Para configurar el SSO con proveedores de identidades de terceros cuando Google sea el proveedor de servicios, debes subir uno o varios certificados de verificación. El certificado contiene la clave pública que verifica el inicio de sesión a través del proveedor de identidades.
- Si vas a configurar el perfil de SSO de terceros en tu organización, sube un certificado de verificación.
- Si vas a crear un perfil de SSO de SAML, puedes subir dos certificados, lo que te da la opción de alternarlos.
Normalmente, los certificados los proporciona tu proveedor de identidades. Sin embargo, también puedes generarlos tú mismo.
Requisitos
- El certificado debe ser un certificado X.509 en formato PEM o DER con una clave pública insertada.
- Esta debe generarse con los algoritmos DSA o RSA,
- La clave pública del certificado debe coincidir con la clave privada utilizada para firmar la respuesta SAML.
Cómo rotar certificados
Si subes dos certificados a un perfil de SSO de SAML, Google puede usar cualquiera de ellos para validar una respuesta de SAML de tu proveedor de identidades. De esta forma, puedes rotar de forma segura un certificado que vaya a caducar en el lado del proveedor de identidades. Sigue estos pasos al menos 24 horas antes de que un certificado caduque:
- Crea un certificado nuevo en el proveedor de identidades.
- Sube el certificado como segundo certificado a la consola de administración. Consulta las instrucciones en el artículo Crear un perfil SAML.
- Espera 24 horas para que las cuentas de usuario de Google se actualicen con el nuevo certificado.
- Configura el proveedor de identidades para que use el nuevo certificado en lugar del que vaya a caducar.
- (Opcional) Una vez que los usuarios hayan confirmado que pueden iniciar sesión, quita el certificado antiguo de la consola de administración. Podrás subir un nuevo certificado más adelante si es necesario.
