このチュートリアルでは、有効期限をカスタマイズし、シームレスな SAML シングル サインオン (SSO) 用に証明書を更新することで、Microsoft Entra ID でフェデレーション証明書を管理する方法について説明します。
Microsoft Entra ID が作成し、サービスとしてのソフトウェア (SaaS) アプリケーションへのフェデレーション シングル サインオン (SSO) を確立するために作成される証明書に関する一般的な質問と情報について説明します。 Microsoft Entra アプリケーション ギャラリーから、または、ギャラリー以外のアプリケーション テンプレートを使用して、アプリケーションを追加します。 アプリケーションの構成には、フェデレーション SSO オプションを使用します。
このチュートリアルは、Security Assertion Markup Language (SAML) を介して Microsoft Entra SSO を使用するように構成されているアプリに関連します。
このチュートリアルでは、アプリケーションの管理者が次の方法を学習します。
- ギャラリーおよびギャラリー以外のアプリケーションの証明書の生成
- 証明書の有効期限をカスタマイズする
- 証明書の有効期限の電子メール通知アドレスの追加
- 証明書の更新
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成してください。
- 次のいずれかのロール: 特権ロール管理者、クラウド アプリケーション管理者、またはアプリケーション管理者。
- ご利用の Microsoft Entra テナントに構成されているエンタープライズ アプリケーション。
ギャラリーおよびギャラリー以外のアプリケーション用に自動生成された証明書
ギャラリーから新しいアプリケーションを追加し、SAML ベースのサインオンを構成すると、Microsoft Entra ID は、3 年間有効なアプリケーションの自己署名証明書を生成します。 SAML サインオンの設定の詳細については、 Microsoft Entra ID でのアプリケーションへのシングル サインオンに関するページを参照してください。
アクティブな証明書をセキュリティ証明書 (.cer) ファイルとしてダウンロードするには、Microsoft Entra 管理センターの次のセクションに移動します。
Entra ID>エンタープライズ アプリ>すべてのアプリケーション>[アプリケーション]>シングル サインオン し、[ SAML 証明書 ] 見出しでダウンロード リンクを選択します。
未加工 (バイナリ) の証明書または Base64 (Base64 エンコード テキスト) 証明書を選択できます。 ギャラリー アプリケーションの場合、このセクションには、アプリケーションの要件に応じて、証明書をフェデレーション メタデータ XML ( .xml ファイル) としてダウンロードするためのリンクが表示される場合もあります。
[ トークン署名証明書 ] 見出しの [編集] アイコン (鉛筆) を選択して、アクティブまたは非アクティブな証明書をダウンロードすることもできます。このアイコンには、[ SAML 署名証明書 ] ページが表示されます。 ダウンロードする証明書の横にある省略記号 (...) を選択し、目的の証明書の形式を選択します。
プライバシー強化メール (PEM) 形式で証明書をダウンロードするその他のオプションがあります。 この形式は Base64 と同じですが、 .pem ファイル名拡張子が付いています。これは、Windows では証明書形式として認識されません。 証明書に関してよく寄せられる質問については、「 よく寄せられる質問」を参照してください。
フェデレーション証明書の有効期限のカスタマイズと、新しい証明書へのロールオーバー
既定では、Azure により、証明書は SAML シングル サインオンの構成時に自動的に作成されてから 3 年後に失効するように構成されます。 保存した後は証明書の日付を変更できないので、以下を行う必要があります。
- 目的の日付で新しい証明書を作成します。
- 新しい証明書を作成します。
- 適切な形式で新しい証明書をダウンロードします。
- アプリケーションに新しい証明書をアップロードします。
- Microsoft Entra 管理センターで新しい証明書をアクティブにする
次の 2 つのセクションは、これらの手順の実行に役立ちます。
新しい証明書を作成する
最初に、別の有効期限の新しい証明書を作成し、保存します。
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- Entra ID>エンタープライズアプリ>すべてのアプリケーションを表示します。
- 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
- [ 管理 ] セクションで、[ シングル サインオン] を選択します。
- [シングル サインオン方法の選択] ページが表示されたら、[SAML] を選択します。
- [ SAML を使用した単一 Sign-On のセットアップ ] ページで、[ SAML 証明書 ] 見出しを見つけて、[ 編集 ] アイコン (鉛筆) を選択します。 [SAML 署名証明書] ページが表示され、各証明書の状態 (アクティブまたは非アクティブ)、有効期限、および拇印 (ハッシュ文字列) が表示されます。
- [ 新しい証明書] を選択します。 新しい行が証明書一覧の下に表示され、既定で有効期限が現在の日付からちょうど 3 年後に設定されます。 (変更はまだ保存されていないので、有効期限は依然として変更できます)
- 新しい証明書の行で、有効期限の列にカーソルを合わせ、[ 日付の選択 ] アイコン (カレンダー) を選択します。 新しい行の現在の有効期限の日付が表示されたカレンダー コントロールが表示されます。
- カレンダー コントロールを使用して新しい日付を設定します。 現在の日付と現在の日付から 3 年後の間の任意の日付を設定できます。
- [保存] を選択します。 新しい証明書の状態が [非アクティブ]、選択した有効期限、拇印で表示されるようになりました。
Note
既に有効期限が切れている既存の証明書があり、新しい証明書を生成すると、新しい証明書は署名トークンと見なされます。 まだアクティブでない場合でも考慮されます。 期限切れの証明書は、トークンの署名に使用されなくなりました。
- [X] を選択して、[SAML によるシングル サインオンのセットアップ] ページに戻ります。
証明書のアップロードとアクティブ化
次に、新しい証明書を適切な形式でダウンロードし、アプリケーションにアップロードして、Microsoft Entra ID でアクティブにします。
アプリケーションの SAML サインオンの構成手順については、次のいずれかから詳細を確認できます。
- 構成ガイドのリンクを選択して、別のブラウザー ウィンドウまたはタブに表示します。
- 設定した見出しを参照し、[詳細な手順を表示] を選択してサイドバーに表示します。
手順では、証明書のアップロードに必要なエンコード形式に注意してください。
前の「 ギャラリーおよびギャラリー以外のアプリケーションの自動生成された証明書 」セクションの手順に従います。 この手順では、アプリケーションによるアップロードに必要なエンコード形式で証明書をダウンロードします。
新しい証明書にロール オーバーする場合は、[ SAML 署名証明書 ] ページに戻り、新しく保存した証明書の行で省略記号 (...) を選択し、[ 証明書をアクティブにする] を選択します。 新しい証明書の状態は アクティブに変わり、以前にアクティブだった証明書は 非アクティブの状態に変わります。
適切なエンコード形式の SAML 署名証明書をアップロードできるように、前に表示したアプリケーションの SAML サインオン構成手順に引き続き従います。
アプリに証明書の有効期限の検証がなく、証明書が Microsoft Entra ID とアプリの両方と一致する場合は、引き続きアクセスできます。 この条件は、証明書の有効期限が切れている場合でも当てはまります。 アプリケーションで証明書の有効期限を検証できることを確認してください。
証明書の有効期限の検証を無効のままにする場合は、証明書のロールオーバーのために予定されているメンテナンス期間まで、新しい証明書を作成しないでください。 有効期限が切れている証明書と非アクティブで有効な証明書の両方がアプリケーションに存在する場合、Microsoft Entra ID は有効な証明書を自動的に利用します。 この場合、ユーザーはアプリケーションの停止を経験する可能性があります。
証明書の有効期限のメール通知アドレスの追加
Microsoft Entra ID では、SAML 証明書の有効期限が切れる 60 日前、30 日前、7 日前に、通知がメールで送信されます。 通知を受信するメール アドレスを複数追加できます。 通知の送信先となるメール アドレスを一つ以上指定します。
- [SAML 署名証明書] ページで、通知メール アドレスの見出しに移動します。 既定では、この見出しにはアプリケーションを追加した管理者のメール アドレスのみが使われます。
- 最後のメール アドレスの下に、証明書の有効期限通知を受信する必要のあるメール アドレスを入力し、Enter キーを押します。
- 追加するメール アドレスごとに前の手順を繰り返します。
- 削除するメール アドレスごとに、メール アドレスの横にある [削除 ] アイコン (ごみ箱) を選択します。
- [保存] を選択します。
通知一覧に最大 5 つのメールアドレスを追加できます (アプリケーションを追加した管理者のメール アドレスを含む)。 もっと多くのユーザーに通知する必要がある場合は、配布リストのメールアドレスを使用します。
azure-noreply@microsoft.com から通知メールを受け取ります。 メールがスパムの場所に入れられるのを避けるため、このメール アドレスをアドレス帳に追加します。
有効期限が近づいている証明書を更新する
証明書の有効期限が近づいている場合は、ユーザーの大幅なダウンタイムが発生しない手順を使用して更新できます。 有効期限が近づいている証明書を更新するには:
既存の証明書と重複する日付を使用して、前の「 新しい証明書の作成 」セクションの手順に従います。 その日付は、証明書の期限切れに起因するダウンタイム時間を制限します。
アプリケーションが証明書を自動的にロールオーバーできる場合は、以下の手順に従って新しい証明書をアクティブに設定します。
- [SAML 署名証明書] ページに戻ります。
- 新しく保存した証明書の行で、省略記号 (...) を選択し、[ 証明書をアクティブにする] を選択します。
- 次の 2 つの手順をスキップします。
アプリケーションで一度に 1 つの証明書しか処理できない場合は、ダウンタイムの間隔を選択して次の手順を実行します。 (または、アプリケーションが新しい証明書を自動的に取得しなくても、複数の署名証明書を処理できる場合は、いつでも次の手順を実行できます)
古い証明書の有効期限が切れる前に、前述の「 証明書のアップロードとアクティブ化 」セクションの手順に従ってください。 Microsoft Entra ID で新しい証明書が更新された後、アプリケーション側で証明書を更新しない場合、認証が失敗する可能性があります。
アプリケーションにサインインして、証明書が正しく動作することを確認します。
アプリに証明書の有効期限の検証がなく、証明書が Microsoft Entra ID とアプリの両方と一致する場合は、引き続きアクセスできます。 この条件は、証明書の有効期限が切れている場合でも当てはまります。 アプリケーションで証明書の有効期限を検証できることを確認してください。