Gestire i certificati SAML

Le applicazioni SAML utilizzano i certificati X.509 per confermare l'autenticità e l'integrità dei messaggi condivisi tra il provider di identità (IdP) e il fornitore di servizi (SP). Come super amministratore, puoi utilizzare la Console di amministrazione per:

Visualizzare facilmente i certificati X.509 utilizzati dalle tue applicazioni SAML.
Identificare i certificati X.509 che stanno per scadere.
Creare nuovi certificati e assegnarli alle applicazioni SAML. Questa operazione è detta rotazione dei certificati.

Perché eseguire la rotazione dei certificati SAML

I certificati X.509 hanno una validità di cinque anni. Dovresti eseguire la rotazione di un certificato se sta per scadere o se è stato compromesso. Se il certificato scade prima che tu ne abbia eseguito la rotazione, gli utenti non potranno utilizzare il servizio SSO per accedere a nessuna delle app SAML che utilizzano quel certificato fino a quando non lo avrai sostituito con uno nuovo.

Prima della scadenza del certificato predefinito, aggiungi un secondo certificato con una nuova validità di 5 anni, quindi passa le app dal certificato in scadenza. Se hai due certificati validi, puoi passare alcune app al nuovo certificato come test, senza influire sulle app che utilizzano ancora il certificato precedente. Dopo aver spostato tutte le app sul nuovo certificato, puoi eliminare quello precedente.

Importante: dopo aver assegnato un nuovo certificato a un'app SAML nella Console di amministrazione, devi anche aggiornare la configurazione del servizio SSO sul lato SP corrispondente con il nuovo certificato, altrimenti il servizio SSO per l'app non funzionerà.

Gestire i certificati SAML

Il tuo account ha un certificato predefinito che puoi utilizzare per tutte le applicazioni SAML. Puoi aggiungere un secondo certificato o eliminare uno o entrambi i certificati e generarne di nuovi:

Nella Console di amministrazione Google, vai a Menu Sicurezza Autenticazione SSO con applicazioni SAML.

Vai a SSO con applicazioni SAML

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Nella sezione Certificati sono indicati i tuoi certificati X.509 correnti. Puoi avere fino a 2 certificati contemporaneamente. Sono indicati il nome del certificato, la data di scadenza, i contenuti e l'impronta SHA-256. Utilizza i pulsanti a destra per copiare, scaricare o eliminare un certificato.
(Facoltativo) Se hai un solo certificato, fai clic su Aggiungi un altro certificato per crearne un secondo.

Nota: il certificato generato per ultimo (il più recente) diventa il certificato predefinito utilizzato per configurare il servizio SSO per le nuove app SAML.
(Facoltativo) Per creare un nuovo certificato:
1. Fai clic su Elimina per eliminare un certificato.
  
  Se il certificato che elimini è usato dalle app SAML installate, viene visualizzata una finestra con l'elenco delle app interessate per informarti che il relativo servizio SSO non sarà disponibile fino a quando non assegnerai un nuovo certificato alle app.
2. Fai clic su Elimina certificato. L'eliminazione di un certificato comporta i seguenti risultati:
3. Se hai un solo certificato, ne viene generato automaticamente uno nuovo per sostituirlo.
4. Se hai due certificati ed elimini il certificato 1, il certificato 2 sostituisce il certificato 1.
Se hai sostituito un certificato utilizzato dalle tue app SAML, segui la procedura descritta nella sezione seguente per assegnare il nuovo certificato alle app interessate. Dovrai anche aggiornare il certificato nelle impostazioni del servizio SSO per le app sul sito web amministrativo del fornitore di servizi.

Suggerimento: gli eventi relativi ai certificati SAML (eliminazione, creazione, modifica del certificato assegnato a un'app SAML) sono registrati nel log di controllo della Console di amministrazione.

Aggiornare il certificato utilizzato da un'app SAML

Nella Console di amministrazione Google, vai a Menu App App web e mobile.

Vai ad App web e mobile

È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.
Fai clic sull'app SAML per aprire la relativa pagina Impostazioni.
Fai clic su Dettagli del fornitore di servizi.

In Certificato è visualizzato il certificato correntemente utilizzato dall'app, inclusi l'ID certificato e la data di scadenza. Se hai eliminato il certificato utilizzato inizialmente per configurare l'app, vedrai l'avviso Nessun certificato assegnato.
Fai clic sulla Freccia giù e scegli un certificato.
(Facoltativo) Se non è disponibile nessun altro certificato o se devi creare nuovi certificati, fai clic su Gestisci certificati e segui le istruzioni riportate sopra in Gestire i certificati SAML.
Dopo aver cambiato il certificato assegnato all'app SAML, accertarti di aggiornare anche la configurazione del servizio SSO dell'app con il nuovo certificato sul sito web del fornitore di servizi. Il servizio SSO per l'app SAML non potrà funzionare se non viene aggiornata la configurazione anche sul lato SP.

Importante: dopo aver sostituito il certificato, potrebbe essere necessario attendere fino a 24 ore perché il nuovo certificato sia disponibile per essere utilizzato dalle tue app SAML.

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2026-04-12 UTC.

Google Workspace
Trova il piano giusto per la tua attività
Community di amministrazione
Ricevi risposte da esperti e colleghi del settore
Assistenza clienti
Scoprire le opzioni e i servizi di assistenza