Conformity SAML 2.0 SSO証明書ローテーションガイド

ビュー:

概要

Trend Micro Cloud One™ – ConformityはSAML 2.0標準に基づくSSOをサポートしており、RSA鍵ペアを使用してSAMLのログインおよびログアウト要求に署名します。鍵の公開証明書は、一部のアイデンティティプロバイダーによってこの署名を検証するために使用されます。同じ公開証明書は、オプションで一部のアイデンティティプロバイダーによってConformityに送信されるSAMLレスポンスを暗号化するために使用されます。

目的

現在のConformity SSO証明書は[August 17th, 2023]までに期限切れになります。新しい証明書に切り替えるために必要な手順については、このヘルプページの指示に従ってください。

対象読者

[SSO identity provider administrators]は、アイデンティティプロバイダ側でConformityアプリケーションの設定を更新するために必要になる場合があります。アイデンティティプロバイダがSAMLレスポンスを暗号化したり、SAMLリクエスト署名を検証したりする場合は、新しい証明書に切り替える必要があります。

ガイド

1. [Check whether you need to act]

ConformityのAdminユーザとして、Enterprise sign-on pageまたはアイデンティティプロバイダのダッシュボードからSSOを使用してサインインしてください。アイデンティティプロバイダが古い証明書を使用している場合、更新が必要であるという警告が表示されます。

sso-rotation-banner=dfb98dc6-fc67-4de6-ab60-72796c727408.png

2. [Acquire the new certificate or service provider metadata]

使用するアイデンティティプロバイダの種類によって、サービスプロバイダメタデータのフィールド、またはEncryption CertificateとSignature Certificateのための1つ以上のフィールドが見つかります。

新しい公開証明書はここで利用可能ですConformity SAML 2.0 X.509 signing and Encryption Certificateであり、[August 14th, 2026.]まで有効です
SAMLサービスプロバイダメタデータはこちらで利用可能です: Conformity SAML 2.0サービスプロバイダメタデータ / https://us-west-2.cloudconformity.com/v1/sso/saml/metadata.xml?certificate=next

3. [Update your identity provider configuration]

既存のアイデンティティプロバイダ設定のバックアップを作成します。

[Service provider metadata]をアップロードしてください。

[Signature]の証明書と[Encryption]の証明書を (必要に応じて) アイデンティティプロバイダのConformityアプリケーションにアップロードしてください。古い証明書が期限切れになるまで、古い証明書と新しい証明書の両方をサポートするため、切り替え中にサービスが中断されることはありません。

注意

注意: ほとんどのMicrosoft ADFSおよびKeycloakのセットアップはメタデータを使用できますが、Oktaやその他のアイデンティティプロバイダーは証明書を直接必要とします。[You can use the same certificate for both signing and encryption if required].

4. [Verify configuration]

ConformityでAdminユーザとして、更新されたSSO構成を使用して、新しいエンタープライズサインオンページ(URLに`certificate=new`と記載) またはアイデンティティプロバイダのダッシュボードから直接サインインしてください。手順1で見た警告が表示されなくなった場合、新しい構成が正常に機能しています。

注意

Conformityにエンタープライズサインオンページを使用してサインインする場合 (SP主導のSSO)、SSO設定を更新した後、ユーザに新しいエンタープライズサインオンページを使用するよう通知する必要があります。

トラブルシューティング

ConformityでAdminとしてサインインし、トップナビゲーションの[Administration]リンクにアクセスできることを確認してください。
必ずアイデンティティプロバイダを通じてConformityにサインインし、直接ユーザー名とパスワードを使用しないでください。
ダウンロードした証明書のSHA-256署名を確認してください。新しい証明書のSHA-256署名: [36e8b6f717a441de375bfbff6b3af83348b90b52a8f4408a5b6ae8c5674e3ddc]

SSO構成を更新した後にサインインに問題がある場合は、以前の証明書と以前のメタデータに戻してアクセスを解除できます。

問題が発生した場合や追加のサポートが必要な場合は、件名にSSO Certificate Rotationと記載して、Customer Successチームにお問い合わせください。