您的 SAML 應用程式會使用 X.509 憑證,確保識別資訊提供者 (IdP) 和服務供應商 (SP) 共用的訊息真實且完整。超級管理員可以透過管理控制台進行以下操作:
- 輕鬆查看您的 SAML 應用程式所使用的 X.509 憑證
- 找出即將到期的 X.509 憑證
- 建立新憑證並指派給您的 SAML 應用程式。這就是所謂的「憑證輪換」。
為什麼要輪換 SAML 憑證?
X.509 憑證的有效期限為五年。如果憑證即將到期,或因故遭到外洩,您就需要輪換憑證。如果憑證在您輪換前到期,使用者就無法使用單一登入 (SSO) 服務登入任何使用該憑證的 SAML 應用程式,直到您用新憑證替換舊憑證為止。
在預設憑證到期前,請新增第二個憑證,並將有效期限設為 5 年,然後將應用程式從即將到期的憑證切換過來。有了兩個有效憑證,您就能將部分應用程式切換至新憑證進行測試,同時不影響仍使用舊憑證的應用程式。將所有應用程式移至新憑證後,即可刪除舊憑證。
重要事項:在管理控制台中將新憑證指派給 SAML 應用程式後,您也需要在相應的服務供應商 (SP) 端更新單一登入 (SSO) 設定,改為使用新憑證,否則應用程式的單一登入 (SSO) 會失敗。
管理 SAML 憑證
您的帳戶有一個預設憑證,可供您所有的 SAML 應用程式使用。您可以新增第二個憑證,或是刪除一或兩個並產生新憑證:
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「使用 SAML 應用程式的單一登入 (SSO) 服務」。您必須以超級管理員的身分登入,才能執行這項工作。
「憑證」部分會顯示您目前的 X.509 憑證。您一次最多可以擁有 2 個憑證。畫面上會顯示憑證名稱、到期日、憑證內容和 SHA-256 指紋。如要複製、下載或刪除憑證,請使用憑證右方的按鈕。
(選用) 如果您只有一個憑證,按一下「新增其他憑證」即可建立第二個憑證。
注意:系統會將最新建立的憑證當做預設憑證,用於為新 SAML 應用程式設定單一登入 (SSO) 服務。
(選用) 如要建立新憑證:
按一下「刪除」圖示
刪除憑證。如有任何已安裝的 SAML 應用程式使用了您要刪除的憑證,系統會顯示列出受影響應用程式的視窗,並警告您在為這些應用程式指派新憑證前,相關應用程式將無法使用單一登入 (SSO) 服務。
按一下「刪除憑證」。刪除憑證會造成以下影響:
- 如果您只有一個憑證,系統會自動產生新憑證來取代原有的憑證。
- 如果您有兩個憑證,那麼憑證 1 刪除後,憑證 2 會取代憑證 1。
如果您更換了任何 SAML 應用程式使用的憑證,請按照下一節的步驟操作,將新憑證指派給受影響的應用程式。此外,您也需要前往服務供應商 (SP) 的管理網站,在單一登入 (SSO) 設定中更新這些應用程式的憑證。
提示:管理員稽核記錄會記錄 SAML 憑證事件 (刪除憑證、建立憑證、變更 SAML 應用程式獲派的憑證)。
更新 SAML 應用程式使用的憑證
-
在 Google 管理控制台中,依序點選「選單」圖示
「應用程式」「網頁和行動應用程式」。必須具備行動裝置管理管理員權限。
- 按一下 SAML 應用程式,開啟設定該應用程式的設定頁面。
按一下「服務供應商詳細資訊」。
「憑證」下方會顯示該應用程式目前使用的憑證,以及憑證 ID 和到期日。如果您刪除了當初用來設定此應用程式的憑證,就會看到「未指派任何憑證」警告訊息。
按一下向下箭頭
,然後選擇憑證。(選用) 如果沒有其他可用的憑證,或是您需要建立新憑證,請按一下「管理憑證」,並按照上方「管理 SAML 憑證」的說明操作。
變更指派給 SAML 應用程式的憑證後,請務必一併在服務供應商的網站上更新該應用程式的單一登入 (SSO) 設定,改為使用新憑證。您必須完成服務供應商 (SP) 端的憑證更新作業,使用單一登入 (SSO) 服務的 SAML 應用程式才會正常運作。
重要事項:更換憑證後,新憑證最多可能需要 24 小時才能供您的 SAML 應用程式使用。