対象
HENNGE Access Control をご契約いただいており、レガシーの SAML 署名証明書を用いて他のサービスと SAML 連携をご実施されているお客様
内容
HENNGE Access Control における SAML 署名証明書の更新に際し、事前の準備事項についてご案内いたします。
注意事項
1. 本記事の内容は 2024 年 3 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
2. 実際の画面確認や、設定の変更には HENNGE Access Control のグローバル管理者権限が必要です。
3. 管理画面へのアクセス方法は以下の記事をご参照ください。
HENNGE Access Control 管理画面へのアクセス方法
4. 本作業を実施するために、事前にモダンビューへ切替えを行っている必要があります。
モダンビューに切替える
5. 本手順につきまして、HENNGE Access Control 側での更新と、対象連携先サービス側での更新を同時に行う必要がございます。
6. 本手順の実施にあたりましては一時的に HENNGE Access Control から対象連携先サービスへのシングルサインオンが実施できなくなるタイミングが発生するため、手順のご実施タイミングについては予めご検討ください。
7. 一度実施した更新作業は取り消すことが出来ません。
詳細内容
①SAML 署名証明書の更新が必要かどうか確認する
今回の SAML 署名証明書の更新について、お客様によっては一部設定のみが対象となる場合がございます。
以下手順にて、更新が必要な設定であるかどうかをご確認くださいませ。
<確認手順>
【2024 年 04 月 3 日追記】
HENNGE Access Control のアップデートにより、SAML 署名証明書の更新が必要となるサービスについて
以下画像のように [ 署名鍵の更新が必要です ] というアイコンが表示されるようになります。
また、当該アイコンが付いている設定をクリックすると画面上部に以下画像のようなバナーが表示されます。
SAML 署名証明書の更新対応が必要となる設定の確認にお役立ていただけますと幸いでございます。
HENNGE Access Control 管理者画面の [ サービスプロバイダー設定 ]をクリックし、表示された各設定のうち [ 種別 ] が [ SAML SSO ] となっている各設定をクリックします。
当該設定の [ 署名鍵 ] の項目が、以下画像のように [ 2048-bits (レガシー) ] または [ 1024-bits (レガシー) ] となっているサービスが更新対象となります。
※ [ カスタムキー ] となっているサービスにつきましては、SAML 署名証明書の更新は不要となります。
※更新対象であるものの現時点でご利用されていない、また今後ご利用予定のないものにつきましては、お手数ですが設定の削除をお願いいたします。
②サービス側の設定変更方法について確認を行う
各連携先サービスは基本的に以下の 3 パターンに分類することが可能です。
どの設定が更新対象であるかをご確認いただきましたのち、対象のサービスプロバイダーがどのパターンに
該当するかをご確認いただき、それぞれのサービスについて SAML 署名証明書の更新日時をご検討ください。
パターン A:管理画面を自分で操作可能
パターン B:サービス提供元ベンダーにて変更が必要かつ、作業日時の指定が可能
パターン C:サービス提供元ベンターにて作業が必要かつ、作業日時の指定が不可
なお、今回の SAML 署名証明書の更新につきましては、HENNGE Access Control 側のみではなく連携先のサービスプロバイダー側でも更新作業が必要となります。
そのため、まずは連携先の各サービスプロバイダーについて、お客様ご自身で管理画面から操作が可能であるかご確認をお願いいたします。
管理画面からの操作ができない場合はサービス提供元ベンダーにて作業が必要となりますので、次の手順にてサービス提供元ベンダーへのお問い合わせをお願いいたします。
③(お客様ご自身で変更ができないサービスの場合)サービス提供元に以下を確認する
お客様ご自身で連携先サービスの管理画面より SAML 署名証明書の更新ができず、サービス提供元ベンダーでの作業が必要である場合、
お手数ではございますが以下のような内容にて、サービス提供元ベンダーへのお問い合わせをお願いいたします。
| 現在貴社サービスと SAML 連携している IdP サービスにて、SAML 署名証明書の更新が必要となりました。 確認したところ、管理画面での操作はできなかったため貴社にて SAML 署名証明書の更新作業が必要になるものと認識しております。 つきましては、恐れ入りますが以下につきましてご確認、ご回答いただけますでしょうか。 ・SAML 署名証明書の更新作業について、作業日時の指定は可能でしょうか。 → 証明書の不一致による SAML 失敗の時間を限りなく少なくするため IdP 側の SAML 署名証明書の更新日時と合わせたく、作業日時の指定が可能であるかを確認させてください。 ・貴社サービスでは、SAML 署名証明書を 2 枚アップロードすることが可能でしょうか。 → サービスによっては、このような SAML 署名証明書の更新に対応するため、IdP から発行される SAML 署名証明書を新旧 2 枚アップロードできる認識でございます。 貴社サービスでは上記に対応しているかをご教示いただけますでしょうか。 ・SAML 署名証明書を更新した際、既存ユーザーの認証セッションに影響はございますでしょうか。 → 作業日程の調整とも重複いたしますが、貴社サービス側で SAML 署名証明書を更新することにより 既存ユーザーの認証セッションが切断される(= IdP 経由での再認証が必要になる)場合は、 IdP 側の証明書更新日時を慎重に検討する必要がございますため、ご教示いただけますと幸いです。 |
④実際の変更予定を立てる
各サービスのパターン分けが完了したら、SAML 署名証明書更新のスケジュールを検討します。
更新作業開始後、HENNGE Access Control 側、連携先サービス側双方の SAML 署名証明書の更新が完了するまでは一時的に SAML 連携が失敗する状態となりますので、
お客様ご自身にて更新作業が可能であるパターン A のサービスと、サービス提供元ベンダーでの作業日時を指定できるパターン B のサービスにつきましては、
作業日をまとめていただく等ご調整いただければと存じます。
また、パターン C に関しては、サービス提供元ベンダーによっては更新完了までにお時間を要することが想定されます。
そのため、まずはパターン C に該当するサービスについて優先して完了させることをお勧めいたします。
なお、具体的な更新手順につきましては、以下ヘルプサイトをご参考くださいませ。
▽SAML 署名証明書の更新手順