チュートリアル: フェデレーション シングル サインオンのための証明書の管理

  • [アーティクル]

この記事では、サービスとしてのソフトウェア (SaaS) アプリケーションにフェデレーション シングル サインオン (SSO) を確立するために Azure Active Directory (Azure AD) によって作成される証明書に関連する一般的な質問と情報について説明します。 Azure AD アプリケーション ギャラリーから、または、ギャラリー以外のアプリケーション テンプレートを使用して、アプリケーションを追加します。 アプリケーションの構成には、フェデレーション SSO オプションを使用します。

このチュートリアルは、Security Assertion Markup Language (SAML) フェデレーションを通じて Azure AD SSO を使用するように構成されたアプリにのみに関連します。

このチュートリアルでは、アプリケーションの管理者が次の方法を学習します。

  • ギャラリーおよびギャラリー以外のアプリケーションの証明書の生成
  • 証明書の有効期限をカスタマイズする
  • 証明書の有効期限の電子メール通知アドレスの追加
  • 証明書の更新

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 まだお持ちでない場合は、無料のアカウント*を作成してください
  • 次のいずれかのロール*: 全体管理者*、特権ロール*管理者*、クラウド アプリケーション*管理者*、またはアプリケーション*管理者*。
  • ご利用の Azure AD* テナント*に構成されているエンタープライズ アプリケーション*。

ギャラリーから新しいアプリケーションを追加し、(アプリケーションの概要ページから [シングル サインオン]>[SAML] を選択することで) SAML ベースのサインオンを構成すると、Azure AD によって、3 年間有効なアプリケーション用自己署名証明書が生成されます。 アクティブな証明書をセキュリティ証明書 (.cer) ファイルとしてダウンロードするには、そのページ (SAML ベースのサインオン) に戻り、[SAML 署名証明書] 見出しにあるダウンロード リンクを選択します。 未加工 (バイナリ) の証明書または Base64 (base 64 エンコード テキスト) 証明書を選択できます。 ギャラリー アプリケーションの場合、このセクションには、アプリケーションの要件に応じて、証明書をフェデレーション メタデータ XML (.xml ファイル) としてダウンロードするためのリンクが表示されることもあります。

[SAML 署名証明書] 見出しの [編集] アイコン (鉛筆) を選択して [SAML 署名証明書] ページを表示することで、アクティブまたは非アクティブな証明書をダウンロードすることもできます。 ダウンロードする証明書の横の省略記号 (...) を選択してから、目的の証明書形式を選択します。 プライバシー強化メール (PEM) 形式で証明書をダウンロードするその他のオプションがあります。 この形式は Base64 と同じですが、.pem ファイル名拡張子が付いており、Windows では証明書形式として認識されません。

SAML 署名証明書のダウンロード オプション (アクティブと非アクティブ)。

フェデレーション証明書の有効期限のカスタマイズと、新しい証明書へのロールオーバー

既定では、Azure により、証明書は SAML シングル サインオンの構成時に自動的に作成されてから 3 年後に失効するように構成されます。 保存した後は証明書の日付を変更できないので、以下を行う必要があります。

  1. 目的の日付で新しい証明書を作成します。
  2. 新しい証明書を作成します。
  3. 適切な形式で新しい証明書をダウンロードします。
  4. アプリケーションに新しい証明書をアップロードします。
  5. Azure portal で新しい証明書をアクティブにします。

次の 2 つのセクションは、これらの手順の実行に役立ちます。

新しい証明書を作成する

最初に、別の有効期限の新しい証明書を作成し、保存します。

  1. Azure Portal にサインインします。
  2. [Azure Active Directory]>[エンタープライズ アプリケーション] の順に移動します。
  3. アプリケーションの一覧から目的のアプリケーションを選択します。
  4. [管理] セクションの [シングル サインオン] を選択します。
  5. [シングル サインオン方式の選択] ページが表示されたら、[SAML] を選択します。
  6. [SAML によるシングル サインオンの設定] ページで、[SAML 署名証明書] 見出しを探し、[編集] アイコン (鉛筆) を選択します。 [SAML 署名証明書] ページが表示されます。このページには、各証明書の状態 ([アクティブ] または [非アクティブ])、有効期限、拇印 (ハッシュ文字列) が表示されます。
  7. [新しい証明書] を選択します。 新しい行が証明書一覧の下に表示され、既定で有効期限が現在の日付からちょうど 3 年後に設定されます。 (変更はまだ保存されていないので、有効期限は依然として変更できます。)
  8. 新しい証明書の行で、有効期限列をポイントし、[日付の選択] アイコン (カレンダー) を選択します。 新しい行の現在の有効期限の日付が表示されたカレンダー コントロールが表示されます。
  9. カレンダー コントロールを使用して新しい日付を設定します。 現在の日付と現在の日付から 3 年後の間の任意の日付を設定できます。
  10. [保存] を選択します。 新しい証明書が表示され、そこに [非アクティブ] の状態、選択した有効期限、拇印が表示されます。

    注意

    既に有効期限が切れている証明書が存在し、新しい証明書を生成した場合、その新しい証明書を有効化していなくても、トークンへの署名用と見なされます。

  11. [X] を選択して、[SAML によるシングル サインオンのセットアップ] ページに戻ります。

証明書のアップロードとアクティブ化

次に、新しい証明書を適切な形式でダウンロードし、アプリケーションにアップロードして、Azure Active Directory 内でアクティブにします。

  1. 次のいずれかによって、アプリケーションの追加の SAML サインオン構成手順を表示します。

    • [構成ガイド] リンクを選択して、別のブラウザー ウィンドウまたはタブに表示します。または
    • [設定] 見出しに移動し、 [ステップ バイ ステップの手順を表示] を選択してサイドバーに表示します。

  2. 手順では、証明書のアップロードに必要なエンコード形式に注意してください。

  3. 前の「ギャラリーおよびギャラリー以外のアプリケーションの証明書の自動生成」セクションの指示に従います。 この手順では、アプリケーションによるアップロードに必要なエンコード形式で証明書をダウンロードします。

  4. 新しい証明書にロール オーバーする場合は、[SAML 署名証明書] ページに戻り、新しく保存した証明書の行で、省略記号 (...) を選択し、[証明書をアクティブにする] を選択します。 新しい証明書の状態が [アクティブ] に変わり、それまでアクティブだった証明書の状態が [非アクティブ] に変わります。

  5. 適切なエンコード形式の SAML 署名証明書をアップロードできるように、前に表示したアプリケーションの SAML サインオン構成手順に引き続き従います。

アプリケーションで証明書の有効期限の検証が行われておらず、Azure Active Directory とアプリケーションの両方で証明書が一致している場合、証明書の有効期限が切れていても、アプリケーションにアクセスすることができます。 アプリケーションで証明書の有効期限を検証できることを確認してください。

証明書の有効期限の検証を無効のままにする場合は、証明書のロールオーバーのために予定されているメンテナンス期間まで、新しい証明書を作成しないでください。 有効期限が切れている証明書と非アクティブで有効な証明書の両方がアプリケーションに存在する場合、Azure AD は有効な証明書を自動的に利用します。 この場合、ユーザーはアプリケーションの停止を経験する可能性があります。

証明書の有効期限のメール通知アドレスの追加

Azure AD では、SAML 証明書の有効期限が切れる 60 日前、30 日前、7 日前に、通知がメールで送信されます。 通知を受信するメール アドレスを複数追加できます。 通知の送信先のメール アドレスを指定するには:

  1. [SAML 署名証明書] ページで、[通知の電子メール アドレス] 見出しに移動します。 既定では、この見出しにはアプリケーションを追加した管理者のメール アドレスのみが使われます。
  2. 最後のメール アドレスの下に、証明書の有効期限通知を受信する必要のあるメール アドレスを入力し、Enter キーを押します。
  3. 追加するメール アドレスごとに前の手順を繰り返します。
  4. 削除するメール アドレスごとに、メール アドレスの横の [削除] アイコン (ゴミ箱) を選択します。
  5. [保存] を選択します。

通知一覧に最大 5 つのメールアドレスを追加できます (アプリケーションを追加した管理者のメール アドレスを含む)。 もっと多くのユーザーに通知する必要がある場合は、配布リストのメールアドレスを使用します。

azure-noreply@microsoft.com から通知メールを受け取ります。 メールがスパムの場所に入れられるのを避けるため、このメール アドレスをアドレス帳に追加します。

有効期限が近づいている証明書の更新

証明書の有効期限が近づいている場合は、ユーザーの大幅なダウンタイムが発生しない手順を使用して更新できます。 有効期限が近づいている証明書を更新するには:

  1. 既存の証明書と重複する日付を使用して、「新しい証明書を作成する」セクションの指示に従います。 その日付は、証明書の期限切れに起因するダウンタイム時間を制限します。

  2. アプリケーションが証明書を自動的にロールオーバーできる場合は、次の手順に従って新しい証明書をアクティブに設定します。

    1. [SAML 署名証明書] ページに戻ります。
    2. 新しく保存した証明書の行で、省略記号 (...) を選択してから、[証明書をアクティブにする] を選択します。
    3. 次の 2 つの手順をスキップします。

  3. アプリケーションで一度に 1 つの証明書しか処理できない場合は、ダウンタイムの間隔を選択して次の手順を実行します。 (または、アプリケーションが新しい証明書を自動的に取得しなくても、複数の署名証明書を処理できる場合は、いつでも次の手順を実行できます。)

  4. 古い証明書が期限切れになる前に、前の「証明書のアップロードとアクティブ化」セクションの指示に従います。 Azure Active Directory で新しい証明書が更新された後にアプリケーション証明書が更新されなかった場合、アプリケーションでの認証に失敗する可能性があります。

  5. アプリケーションにサインインして、証明書が正しく動作することを確認します。

アプリケーションで Azure Active Directory で構成された証明書の有効期限の検証が行われておらず、Azure Active Directory とアプリケーションの両方で証明書が一致する場合、証明書の有効期限が切れていても、アプリケーションにアクセスすることができます。 アプリケーションで証明書の有効期限を検証できることを確認してください。