รักษาใบรับรอง SAML

แอปพลิเคชัน SAML จะใช้ใบรับรอง X.509 เพื่อยืนยันความถูกต้องและครบถ้วนของข้อความที่แชร์กันระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถใช้คอนโซลผู้ดูแลระบบดำเนินการดังนี้

  • ดูใบรับรอง X.509 ที่แอปพลิเคชัน SAML ใช้อยู่ได้อย่างง่ายดาย
  • ระบุใบรับรอง X.509 ที่กำลังจะหมดอายุ
  • สร้างใบรับรองใหม่แล้วมอบหมายไปที่แอปพลิเคชัน SAML
    ซึ่งเรียกว่าการหมุนเวียนใบรับรอง

ทำไมต้องหมุนเวียนใบรับรอง SAML

คุณหมุนเวียนใบรับรองเนื่องจากใบรับรองใกล้หมดอายุ หรือมีช่องโหว่ด้วยสาเหตุใดก็ตาม หาก SP รองรับการมีใบรับรอง SAML หลายใบ วิธีการหมุนเวียนใบรับรองนี้จะสามารถป้องกันไม่ให้มีช่วงพักที่ไม่ได้วางแผนไว้อันเนื่องมาจากการหมดอายุของใบรับรองได้ ซึ่งหากไม่ใช้วิธีนี้ก็จะมีช่วงพักในขณะที่มีการอัปเดตการเปลี่ยนแปลงใบรับรองใน SP และใน IdP

ใบรับรอง X.509 จะมีอายุใช้งาน 5 ปี โดยเมื่อใบรับรอง X.509 ที่เชื่อมโยงกับแอปพลิเคชันหมดอายุ ผู้ใช้จะไม่สามารถลงชื่อเข้าใช้แอปพลิเคชันนั้นโดยใช้การลงชื่อเพียงครั้งเดียว (SSO) ที่ใช้ SAML ได้

สร้างใบรับรอง X.509 ใหม่ก่อนที่ใบรับรอง SAML ที่ใช้งานอยู่จะหมดอายุ จากนั้นมอบหมายใบรับรองนี้ให้กับแอปพลิเคชัน SAML แต่ละรายการ พร้อมทั้งอัปเดตการกำหนดค่าในเว็บไซต์การดูแลระบบของ SP ด้วย

ตั้งค่าและจัดการใบรับรอง SAML

ขั้นตอนที่ 1: สร้างและอัปเดตใบรับรอง SAML ในส่วนตั้งค่า SSO ด้วยผู้ให้บริการข้อมูลประจำตัวของ Google

บัญชีของคุณมีใบรับรองเริ่มต้น 1 ใบที่สามารถใช้กับแอป SAML ทั้งหมดได้ แต่หากต้องการเปลี่ยนใบรับรองหรือหมุนเวียนใบรับรองที่มีการลิงก์อยู่แล้ว ให้ใช้วิธีต่อไปนี้ในการสร้างชุดใบรับรอง X.509 ชุดใหม่

  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบของคุณ (ไม่ลงท้ายด้วย@gmail.com)

  2. ไปที่ความปลอดภัย แล้ว ตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) จากหน้าแรกของคอนโซลผู้ดูแลระบบ

    คุณอาจต้องคลิกการควบคุมเพิ่มเติมที่ด้านล่างเพื่อดูตัวเลือกความปลอดภัย 

  3. ภายใต้การตั้งค่า SSO โดยใช้ผู้ให้บริการข้อมูลประจำตัวของ Google ที่อยู่ถัดจากใบรับรอง 1 ให้คลิกสร้างใบรับรอง
    และเมื่อสร้างใบรับรองแล้ว ชื่อไฟล์ใบรับรองนั้นจะปรากฏขึ้นถัดจากป้ายกำกับใบรับรอง 1 พร้อมด้วยวันที่หมดอายุในชื่อไฟล์นั้น
  4. (ไม่บังคับ) ภายใต้การตั้งค่า SSO โดยใช้ผู้ให้บริการข้อมูลประจำตัวของ Google ที่อยู่ถัดจากใบรับรอง 2 ให้คลิกสร้างใบรับรอง
    และเมื่อสร้างใบรับรองแล้ว ชื่อไฟล์รับรองนั้นจะปรากฏขึ้นถัดจากป้ายกำกับใบรับรอง 2 พร้อมด้วยวันที่หมดอายุในชื่อไฟล์นั้น
  5. เมื่อสร้างใบรับรองแล้ว โปรดไปยังส่วนถัดไปเพื่อจัดการใบรับรองสำหรับแอป SAML ที่กำหนดเอง หรือแอป SAML ที่กำหนดค่าไว้ล่วงหน้า 
ขั้นตอนที่ 2: จัดการใบรับรองที่ลิงก์กับแอปพลิเคชัน SAML ของคุณเอง
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบของคุณ (ไม่ลงท้ายด้วย@gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่แอป แล้ว แอป SAML

    คุณอาจต้องคลิกการควบคุมเพิ่มเติมด้านล่าง เพื่อให้มองเห็นแอปในหน้าแรก 

  3. คลิกลิงก์เพิ่มบริการ/แอปในโดเมนของคุณหรือไปที่มุมด้านล่าง แล้วคลิกเพิ่ม เพิ่ม
  4. คลิกตั้งค่าแอปที่ฉันกำหนดเอง

    หน้าต่างข้อมูล IDP ของ Google จะเปิดขึ้น โดยระบบจะเติมข้อมูลในช่อง URL การลงชื่อเพียงครั้งเดียวและ URL ของรหัสเอนทิตีโดยอัตโนมัติ
  5. รวบรวมข้อมูลการตั้งค่าผู้ให้บริการดังนี้
    1. คัดลอกค่าของช่องรหัสเอนทิตีและ URL การลงชื่อเพียงครั้งเดียว แล้วดาวน์โหลดใบรับรอง X.509
    2. วางค่าเหล่านั้นลงในช่องการตั้งค่าผู้ให้บริการที่เหมาะสม
    3. คลิกถัดไป
  6. หากใบรับรองหมดอายุ ให้คลิกจัดการใบรับรองเพื่ออัปเดตใบรับรอง X.509
    หากเลือกสร้างใบรับรอง 2 ใบ ค่าเริ่มต้นในการใช้งานจะเป็นใบรับรองล่าสุด
  7. ไปที่ขั้นตอนที่ 4 เพื่อลบแล้วแทนที่ใบรับรองที่หมดอายุหรือมีช่องโหว่สำหรับแอป SAML ที่คุณกำหนดเอง
ขั้นตอนที่ 3: สร้างและจัดการใบรับรองที่เชื่อมโยงกับแอปพลิเคชันระบบคลาวด์ที่กำหนดค่าไว้ล่วงหน้า
  1. กำหนดค่าแอปพลิเคชันที่เลือกเป็น SP ของ SAML
  2. สำหรับแอปพลิเคชันที่ไม่มีใบรับรอง ให้ไปที่รายละเอียดของผู้ให้บริการ แล้วคลิกสร้างใบรับรอง 

    เมื่อสร้างใบรับรองแล้ว ใบรับรองนั้นจะปรากฏขึ้นในหน้าต่างข้อมูล IDP ของ Google สำหรับแอป SAML แต่ละแอปที่กำหนดค่าไว้ พร้อมด้วยวันที่หมดอายุในชื่อไฟล์นั้น

    สำหรับแอปพลิเคชันระบบคลาวด์ที่กำหนดค่าไว้ล่วงหน้าซึ่งทำงานอยู่จะมีลิงก์จัดการใบรับรอง 
  3. คลิกจัดการใบรับรอง แล้วหน้าต่างย่อยจัดการใบรับรองของผู้ให้บริการข้อมูลประจำตัวจะเปิดขึ้น

    โดยจะมีรายการสำหรับใบรับรอง 2 ใบ และเมื่อสร้างใบรับรองแล้ว ใบรับรองนั้นจะปรากฏขึ้นพร้อมด้วยวันที่หมดอายุถัดจากชื่อไฟล์นั้น แต่หากเลือกสร้างใบรับรอง 2 ใบ ค่าเริ่มต้นในการใช้งานจะเป็นใบรับรองล่าสุด
  4. ไปที่ส่วนถัดไปเพื่อลบและแทนที่ใบรับรองที่ใกล้หมดอายุหรือมีช่องโหว่สำหรับแอป SAML ที่กำหนดเอง หรือแอป SAML ที่กำหนดค่าไว้ล่วงหน้า
ขั้นตอนที่ 4: ลบแล้วแทนที่ใบรับรองที่หมดอายุหรือมีช่องโหว่
  1. ไปที่ใบรับรองที่เลือก แล้วคลิกไอคอนลบ ลบ เพื่อแทนที่ใบรับรองนั้น

    หากลบใบรับรองที่มีแอป SAML ใช้งานอยู่ หน้าต่างย่อยจะแสดงจำนวนแอป SAML ที่ได้รับผลกระทบจากการรอการนำออก

    ระบบจะพักแอป SAML ที่ใช้ใบรับรองที่มีการลบออกไปในขณะที่มีการอัปเดตใบรับรองใน SP และใน IdP
  2. คลิกใช่เพื่อลบใบรับรอง
  3. คลิกสร้างใบรับรองข้างรายการที่ไม่มีใบรับรอง 
  4. ในส่วนรายละเอียดของผู้ให้บริการ ให้เลือกลูกศรลง ลูกศรลง ที่อยู่ถัดจากช่องใบรับรองเพื่อแสดงใบรับรองทั้ง 2 ใบ
  5. เลือกใบรับรอง

    คุณจำเป็นต้องทำตามขั้นตอนนี้กับแอปพลิเคชัน SAML แต่ละแอปที่ได้รับผลกระทบทีละใบ แล้วอัปเดตการกำหนดค่าในเว็บไซต์การดูแลระบบของ SP
  6. คลิกบันทึก

การเปลี่ยนแปลงใบรับรอง SAML จะถูกบันทึกไว้ในบันทึกการตรวจสอบของผู้ดูแลระบบ

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร