Underhålla SAML-certifikat

I dina SAML-appar används X.509-certifikat för att bekräfta att meddelanden som delas mellan identitetsleverantören (IdP) och tjänstleverantören (SP) är äkta och skyddade. I egenskap av huvudadministratör kan du använda administratörskonsolen för att

  • enkelt visa de X.509-certifikat som används i dina SAML-appar
  • identifiera X.509-certifikat som är på väg att löpa ut
  • skapa nya certifikat och tilldela dem till dina SAML-appar.
    Detta kallas certifikatrotation.

Varför ska du rotera SAML-certifikat?

Du roterar ett certifikat eftersom det är på väg att löpa ut eller för att det utsatts för någon typ av intrång. Om även tjänstleverantören har stöd för flera SAML-certifikat kan du undvika oplanerade driftstopp på grund av att certifikat löper ut genom att rotera certifikat på detta sätt. Om så inte är fallet sker ett driftstopp medan certifikatändringen uppdateras hos tjänstleverantören (SP) och sedan hos identitetsleverantören (IdP).

X.509-certifikat har fem års livslängd. När ett X.509-certifikat som är kopplat till en app löper ut kan användarna inte längre logga in på appen med SAML-baserad enkel inloggning (SSO).

Skapa ett nytt X.509-certifikat i god tid innan ditt aktiva SAML-certifikat löper ut. Tilldela detta nya certifikat till dina var och en av dina SAML-appar och uppdatera deras konfiguration på tjänstleverantörens administrativa webbplats.

Konfigurera och hantera SAML-certifikat

Steg 1: Skapa och uppdatera SAML-certifikat i avsnittet Konfigurera enkel inloggning med Google-identitetsleverantör

Ditt konto har ett standardcertifikat som du kan använda för alla dina SAML-appar. Så här skapar du en ny uppsättning X.509-certifikat om du vill byta certifikat eller rotera redan kopplade certifikat:

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Öppna Säkerhet följt av Konfigurera enkel inloggning (SSO) på startsidan för administratörskonsolen.

    Om du vill se Säkerhet måste du kanske klicka på Fler kontroller längst ned. 

  3. Under Konfigurera enkel inloggning med Google-identitetsleverantör bredvid Certifikat 1 klickar du på Skapa certifikat.
    När du har skapat ett certifikat visas certifikatfilnamnet bredvid etiketten Certifikat 1, med utgångsdatum under filnamnet.
  4. (Valfritt) Under Konfigurera enkel inloggning med Google-identitetsleverantör bredvid Certifikat 2 klickar du på Skapa certifikat.
    När du har skapat ett certifikat visas certifikatfilnamnet bredvid etiketten Certifikat 2, med utgångsdatum under filnamnet.
  5. Nu när du har skapat dina certifikat fortsätter du till nästa avsnitt för att hantera certifikaten för anpassade SAML-appar eller dina förkonfigurerade SAML-appar. 
Steg 2: Hantera certifikat som är kopplade till dina egna SAML-appar
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Öppna Appar följt av SAML-appar på startsidan för administratörskonsolen.

    Om du vill se Appar på startsidan måste du kanske klicka på Fler kontroller längst ned. 

  3. Klicka på länken Lägg till en tjänst/app på domänen eller klicka på Lägg till Lägg till nere i hörnet.
  4. Klicka på Installera min egen app.

    Google IDP-informationsfönstret öppnas och fälten för webbadress för enkel inloggning och webbadress för enhets-id fylls på automatiskt.
  5. Samla in konfigurationsinformation om tjänstleverantörer:
    1. Kopiera fältvärdena Enhets-id och Webbadress för enkel inloggning och ladda ner X.509-certifikatet.
    2. Klistra in dessa värden i lämpliga fält för konfiguration av tjänstleverantör.
    3. Klicka på Nästa.
  6. Om certifikatet har löpt ut klickar du på Hantera certifikat och uppdaterar X.509-certifikatet.
    Om du väljer att skapa två certifikat används det senaste som standard.
  7. Fortsätt till steg 4 där du tar bort och sedan ersätter certifikat som löpt ut eller utsatts för intrång med dina anpassade SAML-appar.
Steg 3: skapa och hantera certifikat som är kopplade till dina förkonfigurerade molnappar
  1. Konfigurera den valda appen som en SAML SP.
  2. För en app utan certifikat klickar du på Skapa certifikat under Uppgifter om tjänstleverantör

    När du har skapat ett certifikat visas det i fönstret Google IDP-information för varje SAML-app som du konfigurerar, med utgångsdatum under filnamnet.

    För aktiva förkonfigurerade molnappar finns en länk för att hantera certifikat
  3. Klicka på Hantera certifikat. Underfönstret Hantera certifikat för identitetsleverantör öppnas.

    Det finns poster för två certifikat. När du har skapat ett certifikat visas det med utgångsdatum bredvid filnamnet. Om du väljer att skapa två certifikat används det senaste som standard.
  4. Fortsätt till nästa avsnitt där du tar bort och sedan ersätter certifikat som löpt ut eller utsatts för intrång med dina anpassade SAML-appar eller förkonfigurerade SAML-appar.
Steg 4: Ta bort och ersätt certifikat som löper ut eller utsatts för intrång
  1. Klicka på radera Radera bredvid ett certifikat som du vill byta ut.

    Om du tar bort ett certifikat som används av en aktiv SAML-app visar ett underfönster antalet SAML-appar som berörs av den väntande borttagningen.

    De SAML-appar som använder det borttagna certifikatet slutar fungera medan certifikatet uppdateras hos tjänstleverantören och sedan hos på identitetsleverantören.
  2. Klicka på Ja för att radera certifikatet.
  3. Klicka på Skapa certifikat bredvid posten utan certifikat. 
  4. Under Uppgifter om tjänstleverantör väljer du nedåtpilen Nedåtpil bredvid fältet Certifikat, så visas båda certifikaten.
  5. Välj ett certifikat.

    Du behöver göra det för alla SAML-appar som påverkas en i taget och uppdatera deras konfiguration på tjänstleverantörens administrativa webbplats.
  6. Klicka på Spara.

Ändringar i SAML-certifikaten loggas i administratörsgranskningsloggen.

Var det här till hjälp?
Hur kan vi förbättra den?