تستخدم تطبيقات SAML شهادات X.509 لضمان موثوقية وسلامة الرسائل المشاركة بين موفِّر الهوية (IdP) ومقدِّم الخدمة (SP). بصفتك مشرفًا متميزًا، يمكنك استخدام "وحدة تحكّم المشرف" لإجراء ما يلي:
- عرض شهادات X.509 قيد الاستخدام بواسطة تطبيقات SAML بسهولة
- تحديد شهادات X.509 التي على وشك انتهاء صلاحيتها
- إنشاء شهادات جديدة وتخصيصها لتطبيقات SAML ويُطلَق على هذه العملية تدوير الشهادة.
لماذا يتم تدوير شهادات SAML؟
تظل شهادات X.509 صالحة لمدة خمس سنوات من وقت إنشائها. عليك تدوير الشهادة في حال اقتراب انتهاء صلاحيتها أو اختراقها. في حال انتهت صلاحية شهادة قبل تدويرها، لن يتمكَّن المستخدمون من استخدام خدمة الدخول المُوحَّد (SSO) لتسجيل الدخول إلى أيٍ من تطبيقات SAML التي تستخدم الشهادة حتى تستبدلها بشهادة جديدة.
قبل انتهاء صلاحية الشهادة التلقائية، أضِف شهادة ثانية بصلاحية جديدة لمدة 5 سنوات، ثم بدِّل تطبيقاتك من الشهادة التي ستنتهي صلاحيتها. يتيح لك توفُّر شهادتَين صالحتَين نقل بعض التطبيقات إلى الشهادة الجديدة كاختبار، بدون التأثير في التطبيقات التي لا تزال تستخدم الشهادة القديمة. بعد نقل جميع التطبيقات إلى الشهادة الجديدة، يمكنك حذف الشهادة القديمة.
ملاحظة مهمة: بعد تخصيص شهادة جديدة لتطبيق SAML في "وحدة تحكّم المشرف"، عليك أيضًا تعديل إعدادات تسجيل الدخول المُوحَّد (SSO) المقابلة من جهة مقدّم الخدمة (SP) باستخدام الشهادة الجديدة، وإلا سيتعذّر تسجيل الدخول المُوحَّد باستخدام التطبيق.
إدارة شهادات SAML
يتضمّن حسابك شهادة تلقائية واحدة يمكنك استخدامها لجميع تطبيقات SAML. يمكنك إضافة شهادة ثانية أو حذف الشهادة أو كلا الشهادتين وإنشاء شهادات جديدة:
-
في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة"
الأمانالمصادقةالدخول المُوحَّد (SSO) باستخدام تطبيقات SAML.عليك تسجيل الدخول بصفتك مشرفًا متميزًا لهذه المَهمة.
في قسم الشهادات، تظهر شهادات X.509 الحالية. يمكن أن يتوفَّر لديك ما يصل إلى شهادتين في آن واحد. ويظهر اسم الشهادة وتاريخ انتهاء صلاحيتها ومحتواها والملف المرجعي SHA-256. استخدِم الأزرار على يسار الشاشة لنسخ شهادة أو تنزيلها أو حذفها.
(اختياري) في حال توفَّر لديك شهادة واحدة انقر على إضافة شهادة أخرى لإنشاء شهادة ثانية.
ملاحظة: تصبح أحدث شهادة تم إنشاؤها هي الشهادة التلقائية المُستخدَمة لإعداد خدمة الدخول المُوحَّد (SSO) لتطبيقات SAML الجديدة.
(اختياري) لإنشاء شهادة جديدة، اتّبِع الخطوات التالية:
انقر على رمز الحذف
لحذف شهادة.في حال كانت الشهادة التي تحذفها يستخدمها أي تطبيق من تطبيقات SAML المُثبَّتة، تظهر نافذة تضم التطبيقات المتأثرة وتحذيرات بأنّ خدمة الدخول المُوحَّد (SSO) الخاصة بالتطبيقات لن تتوفَّر حتى تُخصِّص شهادة جديدة لهذه التطبيقات.
انقر على حذف الشهادة. يؤدي حذف الشهادة إلى النتائج التالية:
- في حال توفُّر شهادة واحدة، يتم إنشاء شهادة جديدة تلقائيًا لاستبدالها.
- في حال توفُّر شهادتين وحذف الشهادة 1، تستبدل الشهادة 2 الشهادة 1.
في حال استبدال شهادة يستخدمها أي تطبيق من تطبيقات SAML، اتّبِع الخطوات المذكورة في القسم التالي لتخصيص الشهادة الجديدة للتطبيقات المتأثرة. عليك أيضًا تعديل الشهادة في إعدادات خدمة الدخول المُوحَّد (SSO) لهذه التطبيقات في الموقع الإلكتروني الإداري لمقدّم الخدمة (SP).
ملاحظة: تُسجَّل أحداث شهادة SAML (من حذف وإنشاء وتغيير الشهادة المُخصَّصة لتطبيق SAML) في سجل تدقيق المشرف.
تعديل الشهادة التي يستخدمها تطبيق SAML
-
في "وحدة تحكّم المشرف" في Google، انتقِل إلى رمز القائمة
التطبيقاتتطبيقات الويب والتطبيقات المتوافقة مع الأجهزة الجوّالة.يتطلب هذا الإجراء الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.
- انقر على تطبيق SAML لفتح صفحة "الإعدادات" الخاصة به.
انقر على تفاصيل مقدِّم الخدمة.
ضمن الشهادة، تظهر الشهادة المُستخدَمة حاليًا، متضمنة رقم تعريف الشهادة وتاريخ انتهائها. في حال حذفت الشهادة التي استخدمتها في إعداد التطبيق لأول مرة، سيظهر لك هذا التحذير لم تُخصَّص أي شهادة.
انقر على السهم المتّجه للأسفل
واختَر شهادة.(اختياري) في حال عدم توفُّر أي شهادة أخرى، أو كنت بحاجة إلى شهادة جديدة، انقر على إدارة الشهادات واتّبِع التعليمات الواردة في إدارة شهادات SAML أعلاه.
بعد تغيير الشهادة المُخصَّصة لتطبيق SAML، احرِص أيضًا على ضبط إعداد خدمة الدخول المُوحَّد (SSO) للتطبيق على الشهادة الجديدة في الموقع الإلكتروني لموفِّر الخدمة. لن تعمل خدمة الدخول المُوحَّد (SSO) على تطبيق SAML حتى يتم ضبط الإعداد من جهة مقدِّم الخدمة (SP) أيضًا.
ملاحظة مهمة: بعد استبدال شهادة، قد يستغرق توفير الشهادة الجديدة لتستخدمها تطبيقات SAML ما يصل إلى 24 ساعة.