SAML 証明書の有効期限を更新する流れ
はじめに
SAML 証明書の有効期限を更新するための事前確認 を前提とした記事ですので、まずはそちらをご参照のうえ、作業対象のサービスプロバイダー(以下、SP)を確認してスケジュールを立てたら、続けて本記事の内容をご対応ください。
尚、極力ユーザー影響が少なくなるように以下の流れで作業することをおすすめしています。
- 作業日時が指定できないSPのSAML証明書<パターン1>を更新完了する
- 作業日時の指定が可能なSP<パターン2>およびSPの管理画面で更新可能なSP<パターン3>は同日中にまとめて作業する
立てたスケジュールと必要な作業にご不安があります場合は遠慮なくCloudGateサポートまでお問合せください。
作業内容 |
パターン1 SPベンダーがSP側証明書を更新(作業日が指定不可) |
パターン2 SPベンダーがSP側証明書を更新(作業日が指定可能) |
パターン3 SP管理画面などから管理者自身でSP側証明書を更新 |
---|---|---|---|
1.新しい SAML証明書 を作成して必要なデータを取得する |
● |
● | ● |
2.SP ベンダーに作業依頼する | ● | ● | |
3.CloudGate UNO で参照する SAML 証明書を カスタム 設定に変更する | ● | ||
4.CloudGate UNO のデフォルト SAML 証明書を切り替える | ● | ● | |
5.SP 管理画面などから SAML 証明書を更新する | ● |
Step 1:新しい SAML証明書 を作成して必要なデータを取得する <パターン1><パターン2><パターン3>
(左メニュー)鍵管理 >[作成] から新規で作成します。「鍵名」は新しく作成するものと判別できる任意の名前を入力します。複数サービスが同じ証明書を利用することは問題ありませんので、すでに新しい証明書を作成済みでしたらサービスごとに個別に作成する必要はありません。
次に、事前確認のお客様用メモで書き留めた「必要なデータ」を取得しておきます。ファイルをダウンロードしたり、文字列をメモ帳などにコピーしてください。
証明書 | (左メニュー)鍵管理 で新しく作成した鍵名の「操作」列にある[ダウンロード]ボタンをクリックします。 |
証明書 のフィンガープリント |
(左メニュー)鍵管理 で新しく作成した鍵名をクリックして開く画面に表示されます。 |
SAML 2.0 メタデータ |
設定変更後に一度保存してから取得することができます。取得次第すぐに元の設定に戻して保存してください。元に戻すまでの間は一時的に対象 SP は SAML 認証ができなくなります。既にサインオン済みであれば継続して利用可能で、強制的にサインアウトされることはありません。
|
Step 2:SP ベンダーに作業依頼する <パターン1><パターン2>
取得したデータを各ベンダーに送付して、SAML 証明書の更新を依頼します。
ベンダーでの作業が完了すると 対象の SP は SAML 認証が一時的に停止します ので、速やかに次の対応を実施します。
Step 3:CloudGate UNO で参照する SAML 証明書を カスタム 設定に変更する <パターン1>
ベンダーでの作業が完了する都度、SP ごとに本作業を実施することで 対象の SP は SAML 認証が復旧します。作業日程が事前に分からない<パターン1>の SP は必ず対応することになります。
- (左メニュー)サービスプロバイダー >ベンダーでの作業が完了した SP の[編集]ボタンをクリック >シングルサインオン設定タブ を開きます。
- 「証明書」項目にて カスタム をクリックし、古い鍵名が表示されているプルダウンから、新しい鍵名に選択し直します。
- 画面右下の[保存]をクリックします。
- ご利用ブラウザのシークレットモード等で SSO が可能かどうか確認します。
Step 4:CloudGate UNO のデフォルト SAML 証明書を切り替える <パターン2><パターン3>
(左メニュー)アイデンティティプロバイダー >「証明書」項目のプルダウンから新しい鍵名を選択 >画面右下の[保存]をクリック
<パターン3>の SP は SAML 認証が一時的に停止します ので、速やかにSP 側の作業を対応します。
Step 5:SP 管理画面などから SAML 証明書を更新する <パターン3>
SP 側での作業が完了することで順次 対象の SP は SAML 認証が復旧します ので、優先度の高い SP から作業することをお勧めします。
以下に、利用数の多い SP をピックアップしてご案内します。SAML証明書の更新は SP によって異なりますので、SP の仕様に則って作業をお願いします。
- Google Workspace 連携:SSO を有効化する も参考にGoogle管理コンソールにアクセスします。
- Google は管理コンソールの画面上で証明書のみ更新できますので、CloudGate UNO管理者サイトからダウンロードした「証明書」を以下の画面でアップロード、保存します。
セキュリティ >概要 >サードパーティの ID プロバイダ(IdP)によるシングル サインオン(SSO) >組織向けのサードパーティの SSO プロファイル
- Salesforce.com 連携:SSO を有効化するために事前準備する を参考にSalesforceの「シングルサインオン設定」画面にアクセスします。
- 「SAML シングルサインオン構成」に既存のSSO設定がありますので、編集をクリックし「ID プロバイダの証明書」にCloudGate UNO管理者サイトからダウンロードした「証明書」をアップロードします。
- Microsoft 365はSSO有効化する際にSAML証明書を登録しますので、【Microsoft 365】SSO無効化設定 を実施し、一時的にSSOを無効にします。
- Microsoft 365 連携:SSO を有効にする を参考に「Microsoft 365 PowerShell実行コマンド生成ツール」で、新しく作成した証明書を利用したSSO有効化コマンドを生成します。
- 生成したコマンドを利用して再度SSOを有効化します。