チュートリアル: フェデレーション シングル サインオンのための証明書の管理

この記事では、サービスとしてのソフトウェア (SaaS) アプリケーションにフェデレーション シングル サインオン (SSO) を確立するために Microsoft Entra ID によって作成される証明書に関連する一般的な質問と情報について説明します。 Microsoft Entra アプリケーション ギャラリーから、または、ギャラリー以外のアプリケーション テンプレートを使用して、アプリケーションを追加します。 アプリケーションの構成には、フェデレーション SSO オプションを使用します。

このチュートリアルは、Security Assertion Markup Language (SAML) フェデレーションを通じて Microsoft Entra SSO を使用するように構成されたアプリにのみに関連します。

このチュートリアルでは、アプリケーションの管理者が次の方法を学習します。

  • ギャラリーおよびギャラリー以外のアプリケーションの証明書の生成
  • 証明書の有効期限をカスタマイズする
  • 証明書の有効期限の電子メール通知アドレスの追加
  • 証明書の更新

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 まだお持ちでない場合は、無料のアカウント*を作成してください
  • 次のいずれかのロール: 特権ロール管理者、クラウド アプリケーション管理者、アプリケーション管理者。
  • ご利用の Microsoft Entra テナントで構成されているエンタープライズ アプリケーション。

ギャラリーから新しいアプリケーションを追加し、(アプリケーションの概要ページから [シングル サインオン][SAML] の順に選択することで) SAML ベースのサインオンを構成すると、Microsoft Entra ID によって、3 年間有効なアプリケーション用自己署名証明書が生成されます。 アクティブな証明書をセキュリティ証明書 (.cer) ファイルとしてダウンロードするには、そのページ (SAML ベースのサインオン) に戻り、[SAML 署名証明書] 見出しにあるダウンロード リンクを選択します。 未加工 (バイナリ) の証明書または Base 64 (base 64 エンコード テキスト) 証明書を選択できます。 ギャラリー アプリケーションの場合、このセクションには、アプリケーションの要件に応じて、証明書をフェデレーション メタデータ XML (.xml ファイル) としてダウンロードするためのリンクが表示されることもあります。

[SAML 署名証明書] 見出しの [編集] アイコン (鉛筆) を選択して [SAML 署名証明書] ページを表示することで、アクティブまたは非アクティブな証明書をダウンロードすることもできます。 ダウンロードする証明書の横の省略記号 (...) を選択してから、目的の証明書形式を選択します。 プライバシー強化メール (PEM) 形式で証明書をダウンロードするその他のオプションがあります。 この形式は Base64 と同じですが、.pem ファイル名拡張子が付いており、Windows では証明書形式として認識されません。

SAML 署名証明書のダウンロード オプション (アクティブと非アクティブ)。

フェデレーション証明書の有効期限のカスタマイズと、新しい証明書へのロールオーバー

既定では、SAML シングル サインオンの構成時に自動作成した証明書は、作成してから 3 年後に失効するように Azure によって構成されます。 保存した後は証明書の日付を変更できないので、以下を行う必要があります。

  1. 目的の日付で新しい証明書を作成します。
  2. 新しい証明書を作成します。
  3. 適切な形式で新しい証明書をダウンロードします。
  4. アプリケーションに新しい証明書をアップロードします。
  5. Microsoft Entra 管理センターで新しい証明書をアクティブにします。

次の 2 つのセクションは、これらの手順の実行に役立ちます。

新しい証明書を作成する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

最初に、別の有効期限の新しい証明書を作成し、保存します。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
  3. 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
  4. [管理] セクションの [シングル サインオン] を選択します。
  5. [シングル サインオン方式の選択] ページが表示されたら、[SAML] を選択します。
  6. [SAML によるシングル サインオンの設定] ページで、[SAML 署名証明書] 見出しを探し、[編集] アイコン (鉛筆) を選択します [SAML 署名証明書] ページが表示されます。このページには、各証明書の状態 ([アクティブ] または [非アクティブ])、有効期限、拇印 (ハッシュ文字列) が表示されます。
  7. [新しい証明書] を選択します。 新しい行が証明書一覧の下に表示され、既定で有効期限が現在の日付からちょうど 3 年後に設定されます。 (変更はまだ保存されていないので、有効期限はまだ変更できます)。
  8. 新しい証明書の行で、有効期限列をポイントし、[日付の選択] アイコン (カレンダー) を選択します。 新しい行の現在の有効期限の日付が表示されたカレンダー コントロールが表示されます。
  9. カレンダー コントロールを使用して新しい日付を設定します。 現在の日付と現在の日付から 3 年後の間の任意の日付を設定できます。
  10. [保存] を選択します。 新しい証明書が表示され、そこに [非アクティブ] の状態、選択した有効期限、拇印が表示されます。

    注意

    既に有効期限が切れている証明書が存在し、新しい証明書を生成した場合、その新しい証明書を有効化していなくても、トークンへの署名用と見なされます。

  11. [X] を選択して、[SAML によるシングル サインオンのセットアップ] ページに戻ります。

証明書のアップロードとアクティブ化

次に、新しい証明書を適切な形式でダウンロードし、アプリケーションにアップロードして、Microsoft Entra ID 内でアクティブにします。

  1. 次のいずれかのオプションを使用して、アプリケーションの SAML サインオン構成手順をさらに表示します。

    • [構成ガイド] リンクを選択して、別のブラウザー ウィンドウまたはタブで表示する。
    • [設定] 見出しに移動し、[ステップ バイ ステップの手順を表示] を選択してサイドバーに表示する。
  2. 手順では、証明書のアップロードに必要なエンコード形式に注意してください。

  3. 前の「ギャラリーおよびギャラリー以外のアプリケーションの証明書の自動生成」セクションの指示に従います。 この手順では、アプリケーションによるアップロードに必要なエンコード形式で証明書をダウンロードします。

  4. 新しい証明書にロール オーバーする場合は、[SAML 署名証明書] ページに戻り、新しく保存した証明書の行で、省略記号 (...) を選択し、[証明書をアクティブにする] を選択します。 新しい証明書の状態が [アクティブ] に変わり、それまでアクティブだった証明書の状態が [非アクティブ] に変わります。

  5. 適切なエンコード形式の SAML 署名証明書をアップロードできるように、前に表示したアプリケーションの SAML サインオン構成手順に引き続き従います。

アプリに証明書の有効期限の検証機能がなく、証明書が Microsoft Entra ID とアプリの両方と一致する場合は、証明書の有効期限が切れていても、アプリはアクセス可能なままです。 アプリケーションで証明書の有効期限を検証できることを確認してください。

証明書の有効期限の検証を無効のままにする場合は、証明書のロールオーバーのために予定されているメンテナンス期間まで、新しい証明書を作成しないでください。 有効期限が切れている証明書と非アクティブで有効な証明書の両方がアプリケーションに存在する場合、Microsoft Entra ID では、有効な証明書が自動的に使用されます。 この場合、ユーザーのアプリケーションは停止する可能性があります。

証明書の有効期限のメール通知アドレスの追加

Microsoft Entra ID では、SAML 証明書の有効期限が切れる 60 日前、30 日前、7 日前に、通知がメールで送信されます。 通知を受信するメール アドレスを複数追加できます。 1 つまたは複数のメール アドレスを通知の送信先として指定するには、次の操作を行います。

  1. [SAML 署名証明書] ページで、[通知の電子メール アドレス] 見出しに移動します。 既定では、この見出しにはアプリケーションを追加した管理者のメール アドレスのみが使われます。
  2. 最後のメール アドレスの下に、証明書の有効期限通知を受信する必要のあるメール アドレスを入力し、Enter キーを押します。
  3. 追加するメール アドレスごとに前の手順を繰り返します。
  4. 削除するメール アドレスごとに、メール アドレスの横の [削除] アイコン (ゴミ箱) を選択します。
  5. [保存] を選択します。

通知一覧に最大 5 つのメールアドレスを追加できます (アプリケーションを追加した管理者のメール アドレスを含む)。 もっと多くのユーザーに通知する必要がある場合は、配布リストのメールアドレスを使用します。

azure-noreply@microsoft.com から通知メールを受け取ります。 メールがスパムの場所に入れられるのを避けるため、このメール アドレスをアドレス帳に追加します。

まもなく期限切れになる証明書を更新する

証明書の有効期限が近づいている場合は、ユーザーの大幅なダウンタイムが発生しない手順を使用して更新できます。 有効期限が近づいている証明書を更新するには:

  1. 既存の証明書と重複する日付を使用して、「新しい証明書を作成する」セクションの指示に従います。 その日付は、証明書の期限切れに起因するダウンタイム時間を制限します。

  2. アプリケーションが証明書を自動的にロールオーバーできる場合は、次の手順に従って新しい証明書をアクティブに設定します。

    1. [SAML 署名証明書] ページに戻ります。
    2. 新しく保存した証明書の行で、省略記号 (...) を選択してから、[証明書をアクティブにする] を選択します。
    3. 次の 2 つの手順をスキップします。
  3. アプリケーションで一度に 1 つの証明書しか処理できない場合は、ダウンタイムの間隔を選択して次の手順を実行します。 (または、アプリケーションが新しい証明書を自動的に取得しなくても、複数の署名証明書を処理できる場合は、いつでも次の手順を実行できます)。

  4. 古い証明書が期限切れになる前に、前の「証明書のアップロードとアクティブ化」セクションの指示に従います。 Microsoft Entra ID で新しい証明書が更新された後にアプリケーション証明書が更新されなかった場合、アプリケーションでの認証に失敗する可能性があります。

  5. アプリケーションにサインインして、証明書が正しく動作することを確認します。

アプリに証明書の有効期限の検証機能がなく、証明書が Microsoft Entra ID とアプリの両方と一致する場合は、証明書の有効期限が切れていても、アプリはアクセス可能なままです。 アプリケーションで証明書の有効期限を検証できることを確認してください。