Met single sign-on (SSO) hebben gebruikers toegang tot meerdere applicaties zonder voor elke applicatie hun gebruikersnaam en wachtwoord te hoeven invoeren. Security Assertion Markup Language (SAML) is een XML-standaard waarmee beveiligde webdomeinen authenticatie- en autorisatiegegevens van gebruikers kunnen uitwisselen.
De rollen van dienstverleners en identiteitsaanbieders
Google biedt een op SAML gebaseerde SSO-service waarmee partnerbedrijven gebruikers kunnen autoriseren en authenticeren die toegang proberen te krijgen tot beveiligde content. Google fungeert als online serviceprovider en levert diensten zoals Google Agenda en Gmail. Google-partners fungeren als online identiteitsproviders en beheren gebruikersnamen, wachtwoorden en andere informatie die wordt gebruikt om gebruikers te identificeren, authenticeren en autoriseren voor webapplicaties die door Google worden gehost.
Veel open-source en commerciële identiteitsaanbieders kunnen u helpen bij het implementeren van SSO met Google.
SAML-verificatiecertificaten
Om SSO in te stellen met identiteitsproviders van derden, waarbij Google de serviceprovider is, moet u een of meer verificatiecertificaten uploaden. Het certificaat bevat de openbare sleutel die de aanmelding bij de identiteitsprovider verifieert.
- Als u het SSO-profiel van derden voor uw organisatie configureert, uploadt u één verificatiecertificaat.
- Als je een nieuw SAML SSO-profiel aanmaakt, kun je twee certificaten uploaden, waardoor je de mogelijkheid hebt om de certificaten te rouleren.
Je ontvangt deze certificaten doorgaans van je identiteitsprovider (IdP). Je kunt ze echter ook zelf genereren .
Vereisten
- Het certificaat moet een X.509-certificaat in PEM- of DER-formaat zijn met een ingebedde publieke sleutel.
- De publieke sleutel moet gegenereerd worden met behulp van de DSA- of RSA-algoritmen.
- De publieke sleutel in het certificaat moet overeenkomen met de privésleutel die is gebruikt om het SAML-antwoord te ondertekenen.