创建和上传密钥和验证证书
在 Google 是服务提供商 (SP) 的情况下,如果要通过 SAML 实例设置 SSO,您需要生成一组公钥和私钥,以及包含公钥的 X.509 证书。公钥和证书必须通过 RSA 或 DSA 算法生成,并在 Google 中注册。如要注册,请通过 Google 管理控制台上传密钥和证书。
生成密钥和证书的方式通常取决于您的开发平台以及首选编程语言。X509 证书可以通过 openssl 命令生成。要创建公钥和私钥对,您可以使用 OpenSSL、.NET 中的证书创建工具和 Pvk2pfx 工具、Java 中的 Keytool 以及 Java 密码学架构。有关详情,请参阅生成 SSO 密钥和证书。
- 上传验证证书。
证书文件必须是 X.509 格式的证书(包含嵌入的公钥)。
证书文件中必须包含公钥,以便 Google 验证登录请求。
公钥则必须采用 DSA 或 RSA 算法生成。此密钥的作用是验证您发送给 Google 的 SAML 响应,也就是验证 SSO 声明是否真的来自于您。此外,它还能确保 SSO 声明在传输过程中不会遭到修改。
X.509 证书中的嵌入式公钥必须与用于签署 SAML 相应的私钥相匹配。
只有 Chrome 会确认您的证书是否已上传,其他浏览器则不支持上传确认功能。 - (可选)选中使用网域特有的发布者复选框,以启用网域特有的发布者。启用此功能后,Google 会发送一个您的网域所特有的发行商 google.com/a/your_domain.com,其中“your_domain.com”会被替换为您实际的域名。
如果您未启用“域特有的发行商”功能,那么在您设置 SSO 时,Google 会在 SAML 请求中发送标准发行商 google.com。
- 点击保存更改。
有关详情,请参阅合作伙伴运营的 SAML 单点登录 (SSO) 服务。