Zorg voor voldoende SAML-certificaten.

Uw SAML-toepassingen gebruiken X.509-certificaten om de authenticiteit en integriteit te bevestigen van berichten die worden uitgewisseld tussen de identiteitsprovider (IdP) en de serviceprovider (SP). Als superbeheerder kunt u de beheerdersconsole gebruiken om:

  • Bekijk eenvoudig de X.509-certificaten die door uw SAML-toepassingen worden gebruikt.
  • Identificeer de X.509-certificaten die binnenkort verlopen.
  • Maak nieuwe certificaten aan en wijs deze toe aan uw SAML-applicaties. Dit wordt certificaatrotatie genoemd.

Waarom SAML-certificaten roteren?

X.509-certificaten hebben een geldigheidsduur van vijf jaar. U moet een certificaat vernieuwen als het bijna verloopt of als het gecompromitteerd raakt. Als een certificaat verloopt voordat u het vernieuwt, kunnen uw gebruikers geen SSO meer gebruiken om in te loggen bij SAML-applicaties die dat certificaat gebruiken, totdat u het vervangt door een nieuw certificaat.

Voeg, voordat uw standaardcertificaat verloopt, een tweede certificaat toe met een nieuwe geldigheidsduur van 5 jaar. Schakel vervolgens uw apps over van het verlopende certificaat. Met twee geldige certificaten kunt u een aantal apps als test overzetten naar het nieuwe certificaat, zonder dat dit gevolgen heeft voor apps die nog steeds het oude certificaat gebruiken. Zodra alle apps zijn overgezet naar het nieuwe certificaat, kunt u het oude certificaat verwijderen.

Belangrijk: Nadat u een nieuw certificaat aan een SAML-app hebt toegewezen in de beheerdersconsole, moet u ook de bijbehorende SSO-configuratie aan de SP-zijde bijwerken met het nieuwe certificaat, anders mislukt de SSO met de app.

SAML-certificaten beheren

Uw account heeft één standaardcertificaat dat u voor al uw SAML-apps kunt gebruiken. U kunt een tweede certificaat toevoegen, of een of beide certificaten verwijderen en nieuwe certificaten genereren:

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met SAML-applicaties .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

    In het gedeelte Certificaten worden uw huidige X.509-certificaten weergegeven. U kunt maximaal twee certificaten tegelijk hebben. De certificaatnaam, vervaldatum, inhoud en SHA-256-vingerafdruk worden getoond. Gebruik de knoppen aan de rechterkant om een ​​certificaat te kopiëren, te downloaden of te verwijderen.

  2. (Optioneel) Als u slechts één certificaat hebt, klikt u op ' Nog een certificaat toevoegen' om een ​​tweede certificaat aan te maken.

    Let op: het meest recent gegenereerde (nieuwste) certificaat wordt het standaardcertificaat dat wordt gebruikt om SSO in te stellen voor nieuwe SAML-apps.

  3. (Optioneel) Om een ​​nieuw certificaat aan te maken:

    1. Klik op Verwijderen Een certificaat verwijderen.

      Als het certificaat dat u verwijdert, wordt gebruikt door geïnstalleerde SAML-apps, wordt in een venster een lijst met de betreffende apps weergegeven en wordt u gewaarschuwd dat SSO met die app niet beschikbaar is totdat u een nieuw certificaat aan die apps hebt toegewezen.

    2. Klik op Certificaat verwijderen . Het verwijderen van een certificaat heeft de volgende gevolgen:

    3. Als u één certificaat heeft, wordt er automatisch een nieuw certificaat gegenereerd ter vervanging ervan.

    4. Als je twee certificaten hebt en certificaat 1 verwijdert, wordt certificaat 2 in de plaats van certificaat 1 gezet.

  4. Als u een certificaat hebt vervangen dat door een van uw SAML-apps wordt gebruikt, volgt u de stappen in de volgende sectie om het nieuwe certificaat aan de betreffende apps toe te wijzen. U moet het certificaat ook bijwerken in de SSO-instellingen voor die apps op de beheerderswebsite van de serviceprovider.

Tip: Gebeurtenissen met betrekking tot SAML-certificaten (verwijderen, aanmaken, wijzigen van het toegewezen certificaat van een SAML-app) worden vastgelegd in het beheerdersauditlogboek .

Het certificaat bijwerken dat door een SAML-applicatie wordt gebruikt.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Hiervoor is beheerdersrechten voor mobiel apparaatbeheer vereist.

  2. Klik op de SAML-app om de instellingenpagina te openen.

  3. Klik op Gegevens van de serviceprovider .

    Onder Certificaat wordt het huidige certificaat weergegeven dat door de app wordt gebruikt, inclusief certificaat-ID en vervaldatum. Als u het certificaat hebt verwijderd dat oorspronkelijk werd gebruikt om de app in te stellen, ziet u de waarschuwing Geen certificaat toegewezen .

  4. Klik op de pijl naar beneden. en kies een certificaat.

  5. (Optioneel) Als er geen ander certificaat beschikbaar is, of als u nieuwe certificaten wilt aanmaken, klikt u op Certificaten beheren en volgt u de instructies in SAML-certificaten beheren hierboven.

  6. Nadat u het certificaat dat aan de SAML-app is toegewezen hebt gewijzigd, moet u ook de SSO-configuratie van de app bijwerken met het nieuwe certificaat op de website van de serviceprovider. SSO met de SAML-app werkt pas nadat de configuratie aan de kant van de serviceprovider ook is bijgewerkt.

Belangrijk: Nadat u een certificaat hebt vervangen, kan het tot 24 uur duren voordat het nieuwe certificaat beschikbaar is voor gebruik door uw SAML-toepassingen.