Gérer les certificats SAML

Vos applications SAML utilisent des certificats X.509 pour vérifier l'authenticité et l'intégrité des messages échangés entre le fournisseur d'identité (IdP) et le fournisseur de services (SP). En tant que super-administrateur, vous pouvez utiliser la console d'administration pour :

  • afficher facilement les certificats X.509 utilisés par vos applications SAML ;
  • identifier les certificats X.509 qui sont sur le point d'expirer ;
  • créer des certificats et les attribuer à vos applications SAML. C'est ce qu'on appelle la rotation de certificats.

Pourquoi effectuer une rotation des certificats SAML ?

Les certificats X.509 ont une durée de vie de cinq ans. Vous devez effectuer la rotation d'un certificat s'il est sur le point d'expirer ou si sa sécurité est compromise. Si un certificat expire avant sa rotation, vos utilisateurs ne pourront plus se connecter via l'authentification unique (SSO) aux applications SAML qui l'utilisent tant que vous ne l'aurez pas remplacé par un nouveau certificat. 

Après avoir créé un certificat, vous devez l'attribuer à chacune de vos applications SAML dans Google (côté IdP) et l'ajouter dans la configuration SSO correspondante côté SP.

Gérer les certificats SAML

Votre compte comprend un certificat par défaut que vous pouvez utiliser pour toutes vos applications SAML. Vous pouvez ajouter un deuxième certificat, supprimer l'un ou l'autre des certificats, ou les deux, et en générer de nouveaux :

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Authentification puis SSO avec les applications SAML.

    Pour ce faire, vous devez être connecté en tant que super-administrateur.

    La section Certificats affiche vos certificats X.509 actuels, au nombre de deux au maximum. Les informations qui s'affichent sont le nom, la date d'expiration, le contenu et l'empreinte SHA-256 du certificat. Vous pouvez copier, télécharger ou supprimer un certificat à l'aide des boutons de droite.

  3. (Facultatif) Si vous disposez d'un seul certificat, cliquez sur Ajouter un certificat pour en créer un deuxième.

    Remarque : Le dernier certificat généré (le plus récent) est utilisé par défaut pour configurer la SSO pour les nouvelles applications SAML.

  4. (Facultatif) Pour créer un certificat :
    1. Cliquez sur Supprimer Supprimer pour supprimer un certificat.

      Si le certificat que vous supprimez est utilisé par des applications SAML installées, une fenêtre les répertorie et vous avertit que la SSO y sera indisponible tant que vous ne leur aurez pas attribué de nouveau certificat.

    2. Cliquez sur Supprimer le certificat. La suppression d'un certificat a les conséquences suivantes :
      • Si vous possédez un seul certificat, un nouveau certificat est automatiquement généré pour le remplacer.
      • Si vous en possédez deux et que vous supprimez le premier, le deuxième remplace le premier.
  5. Si vous avez remplacé un certificat utilisé par l'une de vos applications SAML, suivez la procédure décrite dans la section qui suit pour attribuer le nouveau certificat aux applications concernées. Vous devrez aussi remplacer le certificat dans les paramètres SSO de ces applications sur le site Web d'administration du SP.

Conseil : Les événements liés aux certificats SAML (suppression, création, modification d'un certificat associé à une application SAML) sont consignés dans le journal d'audit de la console d'administration.

Mettre à jour le certificat utilisé par une application SAML

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Cliquez sur l'application SAML pour ouvrir la page de ses paramètres.
  4. Cliquez sur Détails relatifs au fournisseur de services.

    Le certificat actuellement utilisé par l'application est affiché sous Certificat, accompagné de son identifiant et de sa date d'expiration. Si vous avez supprimé le certificat ayant servi à configurer l'application, l'avertissement Aucun certificat attribué s'affiche. 

  5. Cliquez sur la flèche vers le bas Flèche vers le bas et choisissez un certificat.
  6. (Facultatif) Si aucun autre certificat n'est disponible, ou si vous devez en créer, cliquez sur Gérer les certificats et suivez les instructions de la section Gérer les certificats SAML ci-dessus.
  7. Après avoir modifié le certificat attribué à l'application SAML, veillez à ajouter le nouveau certificat dans la configuration SSO de l'application sur le site Web du fournisseur de services. La SSO ne fonctionne pas pour l'application SAML tant que vous ne modifiez pas la configuration côté SP. 

Important : Une fois que vous avez remplacé un certificat, un délai maximal de 24 heures peut être nécessaire pour que le nouveau certificat puisse être utilisé par vos applications SAML.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
2843808995900386908
true
Rechercher dans le centre d'aide
true
true
true
false
false