SAML 証明書の有効期限を更新するための事前確認
有効期限の更新作業を行う目的
CloudGate UNO とサービスプロバイダー(以下、SP)の間でSAML連携を行うにあたって、有効期限のある証明書を利用しています。SAML証明書の有効期限が切れてしまった場合、CloudGate UNOを経由してSPへサインオンできなくなる可能性がありますので、継続してアクセスできるようSAML証明書の更新を行う必要があります。
SAML証明書の詳しい説明は、SAMLとは / SAML証明書の更新 をご参考ください。
主に必要な作業は以下の通りです。
- CloudGate UNOで有効期限を更新した証明書を作成する
- 各サービスに証明書を登録する
SPによってはSP側の管理コンソールでSAML証明書が登録できず、ベンダーに登録を依頼する場合もありますので、本記事では事前にご確認いただきたいことや証明書の更新手順が異なるSPを含めた全てのSPで証明書を更新するためのスケジュールの立て方をご案内しています。
事前確認
1.鍵の有効期限を確認する
1-1.(左メニュー)鍵管理 より、「使用数」が1以上で且つ「有効期限の終了」が近づいている(目安:約6ヶ月前)場合には、SAML 証明書更新のスケジュールを立て始めることをお勧めします。
なお、「使用数」が なし の鍵は有効期限が切れると30日後に自動で削除されます。
2.更新対象の連携サービスを確認する
2-1.(左メニュー)サービスプロバイダー で「SAML 2.0」と記載されている SP が対象です。
※ CloudGate UNO 関連の SP は、一番最後に実施する共通作業により更新が完了しますので、ここでは除外します。
3.連携サービスのSAML 証明書の更新手段を確認する
3-1.各種サービスプロバイダーの SSO連携設定情報一覧 から、確認した更新対象サービスそれぞれの「SSO連携設定」記事を開き、「証明書」「証明書のフィンガープリント」「SAML 2.0メタデータ」いずれかの記載内容をご覧ください。
(一覧に掲載されていない SP をご利用の場合には、CloudGateサポートまでお問合せください。)
大まかに SP のベンダーに証明書を提供する もしくは SP の管理画面などからお客様自身で証明書を設定する 旨いずれかの記載があります。
SP のベンダーに証明書を提供する サービスをご利用の場合、お手数をお掛けしますが、該当ベンダーに以下のような内容でお問合せをお願いします。
SAML 証明書 / SAML 2.0メタデータの有効期限が近づいているため更新が必要です。
更新するには貴社に依頼が必要との認識ですので、更新スケジュールを立てるため、
貴社での作業日時を指定することは可能かどうか、ご回答お願い致します。
3-2.連携しているサービスのSAML証明書登録手段が SP のベンダーに証明書を提供する もしくは SP の管理画面などからお客様自身で証明書を設定する いずれかの確認が取れましたら、ご利用の SP は 3パターンいずれかに分かれます。
- <パターン1> SP ベンダーがSP 側証明書を更新(作業日時の指定が不可)
- <パターン2> SP ベンダーがSP 側証明書を更新(作業日時の指定が可能)
- <パターン3> SP 管理画面などから管理者自身でSP 側証明書を更新
下記の「お客様用メモ」をスプレッドシートなどにコピーして、情報を取りまとめるためにご利用ください。
更新手段のパターン | 対象 SP | 必要なデータ | 作業手順 | 作業予定日 |
---|---|---|---|---|
<パターン1> SP のベンダーが対応 (作業日時の指定が不可) |
例)Service1 | 例)SAML 2.0メタデータ | 例)ベンダーに依頼 | 例)不明、依頼から約2週間後 |
<パターン2> SP のベンダーが対応 (作業日時の指定が可能) |
例)Service2 | 例)証明書のフィンガープリント(SHA1)、SAML 2.0メタデータ | 例)ベンダーに依頼 | 例)2023/09/05 15時頃 |
<パターン3> SP の管理画面などから管理者自身で対応 |
例)Service3 | 例)証明書 | 例)ヘルプページのURL、設定箇所のURLなど | 例)2023/09/05 15時頃 |
4.スケジュールを立てる
<パターン1>
ベンダー側での作業体制によってはいつ作業が実施されるか事前に分からない場合があります(依頼は順次作業している、作業チームは海外に在籍しているなど)。
また、このような場合は作業完了までに日数を要することも想定されますので、<パターン1>を先に完了させることをお勧めします。
<パターン2><パターン3>
<パターン2>の作業予定日をベンダーと調整します。<パターン2>の SP が複数ある場合には、作業予定日をすべて同日にまとめるように調整することをお勧めします。
<パターン3>の作業予定日はお客様のご都合に応じて調整します。<パターン2>の SP をご利用の場合には、必要作業の手間を減らすために<パターン2><パターン3>を同日にまとめて作業することをお勧めします。
ただしいずれの場合も、1つ1つ作業を進めたい場合や、対象 SP の数が多く作業を分けたい場合などには、日程が異なっても問題ございません。
SAML 証明書の有効期限を更新する
SAML 証明書の有効期限を更新する流れ をご覧ください。