1. CloudGate ヘルプセンター
  2. サービスプロバイダー連携
  3. サービスプロバイダー管理・鍵管理

このセクションの記事

SAML 証明書の有効期限を更新する流れ

はじめに

SAML 証明書の有効期限を更新するための事前確認 をご参考の上、作業対象のサービスプロバイダーを確認してスケジュールを立てたら、続けて本記事の内容をご対応ください。

尚、本記事でご案内するのは極力ユーザー影響が少なくなるように考慮した弊社が提案する「<パターン1>を更新完了してから、<パターン2><パターン3>を同日中にまとめて作業する」流れとなります。利用していない SP のパターンは省略してください。また、立てたスケジュールと必要な作業にご不安があります場合は遠慮なくお問合せください。

 

Step 1:新しい SAML証明書 を作成して必要なデータを取得する <パターン1><パターン2><パターン3>

samlcert_cloudgate01.png

(左メニュー)鍵管理 >[作成] から新規で作成します。「鍵名」は新しく作成するものと判別できる任意の名前を入力します。複数サービスが同じ証明書を利用することは問題ありませんので、すでに新しい証明書を作成済みでしたらサービスごとに個別に作成する必要はありません。

次に、事前確認のお客様用メモで書き留めた「必要なデータ」を取得しておきます。ファイルをダウンロードしたり、文字列をメモ帳などにコピーしてください。

データの取得方法をクリックして見る
証明書 (左メニュー)鍵管理 で新しく作成した鍵名の「操作」列にある[ダウンロード]ボタンをクリックします。
証明書
のフィンガープリント		 (左メニュー)鍵管理 で新しく作成した鍵名をクリックして開く画面に表示されます。
SAML 2.0 メタデータ
設定変更後に一度保存してから取得することができます。取得次第すぐに元の設定に戻して保存してください。元に戻すまでの間は一時的に対象 SP は SAML 認証ができなくなります。既にサインオン済みであれば継続して利用可能で、強制的にサインアウトされることはありません。
  1. (左メニュー)サービスプロバイダー >対象 SP の[編集]ボタン >シングルサインオン設定 タブ を開きます。
  2. 「証明書」項目で カスタム を選択した上で、現在の鍵名が選択されているプルダウンから、新しい鍵名を選択します。
  3. 画面下の[保存]をクリックします。対象 SP は SAML 認証が一時的に停止します
  4. 「SAML 2.0 メタデータ」項目の[ダウンロード]をクリックします。
  5. 「証明書」項目で デフォルト を選択します。
  6. 画面下の[保存]をクリックします。対象 SP は SAML 認証が復旧します

 

 

Step 2:SP ベンダーに作業依頼する <パターン1><パターン2>

取得したデータを各ベンダーに送付して、SAML 証明書の更新を依頼します。

ベンダーでの作業が完了すると 対象の SP は SAML 認証が一時的に停止します ので、速やかに次の対応を実施します。

 

Step 3:CloudGate UNO で参照する SAML 証明書を カスタム 設定に変更する <パターン1><パターン2>

ベンダーでの作業が完了する都度、SP ごとに本作業を実施することで 対象の SP は SAML 認証が復旧します。作業日程が事前に分からない<パターン1>の SP は必ず対応することになります。

<パターン2><パターン3>を同日中にまとめて実施するようスケジュールしている場合には、<パターン2>に対する 本 Step は省略可能ですので、Step 4 に進んでください。

  1. (左メニュー)サービスプロバイダー >ベンダーでの作業が完了した SP の[編集]ボタンをクリック >シングルサインオン設定タブ を開きます。
  2. 「証明書」項目にて カスタム をクリックし、古い鍵名が表示されているプルダウンから、新しい鍵名に選択し直します。
  3. 画面右下の[保存]をクリックします。
  4. ご利用ブラウザのシークレットモード等で SSO が可能かどうか確認します。

 

Step 4:CloudGate UNO のデフォルト SAML 証明書を切り替える <パターン2><パターン3>

(左メニュー)アイデンティティプロバイダー >「証明書」項目のプルダウンから新しい鍵名を選択 >画面右下の[保存]をクリック

<パターン3>の SP は SAML 認証が一時的に停止します ので、速やかにSP 側の作業を対応します。

Step 3 を省略した場合この作業により、<パターン2>の SP は SAML 認証が復旧します

この作業により、CloudGate UNO 各種 SP の証明書更新も同時に完了します。CloudGate UNO 各種 SP に関する追加の作業はありません。

 

Step 5:SP 管理画面などから SAML 証明書を更新する <パターン3>

SP 側での作業が完了することで順次 対象の SP は SAML 認証が復旧します ので、優先度の高い SP から作業することをお勧めします。

以下に、利用数の多い SP をピックアップしてご案内します。SAML証明書の更新は SP によって異なりますので、SP の仕様に則って作業をお願いします。

Google Workspace の手順をクリックして見る
  1. Google Workspace 連携:SSO を有効化する も参考にGoogle管理コンソールにアクセスします。
  2. Google は管理コンソールの画面上で証明書のみ更新できますので、CloudGate UNO管理者サイトからダウンロードした「証明書」を以下の画面でアップロード、保存します。
    セキュリティ >概要 >サードパーティの ID プロバイダ(IdP)によるシングル サインオン(SSO) >組織向けのサードパーティの SSO プロファイル
    samlcert_google01.png

 

Salesforce.com の手順をクリックして見る
  1. Salesforce.com 連携:SSO を有効化するために事前準備する を参考にSalesforceの「シングルサインオン設定」画面にアクセスします。
    samlcert_salesforce01.png
  2. 「SAML シングルサインオン構成」に既存のSSO設定がありますので、編集をクリックし「ID プロバイダの証明書」にCloudGate UNO管理者サイトからダウンロードした「証明書」をアップロードします。

 

Microsoft 365 の手順をクリックして見る
  1. Microsoft 365はSSO有効化する際にSAML証明書を登録しますので、【Microsoft 365】SSO無効化設定 を実施し、一時的にSSOを無効にします。
  2. Microsoft 365 連携:SSO を有効にする を参考に「Microsoft 365 PowerShell実行コマンド生成ツール」で、新しく作成した証明書を利用したSSO有効化コマンドを生成します。
  3. 生成したコマンドを利用して再度SSOを有効化します。
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
support-team
  • 更新

関連記事