SAML sertifikalarını muhafaza etme

SAML uygulamalarınız, Kimlik Sağlayıcı (IdP) ve Servis Sağlayıcı (SS) arasında paylaşılan iletilerin özgünlüğünü ve bütünlüğünü doğrulamak için X.509 sertifikalarını kullanır. Süper yönetici olarak, Yönetici Konsolu'nu kullanarak şunları yapabilirsiniz:

  • SAML uygulamalarınız tarafından kullanılan X.509 sertifikalarını kolayca görüntüleyebilirsiniz
  • Süresi dolmak üzere olan X.509 sertifikalarını tespit edebilirsiniz
  • Yeni sertifikalar oluşturarak bunları SAML uygulamalarınıza atayabilirsiniz. Buna sertifika değişimi adı verilir.

SAML sertifikaları neden değiştirilir?

X.509 sertifikalarının kullanım süresi beş yıldır. Bir sertifikayı süresi dolmak üzere olduğu veya herhangi bir nedenle güvenliği ihlal edildiği için değiştirirsiniz. Bir sertifikanın süresi siz sertifikayı değiştirmeden önce dolarsa yeni bir sertifikayla değiştirilene kadar kullanıcılarınız ilgili sertifikayı kullanan SAML uygulamalarında oturum açmak için TOA hizmetini kullanamaz.

Varsayılan sertifikanızın süresi dolmadan önce 5 yıllık yeni bir geçerlilik süresine sahip ikinci bir sertifika ekleyin, ardından uygulamalarınızı süresi dolan sertifikadan yeni sertifikaya geçirin. İki geçerli sertifikanız olduğunda, eski sertifikayı kullanmaya devam eden uygulamaları etkilemeden bazı uygulamaları test amacıyla yeni sertifikaya geçirebilirsiniz. Tüm uygulamaları yeni sertifikaya taşıdıktan sonra eski sertifikayı silebilirsiniz.

Önemli: Yönetici Konsolu'nda bir SAML uygulamasına yeni sertifika atadıktan sonra, SS tarafında karşılık gelen TOA yapılandırmasını da yeni sertifikayla güncellemeniz gerekir. Aksi takdirde uygulamayla TOA başarısız olur.

SAML sertifikalarını yönetme

Hesabınızda, tüm SAML uygulamalarınız için kullanabileceğiniz tek bir varsayılan sertifika vardır. İkinci bir sertifika ekleyebilir veya sertifikalardan birini ya da ikisini birden silebilir ve yeni sertifikalar oluşturabilirsiniz:

  1. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanKimlik doğrulamaardındanSAML uygulamalarıyla TOA'ya gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

    Sertifikalar bölümünde mevcut X.509 sertifikalarınız gösterilir. Tek seferde en fazla 2 sertifikanız olabilir. Sertifika adı, geçerlilik bitiş tarihi, içeriği ve SHA-256 parmak izi gösterilir. Bir sertifikayı kopyalamak, indirmek veya silmek için sağdaki düğmeleri kullanın.

  2. (İsteğe bağlı) Yalnızca bir sertifikanız varsa ikinci bir sertifika oluşturmak için Başka bir sertifika ekle'yi tıklayın.

    Not: En son oluşturulan (en yeni) sertifika, yeni SAML uygulamaları için TOA ayarlarını yapmak üzere kullanılan varsayılan sertifika haline gelir.

  3. (İsteğe bağlı) Yeni bir sertifika oluşturmak için:

    1. Sertifikayı silmek için Sil'i tıklayın.

      Silmekte olduğunuz sertifika, yüklü herhangi bir SAML uygulaması tarafından kullanılıyorsa bir pencerede etkilenen uygulamalar listelenir ve bu uygulamalara yeni bir sertifika atanana kadar TOA hizmetinin uygulamalarla kullanılamayacağına dair uyarı gösterilir.

    2. Sertifikayı sil'i tıklayın. Sertifika silme aşağıdaki sonuçları doğurur:

      • Tek sertifikanız varsa otomatik olarak o sertifikayı değiştirecek yeni bir sertifika oluşturulur.
      • İki sertifikanız varsa ve 1. sertifikayı silerseniz 2. sertifika 1. sertifikanın yerini alır.

  4. SAML uygulamalarınızdan biri tarafından kullanılan bir sertifikayı değiştirdiyseniz etkilenen uygulamalara yeni sertifikayı atamak için bir sonraki bölümde verilen adımları uygulayın. Bu uygulamalar için, SS'nin yönetim web sitesindeki TOA ayarlarında da sertifikayı güncellemeniz gerekir.

İpucu: SAML sertifikası etkinlikleri (bir SAML uygulamasına atanmış sertifikayı silme, oluşturma, değiştirme) Yönetici denetleme günlüğü'ne kaydedilir.

Bir SAML uygulaması tarafından kullanılan sertifikayı güncelleme

  1. Google Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.

    Mobil Cihaz Yönetimi yönetici ayrıcalığına sahip olmayı gerektirir.

  2. SAML uygulamasını tıklayarak Ayarlar sayfasını açın.

  3. Servis sağlayıcı ile ilgili ayrıntılar'ı tıklayın.

    Sertifika bölümünde, uygulama tarafından kullanılmakta olan sertifika, sertifika kimliği ve geçerlilik bitiş tarihi ile birlikte gösterilir. Uygulamayı kurmak için ilk olarak kullanılan sertifikayı sildiyseniz Sertifika atanmadı uyarısı gösterilir.

  4. Aşağı oku tıklayıp bir sertifika seçin.

  5. (İsteğe bağlı) Kullanılabilir başka sertifika yoksa veya yeni sertifikalar oluşturmanız gerekiyorsa Sertifikaları yönet'i tıklayın ve yukarıdaki SAML sertifikalarını yönetme bölümünde verilen talimatları uygulayın.

  6. SAML uygulamasına atanan sertifikayı değiştirdikten sonra Servis Sağlayıcının web sitesinde uygulamanın TOA yapılandırmasını da yeni sertifika ile güncellemeyi ihmal etmeyin. SS tarafındaki yapılandırma da güncellenene kadar TOA hizmeti SAML uygulamasıyla çalışmaz.

Önemli: Bir sertifikayı değiştirmenizin ardından yeni sertifikanın SAML uygulamalarınız tarafından kullanılabilmesi 24 saati bulabilir.