Mantener certificados de SAML

Las aplicaciones de SAML utilizan certificados X.509 para confirmar la autenticidad e integridad de los mensajes compartidos entre el proveedor de identidades (IdP) y el proveedor de servicios (SP). Como superadministrador, puedes utilizar la consola de administración para:

  • Consultar fácilmente los certificados X.509 que usan tus aplicaciones de SAML
  • Identificar los certificados X.509 que están a punto de caducar
  • Crear nuevos certificados y asignarlos a tus aplicaciones de SAML
    Esto se conoce como Rotación de certificados.

¿Por qué rotar los certificados de SAML?

Un certificado se rota cuando está a punto de caducar o cuando está en riesgo por algún motivo. Si el SP también admite varios certificados de SAML al mismo tiempo, rotarlos puede evitar que haya un periodo de inactividad no programado si los actuales caducan. De lo contrario, se produce un periodo de inactividad mientras se actualiza el cambio del certificado en el SP y en el IdP.

Los certificados X.509 tienen una vida útil de cinco años. Cuando caduca el certificado X.509 asociado a una aplicación, los usuarios no podrán iniciar sesión en esa aplicación con el inicio de sesión único (SSO) basado en SAML.

Crea un certificado X.509 nuevo antes de que tu certificado SAML activo caduque. Asigna este certificado nuevo a cada una de las aplicaciones SAML y actualiza su configuración en el sitio web administrativo del SP.

Configurar y gestionar certificados de SAML

Paso 1: Crea y actualiza los certificados de SAML en la sección Configurar SSO con el proveedor de identidades de Google

Tu cuenta tiene un certificado predeterminado que puedes utilizar en todas las aplicaciones de SAML. Si quieres cambiar el certificado o rotar los certificados ya enlazados, sigue estos pasos para crear un nuevo conjunto de certificados X.509:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, accede a Seguridad y luego Configurar inicio de sesión único (SSO).

    Para ver Seguridad, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior de la página principal. 

  3. En la sección Configurar SSO con el proveedor de identidades de Google, haz clic en la opción Generar certificado que se encuentra junto a Certificado 1.
    Una vez que hayas generado un certificado, el nombre del archivo aparece junto a la etiqueta Certificado 1 e incluye la fecha de vencimiento debajo.
  4. (Opcional) En la sección Configurar SSO con el proveedor de identidades de Google, haz clic en la opción Generar certificado que se encuentra junto a Certificado 2.
    Una vez que hayas generado un certificado, el nombre del archivo aparece junto a la etiqueta Certificado 2 e incluye la fecha de vencimiento debajo.
  5. Cuando hayas generado tus certificados, avanza a las siguientes secciones para gestionar los certificados de tus aplicaciones de SAML personalizadas o preconfiguradas. 
Paso 2: Gestiona los certificados enlazados a tu aplicaciones de SAML
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.

    Para ver "Aplicaciones" en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en el enlace Añadir un servicio o aplicación a tu dominio o en el icono Añadir Añadir de la esquina inferior.
  4. Haz clic en Configurar aplicación personalizada.

    Se abre la ventana "Información de proveedor de identidades de Google" y los campos ID de entidad y URL de inicio de sesión único se rellenan de forma automática.
  5. Recoge información de la configuración del proveedor de servicios:
    1. Copia los valores de los campos de ID de entidad y URL de inicio de sesión único y descarga el Certificado X.509.
    2. Pega esos valores en los campos de configuración de proveedor de servicios correspondientes.
    3. Haz clic en Siguiente.
  6. Si el certificado está caducado, haz clic en Administrar certificados para actualizar el Certificado X.509.
    Si decides crear dos certificados, de manera predeterminada se utilizará el más reciente.
  7. Avanza al paso 4 para eliminar y reemplazar certificados caducados o en riesgo que se utilizarán en las aplicaciones de SAML personalizadas.
Paso 3: Crea y gestiona los certificados enlazados a las aplicaciones preconfiguradas de la nube
  1. Configura la aplicación seleccionada como proveedor de servicios de SAML.
  2. En el caso de aplicaciones sin certificado, haz clic en la opción Generar certificado en Datos del proveedor de servicios

    Una vez que hayas generado un certificado, aparece en la ventana de información del proveedor de identidades de Google en cada aplicación de SAML en la que lo configures e incluye la fecha de vencimiento bajo el nombre del archivo.

    En las aplicaciones preconfiguradas de la nube que estén activas, existe el enlace Administrar certificados
  3. Haz clic en Administrar certificados y se abrirá la ventana secundaria Gestionar los certificados del proveedor de identidades.

    Hay entradas para usar dos certificados. Una vez hayas generado un certificado, aparecerá con la fecha de caducidad junto al nombre del archivo.Si decides crear dos certificados, de manera predeterminada se utilizará el más reciente.
  4. Avanza al paso siguiente para eliminar y reemplazar los certificados que caducan o que están en riesgo de tus aplicaciones de SAML personalizadas o de tus aplicaciones de SAML preconfiguradas.
Paso 4: Elimina y reemplaza los certificados que caducan o que están en riesgo
  1. Junto al certificado que elijas, haz clic en el icono Eliminar Eliminar para reemplazarlo.

    Si eliminas un certificado que esté usando una aplicación de SAML activa, una ventana secundaria muestra el número de aplicaciones de SAML afectadas por la retirada pendiente.

    Las aplicaciones de SAML que utilizan el certificado eliminado no funcionan mientras el certificado se actualiza en el SP y en el IdP.
  2. Haz clic en para eliminar el certificado.
  3. Junto a la entrada sin certificado, haz clic en Generar certificado
  4. En Datos del proveedor, selecciona la flecha hacia abajoFlecha hacia abajo que se encuentra junto al campo Certificado para mostrar los dos certificados.
  5. Elige uno

    Debes hacer esto con cada una de las aplicaciones de SAML afectadas y actualizar su configuración en el sitio web administrativo del SP.
  6. Haz clic en Guardar.

Los cambios en los certificados de SAML se guardan en el registro de auditoría del administrador.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?