SAML 2.0 証明書をローテーションする - AWS IAM Identity Center

SAML 2.0 証明書をローテーションする

ID プロバイダーが発行した無効または期限切れの証明書をローテーションさせるために、定期的に証明書をインポートする必要がある場合があります。これにより、認証の乱れやダウンタイムを防ぐことができます。インポートされた証明書はすべて自動的に有効になります。証明書の削除は、関連する ID プロバイダで使用されなくなったことを確認した後に行います。

また、IdP によっては複数の証明書をサポートしていない場合があることも考慮する必要があります。この場合、これらの IdP で証明書をローテーションした場合、ユーザーの利用しているサービスが一時的に中断する可能性があります。その IdP との信頼関係が正常に再構築されたときに、サービスが再開されます。このオペレーションは、ピーク時を可能な限り避けて慎重に計画してください。

注記

セキュリティのベストプラクティスとして、既存の SAML 証明書に不正アクセスや不適切な取り扱いがあった場合には、直ちに証明書を削除してローテーションする必要があります。

IAM Identity Center 証明書のローテーションは、以下の複数のステップで行われます。

  • IdP から新しい証明書を取得する

  • 新しい証明書を IAM Identity Center にインポートする

  • IdP での新しい証明書を有効にする

  • 古い証明書を削除する

以下のすべての手順を使用して、認証のダウンタイムを回避しながら、証明書のローテーションプロセスを完了します。

ステップ 1: IdP から新しい証明書を取得する

IdP の ウェブサイトにアクセスして、SAML 2.0 証明書をダウンロードします。証明書ファイルが PEM エンコード形式でダウンロードされていることを確認してください。ほとんどのプロバイダでは、IdP に複数の SAML 2.0 証明書を作成することができます。これらは、無効や非アクティブとしてマークされている可能性があります。

ステップ 2: IAM Identity Center にインポートする

以下の手順で、IAM Identity Center コンソールを使って新しい証明書をインポートします。

  1. [IAM Identity Center コンソール][設定] を選択します。

  2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [認証の管理] を選択します。

  3. [SAML 2.0 認証の管理] ページで、[証明書のインポート] を選択します。

  4. [SAML 2.0 証明書のインポート] ダイアログで、[ファイルを選択] を選択し、証明書ファイルに移動して選択し、[証明書のインポート] を選択します。

この時点で、IAM Identity Center は、お客様がインポートした両方の証明書から署名されたすべての受信 SAML メッセージを信頼します。

ステップ 3: IdP で新しい証明書を有効にする

IdP の ウェブサイトに戻り、先ほど作成した新しい証明書をプライマリまたはアクティブとしてマークします。この時点で、IdP が署名したすべての SAML メッセージは、新しい証明書を使用する必要があります。

ステップ 4: 古い証明書を削除する

以下の手順で、IdP の証明書ローテーション処理を行います。少なくとも 1 つの有効な証明書が必要であり、それを削除することはできません。

注記

この証明書を削除する前に、ID プロバイダがこの証明書を使用して SAML レスポンスに署名しなくなったことを確認します。

  1. リポジトリの [Manage SAML 2.0 certificates] (SAML 2.0 証明書の管理) ページで、削除する証明書を選択します。[Delete] (削除) を選択します。

  2. [Delete SAML 2.0 certificate] (SAML 2.0 証明書の削除) ダイアログボックスで、DELETE をタイプして確認し、[Delete] (削除) を選択します。

  3. IdP のウェブサイトに戻り、古い非アクティブな証明書を削除するために必要な手順を実行します。