SAML証明書を管理する
ここでは SAML証明書を管理する方法をご案内します。
シングルサインオン(SSO)を利用するためには、アイデンティティプロバイダー(Idp)である CloudGate UNO とサービスプロバイダー(SP)との間で SAML証明書を取り交わし信頼関係を構築する必要があります。 SAML証明書には有効期限があるため期限が切れる前に新しい証明書の発行と入れ替えの操作が必要です。
鍵管理画面 では CloudGate UNO で発行された SAML証明書を一括管理することができ、発行・失効・証明書情報や鍵情報などの確認・検索を行うことができます。 これらの操作は、特権管理者のロール(操作権限)があるユーザーのみ行うことができます。
操作ログ画面 では SAML証明書の発行・名称変更・更新・失効などの操作履歴を一括で確認できます。
アイデンティティプロバイダー画面 では、 CloudGate UNO 発行された SAML証明書の更新ができます。ただし、サービスプロバイダーごとに異なる証明書を使用する場合は対象の サービスプロバイダー編集画面 でカスタム設定を行うことができ、サービスプロバイダーで発行された証明書の設定や更新も同画面で行うことができます。
SAML関連の操作手順 | 操作画面(左メニュー) |
---|---|
CloudGate UNO発行の証明書更新は:
または
サービスプロバイダー発行の証明書更新は:
|
|
SAML証明書を発行する
SAML証明書を発行することができます。
発行操作を行うと、公開鍵・秘密鍵・SAML証明書が同時に作成されます。証明書名は任意で付けることができ、発行後は変更も可能です。 証明書名と鍵名は同じ名前が自動でつけられ、鍵名を変更した場合は証明書名も同時に変更されます。外部IdP が有効になっている場合は、外部サービスをアイデンティティプロバイダー(以下、IdP)とする証明書も作成できます。
SAML証明書を発行する
- 左メニューの をクリックします。
- 発行済みの SAML証明書が一覧で表示されます。一覧の上にある 作成 をクリックします。
- 鍵の作成 - 鍵設定 が表示されますので、鍵名を任意で入力します。 半角全角64文字以内で入力してください。必須項目のため空欄にはできません。 現在のところ、アルゴリズムは変更できません。
- 次へ をクリックします。
- 外部IdP が有効になっている場合は 鍵の作成 - サブジェクト選択 が表示されます。
- 鍵の作成 - 確認 で「鍵情報」と「証明書情報」が表示されますので、内容を確認します。 戻る をクリックすると、 鍵の作成 - サブジェクト選択 や 鍵の作成 - 鍵設定 に戻り、鍵名や IdPの選択を変更することができます。作成される内容が確認できたら 作成 をクリックします。
SAML証明書を検索する
SAML証明書一覧から証明書名や有効状況などで絞り込みを行い特定の証明書のみ表示させることができます。
SAML証明書を検索する
- 左メニューの をクリックします。
- 発行済みの SAML証明書が一覧で表示されます。一覧の上部に検索バーが表示されますので、下記を参考に設定し 検索 をクリックします。
検索項目 設定内容 ステータス 以下の項目から選択できます。- 有効
- 失効済み
- 有効期限切れ
検索パラメータ 検索したい下記の値を入力できます。「鍵名」と「証明書名」以外は完全一致である必要があります。 また「シリアル番号」は半角スペースのかわりに半角コロン(:)の区切りでも検索できます。 - 鍵名または証明書名
- 鍵UUID
- 証明書UUID
- シリアル番号
SAML証明書の名称を変更する
SAML証明書の鍵名を変更することができます。鍵名と証明書名は同じ名前となりますので、変更すると両方同時に変更されます。
SAML証明書の名称を変更する
- 左メニューの をクリックします。
- 発行済みの SAML証明書が一覧で表示されます。一覧の操作列にある 編集 をクリックします。
- 鍵名の変更画面が表示されますので半角全角64文字以内で変更します。 鍵名は任意で付けることができます。必須項目ですので空欄にすることはできません。変更したら、 次へ をクリックします。
- 変更した鍵名が反映された SAML証明書の詳細情報が表示されます。確認をして 保存 をクリックします。
SAML証明書をダウンロードする
SAML証明書をダウンロードすることができます。 SAML証明書は X.509形式で作成されており、公開鍵や証明書識別情報、デジタル署名等が含まれています。 ダウンロード時には公開鍵や証明書のいずれかをダウンロードしたり、すべてをダウンロードするなどを選択することができます。
SAML証明書をダウンロードする
- 左メニューの をクリックします。
- 発行済みの SAML証明書が一覧で表示されます。必要な証明書の操作列にある ダウンロード をクリックします。
- ダウンロード画面が表示されます。 ダウンロードする形式を選ぶことができますので、下記を参考にタイプを選択します。
選択したタイプ ダウンロードされるもの 証明書 公開鍵を含めた証明書 証明書チェーン ルート認証局や中間認証局などすべての認証局情報を含めた証明書 公開鍵のみ 公開鍵のみ - ダウンロード をクリックします。
- 本操作は、 アイデンティティプロバイダー設定画面:内部IdPタブ や 外部アイデンティティプロバイダー設定画面 、 サービスプロバイダー設定画面(SAML 2.0 認証):シングルサインオン設定 の ダウンロード からも行えます。
- 証明書のデータはダウンロードの他にも、 鍵管理画面 の 鍵名 をクリックすると表示されるフィンガープリント(ハッシュ関数は SHA-1、SHA-256、MD5に対応)や メタデータからも取得する ことができ、サービスプロバイダー側の仕様により利用可能です。
SAML証明書を失効する
CloudGate UNO で発行された SAML証明書を失効することができます。
SAML証明書を失効する
- 左メニューの をクリックします。
- 発行済みの SAML証明書が一覧で表示されます。失効したい証明書の操作列にある 失効 をクリックします。
- 鍵失効の確認 で失効される「鍵情報」と「証明書情報」が表示されますので、内容を確認して 失効 をクリックします。
SAML証明書の操作履歴を確認する
鍵管理 での発行や失効操作の履歴を確認します。
SAML証明書の操作履歴を確認する
- 左メニューの をクリックします。
- CloudGate UNO Administrator Site (管理者サイト)で管理者が行った操作の履歴が表示されます。 検索 で、「全てのリソースタイプ」を「鍵管理」に変更して 検索 をクリックします。
- 鍵管理 で操作した履歴だけが絞り込まれ一覧で表示されます。操作列の 詳細 をクリックすると、 管理者操作詳細 が表示され、操作が行われた日時・アカウント情報・接続元 IPアドレス・操作された証明書情報などを確認することができます。 証明書の発行・失効・証明書名の変更は、それぞれ「処理操作」で作成・変更・失効で振り分けられています。必要であれば、 検索 の「処理操作」で検索条件を追加し、絞り込みを行なってください。