar nycklar och certifikat beror ofta på utvecklingsplattformen och programmeringsspråket. X509-certifikat kan genereras med kommandot openssl
. Du kan använda OpenSSL, Certificate Creation-verktyget och Pvk2pfx-verktyget i .NET, Keytool i Java och Java Cryptography Architecture för att skapa offentliga och privata nyckelpar. Mer information finns i Generera nycklar och certifikat för SSO.
- Överför verifikationscertifikatet.
Certifikatfilen måste vara ett certifikat i formatet X.509, med en inbäddad offentlig nyckel.
Certifikatfilen måste innehålla den offentliga nyckeln så att Google kan verifiera inloggningsbegäranden.
Den offentliga nyckeln måste skapas med DSA- eller RSA-algoritmer. Den här knappen används för att verifiera det SAML-svar du skickar till Google – dvs. kom SSO-verifieringen verkligen från dig? Den säkerställer också att SSO-verifieringen inte ändrades under överföringen.
Det är viktigt att den inbäddade offentliga nyckeln i X.509-certifikatet överensstämmer med den privata nyckel som du använder för att signera SAML-svaret.
Kontrollen av att certifikatet har överförts görs bara i Chrome. Den görs inte i andra webbläsare. - Alternativt markerar du rutan Använd en domänspecifik utfärdare och aktiverar en domänspecifik utfärdare. Om du aktiverar den här funktionen skickar Google en utfärdare som är specifik för din domän, google.com/a/din_domän.com, där din_domän.com ersätts med ditt faktiska domännamn.
Om du inte markerar kryssrutan för att aktivera en domänspecifik användare när du konfigurerar SSO, skickar Google standardutfärdaren, google.com, i SAML-begäran.
- Klicka på Spara ändringarna.
Mer information finns i Partnerstyrd SAML SSO-tjänst (enkel inloggning).