Conformity SAML 2.0 SSO証明書のローテーションガイド

はじめに

Trend Micro Cloud One™– Conformity は、SAML 2.0標準に基づくSSOをサポートし、RSAキーペアを使用してSAMLのログインおよびログアウト要求に署名します。鍵の公開証明書は、一部のIDプロバイダでこの署名の検証に使用されます。 Conformityに送信されるSAML応答を暗号化するために、同じパブリック証明書がオプションで一部のIDプロバイダによって使用されます。

目的

以前のConformity SSO証明書の有効期限は、 2023年8月17日です。このヘルプページの指示に従って、新しい証明書に切り替えます。

対象者

SSO IDプロバイダ管理者 は、IDプロバイダ側で Conformity アプリケーション設定をアップデートする必要がある場合があります。IDプロバイダがSAML応答を暗号化するか、SAML要求の署名を検証する場合は、新しい証明書に切り替える必要があります。

ガイド

1. 新しい証明書またはサービスプロバイダメタデータの取得

使用するIDプロバイダの種類に応じて、サービスプロバイダのメタデータのフィールド、または Encryption Certificate および Signature Certificateの1つ以上のフィールドが表示されます。

• 新しい公開証明書は、「ConformitySAML 2.0 X.509 署名および暗号化証明書」から入手できます。証明書は、2026 年8月14日まで有効です。
• SAMLサービスプロバイダメタデータは、ConformitySAML 2.0サービスプロバイダメタデータ / https://us-west-2.cloudconformity.com/v1/sso/saml/metadata.xml?certificate=next で入手できます。

2. IDプロバイダ設定のアップデート

1. 既存のIDプロバイダ設定のバックアップを作成します。

2. サービスプロバイダのメタデータをアップロードします。

   または

   Signature の証明書と Encryption （必要な場合）の証明書をIDプロバイダの Conformity アプリケーションにアップロードします。古い証明書と有効期限が切れるまでは、古い証明書と新しい証明書の両方がサポートされるため、切り替え時にサービスが中断されることはありません。

注意：ほとんどのMicrosoft ADFS および Keycloak セットアップではメタデータを使用できますが、 Okta およびその他のIDプロバイダには証明書が直接必要です。必要に応じて、署名と暗号化の両方に同じ証明書を使用できます。

3. 設定の確認

ConformityでAdminユーザとして、Enterpriseサインオンページ から、またはIDプロバイダのダッシュボードから直接サインインします。

トラブルシューティング

• ユーザ名とパスワードを直接使用せずに、IDプロバイダを介してConformityにログインしてください。
• ダウンロードした証明書のSHA-256署名を確認します。新しい証明書のSHA-256署名: 36e8b6f717a441de375bfbff6b3af83348b90b52a8f4408a5b6ae8c5674e3ddc

問題が発生した場合、またはさらにサポートが必要な場合は、件名に「SSO証明書のローテーション」と記載してCustomer Success チームにお問い合わせください。