Duy trì chứng chỉ SAML

Các ứng dụng SAML của bạn sử dụng chứng chỉ X.509 để xác nhận tính xác thực và tính toàn vẹn của các thông báo được chia sẻ giữa Nhà cung cấp danh tính (IdP) và Nhà cung cấp dịch vụ (SP). Là Quản trị viên cấp cao, bạn có thể sử dụng Bảng điều khiển dành cho quản trị viên để:

  • Dễ dàng xem các chứng chỉ X.509 mà ứng dụng SAML của bạn đang sử dụng
  • Xác định các chứng chỉ X.509 sắp hết hạn
  • Tạo chứng chỉ mới và chỉ định chứng chỉ đó cho các ứng dụng SAML. Đây được gọi là xoay vòng chứng chỉ.

Tại sao phải xoay vòng chứng chỉ SAML?

Chứng chỉ X.509 có thời hạn 5 năm. Bạn nên xoay vòng chứng chỉ nếu chứng chỉ sắp hết hạn hoặc nếu chứng chỉ bị xâm nhập. Nếu chứng chỉ hết hạn trước khi bạn xoay vòng, thì người dùng sẽ không thể sử dụng tính năng SSO để đăng nhập vào bất kỳ ứng dụng SAML nào sử dụng chứng chỉ đó cho đến khi bạn thay thế bằng một chứng chỉ mới.

Trước khi chứng chỉ mặc định hết hạn, hãy thêm một chứng chỉ thứ hai có thời hạn hiệu lực mới là 5 năm, sau đó chuyển các ứng dụng của bạn từ chứng chỉ sắp hết hạn. Việc có hai chứng chỉ hợp lệ cho phép bạn chuyển một số ứng dụng sang chứng chỉ mới để kiểm thử mà không ảnh hưởng đến những ứng dụng vẫn đang dùng chứng chỉ cũ. Sau khi chuyển tất cả ứng dụng sang chứng chỉ mới, bạn có thể xoá chứng chỉ cũ.

Lưu ý quan trọng: Sau khi chỉ định một chứng chỉ mới cho ứng dụng SAML trong Bảng điều khiển dành cho quản trị viên, bạn cũng cần cập nhật cấu hình SSO phía SP tương ứng bằng chứng chỉ mới, nếu không, SSO với ứng dụng sẽ không thành công.

Quản lý chứng chỉ SAML

Tài khoản của bạn có một chứng chỉ mặc định mà bạn có thể dùng cho tất cả ứng dụng SAML. Bạn có thể thêm chứng chỉ thứ hai hoặc xoá một hoặc cả hai chứng chỉ rồi tạo chứng chỉ mới:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóĐăng nhập một lần (SSO) bằng các ứng dụng SAML.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

    Phần Chứng chỉ cho biết các chứng chỉ X.509 hiện tại của bạn. Bạn có thể có tối đa 2 chứng chỉ cùng một lúc. Tên chứng chỉ, ngày hết hạn, nội dung và dấu vân tay SHA-256 sẽ xuất hiện. Sử dụng các nút ở bên phải để sao chép, tải xuống hoặc xoá một chứng chỉ.

  2. (Không bắt buộc) Nếu bạn chỉ có một giấy chứng nhận, hãy nhấp vào Thêm giấy chứng nhận khác để tạo giấy chứng nhận thứ hai.

    Lưu ý: Chứng chỉ được tạo gần đây nhất (mới nhất) sẽ trở thành chứng chỉ mặc định dùng để thiết lập SSO cho các ứng dụng SAML mới.

  3. (Không bắt buộc) Cách tạo chứng chỉ mới:

    1. Nhấp vào biểu tượng Xoá để xoá một chứng chỉ.

      Nếu chứng chỉ mà bạn đang xoá được dùng bởi bất kỳ ứng dụng SAML nào đã cài đặt, thì một cửa sổ sẽ liệt kê các ứng dụng bị ảnh hưởng và cảnh báo bạn rằng bạn sẽ không thể sử dụng tính năng SSO với ứng dụng đó cho đến khi bạn chỉ định một chứng chỉ mới cho các ứng dụng đó.

    2. Nhấp vào Xoá chứng chỉ. Việc xoá chứng chỉ sẽ dẫn đến những kết quả sau:

      • Nếu bạn có một chứng chỉ, thì một chứng chỉ mới sẽ tự động được tạo để thay thế chứng chỉ đó.
      • nếu bạn có 2 chứng chỉ và xoá chứng chỉ 1, thì chứng chỉ 2 sẽ thay thế chứng chỉ 1.

  4. Nếu bạn đã thay thế một chứng chỉ mà bất kỳ ứng dụng SAML nào của bạn sử dụng, hãy làm theo các bước trong phần tiếp theo để chỉ định chứng chỉ mới cho các ứng dụng bị ảnh hưởng. Bạn cũng cần cập nhật chứng chỉ trong chế độ cài đặt SSO cho những ứng dụng đó trên trang web quản trị của SP.

Lưu ý: Các sự kiện về chứng chỉ SAML (xoá, tạo, thay đổi chứng chỉ được chỉ định của ứng dụng SAML) sẽ được ghi vào Nhật ký kiểm tra của quản trị viên.

Cập nhật chứng chỉ mà một ứng dụng SAML sử dụng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

  2. Nhấp vào ứng dụng SAML để mở trang Cài đặt của ứng dụng đó.

  3. Nhấp vào Thông tin chi tiết về nhà cung cấp dịch vụ.

    Trong phần Chứng chỉ, chứng chỉ hiện tại mà ứng dụng đang dùng sẽ xuất hiện, bao gồm cả mã nhận dạng chứng chỉ và ngày hết hạn. Nếu đã xoá chứng chỉ được dùng ban đầu để thiết lập ứng dụng, bạn sẽ thấy cảnh báo Chưa chỉ định chứng chỉ.

  4. Nhấp vào biểu tượng Mũi tên xuống rồi chọn một chứng chỉ.

  5. (Không bắt buộc) Nếu không có chứng chỉ nào khác hoặc bạn cần tạo chứng chỉ mới, hãy nhấp vào Quản lý chứng chỉ rồi làm theo hướng dẫn trong phần Quản lý chứng chỉ SAML ở trên.

  6. Sau khi thay đổi chứng chỉ được chỉ định cho ứng dụng SAML, hãy nhớ cập nhật cấu hình SSO của ứng dụng bằng chứng chỉ mới trên trang web của Nhà cung cấp dịch vụ. Tính năng SSO với ứng dụng SAML sẽ không hoạt động cho đến khi bạn cập nhật cả cấu hình phía SP.

Lưu ý quan trọng: Sau khi bạn thay thế một chứng chỉ, có thể mất đến 24 giờ thì chứng chỉ mới mới có thể được các ứng dụng SAML của bạn sử dụng.