SAML-Zertifikate verwalten

In Ihren SAML-Anwendungen werden X.509-Zertifikate verwendet, um die Authentizität und Integrität von Nachrichten zu prüfen, die zwischen dem Identitätsanbieter (Identity Provider, IdP) und dem Dienstanbieter (Service Provider, SP) ausgetauscht werden. Als Super Admin haben Sie in der Admin-Konsole folgende Möglichkeiten:

Abrufen, welche X.509-Zertifikate in Ihren SAML-Anwendungen verwendet werden
Ermitteln, welche X.509-Zertifikate demnächst ablaufen
Neue Zertifikate erstellen und Ihren SAML-Anwendungen zuweisen. Das wird als Zertifikatsrotation bezeichnet.

Warum sollten SAML-Zertifikate rotiert werden?

X.509-Zertifikate haben eine Laufzeit von fünf Jahren. Zertifikate, die bald ablaufen oder nicht mehr sicher sind, sollten Sie erneuern. Wenn ein Zertifikat abläuft, bevor Sie es erneuern, können sich Ihre Nutzer nicht mehr per SSO in SAML-Anwendungen anmelden, in denen es verwendet wird – das ist erst wieder möglich, wenn Sie es durch ein neues Zertifikat ersetzen.

Fügen Sie vor Ablauf Ihres Standardzertifikats ein zweites Zertifikat mit einer neuen Laufzeit von fünf Jahren hinzu und wechseln Sie dann mit Ihren Anwendungen zum neuen Zertifikat. Wenn Sie zwei gültige Zertifikate haben, können Sie einige Anwendungen testweise zum neuen Zertifikat wechseln, ohne dass dies Auswirkungen auf Anwendungen hat, die noch das ältere Zertifikat verwenden. Wenn Sie alle Anwendungen zum neuen Zertifikat migriert haben, können Sie das alte Zertifikat löschen.

Wichtig: Nachdem Sie einer SAML-Anwendung in der Admin-Konsole ein neues Zertifikat zugewiesen haben, müssen Sie auch die entsprechende SSO-Konfiguration auf der Seite des Dienstanbieters mit dem neuen Zertifikat aktualisieren. Andernfalls schlägt die SSO mit der Anwendung fehl.

SAML-Zertifikate verwalten

Ihr Konto hat ein Standardzertifikat für alle SAML-Anwendungen. Sie können ein zweites Zertifikat hinzufügen oder eines oder beide Zertifikate löschen und neue Zertifikate generieren:

Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitAuthentifizierungSSO mit SAML-Anwendungen.

SSO mit SAML-Anwendungen aufrufen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

Im Bereich Zertifikate sehen Sie Ihre aktuellen X.509-Zertifikate. Sie können maximal zwei Zertifikate gleichzeitig haben. Der Zertifikatsname, das Ablaufdatum, der Inhalt und der SHA-256-Fingerabdruck werden angezeigt. Mit den Schaltflächen rechts können Sie ein Zertifikat kopieren, herunterladen oder löschen.
Optional: Wenn Sie nur ein Zertifikat haben, klicken Sie auf Weiteres Zertifikat hinzufügen , um ein zweites Zertifikat zu erstellen.

Hinweis: Das zuletzt erstellte (aktuelle) Zertifikat wird als Standardzertifikat verwendet, um die SSO für neue SAML-Anwendungen einzurichten.
Optional: So erstellen Sie ein neues Zertifikat:
1. Klicken Sie auf „Löschen“ , um ein Zertifikat zu löschen.
  
  Wenn das Zertifikat, das Sie löschen, von installierten SAML-Anwendungen verwendet wird, werden die betroffenen Apps in einem Fenster aufgelistet. Sie werden darauf hingewiesen, dass die SSO erst wieder für die Anwendungen verfügbar ist, wenn Sie ihnen ein neues Zertifikat zugewiesen haben.
2. Klicken Sie auf Zertifikat löschen. Das Löschen eines Zertifikats hat folgende Auswirkungen:
  - Wenn Sie ein Zertifikat haben, wird als Ersatz automatisch ein neues Zertifikat erstellt.
  - Wenn Sie zwei Zertifikate haben und Zertifikat 1 löschen, rückt Zertifikat 2 an die Stelle von Zertifikat 1.
Wenn Sie ein Zertifikat ersetzt haben, das in einer Ihrer SAML-Anwendungen verwendet wird, folgen Sie der Anleitung im nächsten Abschnitt, um den betroffenen Anwendungen das neue Zertifikat zuzuweisen. Sie müssen auch das Zertifikat in den SSO-Einstellungen für diese Apps auf der Verwaltungswebsite des Dienstanbieters aktualisieren.

Tipp: Ereignisse zu SAML-Zertifikaten (Löschen, Erstellen, Ändern des einer SAML-Anwendung zugewiesenen Zertifikats) werden im Audit-Log für die Administratoren protokolliert.

Zertifikat für eine SAML-Anwendung aktualisieren

Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.

Web- und mobile Apps aufrufen

Erfordert die Administratorberechtigung für die Verwaltung mobiler Geräte.
Klicken Sie auf die SAML-Anwendung, um die zugehörige Einstellungsseite zu öffnen.
Klicken Sie auf Details zum Dienstanbieter.

Unter Zertifikat wird das aktuell in der Anwendung verwendete Zertifikat angezeigt, einschließlich Zertifikats-ID und Ablaufdatum. Wenn Sie das Zertifikat gelöscht haben, das ursprünglich zum Einrichten der Anwendung verwendet wurde, sehen Sie den Hinweis Kein Zertifikat zugewiesen.
Klicken Sie auf den Drop-down-Pfeil und wählen Sie ein Zertifikat aus.
Optional: Wenn kein anderes Zertifikat verfügbar ist oder Sie neue Zertifikate erstellen müssen, klicken Sie auf Zertifikate verwalten und folgen Sie der Anleitung oben unter SAML-Zertifikate verwalten.
Nachdem Sie das zugewiesene Zertifikat geändert haben, müssen Sie unbedingt auch die SSO-Konfiguration der Anwendung mit dem neuen Zertifikat auf der Website des Dienstanbieters aktualisieren – die SSO mit der SAML-Anwendung funktioniert erst dann, wenn auch dort die Konfiguration aktualisiert wurde. SSO mit der SAML-Anwendung funktioniert erst dann, wenn auch dort die Konfiguration aktualisiert wurde.

Wichtig: Nachdem Sie ein Zertifikat ersetzt haben, kann es 24 Stunden dauern, bis das neue Zertifikat für Ihre SAML-Anwendungen verfügbar ist.

Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.

Zuletzt aktualisiert: 2026-02-27 (UTC).

Google Workspace
Das passende Modell für Ihr Unternehmen auswählen
Admin-Community
Antworten von Branchenkollegen und Experten erhalten
Customer Care
Informationen zu Supportoptionen und -diensten