Met Single sign-on (SSO) hebben gebruikers toegang tot veel apps zonder dat ze hun gebruikersnaam en wachtwoord moeten invoeren voor elke app. Security Assertion Markup Language (SAML) is een XML-standaard waarmee beveiligde webdomeinen gegevens over gebruikersverificatie en -autorisatie kunnen uitwisselen.
De rollen van serviceproviders en identiteitsproviders
Google biedt een op SAML gebaseerde SSO-service waarmee partnerbedrijven gehoste gebruikers kunnen machtigen en verifiëren die toegang willen krijgen tot beveiligde content. Google fungeert als online serviceprovider en biedt services zoals Google Agenda en Gmail. Google Partners fungeren als online identiteitsproviders en beheren gebruikersnamen, wachtwoorden en andere gegevens die worden gebruikt om gebruikers te identificeren, verifiëren en autoriseren voor door Google gehoste web-apps.
Met veel opensource en commerciële identiteitsproviders kunt u SSO implementeren voor Google.
SAML-verificatiecertificaten
Als u SSO wilt instellen met IdP's van derden waarbij Google de serviceprovider is, uploadt u een of meer verificatiecertificaten. Het certificaat bevat de openbare sleutel waarmee de inloggegevens van de IdP worden geverifieerd.
- Als u het SSO-profiel van derden configureert voor uw organisatie, uploadt u één verificatiecertificaat.
- Als u een nieuw SAML SSO-profiel maakt, kunt u 2 certificaten uploaden. Zo kunt u certificaten rouleren.
U krijgt deze certificaten meestal van uw IdP. U kunt ze ook zelf genereren.
Vereisten
- Het certificaat moet een X.509-certificaat zijn dat de indeling PEM of DER heeft en een ingesloten openbare sleutel bevat.
- De openbare sleutel moet zijn gegenereerd met het DSA- of RSA-algoritme.
- De openbare sleutel van het certificaat moet overeenkomen met de privésleutel waarmee de SAML-reactie wordt ondertekend.
