รักษาใบรับรอง SAML

แอปพลิเคชัน SAML จะใช้ใบรับรอง X.509 เพื่อยืนยันความถูกต้องและครบถ้วนของข้อความที่แชร์กันระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถใช้คอนโซลผู้ดูแลระบบดำเนินการดังนี้

  • ดูใบรับรอง X.509 ที่แอปพลิเคชัน SAML ใช้อยู่ได้อย่างง่ายดาย
  • ระบุใบรับรอง X.509 ที่กำลังจะหมดอายุ
  • สร้างใบรับรองใหม่แล้วมอบสิทธิ์ให้แอปพลิเคชัน SAML ซึ่งเรียกว่า การหมุนเวียนใบรับรอง

ทำไมต้องหมุนเวียนใบรับรอง SAML

ใบรับรอง X.509 จะมีอายุใช้งาน 5 ปี คุณควรหมุนเวียนใบรับรองหากใบรับรองกำลังจะหมดอายุ หรือหากใบรับรองตกอยู่ในอันตราย หากมีใบรับรองที่หมดอายุก่อนที่คุณจะทำการหมุนเวียน ผู้ใช้ของคุณจะไม่สามารถใช้ SSO เพื่อลงชื่อเข้าใช้ในแอปพลิเคชัน SAML ที่ใช้ใบรับรองนั้นจนกว่าคุณจะเปลี่ยนเป็นใบรับรองใหม่

ก่อนที่ใบรับรองเริ่มต้นจะหมดอายุ ให้เพิ่มใบรับรองที่ 2 ที่มีอายุการใช้งาน 5 ปี จากนั้นเปลี่ยนแอปจากใบรับรองที่กำลังจะหมดอายุ การมีใบรับรองที่ถูกต้อง 2 ใบจะช่วยให้คุณเปลี่ยนแอปบางแอปไปใช้ใบรับรองใหม่เพื่อทดสอบได้โดยไม่ส่งผลกระทบต่อแอปที่ยังใช้ใบรับรองเดิม เมื่อย้ายแอปทั้งหมดไปใช้ใบรับรองใหม่แล้ว คุณสามารถลบใบรับรองเก่าได้

สำคัญ: หลังจากมอบสิทธิ์ใบรับรองใหม่ให้กับแอป SAML ในคอนโซลผู้ดูแลระบบแล้ว คุณต้องอัปเดตการกำหนดค่า SSO ของฝั่ง SP ที่ตรงกันโดยใช้ใบรับรองใหม่ด้วย ไม่เช่นนั้น SSO ที่ใช้กับแอปจะล้มเหลว

จัดการใบรับรอง SAML

บัญชีของคุณมีใบรับรองเริ่มต้น 1 ใบที่สามารถใช้กับแอป SAML ทั้งหมดได้ คุณสามารถเพิ่มใบรับรองที่ 2 หรือลบใบรับรอง 1 หรือทั้ง 2 ใบ แล้วสร้างใบรับรองใหม่ได้โดยทำดังนี้

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การตรวจสอบสิทธิ์ จากนั้น SSO ด้วยแอปพลิเคชัน SAML

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

    ส่วนใบรับรอง จะแสดงใบรับรอง X.509 ปัจจุบันของคุณ คุณสามารถมีใบรับรองได้สูงสุด 2 ใบในคราวเดียว ระบบจะแสดงชื่อใบรับรอง วันที่หมดอายุ เนื้อหา และลายนิ้วมือ SHA-256 ใช้ปุ่มทางด้านขวาเพื่อคัดลอก ดาวน์โหลด หรือลบใบรับรอง

  2. (ไม่บังคับ) หากมีใบรับรองเพียงใบเดียว ให้คลิกเพิ่มใบรับรองอีกใบ เพื่อสร้างใบรับรองที่ 2

    หมายเหตุ: ใบรับรองที่สร้างไว้ล่าสุด (ใหม่ล่าสุด) จะกลายเป็นใบรับรองเริ่มต้นที่ใช้เพื่อตั้งค่า SSO สำหรับแอป SAML ใหม่

  3. (ไม่บังคับ) หากต้องการสร้างใบรับรองใหม่ ให้ทำดังนี้

    1. คลิกลบ เพื่อลบใบรับรอง

      หากมีแอป SAML ที่คุณติดตั้งไว้ที่ใช้งานใบรับรองที่คุณกำลังจะลบ จะมีหน้าต่างปรากฏขึ้นเพื่อแสดงรายการของแอปที่ได้รับผลกระทบและเตือนคุณว่า SSO ที่ใช้กับแอปนั้นๆ จะใช้งานไม่ได้จนกว่าคุณจะมอบสิทธิ์ใบรับรองใหม่ให้กับแอปเหล่านั้น

    2. คลิกลบใบรับรอง การลบใบรับรองจะส่งผลดังนี้

    3. หากคุณมีใบรับรอง 1 ใบ ระบบจะสร้างใบรับรองใหม่ขึ้นโดยอัตโนมัติเพื่อแทนที่ใบรับรองเดิม

    4. หากคุณมีใบรับรอง 2 ใบและลบใบรับรอง 1 ระบบจะใช้ใบรับรอง 2 แทนใบรับรอง 1

  4. หากคุณแทนที่ใบรับรองที่ถูกใช้งานโดยแอป SAML ให้ปฏิบัติตามขั้นตอนในส่วนถัดไปเพื่อมอบสิทธิ์ใบรับรองใหม่ให้กับแอปที่ได้รับผลกระทบ นอกจากนี้คุณยังต้องอัปเดตใบรับรองในการตั้งค่า SSO สำหรับแอปเหล่านั้นในเว็บไซต์การดูแลระบบของ SP ด้วยเช่นกัน

เคล็ดลับ: กิจกรรมเกี่ยวกับใบรับรอง SAML (การลบ การสร้าง การเปลี่ยนใบรับรองที่มอบสิทธิ์ไว้ของแอป SAML) จะได้รับการบันทึกไว้ในบันทึกการตรวจสอบผู้ดูแลระบบ

อัปเดตใบรับรองที่ใช้งานโดยแอปพลิเคชัน SAML

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอป จากนั้น แอปบนเว็บและมือถือ

    ต้องมีสิทธิ์ของผู้ดูแลระบบการจัดการมือถือ

  2. คลิกแอป SAML เพื่อเปิดหน้าการตั้งค่า

  3. คลิกรายละเอียดผู้ให้บริการ

    ใต้หัวข้อใบรับรอง ใบรับรองใบปัจจุบันที่ใช้งานโดยแอปดังกล่าวจะแสดงขึ้น ซึ่งรวมถึงรหัสใบรับรองและวันที่หมดอายุ หากคุณลบใบรับรองที่ใช้ตั้งค่าแอปในตอนแรก คุณจะเห็นคำเตือนว่าไม่มีใบรับรองที่มอบสิทธิ์

  4. คลิกลูกศรลง แล้วเลือกใบรับรอง

  5. (ไม่บังคับ) หากไม่มีใบรับรองอื่นให้เลือก หรือคุณต้องสร้าง ใบรับรองใหม่ ให้คลิก จัดการใบรับรอง แล้วทำตามวิธีการ ใน จัดการใบรับรอง SAML ด้านบน

  6. หลังจากที่เปลี่ยนใบรับรองที่มอบสิทธิ์ให้กับแอป SAML แล้ว โปรดอย่าลืมอัปเดตการกำหนดค่า SSO ของแอปโดยใช้ใบรับรองใหม่ในเว็บไซต์ของผู้ให้บริการ SSO ที่อยู่กับแอป SAML จะไม่ทำงานจนกว่าการกำหนดค่าฝั่ง SP จะได้รับการอัปเดตด้วย

สำคัญ: หลังจากที่คุณเปลี่ยนใบรับรอง อาจต้องใช้เวลาถึง 24 ชั่วโมงเพื่อให้ใบรับรองใหม่พร้อมใช้งานสำหรับแอปพลิเคชัน SAML ของคุณ