Obsługa certyfikatów SAML

Aplikacje SAML używają certyfikatów X.509 do potwierdzania oryginalności i integralności wiadomości przesyłanych między dostawcą tożsamości a dostawcą usług. Jeśli jesteś superadministratorem, w konsoli administracyjnej możesz:

  • łatwo wyświetlać certyfikaty X.509 używane przez aplikacje SAML;
  • identyfikować certyfikaty X.509, które wkrótce wygasną;
  • tworzyć nowe certyfikaty i przypisywać je do aplikacji SAML
    (jest to określane jako wymiana certyfikatów).

Powody wymiany certyfikatów SAML

Możesz wymienić certyfikat, jeśli kończy się jego ważność lub jego zabezpieczenia zostały złamane. Jeśli dostawca usług obsługuje wiele certyfikatów SAML, taka wymiana może zapobiec nieplanowanym przerwom w dostępie do usług w wyniku wygaśnięcia certyfikatów. W przeciwnym razie aktualizacja związana z wymianą certyfikatu u dostawcy usług i dostawcy tożsamości powoduje przerwę w dostępie do usług.

Certyfikaty X.509 są ważne przez pięć lat. Gdy certyfikat X.509 powiązany z aplikacją utraci ważność, użytkownicy nie mogą logować się w aplikacji przy użyciu logowania jednokrotnego opartego na SAML.

Utwórz nowy certyfikat X.509, zanim aktywny certyfikat SAML wygaśnie. Przypisz nowy certyfikat do wszystkich aplikacji SAML i zaktualizuj ich konfigurację w witrynie administracyjnej dostawcy usług.

Konfigurowanie certyfikatów SAML i zarządzanie nimi

Krok 1. Tworzenie i aktualizowanie certyfikatów SAML w sekcji Skonfiguruj logowanie jednokrotne przy użyciu dostawcy tożsamości Google

Twoje konto ma jeden domyślny certyfikat, którego możesz używać dla wszystkich aplikacji SAML. Jeśli chcesz zmienić certyfikat lub wymienić już powiązane certyfikaty, utwórz nowy zestaw certyfikatów X.509:

  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej konsoli administracyjnej kliknij Zabezpieczenia a potem Skonfiguruj logowanie jednokrotne (SSO).

    Jeśli nie widzisz opcji Zabezpieczenia, kliknij Więcej ustawień u dołu strony. 

  3. W sekcji Skonfiguruj logowanie jednokrotne przy użyciu dostawcy tożsamości Google obok Certyfikat 1 kliknij Wygeneruj certyfikat.
    Gdy wygenerujesz certyfikat, obok etykiety Certyfikat 1 pojawi się nazwa jego pliku, a pod nią – data ważności.
  4. (Opcjonalnie) W sekcji Skonfiguruj logowanie jednokrotne przy użyciu dostawcy tożsamości Google obok Certyfikat 2 kliknij Wygeneruj certyfikat.
    Gdy wygenerujesz certyfikat, obok etykiety Certyfikat 2 pojawi się nazwa jego pliku, a pod nią – data ważności.
  5. Po wygenerowaniu certyfikatów przejdź do kolejnych sekcji, aby zarządzać tymi certyfikatami niestandardowych lub wstępnie skonfigurowanych aplikacji SAML. 
Krok 2. Zarządzanie certyfikatami powiązanymi z aplikacjami SAML
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Aplikacje a potem Aplikacje SAML.

    Jeśli na stronie głównej nie widzisz opcji Aplikacje, kliknij Więcej opcji u dołu. 

  3. Kliknij link Dodaj usługę/aplikację do swojej domeny lub w dolnym rogu okna kliknij Dodaj Dodaj.
  4. Kliknij Skonfiguruj własną aplikację.

    Pojawi się okno Informacje o dostawcy tożsamości Google z automatycznie wypełnionymi polami URL logowania jednokrotnego i Identyfikator jednostki.
  5. Zbierz informacje o konfiguracji dostawcy usług:
    1. Skopiuj wartości pól Identyfikator jednostki i URL logowania jednokrotnego oraz pobierz certyfikat X.509.
    2. Wklej je do odpowiednich pól konfiguracji dostawcy usług.
    3. Kliknij Dalej.
  6. Jeśli certyfikat utracił ważność, kliknij Zarządzaj certyfikatami, aby zaktualizować certyfikat X.509.
    Jeśli utworzysz dwa certyfikaty, domyślnie będzie używany najnowszy certyfikat.
  7. Przejdź do kroku 4, aby usunąć, a następnie zastąpić certyfikaty, które utraciły ważność lub których zabezpieczenia zostały złamane.
Krok 3. Tworzenie certyfikatów powiązanych z wstępnie skonfigurowanymi aplikacjami internetowymi i zarządzanie tymi certyfikatami
  1. Skonfiguruj wybraną aplikację jako dostawcę usług SAML.
  2. W przypadku aplikacji bez certyfikatu w sekcji Szczegóły usługodawcy kliknij Wygeneruj certyfikat

    Gdy wygenerujesz certyfikat, będzie on widoczny w oknie Informacje o dostawcy tożsamości Google każdej skonfigurowanej aplikacji SAML. Pod nazwą pliku będzie widoczna jego data ważności.

    W przypadku aktywnych wstępnie skonfigurowanych aplikacji internetowych dostępny jest link Zarządzaj certyfikatami
  3. Kliknij Zarządzaj certyfikatami. Wyświetli się okno Zarządzanie certyfikatami dostawcy tożsamości.

    Zobaczysz dwie pozycje certyfikatów. Gdy wygenerujesz certyfikat, będzie on widoczny wraz z datą ważności obok nazwy pliku.Jeśli utworzysz dwa certyfikaty, domyślnie będzie używany najnowszy z nich.
  4. Przejdź do kolejnej sekcji, aby usunąć i zastąpić certyfikaty, które utraciły ważność lub których zabezpieczenia zostały złamane.
Krok 4. Usuwanie i zastępowanie certyfikatów, które utraciły ważność lub których zabezpieczenia zostały złamane
  1. Wybierz certyfikat i kliknij znajdującą się obok niego ikonę usuwania Usuń, aby go zastąpić.

    Jeśli usuniesz certyfikat, który jest używany przez aktywną aplikację SAML, pojawi się okno z liczbą aplikacji SAML, na które będzie miała wpływ ta operacja usunięcia.

    Aplikacje SAML korzystające z usuniętego certyfikatu nie będą działać, dopóki certyfikat nie zostanie zaktualizowany u dostawcy usług i dostawcy tożsamości.
  2. Kliknij Tak, aby usunąć certyfikat.
  3. Obok pozycji bez certyfikatu kliknij Wygeneruj certyfikat
  4. W obszarze Szczegóły usługodawcy kliknij strzałkę w dół Strzałka w dół obok pola Certyfikat, aby wyświetlić oba certyfikaty.
  5. Wybierz certyfikat.

    Wykonaj te czynności dla wszystkich aplikacji SAML korzystających z usuniętego certyfikatu i zaktualizuj konfigurację na stronie administracyjnej dostawcy usług.
  6. Kliknij Zapisz.

Zmiany w certyfikatach SAML są rejestrowane w dzienniku kontrolnym administratora.

Czy to było pomocne?
Jak możemy ją poprawić?