Với dịch vụ đăng nhập một lần (SSO), người dùng có thể truy cập vào nhiều ứng dụng mà không phải nhập tên người dùng và mật khẩu cho từng ứng dụng. Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) là một tiêu chuẩn XML cho phép các miền web bảo mật trao đổi dữ liệu xác thực và uỷ quyền người dùng.
Vai trò của nhà cung cấp dịch vụ và nhà cung cấp danh tính
Google cung cấp dịch vụ SSO dựa trên SAML, cho phép các công ty đối tác uỷ quyền và xác thực những người dùng được lưu trữ đang cố gắng truy cập vào nội dung bảo mật. Google đóng vai trò là nhà cung cấp dịch vụ trực tuyến và cung cấp các dịch vụ như Lịch Google và Gmail. Các đối tác của Google đóng vai trò là nhà cung cấp danh tính trực tuyến và kiểm soát tên người dùng, mật khẩu và các thông tin khác được dùng để xác định, xác thực và uỷ quyền cho người dùng đối với các ứng dụng web mà Google lưu trữ.
Nhiều nhà cung cấp dịch vụ danh tính nguồn mở và thương mại có thể giúp bạn triển khai tính năng SSO bằng Google.
Chứng chỉ xác minh SAML
Để thiết lập SSO với các nhà cung cấp danh tính bên thứ ba trong trường hợp Google là nhà cung cấp dịch vụ, bạn cần tải một hoặc nhiều chứng chỉ xác minh lên. Chứng chỉ này chứa khoá công khai để xác minh hoạt động đăng nhập từ IdP.
- Nếu đang thiết lập Cấu hình SSO của bên thứ ba cho tổ chức của bạn, bạn sẽ tải một chứng chỉ xác minh lên.
- Nếu đang tạo một cấu hình mới có tên là Đăng nhập một lần dựa trên SAML, bạn có thể tải 2 chứng chỉ lên, nhờ đó bạn có thể xoay vòng chứng chỉ.
Thông thường, bạn sẽ nhận được các chứng chỉ này từ nhà cung cấp danh tính (IdP). Tuy nhiên, bạn cũng có thể tự tạo các khoá này.
Yêu cầu
- Chứng chỉ phải là chứng chỉ X.509 có định dạng PEM hoặc DER và có khoá công khai được nhúng.
- Khoá công khai phải được tạo bằng thuật toán DSA hoặc RSA.
- Khoá công khai trong chứng chỉ phải khớp với khoá riêng tư dùng để ký phản hồi SAML.