SAML-Zertifikate verwalten

In Ihren SAML-Anwendungen werden X.509-Zertifikate verwendet, um die Authentizität und Integrität von Nachrichten zu prüfen, die zwischen dem Identitätsanbieter (Identity Provider, IdP) und dem Dienstanbieter (Service Provider, SP) ausgetauscht werden. Als Super Admin haben Sie in der Admin-Konsole folgende Möglichkeiten:

  • Abrufen, welche X.509-Zertifikate in Ihren SAML-Anwendungen verwendet werden
  • Ermitteln, welche X.509-Zertifikate demnächst ablaufen
  • Neue Zertifikate erstellen und Ihren SAML-Anwendungen zuweisen. Das wird als Zertifikatsrotation bezeichnet.

Warum müssen SAML-Zertifikate rotiert werden?

X.509-Zertifikate haben eine Laufzeit von fünf Jahren. Zertifikate, die bald ablaufen oder nicht mehr sicher sind, sollten Sie erneuern. Wenn ein Zertifikat abläuft, bevor Sie es erneuern, können sich Ihre Nutzer nicht mehr per SSO in SAML-Anwendungen anmelden, in denen es verwendet wird – das ist erst wieder möglich, wenn Sie es durch ein neues Zertifikat ersetzen. 

Nachdem Sie ein neues Zertifikat erstellt haben, müssen Sie es allen Ihren SAML-Anwendungen in Google (IdP-Seite) zuweisen. Auch die entsprechende SSO-Konfiguration auf der Seite des Dienstanbieters muss mit dem neuen Zertifikat aktualisiert werden.

SAML-Zertifikate verwalten

Ihr Konto hat ein Standardzertifikat für alle SAML-Anwendungen. Sie können ein zweites Zertifikat hinzufügen oder eines oder beide löschen und neue erstellen:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit SAML-Anwendungen .

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

    Im Bereich Zertifikate sehen Sie Ihre aktuellen X.509-Zertifikate. Sie können bis zu zwei Zertifikate gleichzeitig haben. Der Zertifikatsname, das Ablaufdatum, der Inhalt und der SHA-256-Fingerabdruck werden angezeigt. Verwenden Sie die Schaltflächen auf der rechten Seite, um ein Zertifikat zu kopieren, herunterzuladen oder zu löschen.

  3. Optional: Wenn Sie nur ein Zertifikat haben, klicken Sie auf Weiteres Zertifikat hinzufügen, um ein zweites Zertifikat zu erstellen.

    Hinweis: Das zuletzt erstellte (aktuelle) Zertifikat wird als Standardzertifikat verwendet, um die SSO für neue SAML-Anwendungen einzurichten.

  4. So erstellen Sie ein neues Zertifikat (optional):
    1. Klicken Sie auf „Löschen“ Löschen, um ein Zertifikat zu löschen.

      Wenn das Zertifikat, das Sie löschen, von installierten SAML-Anwendungen verwendet wird, werden die betroffenen Apps in einem Fenster aufgelistet. Sie werden darauf hingewiesen, dass die SSO erst wieder für die Anwendungen verfügbar ist, wenn Sie ihnen ein neues Zertifikat zugewiesen haben.

    2. Klicken Sie auf Zertifikat löschen. Das Löschen eines Zertifikats hat diese Auswirkungen:
      • Wenn Sie ein Zertifikat haben, wird als Ersatz automatisch ein neues Zertifikat erstellt.
      • Wenn Sie zwei Zertifikate haben und Zertifikat 1 löschen, rückt Zertifikat 2 an die Stelle von Zertifikat 1.
  5. Wenn Sie ein Zertifikat ersetzt haben, das in einer Ihrer SAML-Anwendungen verwendet wird, folgen Sie der Anleitung im nächsten Abschnitt, um den betroffenen Anwendungen das neue Zertifikat zuzuweisen. Sie müssen auch das Zertifikat in den SSO-Einstellungen für diese Apps auf der Verwaltungswebsite des Dienstanbieters aktualisieren.

Tipp: Ereignisse zu SAML-Zertifikaten (Löschen, Erstellen, Ändern des einer SAML-Anwendung zugewiesenen Zertifikats) werden im Audit-Log für die Administratoren protokolliert.

Zertifikat für eine SAML-Anwendung aktualisieren

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Appsund dannWeb- und mobile Apps.

  3. Klicken Sie auf die SAML-Anwendung, um die zugehörige Einstellungsseite zu öffnen.
  4. Klicken Sie auf Details zum Dienstanbieter.

    Unter Zertifikat wird das aktuell in der Anwendung verwendete Zertifikat angezeigt, einschließlich Zertifikats-ID und Ablaufdatum. Wenn Sie das Zertifikat gelöscht haben, das ursprünglich zum Einrichten der Anwendung verwendet wurde, sehen Sie den HinweisKein Zertifikat zugewiesen

  5. Klicken Sie auf den Drop-down-Pfeil Abwärtspfeil und wählen Sie ein Zertifikat aus.
  6. Optional: Wenn kein anderes Zertifikat verfügbar ist oder Sie neue Zertifikate erstellen müssen, klicken Sie auf Zertifikate verwalten und folgen Sie der Anleitung oben unter SAML-Zertifikate verwalten.
  7. Nachdem Sie das zugewiesene Zertifikat geändert haben, müssen Sie unbedingt auch die SSO-Konfiguration der Anwendung mit dem neuen Zertifikat auf der Website des Dienstanbieters aktualisieren – die SSO mit der SAML-Anwendung funktioniert erst dann, wenn auch dort die Konfiguration aktualisiert wurde. 

Wichtig: Nachdem Sie ein Zertifikat ersetzt haben, kann es 24 Stunden dauern, bis das neue Zertifikat für Ihre SAML-Anwendungen verfügbar ist.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
4732031817541654209
true
Suchen in der Hilfe
true
true
true
false
false