建立及上傳金鑰和驗證憑證
在 Google 是服務供應商 (SP) 的情況下,如要使用 SAML 執行個體設定 SSO,您必須產生一組公開金鑰和私人金鑰,以及包含公開金鑰的 X.509 憑證。這些公開金鑰和憑證都必須由 RSA 或 DSA 演算法產生,並且向 Google 註冊。如要進行註冊,您必須透過 Google 管理控制台上傳金鑰和憑證。
產生金鑰和憑證的方式通常取決於您的開發平台和程式設計語言偏好。您可以使用 openssl 指令產生 X509 憑證。如要建立公開及私人金鑰組,在 .NET 中,您可以使用 OpenSSL、憑證建立工具 (Certificate Creation tool) 和 Pvk2pfx 工具,Java 則適合使用 Keytool;或者,您也可以使用 Java Cryptography Architecture。詳情請參閱建立 SSO 所需的金鑰和憑證。
- 上傳您的驗證憑證。
憑證檔案必須是 X.509 格式的憑證,並附有內嵌的公開金鑰。
憑證檔案必須包含公開金鑰,以便 Google 驗證登入要求。
公開金鑰必須由 DSA 或 RSA 演算法所產生。這個金鑰的用途是驗證您傳送給 Google 的 SAML 回應 (即 SSO 是否由您所宣告),以及確認在傳輸期間 SSO 宣告是否遭到修改。
X.509 憑證中的內嵌公開金鑰必須和您用來簽署 SAML 回應的私人金鑰相符。
只有 Chrome 會確認您的憑證是否已上傳,其他瀏覽器則不支援上傳確認功能。 - 您也可以選擇勾選 [使用網域特定發行者] 方塊,啟用網域特定發行者。如果您啟用了這項功能,Google 會傳送給您網域特定的發行者 (google.com/a/<您的網域>.com),其中「<您的網域>.com」會以您的實際網域名稱取代。
如果您在設定單一登入服務時並未勾選啟用網域特定發行者的核取方塊,Google 會在 SAML 要求中傳送標準發行者 (google.com)。
- 按一下 [儲存變更]。
如需詳細資訊,請參閱合作夥伴提供的 SAML 單一登入 (SSO) 服務。
