שמירה על אישורי SAML

אפליקציות SAML משתמשות באישורי X.509 כדי לאשר את האותנטיות ואת התקינות של הודעות שמשותפות בין ספק הזהויות (IdP) לבין ספק השירות (SP). משתמשים עם הרשאת סופר-אדמין יכולים להשתמש במסוף Admin כדי:

  • אפשר לראות בקלות את אישורי X.509 שנמצאים בשימוש באפליקציות SAML
  • זיהוי אישורי X.509 שעומד לפוג התוקף שלהם
  • יוצרים אישורים חדשים ומקצים אותם לאפליקציות SAML. הפעולה הזו נקראת החלפת אישורים.

למה צריך להחליף אישורי SAML?

התוקף של אישורי X.509 הוא חמש שנים. מומלץ להחליף אישור אם התוקף שלו עומד לפוג או אם הוא נפרץ. אם תוקף האישור יפוג לפני שתבצעו רוטציה, המשתמשים לא יוכלו להשתמש ב-SSO כדי להיכנס לאפליקציות SAML שמשתמשות באישור הזה עד שתחליפו אותו באישור חדש.

לפני שתוקף אישור ברירת המחדל יפוג, מוסיפים אישור שני עם תוקף חדש של 5 שנים, ואז מעבירים את האפליקציות מהאישור שתוקפו עומד לפוג. אם יש לכם שני אישורים תקפים, תוכלו להעביר חלק מהאפליקציות לאישור החדש לצורך בדיקה, בלי להשפיע על אפליקציות שעדיין משתמשות באישור הישן. אחרי שמעבירים את כל האפליקציות לאישור החדש, אפשר למחוק את האישור הישן.

חשוב: אחרי שמקצים אישור חדש לאפליקציית SAML במסוף Admin, צריך לעדכן גם את הגדרת ה-SSO התואמת בצד ספק השירות עם האישור החדש, אחרת ה-SSO עם האפליקציה ייכשל.

ניהול אישורי SAML

בחשבון שלכם יש אישור ברירת מחדל אחד שבו אתם יכולים להשתמש בכל אפליקציות ה-SAML. אפשר להוסיף אישור שני, או למחוק אישור אחד או את שני האישורים וליצור אישורים חדשים:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם אפליקציות SAML.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

    בקטע Certificates (אישורים) מוצגים אישורי X.509 הנוכחיים שלכם. בכל שלב, יכולים להיות לכם עד 2 אישורים. מוצגים שם האישור, תאריך התפוגה, התוכן וטביעת האצבע מסוג SHA-256. משתמשים בלחצנים שמשמאל כדי להעתיק, להוריד או למחוק תעודה.

  2. (אופציונלי) אם יש לכם רק אישור אחד, לוחצים על הוספת אישור נוסף כדי ליצור אישור שני.

    הערה: האישור האחרון שנוצר (החדש ביותר) הופך לאישור ברירת המחדל שמשמש להגדרת SSO לאפליקציות SAML חדשות.

  3. (אופציונלי) כדי ליצור אישור חדש:

    1. לוחצים על סמל המחיקה כדי למחוק אישור.

      אם האישור שאתם מוחקים משמש אפליקציות SAML שהותקנו, יופיע חלון עם רשימת האפליקציות המושפעות, ואזהרה שלפיה הכניסה היחידה לאפליקציה לא תהיה זמינה עד שתקצו לאפליקציות האלה אישור חדש.

    2. לוחצים על מחיקת האישור. מחיקת אישור גורמת לתוצאות הבאות:

      • אם יש לכם אישור אחד, המערכת תיצור אישור חדש באופן אוטומטי כדי להחליף אותו.
      • אם יש לכם שני אישורים ואתם מוחקים את אישור 1, אישור 2 יחליף את אישור 1.

  4. אם החלפתם אישור שמשמש את אחת מאפליקציות ה-SAML שלכם, צריך לפעול לפי השלבים שבקטע הבא כדי להקצות את האישור החדש לאפליקציות המושפעות. בנוסף, תצטרכו לעדכן את האישור בהגדרות ה-SSO של האפליקציות האלה באתר הניהול של ספק השירות.

כדאי לדעת: אירועים שקשורים לאישורי SAML (מחיקה, יצירה, שינוי של אישור שמוקצה לאפליקציית SAML) מתועדים ביומן הביקורת של אדמין.

עדכון האישור שמשמש אפליקציית SAML

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. לוחצים על אפליקציית SAML כדי לפתוח את דף ההגדרות שלה.

  3. לוחצים על פרטי ספק שירות.

    בקטע אישור מוצג האישור הנוכחי שבו נעשה שימוש באפליקציה, כולל מזהה האישור ותאריך התפוגה. אם מחקתם את האישור ששימש בהתחלה להגדרת האפליקציה, תופיע האזהרה לא הוקצה אישור.

  4. לוחצים על החץ למטה ובוחרים אישור.

  5. (אופציונלי) אם אין אישור אחר זמין, או אם צריך ליצור אישורים חדשים, לוחצים על ניהול אישורים ופועלים לפי ההוראות במאמר ניהול אישורי SAML שלמעלה.

  6. אחרי שמשנים את האישור שמוקצה לאפליקציית SAML, חשוב לעדכן גם את הגדרת ה-SSO של האפליקציה באישור החדש באתר של ספק השירות. ה-SSO עם אפליקציית SAML לא יפעל עד שתעדכנו גם את ההגדרה בצד ספק השירות.

חשוב: אחרי שמחליפים אישור, יכולות לעבור עד 24 שעות עד שהאישור החדש יהיה זמין לשימוש באפליקציות SAML.