期限切れになる前に SSO 証明書を交換する

IdP にアップロードするための新しいファイルをダウンロードするには:

1. Absolute SP 証明書の期限切れを通知する Absolute メール通知を受信していないか確認します。メール通知は、有効期限の 30 日前、15 日前、および 2 日前に送信されます。
2. 認証を表示または管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
3. ナビゲーションバーで 設定 > 認証設定をクリックします。
4. シングルサインオンエリアで、ID プロバイダーを確認をクリックします。IdP の既存の設定情報が表示されます。

5. IdP の要件に応じて、Absolute サービスプロバイダーのメタデータと証明書をダウンロードの下で以下を実行します。

   どのファイルをダウンロードすべきか不明な場合、IdP で既存の Absolute SP 設定を確認してください。

   お客様の IdP で、既存の証明書の使用中に新しい署名証明書をアップロードすることが許可されていない場合 (Okta など)、以下のいずれかを実行できます。

   • 署名証明書を有効期限前に交換します。

     このオプションを選択した場合、有効期限までに SAML リクエストの検証 (Okta のSigned Requests 設定により管理される) も無効化する必要があることに注意してください。そうしないと、ユーザーは Secure Endpoint ログインページではなく、IdP からしかログインできなくなります。有効期限の日付が来たら、検証を再度有効にしてください。詳細については、IdP が提供する資料を参照してください。

   • 署名証明書を有効期限の日付に交換します。
   • 新しい証明書をダウンロードするには、 暗号化および署名証明書をダウンロードをクリックします。パッケージに含まれる証明書の数に応じて、以下のファイルのいずれかがダウンロードされます。
     • absolute-cert-<expiration date>.pem: 暗号化および署名検証のための SP パブリックキーを含む、個別の証明書ファイル
     • absolute-certs.zip: 暗号化、署名検証、または両方のための複数の .pem ファイルを含む zip ファイル

   • 新しい署名証明書をダウンロードするには、 署名証明書をダウンロードをクリックします。

     この手順は、IdP が署名検証のために個別の署名証明書を必要としている場合のみ実行します。

     absolute-certs.zip がダウンロードされます。

     この zip ファイルには、以下の 2 種類の absolute-cert-<expiration date>.pem ファイルが存在することに注意してください。

     • 現在の署名証明書。その有効期限が来るまで、署名検証のために必要になります。
     • 新しい署名証明書。現在の証明書の有効期限が来た後の署名検証のために必要になります。

     両方のファイルを、IdP の Absolute SP 設定に追加する必要があります。

   • 新しい Absolute メタデータファイルをダウンロードするには、メタデータをダウンロードをクリックします。absolute-metadata.xml ファイルがダウンロードされます。
6. アイデンティティプロバイダーにログインします。
7. 必要に応じて、証明書ファイルをアップロードするステップを実行します。詳細については、IdP が提供する資料を参照してください。
8. 必要に応じて、SP メタデータファイルをアップロードするステップを実行します。詳細については、IdP が提供する資料を参照してください。
9. Secure Endpoint Console からログアウトし、再度ログインを試みてください。ログインできる場合、証明書が更新されています。ログインできなかった場合、 Absolute テクニカルサポートにお問い合わせください。