ID プロバイダ(IdP)とサービス プロバイダ(SP)間で共有されるメッセージの信頼性や整合性を確実なものにするため、SAML アプリケーションでは X.509 証明書を使用します。特権管理者は、管理コンソールを使用して次の操作を行えます。
- SAML アプリケーションで使用中の X.509 証明書を簡単に表示する
- 有効期限が迫っている X.509 証明書を特定する
- 新しい証明書を作成して SAML アプリケーションに割り当てる(これは証明書のローテーションと呼ばれます)
SAML 証明書のローテーションを行う理由
X.509 証明書の有効期限は 5 年間です。証明書のローテーションは、証明書の期限が迫ってきたとき、または証明書が不正使用された場合に行う必要があります。証明書のローテーションを行う前に期限が切れると、管理者が新しい証明書に置き換えるまで、ユーザーはその証明書を使用する SAML アプリケーションに SSO を使ってログインできなくなります。
新しい証明書を作成したら、その証明書を Google の各 SAML アプリケーション(IdP 側)に割り当てて、対応する SP 側の SSO の設定も新しい証明書で更新する必要があります。
SAML 証明書の管理
アカウントには、すべての SAML アプリケーションに使用できるデフォルトの証明書が 1 つあります。管理者は 2 つ目の証明書を追加したり、一方または両方の証明書を削除して新しい証明書を生成したりすることができます。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [SAML アプリケーションによる SSO] にアクセスします。
この操作を行うには、特権管理者としてログインする必要があります。
[証明書] には、現在の X.509 証明書が表示されます。一度に持てる証明書は、最大 2 つまでです。証明書の名前、有効期限、コンテンツ、SHA-256 フィンガープリントが表示されます。証明書をコピー、ダウンロード、または削除するには、右側のボタンを使用します。
- (省略可)証明書が 1 つのみの場合は、[別の証明書を追加] をクリックして 2 つ目の証明書を作成できます。
注: 最後に生成された(最新の)証明書が、新しい SAML アプリの SSO を設定するために使用されるデフォルトの証明書になります。
- (省略可)新しい証明書を作成するには、次の操作を行います。
- 証明書を削除するには、削除アイコン をクリックします。
削除する証明書がインストール済みの SAML アプリで使用されている場合、ウィンドウに影響を受けるアプリの一覧が表示され、新しい証明書を割り当てるまではそれらのアプリで SSO を利用できなくなるという警告が表示されます。
- [証明書を削除] をクリックします。証明書を削除すると、次のようになります。
- 証明書が 1 つの場合、削除した証明書を置き換えるために新しい証明書が自動的に生成されます。
- 証明書が 2 つの場合、証明書 1 を削除すると、証明書 2 が証明書 1 に置き換わります。
- 証明書を削除するには、削除アイコン をクリックします。
- SAML アプリのいずれかで使用されている証明書を置き換えた場合は、次のセクションの手順に沿って影響を受けるアプリに新しい証明書を割り当てます。また、SP の管理者向けウェブサイト上のアプリの SSO の設定でも証明書を更新する必要があります。
ヒント: SAML 証明書に関するイベント(SAML アプリに割り当てられた証明書の削除、作成、変更)は、管理者の監査ログに記録されます。
SAML アプリケーションで使用する証明書の更新
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- SAML アプリをクリックして、その設定ページを開きます。
- [サービス プロバイダの詳細] をクリックします。
[証明書] の下に、アプリで使用されている現在の証明書の ID と有効期限が表示されます。アプリの設定時に使用した証明書が削除された場合は、[割り当てられている証明書はありません] という警告が表示されます。
- 下矢印アイコン をクリックし、証明書を選択します。
- (省略可)使用可能な証明書が他にない場合、または新しい証明書を作成する必要がある場合は、[証明書を管理] をクリックして上述の SAML 証明書の管理の手順で操作します。
- SAML アプリに割り当てられた証明書を変更した後は、必ずサービス プロバイダのウェブサイトでもアプリの SSO の設定を新しい証明書で更新してください。SAML アプリの SSO は、SP 側の設定も更新されるまで機能しません。
重要: 証明書を置き換えた後、新しい証明書が SAML アプリケーションで使用できるようになるまで、最長で 24 時間ほどかかる場合があります。