OneLoginのSAMLで利用している証明書は、OneLogin社がDefaultで用意したものですと、5年が期限となっています。
期限が近づいた際に、SAMLの証明書を更新する場合は、以下のような手順で実施してください。
証明書の状況を確認
現在利用している証明書を確認するには、OneLoginに管理者アカウントでログインし、Administrationから"Security > Certificates"を選択します。
以下のように証明書と期限を確認することができます。
証明書を選択することで詳細を確認することができます。
下部には、該当証明書が利用しているOneLoginのSAMLコネクタが表示されます。
新規で証明書を発行
証明書の期限が迫っているなどで証明書を追加で作成する場合は、OneLoginに管理者アカウントでログインし、Administrationから"Security > Certificates"開き"New"を選択します。
証明書名を任意で入力し"✓"を押します。
その後、以下の項目について設定を行い”Save”を押します。
※推奨値を記載していますが、利用するSaaS側の指定がある場合はそれに準じた値を設定してください。
-
Key Length
- 2048が推奨
-
Signature
- SHA256が推奨
-
Expiration
- 5 Yearsが推奨
- Certificate Keys
- チェックなし
SAMLコネクタの証明書変更作業
SAMLコネクタの証明書を変更したタイミングで認証に利用する証明書が変更されます。
そのため、各SaaSベンダーの手順を事前にご確認いただき、SAMLの証明書交換の準備を実施したうえで、OneLogin側のコネクタの変更を実施してください。
SAML証明書を変更したいコネクタ画面に移動して”SSO”メニューから、”Change”を押します。
新しい証明書を選択して"Continue"を押します。
※証明書を切り替えることで認証に利用する証明書が変わりますのでSaaS側の設定がされてることを確認して"Continue"を押してください。