שמירה על אישורי SAML

אפליקציות SAML משתמשות באישורי X.509 כדי לאשר את האותנטיות והתקינות של הודעות שמשותפות בין ספק הזהויות (IdP) לבין ספק השירות (SP). משתמשים עם הרשאת סופר-אדמין יכולים להשתמש במסוף Admin כדי:

  • אפשר לראות בקלות את אישורי X.509 שנמצאים בשימוש באפליקציות SAML
  • זיהוי אישורי X.509 שעומד לפוג התוקף שלהם
  • יוצרים אישורים חדשים ומקצים אותם לאפליקציות SAML. התהליך הזה נקרא רוטציה של אישורים.

למה צריך להחליף אישורי SAML?

התוקף של אישורי X.509 הוא חמש שנים. כדאי להחליף אישור אם התוקף שלו עומד לפוג או אם הוא נפרץ. אם תוקף האישור יפוג לפני שתבצעו רוטציה, המשתמשים לא יוכלו להשתמש ב-SSO כדי להיכנס לאפליקציות SAML שמשתמשות באישור הזה עד שתחליפו אותו באישור חדש.

לפני שתאריך התפוגה של אישור ברירת המחדל יגיע, מוסיפים אישור שני עם תוקף חדש של 5 שנים, ואז מעבירים את האפליקציות מהאישור שתוקפו עומד לפוג. אם יש לכם שני אישורים תקפים, תוכלו להעביר חלק מהאפליקציות לאישור החדש לצורך בדיקה, בלי להשפיע על אפליקציות שעדיין משתמשות באישור הישן. אחרי שמעבירים את כל האפליקציות לאישור החדש, אפשר למחוק את האישור הישן.

חשוב: אחרי שמקצים אישור חדש לאפליקציית SAML במסוף Admin, צריך לעדכן גם את הגדרת ה-SSO המתאימה בצד ספק השירות עם האישור החדש, אחרת ה-SSO לא יפעל עם האפליקציה.

ניהול אישורי SAML

בחשבון שלכם יש אישור ברירת מחדל אחד שבו אתם יכולים להשתמש בכל אפליקציות ה-SAML. אפשר להוסיף אישור שני, או למחוק אישור אחד או את שניהם וליצור אישורים חדשים:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם אפליקציות SAML.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

    בקטע Certificates (אישורים) מוצגים אישורי X.509 הנוכחיים שלכם. יכולים להיות לכם עד 2 אישורים בו-זמנית. מוצגים שם האישור, תאריך התפוגה, התוכן וטביעת האצבע מסוג SHA-256. משתמשים בלחצנים בצד שמאל כדי להעתיק, להוריד או למחוק אישור.

  2. (אופציונלי) אם יש לכם רק אישור אחד, לוחצים על הוספת אישור נוסף כדי ליצור אישור שני.

    הערה: האישור האחרון שנוצר (החדש ביותר) הופך לאישור ברירת המחדל שמשמש להגדרת SSO לאפליקציות SAML חדשות.

  3. (אופציונלי) כדי ליצור אישור חדש:

    1. לוחצים על סמל המחיקה כדי למחוק אישור.

      אם האישור שאתם מוחקים נמצא בשימוש של אפליקציות SAML שהותקנו, יופיע חלון עם רשימת האפליקציות שיושפעו מהמחיקה, והאזהרה הבאה: הכניסה היחידה לאפליקציה לא תהיה זמינה עד שתקצו לאפליקציות האלה אישור חדש.

    2. לוחצים על מחיקת האישור. מחיקת אישור גורמת לתוצאות הבאות:

    3. אם יש לכם אישור אחד, המערכת תיצור אישור חדש באופן אוטומטי כדי להחליף אותו.

    4. אם יש לכם שני אישורים ואתם מוחקים את אישור 1, אישור 2 מחליף את אישור 1.

  4. אם החלפתם אישור שמשמש את אחת מאפליקציות ה-SAML שלכם, צריך לפעול לפי השלבים שבקטע הבא כדי להקצות את האישור החדש לאפליקציות המושפעות. בנוסף, תצטרכו לעדכן את האישור בהגדרות ה-SSO של האפליקציות האלה באתר הניהול של ספק השירות.

טיפ: אירועים שקשורים לאישור SAML (מחיקה, יצירה, שינוי של אישור שהוקצה לאפליקציית SAML) מתועדים ביומן ביקורת של Admin.

עדכון האישור שמשמש אפליקציית SAML

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציות ואז אפליקציות לאינטרנט ולניידים.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. לוחצים על אפליקציית SAML כדי לפתוח את דף ההגדרות שלה.

  3. לוחצים על פרטי ספק שירות.

    בקטע אישור מוצג האישור הנוכחי שבו האפליקציה משתמשת, כולל מזהה האישור ותאריך התפוגה. אם מחקתם את האישור ששימש במקור להגדרת האפליקציה, תוצג האזהרה לא הוקצה אישור.

  4. לוחצים על החץ למטה ובוחרים אישור.

  5. (אופציונלי) אם אין אישור אחר זמין, או אם צריך ליצור אישורים חדשים, לוחצים על ניהול אישורים ופועלים לפי ההוראות שבקטע ניהול אישורי SAML למעלה.

  6. אחרי שמשנים את האישור שמוקצה לאפליקציית SAML, חשוב גם לעדכן את הגדרת ה-SSO של האפליקציה באישור החדש באתר של ספק השירות. הכניסה באמצעות SSO לאפליקציית SAML לא תפעל עד שתעדכנו גם את ההגדרה בצד ספק השירות.

חשוב: אחרי שמחליפים אישור, יכולות לעבור עד 24 שעות עד שהאישור החדש יהיה זמין לשימוש באפליקציות SAML.