Manter certificados SAML

Seus aplicativos SAML usam certificados X.509 para confirmar a autenticidade e a integridade das mensagens compartilhadas entre o provedor de identidade (IdP) e o provedor de serviços (SP). Como superadministrador, você pode usar o Admin Console para:

  • ver facilmente os certificados X.509 usados pelos seus aplicativos SAML;
  • Identificar os certificados X.509 que estão prestes a expirar
  • criar certificados e atribuí-los aos seus apps SAML. Isso é chamado de rotação de certificado.

Por que fazer a rotação de certificados SAML?

Os certificados X.509 são válidos por cinco anos. Você deve fazer a rotação de um certificado que esteja prestes a expirar ou tenha sido comprometido. Se um certificado expirar antes de você fazer a rotação, seus usuários só poderão fazer login com o SSO em apps SAML que utilizam esse certificado depois que ele for substituído.

Antes da expiração do certificado padrão, adicione um segundo certificado com uma nova vida útil de cinco anos e mude seus apps do certificado expirado. Ter dois certificados válidos permite mudar alguns apps para o novo certificado como um teste, sem afetar os apps que ainda estão usando o certificado mais antigo. Depois de mover todos os apps para o novo certificado, você pode excluir o antigo.

Importante:depois de atribuir um novo certificado a um app SAML no Admin Console, você também precisa atualizar a configuração de SSO do SP correspondente com o novo certificado. Caso contrário, o SSO com o app vai falhar.

Gerenciar certificados SAML

Sua conta tem um certificado padrão que você pode usar para todos os aplicativos SAML. Você pode adicionar um segundo certificado ou excluir um dos certificados ou ambos e gerar novos certificados:

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisSSO com aplicativos SAML.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

    A seção Certificados mostra seus certificados X.509. Você pode ter até dois certificados. O nome, a data de validade, o conteúdo e a impressão digital SHA-256 do certificado são exibidos. Use os botões à direita para copiar, fazer o download ou excluir um certificado.

  2. (Opcional) Se você tiver apenas um certificado, clique em Adicionar outro certificado para criar um segundo certificado.

    Observação:o certificado mais recente será o padrão usado para configurar o SSO nos novos apps SAML.

  3. (Opcional) Para criar um novo certificado:

    1. Clique em Excluir para excluir um certificado.

      Se o certificado que você está excluindo for usado por apps SAML instalados, uma janela vai mostrar os apps afetados e avisar que o SSO no app ficará indisponível até você atribuir um novo certificado a eles.

    2. Clique em Excluir certificado. Veja o que acontece quando um certificado é excluído:

      • Se você já tiver um certificado, um novo será gerado automaticamente para substituí-lo.
      • Se você tiver dois certificados e excluir o certificado 1, o certificado 2 vai substituir o certificado 1.

  4. Se você tiver substituído um certificado usado por qualquer um dos apps SAML, siga as etapas na próxima seção para atribuir o novo certificado aos apps afetados. Você também precisará atualizar o certificado nas configurações de SSO desses apps no site administrativo do SP.

Dica:os eventos do certificado SAML (exclusão, criação, alteração de um certificado atribuído ao app SAML) são registrados no Registro de auditoria do administrador.

Atualizar o certificado usado por um aplicativo SAML

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    É preciso ter o privilégio de administrador Gerenciamento de dispositivos móveis.

  2. Clique no app SAML para abrir a página "Configurações".

  3. Clique em Detalhes do provedor de serviços.

    Em Certificado, você verá o certificado atual usado pelo app com o ID e data de validade. Se você tiver excluído o certificado com o qual o app foi configurado, verá o aviso Nenhum certificado atribuído.

  4. Clique na seta para baixo e escolha um certificado.

  5. (Opcional) Se nenhum outro certificado estiver disponível ou você precisar criar certificados, clique em Gerenciar certificados e siga as instruções em Gerenciar certificados SAML.

  6. Depois de mudar o certificado atribuído ao app SAML, atualize também a configuração de SSO do app com o novo certificado no site do provedor de serviços. O SSO só vai funcionar no app SAML depois que a configuração no SP também for atualizada.

Importante:depois que você substituir um certificado, o novo certificado poderá levar até 24 horas para ficar disponível para os apps SAML.