Seus apps SAML usam certificados X.509 para confirmar a autenticidade e a integridade das mensagens compartilhadas entre o provedor de identidade (IdP) e o provedor de serviços (SP). Como superusuário, você pode usar o Admin Console para:
- ver facilmente os certificados X.509 usados pelos seus aplicativos SAML;
- identificar os certificados X.509 que estão prestes a expirar;
- criar certificados e atribuí-los aos seus apps SAML.Isso é chamado de rotação de certificado.
Por que fazer a rotação de certificados SAML?
Os certificados X.509 são válidos por cinco anos. Você deve fazer a rotação de um certificado que esteja prestes a expirar ou tenha sido comprometido. Se um certificado expirar antes de você fazer a rotação, seus usuários só poderão fazer login com o SSO em apps SAML que utilizam esse certificado depois que ele for substituído.
Após criar um certificado, você precisará atribuí-lo a cada app SAML no Google (no IdP) e também atualizar a configuração do SSO do SP correspondente com o novo certificado.
Gerenciar certificados SAML
Sua conta tem um certificado padrão que você pode usar para todos os aplicativos SAML. Você pode adicionar um segundo certificado ou excluir um dos certificados ou ambos e gerar novos certificados:
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu
Segurança
Autenticação
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
A seção Certificados mostra seus certificados X.509. Você pode ter até dois certificados. O nome, a data de validade, o conteúdo e a impressão digital SHA-256 do certificado são exibidos. Use os botão à direita para copiar, fazer o download ou excluir um certificado.
- (Opcional) Se você tiver apenas um certificado, clique em Adicionar outro certificado para criar um segundo certificado.
Observação: o certificado mais recente será o padrão usado para configurar o SSO nos novos apps SAML.
- (Opcional) Para criar um novo certificado:
- Clique em Excluir
para excluir o certificado.
Se o certificado que você está excluindo for usado apenas por apps SAML instalados, uma janela mostrará os apps afetados e avisará que o SSO no app ficará indisponível até você atribuir um novo certificado a esses apps.
- Clique em Excluir certificado. Veja o que acontece quando um certificado é excluído:
- Se você já tiver um certificado, um novo certificado será gerado automaticamente para substituí-lo.
- Se você tiver dois certificados e excluir o certificado 1, o certificado 2 substituirá o certificado 1.
- Clique em Excluir
- Se você tiver substituído um certificado usado por qualquer um dos apps SAML, siga as etapas na próxima seção para atribuir o novo certificado aos apps afetados. Você também precisará atualizar o certificado nas configurações de SSO desses apps no site administrativo do SP.
Dica: os eventos do certificado SAML (exclusão, criação, alteração de um certificado atribuído ao app SAML) são registrados no Registro de auditoria do administrador.
Atualizar o certificado usado por um app SAML
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu
Apps
- Clique no app SAML para abrir a página "Configurações".
- Clique em Detalhes do provedor de serviços.
Em Certificado, você verá o certificado atual usado pelo app com o ID e data de validade. Se você tiver excluído o certificado com o qual o app foi configurado, verá o aviso Nenhum certificado atribuído.
- Clique na seta para baixo
e escolha um certificado.
- (Opcional) Se nenhum outro certificado estiver disponível ou você precisar criar certificados, clique em Gerenciar certificados e siga as instruções em Gerenciar certificados SAML.
- Após alterar o certificado atribuído ao app SAML, atualize também a configuração de SSO do app com o novo certificado no site do provedor de serviços. O SSO só funcionará no app SAML depois que a configuração no SP também for atualizada.
Importante: depois que você substituir um certificado, o novo certificado poderá levar até 24 horas para ficar disponível para os apps SAML.