このページのトピック
Conformity Saml 2.0 Sso Certificateローテーションガイド
はじめに
Trend Micro Cloud One™– Conformity は、SAML 2.0標準に基づくSSOをサポートし、RSAキーペアを使用してSAMLのログインおよびログアウト要求に署名します。鍵の公開証明書は、一部のIDプロバイダでこの署名の検証に使用されます。 Conformityに送信されるSAML応答を暗号化するために、同じパブリック証明書がオプションで一部のIDプロバイダによって使用されます。
目的
現在の Conformity SSO証明書の有効期限は、 2020年9月7日です。このヘルプページの手順に従って、新しい証明書に切り替えるために必要な処理を確認してください。
対象者
SSO IDプロバイダ管理者 は、IDプロバイダ側で Conformity アプリケーション設定をアップデートする必要がある場合があります。IDプロバイダがSAML応答を暗号化するか、SAML要求の署名を検証する場合は、新しい証明書に切り替える必要があります。
ガイド
1.処理が必要かどうかを確認します
Conformityで Admin ユーザとして、SSOを使用して Enterpriseのサインオンページ からログインするか、IDプロバイダのダッシュボードから直接ログインします。次のスクリーンショットに示すように、IDプロバイダが古い証明書を使用しており、アップデートが必要な場合は警告が表示されます。
2.新しい証明書またはサービスプロバイダのメタデータを取得します
使用するIDプロバイダの種類に応じて、サービスプロバイダのメタデータのフィールド、または Encryption Certificate および Signature Certificateの1つ以上のフィールドが表示されます。
- 新しい公開証明書は、 Conformity SAML 2.0 X.509署名および暗号化証明書 で入手でき、 2023年8月17日まで有効です。
- SAMLサービスプロバイダーのメタデータは、次の場所から入手できます。ConformitySAML2.0サービスプロバイダーのメタデータ / https://us-west-2.cloudconformity.com/v1/sso/saml/metadata.xml?certificate=next
3. IDプロバイダの設定を更新します
- 既存のIDプロバイダ設定のバックアップを作成します。
- サービスプロバイダのメタデータをアップロードします。
または
Signature の証明書と Encryption (必要な場合)の証明書をIDプロバイダの Conformity アプリケーションにアップロードします。古い証明書と有効期限が切れるまでは、古い証明書と新しい証明書の両方がサポートされるため、切り替え時にサービスが中断されることはありません。
注意:ほとんどのMicrosoft ADFS および Keycloak セットアップではメタデータを使用できますが、 Okta およびその他のIDプロバイダには証明書が直接必要です。必要に応じて、署名と暗号化の両方に同じ証明書を使用できます。
4. 設定を確認します
Conformityの管理者ユーザとして、新しいエンタープライズサインオンページ(注:URLで`certificate=new`)から、またはIDプロバイダのダッシュボードから直接、アップデートされたSSO設定を使用してサインインします。手順1で確認した警告が表示されなくなった場合、新しい設定は正常に機能しています。
エンタープライズサインオンページ(SPが開始するSSO)を使用してConformityにサインインした場合、SSO構成を更新した後は、新しいエンタープライズサインオンページを使用するようにユーザーに通知する必要があります。
トラブルシューティング
- Conformity で管理者としてログインし、上部ナビゲーションの[Administration]リンクにアクセスできることを確認します。
- ユーザ名とパスワードを直接使用するのではなく、IDプロバイダを介して Conformity にログインしてください。
- ダウンロードした証明書のSHA-256署名を確認します。新しい証明書のSHA-256署名: dfc3a71e13c399951b6d7c22b571da8e28f291ad1cba45945f12db08516bca7c
SSO設定のアップデート後にサインインに問題がある場合は、 以前の証明書 および 以前のメタデータ に戻して、アクセスのブロックを解除できます。
問題が発生した場合、またはさらにサポートが必要な場合は、件名に「SSO証明書のローテーション」と記載してCustomer Success チームにお問い合わせください。