はじめに
本記事では、Secure AccessのDashboard -> Overview上に、表示される以下のSAMLのSP証明書の失効するアラートの対応について、解説します。
Service Provider certificate expires soon.
To avoid SAML user authentication failures and loss of access for users, update your identity provider (IdP) with the new Service Provider certificate in Certificates.
アラートに対する基本方針
まず、このSP証明書を使用する用途は、IdPでSPから発行される認証リクエストの署名を検証することによって、IdPに連携しようとする接続元が正しいSPであるか確認するためになります。署名検証が必要な場合はSP証明書を事前にIdP側に読み込む必要があります。
しかし、多くのIdPでSPの署名検証はデフォルトで行なっておらず、その場合アラートは無視していただいて問題ありません。
もし署名の検証が有効になっている場合においては、IdP側で、年に1回新しいSP証明書を読み込む必要があります。
従いまして、まずSPの認証リクエストの署名検証を実施しているかをお使いのIdPにてご確認ください。実施していない場合は対応はアラートの対応は不要です。
署名検証の実施をEntra IDで確認する方法
署名検証の実施を確認する方法の例として、Entra IDでの確認方法を説明します。
AzureのPortalにログインしMicrosoft Entra IDをクリックします。
Enterprise Applicationsで作成済みのSAML認証用のEnterprise Applicationを選択し、下記の通り、Manage -> Single Sign-onへアクセスします。
ここで、SAML CertificateのVerification certificatesのRequiredがNoとなっていれば、署名検証はしていないことが確認できます。
署名検証を実施している場合
SP署名検証をIdPで実施している場合については、お手数をおかけしますが、SP証明書が新たに発行されたタイミングで、IdP側にてSP証明書を更新する必要があります。
Secure AccessのSP証明書は失効する1ヶ月前を目安にSecure AccessのDashboard上の Secure -> Settings -> Certificatesの、SAML Authentication -> Service Provider certificatesからダウンロードできるようになる見込みです。
(以下のスクリーンショットは直近での失効されるSP証明書が表示されています。)
IdP側へのSP証明書のアップロード手順は割愛させていただきますが、
- 証明書が更新されるタイミングでの手動によるSP証明書のアップロード
- Metadataの自動更新による更新
の2つの方法がございます。
手動の更新に関しては、現時点でのSecure AccessのSP証明書更新は年1回となります。(記事執筆時点の動作です。)
Metadataの自動更新に関しては、対応しているIdP、対応していないIdPがございますので、恐れ入りますが、IdP側の仕様をご確認いただけますと幸いです。詳しくは以下のUser Guideにも記載がございます。
SAML Certificate Renewal Options
参考資料
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
