รักษาใบรับรอง SAML

แอปพลิเคชัน SAML จะใช้ใบรับรอง X.509 เพื่อยืนยันความถูกต้องและครบถ้วนของข้อความที่แชร์กันระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถใช้คอนโซลผู้ดูแลระบบดำเนินการดังนี้

• ดูใบรับรอง X.509 ที่แอปพลิเคชัน SAML ใช้อยู่ได้อย่างง่ายดาย
• ระบุใบรับรอง X.509 ที่กำลังจะหมดอายุ
• สร้างใบรับรองใหม่แล้วมอบสิทธิ์ให้แอปพลิเคชัน SAML ซึ่งเรียกว่าการหมุนเวียนใบรับรอง

ทำไมต้องหมุนเวียนใบรับรอง SAML

ใบรับรอง X.509 จะมีอายุใช้งาน 5 ปี คุณควรหมุนเวียนใบรับรองหากใบรับรองกำลังจะหมดอายุ หรือหากใบรับรองตกอยู่ในอันตราย หากมีใบรับรองที่หมดอายุก่อนที่คุณจะทำการหมุนเวียน ผู้ใช้ของคุณจะไม่สามารถใช้ SSO เพื่อลงชื่อเข้าใช้ในแอปพลิเคชัน SAML ที่ใช้ใบรับรองนั้นจนกว่าคุณจะเปลี่ยนเป็นใบรับรองใหม่ 

หลังจากที่สร้างใบรับรองใหม่ คุณต้องมอบสิทธิ์ใบรับรองใหม่ให้กับแอปพลิเคชัน SAML แต่ละแอปใน Google (ฝั่ง IdP) และต้องอัปเดตการกำหนดค่า SSO ของฝั่ง SP ที่ตรงกันโดยใช้ใบรับรองใหม่

จัดการใบรับรอง SAML

บัญชีของคุณมีใบรับรองเริ่มต้น 1 ใบที่สามารถใช้กับแอป SAML ทั้งหมดได้ คุณสามารถเพิ่มใบรับรองใบที่ 2 หรือลบใบรับรอง 1 ใบหรือทั้ง 2 ใบและสร้างใบรับรองใหม่

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)

2. ในคอนโซลผู้ดูแลระบบ ไปที่เมนู  ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วยแอปพลิเคชัน SAML

   คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

   ส่วนใบรับรองจะแสดงใบรับรอง X.509 ปัจจุบันของคุณ คุณจะมีใบรับรองได้ 2 ใบในเวลาเดียวกัน ระบบจะแสดงชื่อ วันที่หมดอายุ เนื้อหา และลายนิ้วมือ SHA-256 ของใบรับรอง ใช้ปุ่มต่างๆ ทางขวาเพื่อคัดลอก ดาวน์โหลด หรือลบใบรับรอง

3. (ไม่บังคับ) หากคุณมีใบรับรองเพียง 1 ใบ ให้คลิกเพิ่มใบรับรองเพื่อสร้างใบรับรองใบที่ 2

   หมายเหตุ: ใบรับรองที่สร้างไว้ล่าสุด (ใหม่ล่าสุด) จะกลายเป็นใบรับรองเริ่มต้นที่ใช้เพื่อตั้งค่า SSO สำหรับแอป SAML ใหม่

4. (ไม่บังคับ) หากต้องการสร้างใบรับรองใหม่ ให้ทำดังนี้
   1. คลิกลบ เพื่อลบใบรับรอง

      หากมีแอป SAML ที่คุณติดตั้งไว้ที่ใช้งานใบรับรองที่คุณกำลังจะลบ จะมีหน้าต่างปรากฏขึ้นเพื่อแสดงรายการของแอปที่ได้รับผลกระทบและเตือนคุณว่า SSO ที่ใช้กับแอปนั้นๆ จะใช้งานไม่ได้จนกว่าคุณจะมอบสิทธิ์ใบรับรองใหม่ให้กับแอปเหล่านั้น

   2. คลิกลบใบรับรอง การลบใบรับรองจะส่งผลดังนี้
      • หากคุณมีใบรับรอง 1 ใบ ระบบจะสร้างใบรับรองใหม่แทนที่ใบเก่าโดยอัตโนมัติ
      • หากคุณมีใบรับรอง 2 ใบและลบใบรับรอง 1 ในกรณีนี้ใบรับรอง 2 จะแทนที่ใบรับรอง 1
5. หากคุณแทนที่ใบรับรองที่ถูกใช้งานโดยแอป SAML ให้ปฏิบัติตามขั้นตอนในส่วนถัดไปเพื่อมอบสิทธิ์ใบรับรองใหม่ให้กับแอปที่ได้รับผลกระทบ นอกจากนี้คุณยังต้องอัปเดตใบรับรองในการตั้งค่า SSO สำหรับแอปเหล่านั้นในเว็บไซต์การดูแลระบบของ SP ด้วยเช่นกัน

เคล็ดลับ: กิจกรรมเกี่ยวกับใบรับรอง SAML (การลบ การสร้าง การเปลี่ยนใบรับรองที่มอบสิทธิ์ไว้ของแอป SAML) จะได้รับการบันทึกไว้ในบันทึกการตรวจสอบผู้ดูแลระบบ

อัปเดตใบรับรองที่ใช้งานโดยแอปพลิเคชัน SAML

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)

2. ในคอนโซลผู้ดูแลระบบ ไปที่เมนู  แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่

3. คลิกที่แอป SAML เพื่อเปิดหน้าการตั้งค่าของแอปนั้น
4. คลิกรายละเอียดผู้ให้บริการ

   ใต้หัวข้อใบรับรอง ใบรับรองใบปัจจุบันที่ใช้งานโดยแอปดังกล่าวจะแสดงขึ้น ซึ่งรวมถึงรหัสใบรับรองและวันที่หมดอายุ หากคุณลบใบรับรองที่ในตอนแรกถูกใช้เพื่อตั้งค่าแอป คุณจะเห็นคำเตือนว่าไม่มีใบรับรองที่มอบสิทธิ์ 

5. คลิกลูกศรลง แล้วเลือกใบรับรอง
6. (ไม่บังคับ) หากไม่มีใบรับรองอื่นที่พร้อมใช้งาน หรือหากคุณจำเป็นต้องสร้างใบรับรองใหม่ ให้คลิกจัดการใบรับรองและปฏิบัติตามวิธีการในหัวข้อจัดการใบรับรอง SAML ที่ด้านบน
7. หลังจากที่เปลี่ยนใบรับรองที่มอบสิทธิ์ให้กับแอป SAML แล้ว โปรดอย่าลืมอัปเดตการกำหนดค่า SSO ของแอปโดยใช้ใบรับรองใหม่ในเว็บไซต์ของผู้ให้บริการ SSO ที่อยู่กับแอป SAML จะไม่ทำงานจนกว่าการกำหนดค่าฝั่ง SP จะได้รับการอัปเดตด้วย 

สำคัญ: หลังจากที่คุณเปลี่ยนใบรับรอง อาจต้องใช้เวลาถึง 24 ชั่วโมงเพื่อให้ใบรับรองใหม่พร้อมใช้งานสำหรับแอปพลิเคชัน SAML ของคุณ