您的 SAML 應用程式會使用 X.509 憑證確保識別資訊提供者 (IdP) 和服務供應商 (SP) 共用的訊息真實且完整。超級管理員可以透過管理控制台進行以下操作:
- 輕鬆查看您的 SAML 應用程式所使用的 X.509 憑證
- 找出即將到期的 X.509 憑證
- 建立新憑證並指派給您的 SAML 應用程式。這就是所謂的「憑證輪換」。
為什麼要輪換 SAML 憑證?
X.509 憑證的有效期限為五年。如果憑證即將到期,或因故遭到外洩,您就需要輪換憑證。如果憑證在您輪換前到期,使用者就無法使用單一登入 (SSO) 服務登入任何使用該憑證的 SAML 應用程式,直到您用新憑證替換舊憑證為止。
建立新憑證後,您需要在 Google (IdP 端) 將憑證逐一指派給 SAML 應用程式,並在相應的服務供應商 (SP) 端更新單一登入 (SSO) 設定,改為使用新憑證。
管理 SAML 憑證
您的帳戶有一個預設憑證,可供您所有的 SAML 應用程式使用。您可以新增第二個憑證,或是刪除一或兩個並產生新憑證:
-
-
「憑證」部分會顯示您目前的 X.509 憑證。您一次最多可以擁有 2 個憑證。畫面上會顯示憑證名稱、到期日、憑證內容和 SHA-256 指紋。如要複製、下載或刪除憑證,請使用憑證右方的按鈕。
- (選用) 如果您只有一個憑證,按一下 [新增其他憑證] 即可建立第二個憑證。
注意:系統會將最新建立的憑證當做預設憑證,用於為新 SAML 應用程式設定單一登入 (SSO) 服務。
- (選用) 如要建立新的憑證:
- 按一下「刪除」圖示
刪除憑證。
如有任何已安裝的 SAML 應用程式使用了您要刪除的憑證,系統會顯示列出受影響應用程式的視窗,並警告您在為這些應用程式指派新憑證前,相關應用程式將無法使用單一登入 (SSO) 服務。
- 按一下 [刪除憑證]。刪除憑證會造成以下影響:
- 如果您只有一個憑證,系統會自動產生新憑證來取代原有的憑證。
- 如果您有兩個憑證,那麼憑證 1 刪除後,憑證 2 會取代憑證 1。
- 按一下「刪除」圖示
- 如果您更換了任何 SAML 應用程式使用的憑證,請按照下一節的步驟操作,將新憑證指派給受影響的應用程式。此外,您也需要前往服務供應商 (SP) 的管理網站,在單一登入 (SSO) 設定中更新這些應用程式的憑證。
提示:管理員稽核記錄會記錄 SAML 憑證事件 (刪除憑證、建立憑證、變更 SAML 應用程式獲派的憑證)。
更新 SAML 應用程式使用的憑證
-
-
在管理控制台中,依序點選「選單」圖示
「應用程式」
「網頁和行動應用程式」。
- 按一下 SAML 應用程式,開啟設定該應用程式的設定頁面。
- 按一下 [服務供應商詳細資訊]。
「憑證」下方會顯示該應用程式目前使用的憑證,以及憑證 ID 和到期日。如果您刪除了當初用來設定此應用程式的憑證,就會看到「未指派任何憑證」警告訊息。
- 按一下向下箭頭
,然後選擇憑證。
- (選用) 如果沒有其他可用的憑證,或是您需要建立新憑證,請按一下 [管理憑證],並按照上方管理 SAML 憑證的說明操作。
- 變更指派給 SAML 應用程式的憑證後,請務必一併在服務供應商的網站上更新該應用程式的單一登入 (SSO) 設定,改為使用新憑證。您必須完成服務供應商 (SP) 端的憑證更新作業,使用單一登入 (SSO) 服務的 SAML 應用程式才會正常運作。
重要事項:更換憑證後,新憑證最多可能需要 24 小時才能供您的 SAML 應用程式使用。