แอปพลิเคชัน SAML จะใช้ใบรับรอง X.509 เพื่อยืนยันความถูกต้องและครบถ้วนของข้อความที่แชร์กันระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถใช้คอนโซลผู้ดูแลระบบดำเนินการดังนี้
- ดูใบรับรอง X.509 ที่แอปพลิเคชัน SAML ใช้อยู่ได้อย่างง่ายดาย
- ระบุใบรับรอง X.509 ที่กำลังจะหมดอายุ
- สร้างใบรับรองใหม่แล้วมอบสิทธิ์ให้แอปพลิเคชัน SAML ซึ่งเรียกว่าการหมุนเวียนใบรับรอง
ทำไมต้องหมุนเวียนใบรับรอง SAML
ใบรับรอง X.509 จะมีอายุใช้งาน 5 ปี คุณควรหมุนเวียนใบรับรองหากใบรับรองกำลังจะหมดอายุ หรือหากใบรับรองตกอยู่ในอันตราย หากมีใบรับรองที่หมดอายุก่อนที่คุณจะทำการหมุนเวียน ผู้ใช้ของคุณจะไม่สามารถใช้ SSO เพื่อลงชื่อเข้าใช้ในแอปพลิเคชัน SAML ที่ใช้ใบรับรองนั้นจนกว่าคุณจะเปลี่ยนเป็นใบรับรองใหม่
หลังจากที่สร้างใบรับรองใหม่ คุณต้องมอบสิทธิ์ใบรับรองใหม่ให้กับแอปพลิเคชัน SAML แต่ละแอปใน Google (ฝั่ง IdP) และต้องอัปเดตการกำหนดค่า SSO ของฝั่ง SP ที่ตรงกันโดยใช้ใบรับรองใหม่
จัดการใบรับรอง SAML
บัญชีของคุณมีใบรับรองเริ่มต้น 1 ใบที่สามารถใช้กับแอป SAML ทั้งหมดได้ คุณสามารถเพิ่มใบรับรองใบที่ 2 หรือลบใบรับรอง 1 ใบหรือทั้ง 2 ใบและสร้างใบรับรองใหม่
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วยแอปพลิเคชัน SAML
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
ส่วนใบรับรองจะแสดงใบรับรอง X.509 ปัจจุบันของคุณ คุณจะมีใบรับรองได้ 2 ใบในเวลาเดียวกัน ระบบจะแสดงชื่อ วันที่หมดอายุ เนื้อหา และลายนิ้วมือ SHA-256 ของใบรับรอง ใช้ปุ่มต่างๆ ทางขวาเพื่อคัดลอก ดาวน์โหลด หรือลบใบรับรอง
- (ไม่บังคับ) หากคุณมีใบรับรองเพียง 1 ใบ ให้คลิกเพิ่มใบรับรองเพื่อสร้างใบรับรองใบที่ 2
หมายเหตุ: ใบรับรองที่สร้างไว้ล่าสุด (ใหม่ล่าสุด) จะกลายเป็นใบรับรองเริ่มต้นที่ใช้เพื่อตั้งค่า SSO สำหรับแอป SAML ใหม่
- (ไม่บังคับ) หากต้องการสร้างใบรับรองใหม่ ให้ทำดังนี้
- คลิกลบ เพื่อลบใบรับรอง
หากมีแอป SAML ที่คุณติดตั้งไว้ที่ใช้งานใบรับรองที่คุณกำลังจะลบ จะมีหน้าต่างปรากฏขึ้นเพื่อแสดงรายการของแอปที่ได้รับผลกระทบและเตือนคุณว่า SSO ที่ใช้กับแอปนั้นๆ จะใช้งานไม่ได้จนกว่าคุณจะมอบสิทธิ์ใบรับรองใหม่ให้กับแอปเหล่านั้น
- คลิกลบใบรับรอง การลบใบรับรองจะส่งผลดังนี้
- หากคุณมีใบรับรอง 1 ใบ ระบบจะสร้างใบรับรองใหม่แทนที่ใบเก่าโดยอัตโนมัติ
- หากคุณมีใบรับรอง 2 ใบและลบใบรับรอง 1 ในกรณีนี้ใบรับรอง 2 จะแทนที่ใบรับรอง 1
- คลิกลบ เพื่อลบใบรับรอง
- หากคุณแทนที่ใบรับรองที่ถูกใช้งานโดยแอป SAML ให้ปฏิบัติตามขั้นตอนในส่วนถัดไปเพื่อมอบสิทธิ์ใบรับรองใหม่ให้กับแอปที่ได้รับผลกระทบ นอกจากนี้คุณยังต้องอัปเดตใบรับรองในการตั้งค่า SSO สำหรับแอปเหล่านั้นในเว็บไซต์การดูแลระบบของ SP ด้วยเช่นกัน
เคล็ดลับ: กิจกรรมเกี่ยวกับใบรับรอง SAML (การลบ การสร้าง การเปลี่ยนใบรับรองที่มอบสิทธิ์ไว้ของแอป SAML) จะได้รับการบันทึกไว้ในบันทึกการตรวจสอบผู้ดูแลระบบ
อัปเดตใบรับรองที่ใช้งานโดยแอปพลิเคชัน SAML
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
- คลิกที่แอป SAML เพื่อเปิดหน้าการตั้งค่าของแอปนั้น
- คลิกรายละเอียดผู้ให้บริการ
ใต้หัวข้อใบรับรอง ใบรับรองใบปัจจุบันที่ใช้งานโดยแอปดังกล่าวจะแสดงขึ้น ซึ่งรวมถึงรหัสใบรับรองและวันที่หมดอายุ หากคุณลบใบรับรองที่ในตอนแรกถูกใช้เพื่อตั้งค่าแอป คุณจะเห็นคำเตือนว่าไม่มีใบรับรองที่มอบสิทธิ์
- คลิกลูกศรลง แล้วเลือกใบรับรอง
- (ไม่บังคับ) หากไม่มีใบรับรองอื่นที่พร้อมใช้งาน หรือหากคุณจำเป็นต้องสร้างใบรับรองใหม่ ให้คลิกจัดการใบรับรองและปฏิบัติตามวิธีการในหัวข้อจัดการใบรับรอง SAML ที่ด้านบน
- หลังจากที่เปลี่ยนใบรับรองที่มอบสิทธิ์ให้กับแอป SAML แล้ว โปรดอย่าลืมอัปเดตการกำหนดค่า SSO ของแอปโดยใช้ใบรับรองใหม่ในเว็บไซต์ของผู้ให้บริการ SSO ที่อยู่กับแอป SAML จะไม่ทำงานจนกว่าการกำหนดค่าฝั่ง SP จะได้รับการอัปเดตด้วย
สำคัญ: หลังจากที่คุณเปลี่ยนใบรับรอง อาจต้องใช้เวลาถึง 24 ชั่วโมงเพื่อให้ใบรับรองใหม่พร้อมใช้งานสำหรับแอปพลิเคชัน SAML ของคุณ