Gestire i certificati SAML

Le applicazioni SAML utilizzano i certificati X.509 per confermare l'autenticità e l'integrità dei messaggi condivisi tra il provider di identità (IdP) e il fornitore di servizi (SP). Come super amministratore, puoi utilizzare la Console di amministrazione per:

• Visualizzare facilmente i certificati X.509 utilizzati dalle tue applicazioni SAML.
• Identificare i certificati X.509 che stanno per scadere.
• Creare nuovi certificati e assegnarli alle applicazioni SAML. Questa operazione è detta rotazione dei certificati.

Perché eseguire la rotazione dei certificati SAML

I certificati X.509 hanno una validità di cinque anni. Devi eseguire la rotazione di un certificato quando sta per scadere o se è stato compromesso. Se il certificato scade prima che tu ne abbia eseguito la rotazione, gli utenti non potranno utilizzare il servizio SSO per accedere a nessuna delle app SAML che utilizzano quel certificato fino a quando non lo avrai sostituito con uno nuovo. 

Dopo aver creato il nuovo certificato, devi assegnarlo alle singole app SAML in Google (lato IdP) e aggiornare la configurazione del servizio SSO sul lato SP corrispondente con il nuovo certificato.

Gestire i certificati SAML

Il tuo account ha un certificato predefinito che puoi utilizzare per tutte le applicazioni SAML. Puoi aggiungere un secondo certificato, eliminarne uno o entrambi e generarne di nuovi:

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu.  Sicurezza Autenticazione SSO con applicazioni SAML.

   Per questa attività, devi aver eseguito l'accesso come super amministratore.

   Nella sezione Certificati sono indicati i tuoi certificati X.509 correnti. Puoi avere fino a 2 certificati per volta. Sono indicati il nome del certificato, la data di scadenza, i contenuti e l'impronta SHA-256. Utilizza i pulsanti a destra per copiare, scaricare o eliminare un certificato.

3. (Facoltativo) Se hai un solo certificato, fai clic su Aggiungi un altro certificato per crearne un secondo.

   Nota: il certificato generato per ultimo (il più recente) diventa il certificato predefinito utilizzato per configurare il servizio SSO per le nuove app SAML.

4. (Facoltativo) Per creare un nuovo certificato:
   1. Fai clic su Elimina per eliminare un certificato.

      Se il certificato che elimini è usato dalle app SAML installate, viene visualizzata una finestra con l'elenco delle app interessate per informarti che il relativo servizio SSO non sarà disponibile fino a quando non assegnerai un nuovo certificato alle app.

   2. Fai clic su Elimina certificato. L'eliminazione di un certificato comporta quanto segue:
      • Se hai un solo certificato, ne viene automaticamente generato uno nuovo per sostituirlo.
      • Se hai due certificati ed elimini il certificato 1, il certificato 2 sostituisce il certificato 1.
5. Se hai sostituito un certificato utilizzato dalle tue app SAML, segui la procedura descritta nella sezione seguente per assegnare il nuovo certificato alle app interessate. Dovrai anche aggiornare il certificato nelle impostazioni del servizio SSO per le app sul sito web amministrativo del fornitore di servizi.

Suggerimento: gli eventi relativi ai certificati SAML (eliminazione, creazione, modifica del certificato assegnato a un'app SAML) sono registrati nel log di controllo della Console di amministrazione.

Aggiornare il certificato utilizzato da un'app SAML

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu  ApplicazioniApp web e mobile.

3. Fai clic sull'app SAML per aprire la pagina Impostazioni corrispondente.
4. Fai clic su Dettagli del fornitore di servizi.

   In Certificato è visualizzato il certificato correntemente utilizzato dall'app, inclusi l'ID certificato e la data di scadenza. Se hai eliminato il certificato che era stato utilizzato per configurare l'app, verrà visualizzato l'avviso Nessun certificato assegnato. 

5. Fai clic sulla Freccia giù e seleziona un certificato.
6. (Facoltativo) Se non sono disponibili certificati o se devi creare nuovi certificati, fai clic su Gestisci i certificati e segui le istruzioni della sezione Gestire i certificati SAML riportata sopra.
7. Dopo aver cambiato il certificato assegnato all'app SAML, accertarti di aggiornare anche la configurazione del servizio SSO dell'app con il nuovo certificato sul sito web del fornitore di servizi. Il servizio SSO per l'app SAML non potrà funzionare se non viene aggiornata la configurazione anche sul lato SP. 

Importante: dopo aver sostituito il certificato, potrebbe essere necessario attendere fino a 24 ore perché il nuovo certificato sia disponibile per essere utilizzato dalle tue app SAML.