Як підтримувати роботу сертифікатів SAML

За допомогою сертифікатів X.509 додатки SAML можуть підтверджувати автентичність і цілісність повідомлень, які передаються між постачальниками ідентифікаційної інформації і послуг. Як суперадміністратор ви можете виконувати такі дії в Консолі адміністратора:

  • легко переглядати сертифікати X.509, що використовуються вашими додатками SAML;
  • визначати, строк дії яких сертифікатів X.509 скоро закінчиться;
  • створювати нові сертифікати й призначати їх додаткам SAML (це називається заміною сертифікатів).

Навіщо замінювати сертифікати SAML

Строк дії сертифіката X.509 становить п’ять років. Якщо цей строк спливає або сертифікат зламано, його потрібно замінити. Коли строк дії сертифіката закінчиться, користувачі не зможуть входити у відповідні додатки SAML за допомогою Системи єдиного входу, доки ви не заміните його. 

Перш ніж строк дії сертифіката за умовчанням завершиться, додайте новий сертифікат на наступні 5 років, а потім замініть наявний. Завдяки цьому ви можете спершу застосувати новий сертифікат до деяких додатків, щоб протестувати його, не впливаючи на роботу додатків зі старим сертифікатом. Коли всі додатки буде переведено на новий сертифікат, старий можна видалити.

Важливо. Призначивши додатку SAML новий сертифікат у Консолі адміністратора, оновіть конфігурацію відповідної Системи єдиного входу на боці постачальника послуг, інакше користувачі не зможуть входити в додаток за допомогою цього способу.

Як керувати сертифікатами SAML

У вашому обліковому записі є один сертифікат за умовчанням, який можна використовувати для всіх додатків SAML. Ви можете додати інший сертифікат або видалити один чи обидва з них і створити новий:

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису суперадміністратора.

    Без облікового запису з такими правами ви не зможете виконати наведені нижче дії.

  2.  Натисніть значок потім Безпека > Автентифікація > Система єдиного входу (SSO) з додатками SAML.

    Поточні сертифікати X.509 відображаються в розділі Сертифікати (їх може бути щонайбільше 2). У цьому розділі також можна переглянути назву сертифіката, строк його дії, вміст і відбиток SHA-256. Щоб скопіювати, завантажити або видалити сертифікат, скористайтеся кнопками праворуч.

  3. (Необов’язково) Якщо у вас лише один сертифікат, натисніть Додати ще один сертифікат.

    Примітка. Найновіший сертифікат за умовчанням використовуватиметься для налаштування Системи єдиного входу в нових додатках SAML.

  4. (Необов’язково) Щоб створити новий сертифікат:
    1. Натисніть значок Видалити, щоб видалити сертифікат.

      Якщо сертифікат застосовується в будь-яких встановлених додатках SAML, ви побачите вікно з переліком таких додатків і попередження про те, що користувачі не зможуть входити в них за допомогою Системи єдиного входу, доки ви не призначите новий сертифікат.

    2. Натисніть Видалити сертифікат. Ця дія може мати наведені нижче наслідки.
      • Якщо видалити єдиний сертифікат, замість нього буде автоматично створено новий.
      • Якщо видалити один із сертифікатів, замість нього використовуватиметься інший.
  5. Замінивши сертифікат, дотримуйтеся вказівок у наступному розділі, щоб призначити його відповідним додаткам. Крім того, вам потрібно оновити сертифікат у налаштуваннях Системи єдиного входу для цих додатків на адміністративному вебсайті постачальника послуг.

Підказка. Події, пов’язані із сертифікатами SAML (як-от їх створення, видалення й заміна), реєструються в журналі аудиту адміністратора.

Як оновити сертифікат, який використовується в додатку SAML

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису суперадміністратора.

    Без облікового запису з такими правами ви не зможете виконати наведені нижче дії.

  2. Натисніть значок потім Додатки > Мобільні й вебдодатки.

    Потрібно мати права адміністратора на керування мобільними пристроями.

  3. Натисніть додаток SAML, щоб відкрити його сторінку налаштувань.
  4. Виберіть Відомості про постачальника послуг.

    Поточний сертифікат додатка, зокрема його ідентифікатор і строк дії, відображається в розділі Сертифікат. Якщо ви видалили сертифікат, який використовувався для налаштування додатка, показуватиметься попередження Сертифікат не призначено

  5. Натисніть значок Стрілка вниз і виберіть сертифікат.
  6. (Необов’язково) Якщо іншого доступного сертифіката немає або вам потрібно створити новий, натисніть Керувати сертифікатами й дотримуйтеся вказівок із розділу Як керувати сертифікатами SAML вище.
  7. Замінивши призначений додатку SAML сертифікат, обов’язково оновіть його в конфігурації Системи єдиного входу на вебсайті постачальника послуг. Доки ви цього не зробите, користувачі не зможуть входити в додаток SAML за допомогою Системи єдиного входу. 

Важливо. Після заміни сертифіката може минути до 24 годин, перш ніж додатки SAML зможуть використовувати його.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
13851035986538417026
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false
false
false