SAML 証明書を管理する

ID プロバイダ(IdP)とサービス プロバイダ(SP)間で共有されるメッセージの信頼性や整合性を確実なものにするため、SAML アプリケーションでは X.509 証明書を使用します。特権管理者は、管理コンソールを使用して次の操作を行えます。

  • SAML アプリケーションで使用中の X.509 証明書を簡単に表示する
  • 有効期限が迫っている X.509 証明書を特定する
  • 新しい証明書を作成して SAML アプリケーションに割り当てる(これは証明書のローテーションと呼ばれます)

SAML 証明書のローテーションを行う理由

X.509 証明書の有効期限は 5 年間です。証明書のローテーションは、証明書の期限が迫ってきたとき、または証明書が不正使用された場合に行う必要があります。証明書のローテーションを行う前に期限が切れると、管理者が新しい証明書に置き換えるまで、ユーザーはその証明書を使用する SAML アプリケーションに SSO を使ってログインできなくなります。

デフォルトの証明書の有効期限が切れる前に、有効期間が 5 年間の 2 つ目の証明書を追加し、有効期限が切れる証明書からアプリを切り替えます。 有効な証明書が 2 つある場合は、古い証明書を使用しているアプリに影響を与えることなく、一部のアプリを新しい証明書に切り替えてテストできます。すべてのアプリを新しい証明書に移行したら、古い証明書を削除できます。

重要: 管理コンソールで SAML アプリに新しい証明書を割り当てた後は、対応する SP 側の SSO の設定も新しい証明書で更新する必要があります。更新しないと、アプリの SSO が失敗します。

SAML 証明書を管理する

アカウントには、すべての SAML アプリケーションに使用できるデフォルトの証明書が 1 つあります。2 つ目の証明書を追加したり、1 つまたは両方の証明書を削除して新しい証明書を生成したりできます。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [SAML アプリケーションによる SSO] にアクセスします。

    この操作を実施するには、特権管理者としてログインする必要があります。

    [証明書] には、現在の X.509 証明書が表示されます。一度に最大 2 つの証明書を使用できます。証明書の名前、有効期限、コンテンツ、SHA-256 フィンガープリントが表示されます。右側のボタンを使用して、証明書をコピー、ダウンロード、削除できます。

  2. (省略可)証明書が 1 つしかない場合は、[別の証明書を追加] をクリックして 2 つ目の証明書を作成します。

    注: 最後に生成された(最新の)証明書が、新しい SAML アプリの SSO を設定するために使用されるデフォルトの証明書になります。

  3. (省略可)新しい証明書を作成するには:

    1. [削除] をクリックして証明書を削除します。

      削除する証明書がインストール済みの SAML アプリで使用されている場合、ウィンドウに影響を受けるアプリの一覧が表示され、新しい証明書を割り当てるまではそれらのアプリで SSO を利用できなくなるという警告が表示されます。

    2. [証明書を削除] をクリックします。証明書を削除すると、次のようになります。

    3. 証明書が 1 つしかない場合は、新しい証明書が自動的に生成されて置き換えられます。

    4. 証明書が 2 つあり、証明書 1 を削除すると、証明書 2 が証明書 1 に置き換わります。

  4. SAML アプリのいずれかで使用されている証明書を置き換えた場合は、次のセクションの手順に沿って影響を受けるアプリに新しい証明書を割り当てます。また、SP の管理者向けウェブサイト上のアプリの SSO の設定でも証明書を更新する必要があります。

ヒント: SAML 証明書に関するイベント(SAML アプリに割り当てられた証明書の削除、作成、変更)は、管理者の監査 ログに記録されます。

SAML アプリケーションで使用する証明書の更新

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に [ウェブアプリとモバイルアプリ] に移動します。

    アクセスするには、モバイル デバイス管理の管理者権限が必要です。

  2. SAML アプリをクリックして [設定] ページを開きます。

  3. [サービス プロバイダの詳細] をクリックします。

    [証明書] の下に、アプリで使用されている現在の証明書の ID と有効期限が表示されます。アプリの設定に最初に使用した証明書を削除すると、[証明書が割り当てられていません] という警告が表示されます。

  4. 下矢印 をクリックして証明書を選択します。

  5. (省略可)他の証明書がない場合や、新しい証明書を作成する必要がある場合は、[証明書を管理] をクリックし、上記の SAML 証明書を管理するの手順に沿って操作します。

  6. SAML アプリに割り当てられた証明書を変更した後は、必ずサービス プロバイダのウェブサイトでもアプリの SSO の設定を新しい証明書で更新してください。SAML アプリの SSO は、SP 側の設定も更新されるまで機能しません。

重要: 証明書を置き換えた後、新しい証明書が SAML アプリケーションで使用できるようになるまで、最長で 24 時間ほどかかる場合があります。