Поддерживайте сертификаты SAML.

В ваших SAML-приложениях используются сертификаты X.509 для подтверждения подлинности и целостности сообщений, которыми обмениваются поставщик идентификационных данных (IdP) и поставщик услуг (SP). Как суперадминистратор, вы можете использовать консоль администратора для:

  • Легко просматривайте сертификаты X.509, используемые вашими приложениями SAML.
  • Определите сертификаты X.509, срок действия которых скоро истечет.
  • Создайте новые сертификаты и назначьте их своим SAML-приложениям. Это называется ротацией сертификатов .

Зачем менять SAML-сертификаты?

Сертификаты X.509 имеют пятилетний срок действия. Рекомендуется менять сертификат, если срок его действия подходит к концу или если он был скомпрометирован. Если срок действия сертификата истечет до того, как вы его замените, ваши пользователи не смогут использовать SSO для входа в любые приложения SAML, использующие этот сертификат, пока вы не замените его новым сертификатом.

До истечения срока действия вашего сертификата по умолчанию добавьте второй сертификат с новым сроком действия в 5 лет, а затем переведите ваши приложения с сертификата, срок действия которого истекает. Наличие двух действующих сертификатов позволит вам перевести некоторые приложения на новый сертификат в качестве теста, не затрагивая приложения, которые все еще используют старый сертификат. После того, как вы переведете все приложения на новый сертификат, вы можете удалить старый сертификат.

Важно: После назначения нового сертификата приложению SAML в консоли администратора необходимо также обновить соответствующую конфигурацию SSO на стороне поставщика услуг, указав новый сертификат, иначе единый вход в приложение завершится с ошибкой.

Управление сертификатами SAML

В вашей учетной записи есть один сертификат по умолчанию, который вы можете использовать для всех своих приложений SAML. Вы можете добавить второй сертификат или удалить один или оба сертификата и сгенерировать новые:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с приложениями SAML .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

    В разделе «Сертификаты» отображаются ваши текущие сертификаты X.509. Вы можете иметь до 2 сертификатов одновременно. Отображаются имя сертификата, срок действия, содержимое и отпечаток SHA-256. Используйте кнопки справа, чтобы скопировать, загрузить или удалить сертификат.

  2. (Необязательно) Если у вас только один сертификат, нажмите « Добавить еще один сертификат» , чтобы создать второй сертификат.

    Примечание: Самый последний сгенерированный (самый новый) сертификат становится сертификатом по умолчанию, используемым для настройки единого входа (SSO) для новых приложений SAML.

  3. (Необязательно) Чтобы создать новый сертификат:

    1. Нажмите «Удалить». удалить сертификат.

      Если удаляемый сертификат используется какими-либо установленными приложениями SAML, в окне отобразится список затронутых приложений и предупреждение о том, что единый вход (SSO) с этим приложением будет недоступен до тех пор, пока вы не назначите этим приложениям новый сертификат.

    2. Нажмите «Удалить сертификат» . Удаление сертификата приведет к следующим результатам:

      • Если у вас есть один сертификат, автоматически будет сгенерирован новый сертификат для его замены.
      • Если у вас есть два сертификата и вы удаляете сертификат 1, сертификат 2 заменит сертификат 1.

  4. Если вы заменили сертификат, используемый каким-либо из ваших приложений SAML, выполните действия, описанные в следующем разделе, чтобы назначить новый сертификат соответствующим приложениям. Вам также потребуется обновить сертификат в настройках SSO для этих приложений на административном веб-сайте поставщика услуг.

Совет: События, связанные с сертификатами SAML (удаление, создание, изменение назначенного сертификата для приложения SAML), регистрируются в журнале аудита администратора .

Обновите сертификат, используемый приложением SAML.

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для этого требуются права администратора системы управления мобильными устройствами .

  2. Нажмите на приложение SAML, чтобы открыть страницу его настроек.

  3. Нажмите «Подробности поставщика услуг» .

    В разделе «Сертификат» отображается текущий сертификат, используемый приложением, включая идентификатор сертификата и дату истечения срока действия. Если вы удалили сертификат, который изначально использовался для настройки приложения, вы увидите предупреждение «Сертификат не назначен» .

  4. Нажмите стрелку вниз и выберите сертификат.

  5. (Необязательно) Если других доступных сертификатов нет или вам необходимо создать новые сертификаты, нажмите «Управление сертификатами» и следуйте инструкциям в разделе «Управление сертификатами SAML» выше.

  6. После изменения сертификата, назначенного приложению SAML, обязательно обновите конфигурацию SSO приложения, указав новый сертификат на веб-сайте поставщика услуг. SSO с приложением SAML не будет работать, пока не будет обновлена ​​конфигурация на стороне поставщика услуг.

Важно: После замены сертификата может потребоваться до 24 часов, чтобы новый сертификат стал доступен для использования вашими SAML-приложениями.