1. はじめに

tkitahar · ‎2022-09-05

※ 2025 年 3 月 25 日現在の情報をもとに作成しています

本記事では、2025 年 5 月 13 日 07:00:46 UTC に有効期限が切れる SWG 用の SAML 証明書について解説します。

SAML Certificate for SWG User Identity Expiring May 13, 2025

2. SWG 用の SAML 証明書について

Umbrella が提供するクラウド型 Web プロキシである SWG (Secure Web Gateway) は、アクセスしてきたユーザーに対して、SAML を使ったユーザー認証を強制することが可能です。

この認証については、組織内の ADFS (Active Directory Federation Services) やクラウドサービスなどの「アイデンティティプロバイダ (IdP)」が行い、資格情報も IdP が管理しているものを使います。

SWG と IdP の詳しい連携の仕組みについては、こちらの記事を参照してください。

SAML の環境を用意する上で最も重要なこととして、SWG と IdP が信頼関係を持つことが挙げられますが、通常、双方が SAML メタデータと呼ばれる連携に必要な情報がまとめられたデータを提供し合うことで実現しています。

Umbrella 側のメタデータには、自身の真正性を証明するための SAML 証明書が含まれていますが、この証明書は基本的に毎年更新されており、2025 年 5 月 13 日に現在の証明書の有効期限が切れるというのが本記事の主旨となります。

本記事の対処が必要となるのは、SWG SAML 連携機能を使用しているユーザーのみとなります。以下の画像のように、Umbrella Dashboard の導入 > 設定 > SAML設定画面で SAML の設定をしていない場合は対処が不要です。

SAML の設定を行っている場合、IdP 側の管理画面に Umbrella のメタデータを登録する方法として、「SAML 証明書を手動でインポートする方法」と、「証明書が用意された URL (いわゆる Umbrella メタデータ URL) を登録する方法」のいずれかが用いられています。

Umbrella メタデータ URL

※ 今後特別な事情がない限り、Umbrella メタデータ URL に変更はありません

もし、Umbrella メタデータ URL を登録している場合、新しい証明書が用意され次第、自動的にシステムに登録されるため、基本的に本記事の対処が不要となります。詳しくは、以下の公開文書を参照してください。

How to Utilize Umbrella's Fixed Metadata URL for SWG SAML Authentication

ただし、「組織固有のエンティティ ID」という機能を使用している場合、Umbrella メタデータ URL による自動更新がこの機能の妨げになるため、手動による SAML 証明書の更新を行う必要があります。この機能についてはこちらの記事に記載があります。

証明書の有効期限が切れることによる影響としては、ユーザー側から SWG へ通信が送られた際、ユーザー認証を正常に行えなくなり、最終的に Web アクセスに失敗することが考えられます。以下の公開文書には、その際のエラーの一例が記載されています。

Why Am I Receiving a "UPN Not Configured" Error After Umbrella Certificate Renewal in SWG SAML?

なお、一部の IdP では、利便性の観点から SAML 証明書の検証を行っておらず、本記事の対処をせずとも SWG を使用し続けられる場合があります。ただし、Umbrella では、今後の不要なトラブルを避けるため、SAML 証明書を更新することを推奨しています。

Umbrella の新しい SAML 証明書の入手については、2025 年 3 月 30 日以降に、以下の公開記事内にてアナウンスされる予定となっています。

SAML Certificate for SWG User Identity Expiring May 13, 2025

なお、新しい SAML 証明書のインポートの詳しい手順については、IdP 側が用意しているドキュメントを確認してください。

※ 新しい SAML 証明書をインポートする際、古い SAML 証明書は必ずそのまま残してください