Underhåll SAML-certifikat

Dina SAML-applikationer använder X.509-certifikat för att bekräfta äktheten och integriteten hos meddelanden som delas mellan identitetsleverantören (IdP) och tjänsteleverantören (SP). Som superadministratör kan du använda administratörskonsolen för att:

  • Se enkelt de X.509-certifikat som används av dina SAML-applikationer
  • Identifiera de X.509-certifikat som snart löper ut
  • Skapa nya certifikat och tilldela dem till dina SAML-applikationer. Detta kallas certifikatrotation .

Varför rotera SAML-certifikat?

X.509-certifikat har en livslängd på fem år. Du bör rotera ett certifikat om det snart löper ut, eller om det blir komprometterat. Om ett certifikat löper ut innan du roterar det kommer dina användare inte att kunna använda SSO för att logga in på några SAML-applikationer som använder det certifikatet förrän du ersätter det med ett nytt certifikat.

Innan standardcertifikatet löper ut, lägg till ett andra certifikat med en ny livslängd på 5 år och byt sedan dina appar från det utgångna certifikatet. Med två giltiga certifikat kan du byta över vissa appar till det nya certifikatet som ett test, utan att det påverkar appar som fortfarande använder det äldre certifikatet. När du har flyttat alla appar till det nya certifikatet kan du ta bort det gamla certifikatet.

Viktigt: När du har tilldelat ett nytt certifikat till en SAML-app i administratörskonsolen måste du också uppdatera motsvarande SSO-konfiguration på SP-sidan med det nya certifikatet, annars kommer SSO med appen att misslyckas.

Hantera SAML-certifikat

Ditt konto har ett standardcertifikat som du kan använda för alla dina SAML-appar. Du kan lägga till ett andra certifikat, eller ta bort ett eller båda certifikaten och generera nya certifikat:

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med SAML-applikationer .

    Du måste vara inloggad som superadministratör för den här uppgiften.

    Avsnittet Certifikat visar dina nuvarande X.509-certifikat. Du kan ha upp till två certifikat samtidigt. Certifikatets namn, utgångsdatum, innehåll och SHA-256-fingeravtryck visas. Använd knapparna till höger för att kopiera, ladda ner eller ta bort ett certifikat.

  2. (Valfritt) Om du bara har ett certifikat klickar du på Lägg till ytterligare ett certifikat för att skapa ett andra certifikat.

    Obs! Det senast genererade (nyaste) certifikatet blir standardcertifikatet som används för att konfigurera SSO för nya SAML-appar.

  3. (Valfritt) Så här skapar du ett nytt certifikat:

    1. Klicka på Ta bort för att radera ett certifikat.

      Om certifikatet du tar bort används av installerade SAML-appar visas en lista över de berörda apparna och en varning om att SSO med appen inte kommer att vara tillgänglig förrän du tilldelar ett nytt certifikat till dessa appar.

    2. Klicka på Ta bort certifikat . Att ta bort ett certifikat ger följande resultat:

    3. Om du har ett certifikat genereras ett nytt certifikat automatiskt för att ersätta det.

    4. Om du har två certifikat och tar bort certifikat 1, ersätter certifikat 2 certifikat 1.

  4. Om du har ersatt ett certifikat som används av någon av dina SAML-appar följer du stegen i nästa avsnitt för att tilldela det nya certifikatet till de berörda apparna. Du måste också uppdatera certifikatet i SSO-inställningarna för dessa appar på SP:s administrativa webbplats.

Tips: SAML-certifikathändelser (borttagning, skapande, ändring av en SAML-apps tilldelade certifikat) loggas i administratörens granskningslogg .

Uppdatera certifikatet som används av en SAML-applikation

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Webb- och mobilappar .

    Kräver administratörsbehörighet för Mobile Device Management .

  2. Klicka på SAML-appen för att öppna inställningssidan.

  3. Klicka på Information om tjänsteleverantör .

    Under Certifikat visas det aktuella certifikatet som används av appen, inklusive certifikat-ID och utgångsdatum. Om du raderade certifikatet som ursprungligen användes för att konfigurera appen ser du varningen Inget certifikat tilldelat .

  4. Klicka på nedåtpilen och välj ett certifikat.

  5. (Valfritt) Om det inte finns något annat certifikat tillgängligt, eller om du behöver skapa nya certifikat, klicka på Hantera certifikat och följ instruktionerna i Hantera SAML-certifikat ovan.

  6. Efter att du har ändrat certifikatet som är tilldelat SAML-appen, se till att även uppdatera appens SSO-konfiguration med det nya certifikatet på tjänsteleverantörens webbplats. SSO med SAML-appen fungerar inte förrän konfigurationen på SP-sidan också har uppdaterats.

Viktigt: När du har ersatt ett certifikat kan det ta upp till 24 timmar innan det nya certifikatet blir tillgängligt för användning av dina SAML-applikationer.