您的 SAML 应用会使用 X.509 证书来确认身份提供商 (IdP) 和服务提供商 (SP) 之间共享信息的真实性和完整性。作为超级用户,您可以使用管理控制台执行以下操作:
- 轻松查看 SAML 应用正在使用的 X.509 证书
- 识别即将过期的 X.509 证书
- 创建新证书,并将其分配给您的 SAML 应用。此过程称为证书轮换。
为什么要轮换 SAML 证书?
X.509 证书有效期为 5 年。在证书即将过期或遭到盗用时,您就应该轮换证书。如果您还未轮换证书,证书就已过期,则您的用户将无法使用单点登录 (SSO) 登录任何使用该证书的 SAML 应用,除非您将证书换新。
创建新证书后,您需要将其分配给您在 Google 中的每个 SAML 应用(身份提供商侧),并同时更新服务提供商侧有关该新证书的单点登录配置。
管理 SAML 证书
您的帐号有一个可用于所有 SAML 应用的默认证书。您可以添加第二个证书,或者删除一个或两个证书,然后生成新证书:
-
-
在管理控制台中,依次点击“菜单”图标 安全性 身份验证 SAML 应用的单点登录服务。
您必须以超级用户身份登录,才能执行此任务。
证书部分显示了您当前的 X.509 证书。您最多可同时拥有两个证书。系统会显示证书名称、过期日期、内容和 SHA-256 指纹。您可以使用右侧的按钮,复制、下载或删除证书。
- (可选)如果您只有一个证书,请点击添加其他证书来创建第二个证书。
注意:最近生成(最新)的证书会成为默认证书,用于设置新的 SAML 应用的单点登录。
- (可选)要创建新证书,请按以下步骤操作:
- 点击“删除”图标 删除一个证书。
如有任何已安装的 SAML 应用正在使用您要删除的证书,则系统会显示一个窗口,其中列出了受影响的应用,并显示警告信息,提醒您除非您为这些应用分配新证书,否则这些应用的单点登录功能将不可用。
- 点击删除证书。证书删除后,会有以下影响:
- 如果您有一个证书,系统会自动生成新证书取代原有证书。
- 如果您有两个证书,并删除了证书 1,则证书 2 会取代证书 1。
- 点击“删除”图标 删除一个证书。
- 如果您替换了任何 SAML 应用所使用的证书,请按照下一节的步骤操作,将新证书分配给受影响的应用。您还需要在服务提供商的的管理网站上为这些应用更新单点登录设置中的证书。
提示:SAML 证书事件(删除、创建、更改 SAML 应用获得的证书)会记录在管理控制台审核日志中。
更新 SAML 应用使用的证书
-
-
在管理控制台中,依次点击“菜单”图标 应用 Web 应用和移动应用。
- 点击所需的 SAML 应用打开其设置页面。
- 点击服务提供商详细信息。
在证书下方,系统会显示该应用当前使用的证书,包括证书 ID 和到期日期。如果您删除了当初用来设置此应用的证书,您会看到警告:未分配任何证书。
- 点击向下箭头 ,然后选择一个证书。
- (可选)如果没有其他可用的证书,或是您需要创建新证书,请点击管理证书,然后按照上文管理 SAML 证书中的说明操作。
- 更改分配给 SAML 应用的证书后,请同时确保在服务提供商的网站上使用新证书更新应用的单点登录配置。当服务提供商侧的配置也更新后,相应 SAML 应用的单点登录才会正常运行。
重要提示:您更换证书后,最长可能需要 24 小时,新证书才可供您的 SAML 应用使用。