В SAML-приложениях используются сертификаты X.509, подтверждающие подлинность и целостность сообщений, которыми обмениваются поставщик идентификационной информации и поставщик услуг. Суперадминистратор может выполнять в консоли администратора следующие действия:
- просматривать сертификаты X.509, используемые SAML-приложениями;
- находить сертификаты X.509, срок действия которых скоро истекает;
- создавать новые сертификаты и назначать их своим SAML-приложениям (этот процесс называется ротацией сертификатов).
Зачем нужна ротация сертификатов SAML
Сертификаты X.509 действительны в течение пяти лет. Вам нужно заменить сертификат, если срок его действия скоро истекает или есть причины полагать, что он взломан. Если вы не успеете этого сделать, прежде чем закончится срок действия сертификата, пользователи не смогут выполнять единый вход в SAML-приложения, которые используют такой сертификат, пока вы не замените его на новый.
Новый сертификат нужно назначить каждому SAML-приложению на стороне поставщика идентификационной информации (Google) и обновить в настройках системы единого входа на стороне поставщика услуг.
Как управлять сертификатами SAML
По умолчанию в аккаунте используется один сертификат для всех SAML-приложений. Вы можете добавлять и удалять сертификаты, а также создавать новые.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Аутентификация
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
В разделе Сертификаты показаны ваши текущие сертификаты X.509. Одновременно у вас может быть максимум два сертификата. В разделе доступны такие сведения, как название сертификата, срок его действия, содержимое и отпечаток SHA-256. Копировать, скачать или удалить сертификат можно с помощью кнопок, расположенных справа.
- Если вам нужно создать второй сертификат, нажмите Добавить новый сертификат.
Примечание. Созданный последним сертификат используется по умолчанию для настройки системы единого входа для новых SAML-приложений.
- Чтобы создать сертификат:
- Нажмите на значок
, чтобы удалить сертификат.
Если этот сертификат используется SAML-приложениями, они будут показаны в появившемся окне вместе с предупреждением о том, что единый вход в эти приложения станет невозможен, пока вы не назначите им новый сертификат.
- Нажмите Удалить сертификат. При этом произойдет следующее:
- Если у вас был один сертификат, новый сертификат будет создан автоматически.
- Если у вас было два сертификата и вы удалили действующий, его заменит оставшийся сертификат.
- Нажмите на значок
- Если вы заменили сертификат, используемый SAML-приложениями, назначьте им новый, выполнив инструкции из следующего раздела. Вам также нужно обновить сертификат в настройках системы единого входа для этих приложений на сайте управления поставщиком услуг.
Совет. Сведения о действиях с сертификатом SAML (удаление, создание, назначение нового сертификата SAML-приложениям) доступны в журнале аудита администрирования.
Как обновить сертификат, используемый SAML-приложениями
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Приложения
- Нажмите на название SAML-приложения, чтобы открыть страницу настроек.
- Нажмите Сведения о поставщике услуг.
В разделе Сертификат указан текущий сертификат приложения, его идентификатор и срок действия. Если вы удалили сертификат, использовавшийся для настройки приложения, появится предупреждение Сертификат не назначен.
- Нажмите на стрелку вниз
и выберите сертификат.
- Если сертификата в списке нет или вам нужно создать новый, нажмите Управление сертификатами и следуйте инструкциям из предыдущего раздела Как управлять сертификатами SAML.
- После замены сертификата, назначенного SAML-приложению, вам также нужно обновить сертификат в настройках системы единого входа для этого приложения на сайте управления поставщиком услуг, иначе эта система не будет работать с приложением.
Важно! После замены может потребоваться до 24 часов, прежде чем новый сертификат будет назначен приложениям SAML.
