1. はじめに

tkitahar · ‎2022-09-05

※ 2022 年 9 月 5 日現在の情報をもとに作成しています

本記事では、2022 年 9 月 26 日に有効期限が切れる SWG 用の SAML 証明書について解説します。

[Now Available, Action Required] Umbrella SWG SAML Certificate Expiring 26th September 2022

2. SWG の SAML 証明書について

Umbrella が提供するクラウド型 Web プロキシであるSWG (Secure Web Gateway) は、アクセスしてきたユーザーに対して、SAML を使ったユーザー認証を強制することが可能です。

この認証については、組織内の Active Directory やサードパーティのクラウドサービスなどの「アイデンティティプロバイダ (IdP)」が行い、資格情報も IdP が管理しているものを使います。

SWG と IdP の詳しい連携の仕組みについては、こちらの記事を参照してください。

SAML の最も重要な点として、SWG と IdP が信頼関係を持つことが挙げられますが、通常、双方が SAML メタデータと呼ばれる連携に必要な情報がまとめられたデータを提供し合うことで実現しています。

Umbrella 側の SAML メタデータには、自身の真正性を証明するための SAML 証明書が含まれていますが、この証明書は一年ごとの更新となっており、2022 年 9 月 22 日 00:00 (UTC) に現在の証明書の有効期限が切れるというのが本記事の主旨となります。

本対処が必要となるのは、SWG SAML 連携機能を使用しているユーザーのみとなります。以下の画像のように、Umbrella Dashboard の導入 > 設定 > SAML設定画面で SAML の設定をしていない場合は対処が不要です。

証明書の有効期限が切れたことによる影響としては、ユーザー側から SWG へ通信が送られた際、ユーザー認証を正常に行えなくなり、最終的に Web アクセスに失敗することが考えられます。

なお、一部の IdP では、利便性の観点から SAML 証明書の検証を行っておらず、対処をせずとも SWG を使用し続けられる可能性もあります。ただし、Umbrella では、SAML 証明書を更新することを強く推奨します。

新旧の SAML 証明書が含まれた SAML メタデータ、および新しい SAML 証明書単体をそれぞれ以下の URL に公開していますので、いずれかを使って、IdP 側のシステムに Umbrella の新しい SAML 証明書を追加してください。

SAML メタデータ (古い証明書と新しい証明書を含む)

新しい SAML 証明書

この時、Umbrella の古い SAML 証明書は絶対に削除しないようにしてください。古い証明書は期限ぎりぎりまで使用されます。

一部の IdP では、SAML メタデータの URL をシステムに登録し、サービスプロバイダ側で SAML 証明書の更新があった際に、自動的に IdP 側に保存された証明書の更新を行う機能が備わっています。

SWG SAML - Utilizing Umbrella's Fixed Metadata URL

そういった機能を導入している場合、前項に記載された最新の SAML メタデータの URL を IdP 側のシステムに登録することで、今後、手動による証明書の更新が不要になります。

※ 今後特別な事情がない限り、SAML メタデータ URL に変更はありません

ただし、「組織固有のエンティティ ID」という機能を使用している場合、メタデータ URL による自動更新がこの機能の妨げになるため、従来どおり、手動による SAML 証明書の更新を行ってください。詳しい説明はこちらの記事に記載があります。