目次

Conformity SAML 2.0 SSO証明書のローテーションガイド

このページのトピック
はじめに
目的
対象読者
ガイド
トラブルシューティング

はじめに

Trend Micro Cloud One™ – Conformityは、SAML 2.0標準に基づくSSOをサポートし、RSAキーペアを使用してSAMLのログインおよびログアウト要求に署名します。一部のIDプロバイダは、この署名を検証するために、鍵の公開証明書を使用します。一部のIDプロバイダは、 Conformityに送信されるSAML応答を暗号化するために、同じ公開証明書をオプションで使用します。

目的

現在のConformity SSO証明書の有効期限は、 2023年8月17日です。新しい証明書に切り替えるために必要な操作については、このヘルプページの指示に従ってください。

対象読者

SSOアイデンティティプロバイダ管理者 は、アイデンティティプロバイダ側でConformityアプリケーション設定をアップデートする必要がある場合があります。 IDプロバイダがSAMLレスポンスを暗号化するか、SAMLリクエストの署名を検証する場合は、新しい証明書に切り替える必要があります。

ガイド

1. 対処が必要かどうかの確認

ConformityでAdminユーザとして、エンタープライズサインオンページ から、またはアイデンティティプロバイダのダッシュボードから直接、SSOを使用してサインインします。 IDプロバイダが古い証明書を使用していて、アップデートが必要な場合は、警告が表示されます。


{.zoom}

2. 新しい証明書またはサービスプロバイダメタデータの取得

使用するIDプロバイダの種類に応じて、サービスプロバイダのメタデータ用のフィールド、またはEncryption CertificateとSignature Certificate書用の1つ以上のフィールドがあります。

3. IDプロバイダ設定のアップデート

  1. 既存のIDプロバイダ設定のバックアップを作成します。

  2. サービスプロバイダメタデータをアップロードします。

    または

    Signature の証明書と Encryption の証明書 (必要な場合) をIDプロバイダのConformityアプリケーションにアップロードします。古い証明書の有効期限が切れるまでは、古い証明書と新しい証明書の両方がサポートされるため、切り替え中にサービスが中断されることはありません。

注意: Microsoft ADFSとKeycloakのほとんどの設定ではメタデータを使用できますが、 Oktaやその他のIDプロバイダでは証明書を直接使用する必要があります。 必要に応じて、署名と暗号化の両方に同じ証明書を使用できます。 {: .note }

4. 設定の確認

ConformityのAdminユーザとして、新しいEnterpriseサインオンページ (Note URLの`certificate=new`)から、またはIDから直接、最新のSSO設定を使用してサインインします。プロバイダダッシュボード。手順1で表示された警告が表示されなくなった場合、新しい設定は正常に機能しています。

Enterpriseサインオンページ (SP-initiated SSO) を使用してConformityにサインインする場合は、SSOのアップデート後に新しいEnterpriseサインオンページ を使用するようユーザに通知する必要があります。設定します。>{: .note }

トラブルシューティング

  • Conformityに管理者としてログインし、上部のナビゲーションにある「Administration」リンクにアクセスできることを確認します。
  • ユーザ名とパスワードを直接使用せずに、IDプロバイダを介してConformityにログインしてください。
  • ダウンロードした証明書のSHA-256署名を確認します。新しい証明書のSHA-256署名: 36e8b6f717a441de375bfbff6b3af83348b90b52a8f4408a5b6ae8c5674e3ddc

SSO設定のアップデート後にサインインできない場合は、以前の証明書 および 以前のメタデータ に戻すと、アクセスのブロックを解除できます。

問題が発生した場合やサポートが必要な場合は、件名に「SSO証明書のローテーション」と入力して、カスタマーSuccessチームにお問い合わせください。