SAML証明書を更新する
SAML証明書は有効期限があるため定期的に新しい証明書を発行し、既存の証明書と切り替えを行う必要があります。
CloudGate UNO で扱われる SAML証明書には CloudGate UNO 発行の証明書とサービスプロバイダー発行の証明書があります。詳しくは SAML証明書の更新 をご確認ください。
▶︎ CloudGate UNO 発行の SAML証明書を更新
CloudGate UNO が発行・管理する SAML証明書の切り替え操作は、一括で変更をする方法(デフォルト設定)と、 サービスプロバイダーごとに変更する方法(カスタム設定)の2通りがあります。
CloudGate UNO と SSO連携をするサービスプロバイダーが1つである場合はデフォルト設定で問題ありません。 ただし複数のサービスプロバイダーと連携している場合は、カスタム設定の利用をお勧めします。
▶︎サービスプロバイダー発行の SAML証明書を更新
事前準備として、サービスプロバイダー側のサイトで最新の証明書を入手してください。
デフォルト設定で証明書を切り替える
アイデンティティプロバイダー設定画面:内部IdPタブ (
)で SAML証明書を切り替えると、デフォルト設定になっているすべてのサービスプロバイダーの証明書が変更されます。 また今後新しく追加されるサービスプロバイダーも初期値がデフォルト設定になりますのでここで設定する証明書が利用されます。
デフォルト設定で証明書を切り替える
- をクリックします。
- アイデンティティプロバイダー設定 が表示されます。
- 「IdP情報」の「証明書」に表示されるプルダウンメニューで SAML証明書を切り替えます。 プルダウンメニューには有効な証明書のみ表示されます。選択肢がない場合は新しく SAML証明書を発行する ことができます。
- 詳細 をクリックすると、現在設定されている証明書の詳細情報(鍵情報と証明書情報)がダイアログで表示され、 発行者情報やフィンガープリントの値を確認することができます。
- ダウンロード をクリックすると、現在設定されている SAML証明書をダウンロードする ことができます。プルダウンメニューで切り替えた直後は操作できません。 保存 するとダウンロードできるようになります。
- 画面最下部の 保存 をクリックします。
画面右下に青色でメッセージが表示されます。 またこれ以降、デフォルト設定になっているすべてのサービスプロバイダーはここで設定した証明書を利用して SAML認証が行われます。 各サービスプロバイダーのデフォルトまたはカスタム設定の確認は、
サービスプロバイダーの設定 (
)の「SAML 2.0のIdP情報」の「証明書」をご確認ください。
カスタム設定で証明書を切り替える(単一設定)
SAML証明書を連携中のサービスプロバイダーごとに設定します。
CloudGate UNO では SAML証明書を複数設定することが可能ですが、ここでは既存の証明書を新しい証明書へ切り替える設定をご案内します。 連携するサービスプロバイダーが SAML証明書の複数設定に対応していない場合などはこちらをご利用ください。 設定する証明書は他のサービスプロバイダーと重複しても問題ありません。カスタム設定で証明書を切り替える(単一設定)
- をクリックします。
- サービスプロバイダー一覧 が表示され、連携するサービスが確認できます。 該当のサービスプロバイダーパネルで右上 編集 をクリックします。
- 「シングルサインオン設定」タブをクリックします。
- 「SAML 2.0のIdP情報」の「証明書」で カスタム を選択します。
- カスタムの場合は証明書の複数設定が可能となりますので、既存で選択されていた証明書の下にもう1つ追加でプルダウンメニューが表示されます。 ただし、ここでは既に設定されている証明書を切り替える方法をご案内していますので、追加で表示されたプルダウンメニューは無視してください。
- 既に設定されている証明書のプルダウンメニューから新しい証明書を選択します。 プルダウンメニューには有効な証明書のみ表示されます。選択肢がない場合は新しく SAML証明書を発行する ことができます。
- 詳細 をクリックすると、現在設定されている証明書の詳細情報(鍵情報と証明書情報)がダイアログで表示され、 発行者情報やフィンガープリントの値を確認することができます。
- ダウンロード をクリックすると、現在設定されている SAML証明書をダウンロードする ことができます。プルダウンメニューで切り替えた直後は操作できません。 保存 するとダウンロードできるようになります。
- 削除 をクリックすると、証明書の設定を取り消すことができます。
- 画面最下部の 保存 をクリックします。
- 確認画面が表示されますので はい をクリックします。
画面右下に青色でメッセージが表示されます。
またこれ以降、ここで設定した証明書を利用し SAML認証が行われます。デフォルトに戻したい場合は、 デフォルト を設定して 保存 してください。その場合設定していたカスタム設定は削除されます。
カスタム設定で証明書を追加設定する(複数設定)
CAUTION:
事前にサービスプロバイダー側の仕様を確認して、複数の SAML証明書を登録できる場合のみ本操作を行ってください。
管理者はダウンタイムを考慮せず、事前に新しい証明書の切り替え操作ができます。
カスタム設定で証明書を追加設定する(複数設定)
- をクリックします。
- サービスプロバイダー一覧 が表示され、連携するサービスが確認できます。 該当のサービスプロバイダーパネルで右上 編集 をクリックします。
- 「シングルサインオン設定」タブをクリックします。
- 「SAML 2.0のIdP情報」の「証明書」で カスタム を選択します。
- カスタムの場合は証明書の複数設定が可能となりますので、既存で選択されていた証明書の下にもう1つ追加でプルダウンメニューが表示されます。 既存の証明書を残したまま、その下のプルダウンメニューで新しい証明書を追加します。 設定できる証明書は最大で5つまでで、上から順に優先されます。 プルダウンメニューには有効な証明書のみ表示されます。選択肢がない場合は新しく SAML証明書を発行する ことができます。
- 詳細 をクリックすると、現在設定されている証明書の詳細情報(鍵情報と証明書情報)がダイアログで表示され、 発行者情報やフィンガープリントの値を確認することができます。
- ダウンロード をクリックすると、現在設定されている SAML証明書をダウンロードする ことができます。プルダウンメニューで切り替えた直後は操作できません。 保存 するとダウンロードできるようになります。
- 削除 をクリックすると、証明書の設定を取り消すことができます。
- 画面最下部の 保存 をクリックします。
- 確認画面が表示されますので はい をクリックします。
画面右下に青色でメッセージが表示されます。
またこれ以降、ここで設定した証明書を利用し SAML認証が行われます。デフォルトに戻したい場合は、 デフォルト を設定して 保存 してください。その場合設定していたカスタム設定は削除されます。
サービスプロバイダーの SAML証明書を更新する
サービスプロバイダーが発行した SAML証明書を CloudGate UNO Administrator Site (管理者サイト)で更新します。
Note: この手順は、設定画面内にある下記いずれかが
On になっている場合のみ有効です。
- シングルサインオンの設定 の「リクエストの署名要求」
- シングルサインオフの設定 の「リクエストの署名要求」
- シングルサインオフの設定 の「レスポンスの署名要求」
サービスプロバイダーの SAML証明書を更新する
- をクリックします。
- サービスプロバイダー一覧 が表示され、連携するサービスが確認できます。 該当のサービスプロバイダーパネルで右上 編集 をクリックします。
- 「シングルサインオン設定」タブをクリックします。
- シングルサインオンの設定 の「リクエストの署名要求」または シングルサインオフの設定 の「リクエストの署名要求」、「レスポンスの署名要求」のいずれかが On になっていることを確認します。
- 一番下の「署名検証の設定」までスクロールします。
- 「検証用証明書」のプルダウンメニューで 手動入力 または ファイルをアップロード を選択します。
- 画面最下部の 保存 をクリックします。
画面右下に青色でメッセージが表示されます。