IAM Identity Center 証明書の交代 - AWS IAM Identity Center
ステップ 1: 新しい証明書を生成するステップ 2: サービスプロバイダーのウェブサイトを更新するステップ 3: 新しい証明書をアクティブにするステップ 4: 古い証明書を削除する

IAM Identity Center 証明書の交代

IAM Identity Center 証明書のローテーションは、以下の複数のステップで行われます。

  • 新しい証明書を生成する

  • 新しい証明書をサービスプロバイダのウェブサイトに追加する

  • 新しい証明書をアクティブにする

  • 非アクティブな証明書を削除する

特定のアプリケーションの証明書ローテーションプロセスを完了するには、次の手順をすべて行います。

ステップ 1: 新しい証明書を生成する

生成した新しい IAM Identity Center 証明書は、以下のプロパティを使用するように設定できます。

  • 有効期間 — 新しい IAM Identity Center 証明書の有効期限が切れるまでの期間 (月単位) を指定します。

  • キーサイズ — キーが暗号アルゴリズムで使用するビット数を決定します。この値は、1024 ビット RSA または 2048 ビット RSA のいずれかに設定できます。暗号化におけるキーサイズの仕組みに関する一般情報については、「Key size」(キーサイズ) を参照してください。

  • アルゴリズム — SAML アサーション/レスポンスの署名時に IAM Identity Center が使用するアルゴリズムを指定します。この値は SHA-1 または SHA-256 のいずれかを設定できます。AWS サービスプロバイダーにより SHA-1 を指定された場合以外は、可能なかぎり、SHA-256 を使用することをお勧めします。暗号化アルゴリズムの仕組みに関する一般情報については、「Public-key cryptography」(パブリックキー暗号) を参照してください。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. アプリケーションのリストで、新しい証明書を生成するアプリケーションを選択します。

  4. [Application details] (アプリケーションの詳細) ページで、[Settings] (設定) タブをクリックします。[IAM アイデンティティセンターのメタデータ] で、[証明書を管理] を選択します。[構成] タブがない場合や、構成設定が使用できない場合は、このアプリケーションの証明書をローテーションする必要はありません。

  5. [IAM Identity Center 証明書] ページで、[新しい証明書を生成] を選択します。

  6. [新しい IAM Identity Center 証明書を生成する] ダイアログボックスで、[有効期間]、[アルゴリズム]、[キーサイズ] に適切な値を指定します。次に [Generate] (生成) をクリックします。

ステップ 2: サービスプロバイダーのウェブサイトを更新する

以下の手順で、アプリケーションのサービスプロバイダーとの信頼関係を再構築します。

重要

新しい証明書をサービスプロバイダーにアップロードすると、ユーザーが認証を受けられなくなる可能性があります。この問題を解決するには、次のステップの説明にあるとおり、新しい証明書をアクティブに設定します。

  1. IAM Identity Center コンソールで、先ほど新しい証明書を生成したアプリケーションをクリックします。

  2. [Application details] (アプリケーションの詳細) ページで、[Edit configuration] (設定の変更) タブをクリックします。

  3. [View instructions] (手順を表示する) をクリックし、特定のアプリケーションサービスプロバイダーのウェブサイトの指示に従って、新しく生成された証明書を追加します。

ステップ 3: 新しい証明書をアクティブにする

アプリケーションには、最大 2 つの証明書を割り当てることができます。IAM アイデンティティセンターは、すべての SAML アサーションに署名するためにアクティブに設定されている証明書を使用します。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. アプリケーションのリストで [your application] (お客様のアプリケーション) をクリックします。

  4. [Application details] (アプリケーションの詳細) ページで、[Settings] (設定) タブをクリックします。[IAM Identity Center のメタデータ][証明書の管理] を選択します。

  5. [IAM Identity Center 証明書] ページで、アクティブに設定したい証明書を選択し、[アクション] をクリックし、そして、[アクティブとして設定] をクリックします。

  6. [Set the selected certificate as active] (選択した証明書をアクティブにする) ダイアログで、証明書をアクティブにすると信頼関係の再構築が必要になることを確認して、[Make active] (アクティブにする) をクリックします。

ステップ 4: 古い証明書を削除する

以下の手順で、アプリケーションの証明書ローテーション処理を行います。削除できるのは、Inactive (無効) 状態の証明書のみです。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. アプリケーションのリストで [your application] (お客様のアプリケーション) をクリックします。

  4. アプリケーションの詳細ページで、[Configuration] (構成) タブを選択します。[IAM Identity Center のメタデータ][証明書の管理] を選択します。

  5. [IAM Identity Center 証明書] ページで、削除する証明書を選択します。[Actions] (アクション) を選択してから、[Delete] (削除) を選択します。

  6. [Delete certificate] (証明書の削除) ダイアログボックスで、[Delete] (削除) をクリックします。