Với tính năng đăng nhập một lần (SSO), người dùng có thể truy cập vào nhiều ứng dụng mà không phải nhập tên người dùng và mật khẩu cho mỗi ứng dụng. Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) là một tiêu chuẩn XML cho phép các miền web an toàn trao đổi dữ liệu xác thực và uỷ quyền người dùng.
Vai trò của nhà cung cấp dịch vụ và nhà cung cấp danh tính
Google cung cấp dịch vụ SSO dựa trên SAML cho phép các công ty đối tác uỷ quyền và xác thực người dùng được lưu trữ đang cố gắng truy cập vào nội dung an toàn. Google đóng vai trò là nhà cung cấp dịch vụ trực tuyến và cung cấp các dịch vụ như Lịch Google và Gmail. Các đối tác của Google đóng vai trò là nhà cung cấp danh tính trực tuyến và kiểm soát tên người dùng, mật khẩu và các thông tin khác dùng để xác định, xác thực và uỷ quyền cho người dùng đối với các ứng dụng web mà Google lưu trữ.
Nhiều nhà cung cấp danh tính thương mại và nguồn mở có thể giúp bạn triển khai tính năng SSO với Google.
Chứng chỉ xác minh SAML
Để thiết lập tính năng SSO với các nhà cung cấp danh tính (IdP) bên thứ ba mà Google là nhà cung cấp dịch vụ, bạn cần tải một hoặc nhiều chứng chỉ xác minh lên. Chứng chỉ này chứa khoá công khai để xác minh hoạt động đăng nhập từ IdP.
- Nếu đang định cấu hình Cấu hình đăng nhập một lần của bên thứ ba cho tổ chức của bạn, bạn sẽ tải một chứng chỉ xác minh lên.
- Nếu đang tạo một cấu hình đăng nhập một lần dựa trên SAML mới, bạn có thể tải 2 chứng chỉ lên, nhờ đó bạn có thể luân phiên chứng chỉ.
Thông thường, bạn sẽ nhận được các chứng chỉ này từ IdP. Tuy nhiên, bạn cũng có thể tự tạo các chứng chỉ này.
Yêu cầu
- Chứng chỉ phải là chứng chỉ X.509 có định dạng PEM hoặc DER và chứa một khoá công khai được nhúng.
- Khóa công cộng phải được tạo bằng thuật toán DSA hoặc RSA.
- Khoá công khai trong chứng chỉ phải khớp với khoá riêng tư dùng để ký phản hồi SAML.