Mantén los certificados de SAML

Tus aplicaciones SAML usan certificados X.509 para confirmar la autenticidad y la integridad de los mensajes que se comparten entre el proveedor de identidad (IdP) y el proveedor de servicios (SP). Como administrador avanzado, puedes usar la Consola del administrador para realizar las siguientes acciones:

  • Consulta fácilmente los certificados X.509 que usan tus aplicaciones de SAML
  • Identifica los certificados X.509 que están a punto de vencer
  • Crea certificados nuevos y asígnalos a tus aplicaciones SAML. Esto se denomina rotación de certificados.

¿Por qué rotar los certificados de SAML?

Los certificados X.509 tienen una vida útil de cinco años. Debes rotar un certificado si está a punto de vencer o si se ve comprometido. Si un certificado vence antes de que lo rotes, tus usuarios no podrán usar el SSO para acceder a ninguna aplicación SAML que use ese certificado hasta que lo reemplaces por uno nuevo.

Antes del vencimiento de tu certificado predeterminado, agrega un segundo certificado con una nueva vida útil de 5 años y, luego, cambia tus apps del certificado que está por vencer. Tener dos certificados válidos te permite cambiar algunas apps al certificado nuevo como prueba, sin afectar a las apps que aún usan el certificado anterior. Cuando hayas transferido todas las apps al certificado nuevo, podrás borrar el certificado anterior.

Importante: Después de asignar un certificado nuevo a una app de SAML en la Consola del administrador, también debes actualizar la configuración de SSO del lado del SP correspondiente con el certificado nuevo. De lo contrario, fallará el SSO con la app.

Administra certificados de SAML

Tu cuenta tiene un certificado predeterminado que puedes usar para todas tus apps de SAML. Puedes agregar un segundo certificado o borrar uno o ambos y generar certificados nuevos:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con aplicaciones de SAML.

    Debes acceder como administrador avanzado para realizar esta tarea.

    En la sección Certificates, se muestran tus certificados X.509 actuales. Puedes tener hasta 2 certificados a la vez. Se muestran el nombre, la fecha de vencimiento, el contenido y la huella digital SHA-256 del certificado. Usa los botones de la derecha para copiar, descargar o borrar un certificado.

  2. (Opcional) Si solo tienes un certificado, haz clic en Agregar otro certificado para crear un segundo certificado.

    Nota: El certificado generado más recientemente (el más nuevo) se convierte en el certificado predeterminado que se usa para configurar el SSO para las nuevas apps de SAML.

  3. (Opcional) Para crear un certificado nuevo, sigue estos pasos:

    1. Haz clic en Borrar para borrar un certificado.

      Si alguna app de SAML instalada usa el certificado que borraste, aparecerá una ventana con la lista de las apps afectadas y un mensaje de advertencia que indica que el SSO con la app no estará disponible hasta que le asignes un certificado nuevo.

    2. Haz clic en Borrar certificado. Borrar un certificado tiene los siguientes resultados:

      • Si tienes un certificado, se generará automáticamente uno nuevo para reemplazarlo.
      • Si tienes dos certificados y borras el certificado 1, el certificado 2 lo reemplaza.

  4. Si reemplazaste un certificado que usaba alguna de tus apps de SAML, sigue los pasos de la siguiente sección para asignar el nuevo certificado a las apps afectadas. También deberás actualizar el certificado en la configuración del SSO de esas apps en el sitio web administrativo del SP.

Nota: Los eventos de certificados SAML (borrado, creación, cambio del certificado asignado de una app de SAML) se registran en el registro de auditoría del administrador.

Actualiza el certificado que usa una aplicación SAML

  1. En la Consola del administrador de Google, ve a Menú y luego Appsy luegoApps web y para dispositivos móviles.

    Es necesario tener el privilegio de administrador de la Administración de dispositivos móviles.

  2. Haz clic en la app de SAML para abrir su página de configuración.

  3. Haz clic en Detalles del proveedor de servicios.

    En Certificado, se muestra el certificado actual que usa la app, incluido el ID y la fecha de vencimiento. Si borraste el certificado que se usó inicialmente para configurar la app, verás la advertencia No se asignó ningún certificado.

  4. Haz clic en la flecha hacia abajo y elige un certificado.

  5. (Opcional) Si no hay otro certificado disponible o necesitas crear certificados nuevos, haz clic en Administrar certificados y sigue las instrucciones que se indican en Administra certificados SAML más arriba.

  6. Después de cambiar el certificado asignado a la app de SAML, asegúrate de actualizar también la configuración del SSO de la app con el nuevo certificado en el sitio web del proveedor de servicios. El SSO con la app de SAML no funcionará hasta que también se actualice la configuración del lado del SP.

Importante: Después de reemplazar un certificado, es posible que el nuevo tarde hasta 24 horas en estar disponible para que lo usen tus aplicaciones SAML.