您的 SAML 应用会使用 X.509 证书来确认身份提供商 (IdP) 和服务提供商 (SP) 之间共享信息的真实性和完整性。作为超级用户,您可以使用管理控制台执行以下操作:
- 轻松查看 SAML 应用正在使用的 X.509 证书
- 识别即将过期的 X.509 证书
- 创建新证书,并将其分配给您的 SAML 应用。此过程称为证书轮换。
为什么要轮换 SAML 证书?
X.509 证书有效期为 5 年。如果证书即将过期或已泄露,您应轮换证书。如果您还未轮换证书,证书就已过期,则您的用户将无法使用单点登录 (SSO) 登录任何使用该证书的 SAML 应用,除非您将证书换新。
在默认证书过期之前,请添加第二个有效期为 5 年的新证书,然后将应用从即将过期的证书切换到新证书。拥有两个有效证书后,您可以将部分应用切换到新证书进行测试,而不会影响仍在使用旧证书的应用。将所有应用都切换到新证书后,您可以删除旧证书。
重要提示: 在管理控制台中为 SAML 应用分配新证书后,您还需要使用新证书更新相应的服务提供商侧单点登录配置,否则该应用的单点登录将失败。
管理 SAML 证书
您的账号有一个可用于所有 SAML 应用的默认证书。您可以添加第二个证书,也可以删除一个或两个证书并生成新证书:
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性身份验证SAML 应用的单点登录服务。您必须以超级用户身份登录,才能执行此任务。
证书 部分显示了您当前的 X.509 证书。您最多可以同时拥有 2 个证书。系统会显示证书名称、过期日期、内容和 SHA-256 指纹。您可以使用右侧的按钮复制、下载或删除证书。
(可选)如果您只有一个证书,请点击添加其他证书来创建第二个证书。
注意: 最近生成(最新)的证书会成为默认证书,用于设置新的 SAML 应用的单点登录。
(可选)如需创建新证书,请执行以下操作:
点击“删除”图标
删除一个证书。如有任何已安装的 SAML 应用正在使用您要删除的证书,则系统会显示一个窗口,其中列出了受影响的应用,并显示警告信息,提醒您除非您为这些应用分配新证书,否则这些应用的单点登录功能将不可用。
点击删除证书。删除证书会产生以下结果:
- 如果您有一个证书,系统会自动生成新证书取代原有证书。
- 如果您有两个证书,并删除了证书 1,则证书 2 会取代证书 1。
如果您替换了任何 SAML 应用所使用的证书,请按照下一节的步骤操作,将新证书分配给受影响的应用。您还需要在服务提供商的的管理网站上为这些应用更新单点登录设置中的证书。
提示: SAML 证书事件(删除、创建、更改 SAML 应用获得的证书)会记录在管理控制台审核日志中。
更新 SAML 应用使用的证书
-
在 Google 管理控制台中,依次点击“菜单”图标
应用Web 应用和移动应用。需要拥有移动设备管理管理员权限。
- 点击所需的 SAML 应用打开其设置页面。
点击服务提供商详细信息。
在证书下方,系统会显示该应用当前使用的证书,包括证书 ID 和到期日期。如果您删除了当初用来设置此应用的证书,您会看到警告:未分配任何证书。
点击向下箭头
,然后选择一个证书。(可选)如果没有其他可用的证书,或是您需要创建新证书,请点击管理证书,然后按照上文管理 SAML 证书中的说明操作。
更改分配给 SAML 应用的证书后,请同时确保在服务提供商的网站上使用新证书更新应用的单点登录配置。当服务提供商侧的配置也更新后,相应 SAML 应用的单点登录才会正常运行。
重要提示: 您更换证书后,最长可能需要 24 小时,新证书才可供您的 SAML 应用使用。