Mempertahankan sertifikat SAML

Aplikasi SAML menggunakan sertifikat X.509 untuk mengonfirmasi keaslian dan integritas pesan yang dibagikan antara Penyedia Identitas (IdP) dan Penyedia Layanan (SP). Sebagai administrator super, Anda dapat menggunakan konsol Admin untuk:

  • Melihat sertifikat X.509 yang digunakan oleh aplikasi SAML dengan mudah
  • Mengidentifikasi sertifikat X.509 yang akan segera berakhir
  • Membuat sertifikat baru dan menetapkannya ke aplikasi SAML
    Tindakan ini disebut Rotasi Sertifikat.

Mengapa harus merotasi sertifikat SAML?

Anda merotasikan sertifikat karena masa berlaku sertifikat tersebut akan berakhir atau telah disusupi atas alasan apa pun. Jika SP juga mendukung beberapa sertifikat SAML, merotasi sertifikat dengan cara ini dapat mencegah periode istirahat yang tidak direncanakan akibat sertifikat yang kedaluwarsa. Jika tidak, akan ada periode istirahat saat perubahan sertifikat diupdate di SP, lalu di IdP.

Sertifikat X.509 berlaku selama 5 tahun. Ketika sertifikat X.509 yang terkait dengan suatu aplikasi kedaluwarsa, pengguna tidak akan dapat login ke aplikasi tersebut menggunakan Single Sign-On (SSO) berbasis SAML.

Buat sertifikat X.509 baru sebelum sertifikat SAML yang aktif kedaluwarsa. Tetapkan sertifikat baru ini ke setiap aplikasi SAML dan update konfigurasinya di situs administratif SP.

Menyiapkan dan mengelola sertifikat SAML

Langkah 1: Buat dan update sertifikat SAML di bagian Siapkan SSO dengan penyedia identitas Google

Akun Anda sudah dilengkapi dengan 1 sertifikat default yang dapat Anda gunakan untuk semua aplikasi SAML. Jika Anda ingin mengubah sertifikat atau merotasi aplikasi yang sudah terkait, berikut ini cara membuat kumpulan baru sertifikat X.509:

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Dari Halaman beranda konsol Admin, buka Keamananlalu Siapkan single sign-on (SSO) untuk aplikasi SAML.

    Anda harus login sebagai administrator super untuk tugas ini.

  3. Pada bagian Siapkan SSO dengan penyedia identitas Google, di samping Sertifikat 1, klik Buat sertifikat.
    Setelah dibuat, nama file sertifikat akan muncul di samping label Sertifikat 1, dengan tanggal kedaluwarsanya di bawah nama file.
  4. (Opsional) Pada bagian Siapkan SSO dengan penyedia identitas Google, di samping Sertifikat 2, klik Buat sertifikat.
    Setelah dibuat, nama file sertifikat akan muncul di samping label Sertifikat 2, dengan tanggal kedaluwarsanya di bawah nama file.
  5. Setelah membuat sertifikat, lanjutkan ke bagian berikutnya guna mengelola sertifikat untuk aplikasi SAML khusus atau aplikasi SAML yang telah dikonfigurasikan sebelumnya. 
Langkah 2: Kelola sertifikat yang terkait dengan aplikasi SAML Anda sendiri
  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Dari Halaman beranda konsol Admin, buka AplikasilaluAplikasi web dan seluler.
  3. Klik link Tambahkan layanan/Aplikasi ke domain Anda, atau di pojok bawah, klik Tambahkan Tambahkan.
  4. Klik Siapkan Aplikasi khusus saya sendiri.

    Jendela Informasi IDP Google akan terbuka, dan kolom URL Single Sign-On dan URL ID Entitas akan dilengkapi secara otomatis.
  5. Kumpulkan informasi Penyiapan penyedia layanan:
    1. Salin nilai kolom ID Entitas dan URL Single Sign-On lalu download Sertifikat X.509.
    2. Tempelkan nilai tersebut ke kolom Penyiapan penyedia layanan yang sesuai.
    3. Klik Berikutnya.
  6. Jika masa berlaku sertifikat berakhir, klik Kelola sertifikat untuk mengupdate sertifikat X.509.
    Jika Anda memilih untuk membuat 2 sertifikat, yang terbaru akan digunakan secara default.
  7. Lanjutkan ke Langkah 4 untuk menghapus dan mengganti sertifikat yang kedaluwarsa atau yang telah disusupi untuk aplikasi SAML kustom Anda.
Langkah 3: Buat dan kelola sertifikat yang terkait dengan aplikasi cloud yang telah dikonfigurasi sebelumnya
  1. Konfigurasikan aplikasi yang dipilih sebagai SP SAML.
  2. Untuk aplikasi tanpa sertifikat, pada bagian Detail Penyedia Layanan, klik Buat sertifikat

    Setelah dibuat, sertifikat akan muncul di jendela Informasi IDP untuk setiap aplikasi SAML yang telah dikonfigurasikan, dengan tanggal kedaluwarsa di bawah nama file.

    Untuk aplikasi cloud aktif yang telah dikonfigurasikan sebelumnya, link kelola sertifikat akan muncul. 
  3. Klik kelola sertifikat dan subjendela kelola sertifikat Penyedia Identitas akan terbuka.

    Ada entri untuk 2 sertifikat. Setelah dibuat, sertifikat akan muncul dengan tanggal kedaluwarsa di samping nama file.Jika Anda memilih untuk membuat 2 sertifikat, yang terbaru akan digunakan secara default.
  4. Lanjutkan ke langkah berikutnya untuk menghapus dan mengganti sertifikat yang kedaluwarsa atau yang telah disusupi untuk aplikasi SAML kustom atau aplikasi SAML yang telah dikonfigurasikan sebelumnya.
Langkah 4: Hapus lalu ganti sertifikat yang kedaluwarsa atau yang telah disusupi
  1. Di samping sertifikat yang Anda pilih, klik ikon hapus Hapus untuk menggantinya.

    Jika Anda menghapus sertifikat yang sedang digunakan oleh aplikasi SAML aktif, subjendela akan menampilkan jumlah aplikasi SAML yang terpengaruh oleh penghapusan yang ditangguhkan tersebut.

    Aplikasi SAML yang menggunakan sertifikat yang telah dihapus akan dinonaktifkan saat sertifikat diupdate di SP dan kemudian IdP.
  2. Klik Ya untuk menghapus sertifikat tersebut.
  3. Di samping entri yang tidak berisi sertifikat, klik Buat sertifikat
  4. Pada Detail Penyedia Layanan, pilih panah bawah Panah Bawah di samping kolom Sertifikat untuk menampilkan kedua sertifikat.
  5. Pilih salah satu sertifikat.

    Anda perlu melakukannya untuk setiap aplikasi SAML yang terpengaruh satu per satu dan mengupdate konfigurasinya di situs administratif SP.
  6. Klik Simpan.

Perubahan pada sertifikat SAML dicatat dalam log audit Admin.

Apakah ini membantu?
Bagaimana cara meningkatkannya?