SAML 証明書を管理する

ID プロバイダ(IdP)とサービス プロバイダ(SP)間で共有されるメッセージの信頼性や整合性を確実なものにするため、SAML アプリケーションでは X.509 証明書を使用します。特権管理者は、管理コンソールを使用して次の操作を行えます。

  • SAML アプリケーションで使用中の X.509 証明書を簡単に表示する
  • 有効期限が迫っている X.509 証明書を特定する
  • 新しい証明書を作成して SAML アプリケーションに割り当てる
    これは証明書のローテーションと呼ばれます。

SAML 証明書のローテーションを行う理由

証明書のローテーションは、証明書の期限が迫ってきたときや、なんらかの理由で証明書が不正使用された場合に行います。SP で複数の SAML 証明書がサポートされている場合は、証明書のローテーションを行うことによって、証明書の期限切れで予期しないダウンタイムが発生する事態を防ぐことができます。SP で複数の SAML 証明書がサポートされていない場合は、SP と IdP で証明書の変更が更新されている間にダウンタイムが発生します。

X.509 証明書の有効期限は 5 年間です。アプリケーションに関連付けられた X.509 証明書の有効期限が切れると、ユーザーは SAML ベースのシングル サインオン(SSO)を使ってそのアプリケーションにログインできなくなります。

有効な SAML 証明書の期限が切れる前に、新しい X.509 証明書を作成してください。この新しい証明書を各 SAML アプリケーションに割り当てて、その設定を SP の管理者向けウェブサイトで更新します。

SAML 証明書の設定と管理

ステップ 1: [Google の ID プロバイダで SSO を設定する] で証明書を作成、更新する

アカウントには、すべての SAML アプリケーションに使用できるデフォルトの証明書が 1 つあります。証明書を変更したり、すでにリンクされた証明書のローテーションを行ったりする場合は、次のように X.509 証明書の新しいセットを作成します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[セキュリティ] 次へ [シングル サインオン(SSO)の設定] にアクセスします。

    [セキュリティ] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [Google の ID プロバイダで SSO を設定する] の下で、[証明書 1] の横にある [証明書を生成] をクリックします。
    証明書が生成されると、[証明書 1] の横に証明書のファイル名が表示され、ファイル名の下に有効期限が表示されます。
  4. (省略可)[Google の ID プロバイダで SSO を設定する] の下で、[証明書 2] の横にある [証明書を生成] をクリックします。
    証明書が生成されると、[証明書 2] の横に証明書のファイル名が表示され、ファイル名の下に有効期限が表示されます。
  5. これで証明書が生成されました。次のセクションでは、カスタム SAML アプリケーションや事前設定された SAML アプリケーションで使用する証明書を管理します。
ステップ 2: 独自の SAML アプリケーションにリンクされた証明書を管理する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次へ [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [サービスやアプリをドメインに追加] をクリックするか、下部にある追加アイコン 追加 をクリックします。
  4. [カスタムアプリをセットアップ] をクリックします。

    [Google IdP 情報] ウィンドウが開き、[SSO の URL] と [エンティティ ID] の URL 欄が自動入力されます。
  5. サービス プロバイダの設定情報を収集します。
    1. [エンティティ ID] と [SSO の URL] 欄の値をコピーし、X.509 証明書をダウンロードします。
    2. これらの値をサービス プロバイダの設定にある適切な欄に貼り付けます。
    3. [次へ] をクリックします。
  6. 証明書が期限切れの場合に、X.509 証明書を更新するには [証明書を管理] をクリックします。
    2 つの証明書を作成した場合は、最新の証明書がデフォルトで使用されます。
  7. ステップ 4 に進み、カスタム SAML アプリケーションで使用する証明書のうち、期限切れになったり、不正使用されたりしたものを削除して、置き換えます。
ステップ 3: 事前設定済みのクラウド アプリケーションにリンクされた証明書を作成、管理する
  1. 選択したアプリケーションを SAML SP として設定します。
  2. アプリケーションの証明書がない場合は、[サービス プロバイダの詳細] の下で、[証明書を生成] をクリックします。

    証明書が生成されると、設定する各 SAML アプリケーションの [Google IdP 情報] ウィンドウにその証明書が表示され、ファイル名の下に有効期限も表示されます。

    有効な事前設定済みのクラウド アプリケーションの場合は、[証明書を管理] が表示されます。
  3. [証明書を管理] をクリックすると、[ID プロバイダの証明書を管理する] サブウィンドウが開きます。

    2 つの証明書に関するエントリがあります。証明書が生成されると、その証明書とファイル名の横に有効期限も表示されます。2 つの証明書を作成した場合は、最新の証明書がデフォルトで使用されます。
  4. 次のセクションでは、カスタム SAML アプリケーションや事前設定済みの SAML アプリケーションで使用する証明書のうち、期限切れになったり、不正使用されたりしたものを削除して、置き換えます。
ステップ 4: 期限切れになった証明書や不正使用された証明書を削除し、置き換える
  1. 任意の証明書の横にある削除アイコン 削除 をクリックし、その証明書を置き換えます。

    有効な SAML アプリケーションで使用されている証明書を削除する場合、削除が保留され、影響を受ける SAML アプリケーションの数がサブウィンドウに表示されます。

    削除される証明書を使用している SAML アプリケーションについては、証明書の更新中にまず SP でダウンタイムが発生し、続いて IdP でダウンタイムが発生します。
  2. [はい] をクリックして証明書を削除します。
  3. 証明書が付属していないエントリの横で、[証明書を生成] をクリックします。
  4. [サービス プロバイダの詳細] の下で、[証明書] の横にある下矢印アイコン 下矢印 をクリックして両方の証明書を表示します。
  5. 証明書を選択します。

    この手順は影響を受ける SAML アプリケーションに対して個別に行い、SP の管理者向けウェブサイトで設定を更新する必要があります。
  6. [保存] をクリックします。

SAML 証明書に対する変更は、管理の監査ログに記録されます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。