目次

Conformity Saml 2.0 Sso Certificateローテーションガイド

はじめに

Trend Micro Cloud One™– Conformity は、SAML 2.0標準に基づくSSOをサポートし、RSAキーペアを使用してSAMLのログインおよびログアウト要求に署名します。鍵の公開証明書は、一部のIDプロバイダでこの署名の検証に使用されます。 Conformityに送信されるSAML応答を暗号化するために、同じパブリック証明書がオプションで一部のIDプロバイダによって使用されます。

目的

現在の Conformity SSO証明書の有効期限は、 2020年9月7日です。このヘルプページの手順に従って、新しい証明書に切り替えるために必要な処理を確認してください。

対象者

SSO IDプロバイダ管理者 は、IDプロバイダ側で Conformity アプリケーション設定をアップデートする必要がある場合があります。IDプロバイダがSAML応答を暗号化するか、SAML要求の署名を検証する場合は、新しい証明書に切り替える必要があります。

ガイド

1.処理が必要かどうかを確認します

Conformityで Admin ユーザとして、SSOを使用して Enterpriseのサインオンページ からログインするか、IDプロバイダのダッシュボードから直接ログインします。次のスクリーンショットに示すように、IDプロバイダが古い証明書を使用しており、アップデートが必要な場合は警告が表示されます。



2.新しい証明書またはサービスプロバイダのメタデータを取得します

使用するIDプロバイダの種類に応じて、サービスプロバイダのメタデータのフィールド、または Encryption Certificate および Signature Certificateの1つ以上のフィールドが表示されます。

3. IDプロバイダの設定を更新します

  1. 既存のIDプロバイダ設定のバックアップを作成します。
  2. サービスプロバイダのメタデータをアップロードします。

または

Signature の証明書と Encryption必要な場合)の証明書をIDプロバイダの Conformity アプリケーションにアップロードします。古い証明書と有効期限が切れるまでは、古い証明書と新しい証明書の両方がサポートされるため、切り替え時にサービスが中断されることはありません。

注意:ほとんどのMicrosoft ADFS および Keycloak セットアップではメタデータを使用できますが、 Okta およびその他のIDプロバイダには証明書が直接必要です。必要に応じて、署名と暗号化の両方に同じ証明書を使用できます

4. 設定を確認します

Conformityの管理者ユーザとして、新しいエンタープライズサインオンページ(注:URLで`certificate=new`)から、またはIDプロバイダのダッシュボードから直接、アップデートされたSSO設定を使用してサインインします。手順1で確認した警告が表示されなくなった場合、新しい設定は正常に機能しています。

エンタープライズサインオンページ(SPが開始するSSO)を使用してConformityにサインインした場合、SSO構成を更新した後は、新しいエンタープライズサインオンページを使用するようにユーザーに通知する必要があります。

トラブルシューティング

  • Conformity で管理者としてログインし、上部ナビゲーションの[Administration]リンクにアクセスできることを確認します。
  • ユーザ名とパスワードを直接使用するのではなく、IDプロバイダを介して Conformity にログインしてください。
  • ダウンロードした証明書のSHA-256署名を確認します。新しい証明書のSHA-256署名: dfc3a71e13c399951b6d7c22b571da8e28f291ad1cba45945f12db08516bca7c

SSO設定のアップデート後にサインインに問題がある場合は、 以前の証明書 および 以前のメタデータ に戻して、アクセスのブロックを解除できます。

問題が発生した場合、またはさらにサポートが必要な場合は、件名に「SSO証明書のローテーション」と記載してCustomer Success チームにお問い合わせください。