Las aplicaciones de SAML utilizan certificados X.509 para confirmar la autenticidad e integridad de los mensajes compartidos entre el proveedor de identidades (IdP) y el proveedor de servicios. Como superadministrador, puedes utilizar la consola de administración para:
- Consultar fácilmente los certificados X.509 que usan tus aplicaciones de SAML
- Identificar los certificados X.509 que están a punto de caducar.
- Crear certificados y asignarlos a tus aplicaciones de SAML. Esto se conoce como rotación de certificados.
¿Por qué rotar los certificados de SAML?
Los certificados X.509 tienen una vida útil de cinco años. Debes rotar un certificado cuando esté a punto de caducar o si ha sido vulnerado. Si un certificado caduca antes de rotarlo, tus usuarios no podrán utilizar el inicio de sesión único (SSO) para iniciar sesión en cualquier aplicación de SALM que use ese certificado hasta que lo cambies por un certificado nuevo.
Después de crear un certificado, tienes que asignarlo a cada una de las aplicaciones de SALM en Google (desde el proveedor de identidades), y actualizar la configuración del SSO del proveedor de servicios correspondiente con el certificado nuevo.
Gestionar certificados de SAML
Tu cuenta tiene un certificado predeterminado que puedes utilizar en todas las aplicaciones de SAML. Puedes añadir un segundo certificado o eliminar los que ya tenías y generar unos nuevos:
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadAutenticaciónSSO con aplicaciones SAML.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
En la sección Certificados se muestran los certificados X.509 que ya tienes. Puedes tener hasta 2 certificados al mismo tiempo. Se muestra el nombre, la fecha de vencimiento, el contenido y la huella digital SHA-256 del certificado. Utiliza los botones de la derecha para copiar, descargar o eliminar un certificado.
- (Opcional) Si solo tienes un certificado, haz clic en Añadir otro certificado para crear un segundo.
Nota: El certificado más reciente se convertirá en el certificado predeterminado y se usará para configurar el SSO en las aplicaciones de SAML nuevas.
- (Opcional) Para crear un certificado, sigue estos pasos:
- Haz clic en Eliminar para eliminar un certificado.
Si alguna aplicación de SAML está usando el certificado que vas a eliminar, verás una ventana con las aplicaciones afectadas que te avisará de que el inicio de sesión único dejará de estar disponible hasta que asignes un certificado nuevo a esas aplicaciones.
- Haz clic en Eliminar certificado. Al eliminar un certificado, ocurrirá lo siguiente:
- Si solo tenías un certificado, se generará otro automáticamente para sustituirlo.
- Si tienes dos certificados y eliminas el certificado 1, el certificado 2 lo sustituirá.
- Haz clic en Eliminar para eliminar un certificado.
- Si has sustituido un certificado que se usa en otras aplicaciones de SAML, sigue los pasos de la sección que se indica a continuación para asignar un certificado nuevo a las aplicaciones afectadas. También tendrás que modificar el certificado en la configuración del SSO de las aplicaciones que estén en el sitio web administrativo del proveedor de servicios.
Consejo: Los eventos de certificados de SAML (eliminación, creación, cambio del certificado asignado a una aplicación de SAML) se registran en el Registro de auditoría del administrador.
Modificar el certificado de una aplicación de SAML
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Haz clic en la aplicación de SAML para abrir la página de configuración.
- Haz clic en Datos del proveedor de servicios.
En Certificado, se muestra el certificado que use la aplicación, además del ID de certificado y la fecha de vencimiento. Si eliminas el certificado que se usó para configurar la aplicación, verás el mensaje de advertencia No se ha asignado ningún certificado.
- Haz clic en la flecha hacia abajo y elige un certificado.
- (Opcional) Si no hay otro certificado disponible o necesitas crear más, haz clic en Gestionar certificados y sigue las instrucciones que se indican en la sección anterior, Gestionar certificados de SAML.
- Después de cambiar el certificado asignado a la aplicación de SAML, modifica también la configuración del SSO de la aplicación con el certificado nuevo en el sitio web del proveedor de servicios. El SSO en la aplicación de SAML no funcionará hasta que se haya actualizado la configuración del proveedor de servicios.
Importante: Cuando sustituyas un certificado, el certificado nuevo puede tardar hasta 24 horas en estar disponible para usarlo con aplicaciones de SAML.