Citrix Cloud

IDプロバイダーのSAML署名証明書の更新

署名付きの要求と応答を使用するSAML接続は、2つの異なるSAML署名証明書に依存します。SAML接続の両側に1つずつです。

SAMLプロバイダー署名証明書

この証明書はSAMLプロバイダーによって提供され、SAML接続を構成するときにCitrix Cloudにアップロードされます。

Citrix Cloud管理者が展開の準備をする時間を確保するために、SAML署名証明書は有効期限が切れる前にローテーションする必要があります。整合性を確保し、ダウンタイムを防ぐために、サービスプロバイダーとIDプロバイダーの両方が証明書のローテーションを行う必要があります。

よくある質問

SAMLプロバイダー証明書は何に使用されますか?

SAMLプロバイダー証明書は、認証プロセス中にSAMLプロバイダーからCitrix Cloudに送信されるSAML応答の署名を検証するために使用されます。

最新のIDプロバイダー(IdP)署名証明書のコピーはどこで入手できますか?

この証明書は、Azure AD、Okta、PingFederate、ADFSなどのSAMLプロバイダーによって提供されます。 Citrixは、この証明書のローテーションと更新を管理していません。この証明書は、最初にSAML接続を作成したときにCitrix Cloudにアップロードされます。IDP署名証明書は通常 、長期間有効です。SP署名証明書よりも低い頻度で、数年おきに交換が必要な場合があります

SAMLプロバイダー署名証明書の有効期限が迫っていて、Citrix Cloud SAML接続に影響する可能性があることを知る方法はありますか?

Citrix Cloudは、SAMLプロバイダー署名証明書の有効期限の30日前に警告を表示します。

Certificate Expiring Soon: <certExpirationDate>

また、証明書の有効期限が実際に切れると、以下に示すようにエラーが表示されます。

期限切れの証明書

SAML接続を使用しながら、ダウンタイムなしでSAMLプロバイダー証明書を更新できますか?

いいえ。定期的にスケジュール設定された保守時間中にSAMLの切断と再接続を実行する必要があります。 IDプロバイダー(IdP)署名証明書を更新してください

  1. Active DirectoryなどのSAMLの切断/再接続操作を実行するときは、[ワークスペース構成] 内の代わりのIDプロバイダーを選択し、[認証] を選択します。

    ワークスペース構成

  2. Citrix CloudへのSAMLログオンに使用される既存のGO URL(https://citrix.cloud.com/go/<yourgourl>など)をバックアップします。
  3. 既存のSAMLエンドポイントのバックアップを作成します。これらはCitrix Cloudコンソールからコピーできます。既存のSAML接続内から次のSAMLエンドポイントをバックアップします。

    • IDプロバイダーのエンティティID
    • IDプロバイダーのSSOサービスURL
    • IDプロバイダーのログアウトURL

    エンティティID、SSO URL、およびログアウトURLをバックアップします。

重要:

切断を実行する前に、既存のIDP署名証明書と代替のIDP署名証明書の両方のコピーがあることを確認してください。これにより、新しいSAMLプロバイダー証明書が無効で、ログオンの問題が発生した場合に、古い証明書にロールバックできます。切断を実行する前に、Citrix Cloud UIから古い証明書のコピーを取得することはできません。SAMLアプリケーションから取得する必要があります。

  1. [IDおよびアクセス管理] でSAMLを切断し、[認証] に移動してSAML接続を選択し、 省略記号をクリックして [切断] を選択します
  2. [IDおよびアクセス管理]でSAMLを再接続し、[認証] をクリックします

    SAML管理者サインイン

    接続済み

  3. デフォルトのSAML接続設定をすべて受け入れます。
  4. 以前にバックアップしたすべてのSAMLアプリケーションのエンドポイントを再入力するか、SAMLプロバイダーUI内からSAMLアプリ用にこれらを再度取得します。

    • IDプロバイダーのエンティティID
    • IDプロバイダーのSSOサービスURL
    • IDプロバイダーのログアウトURL

重要:

スコープ付きエンティティID機能を使用している場合は、SAMLの切断/再接続を実行した後に、SAMLアプリケーションを新しいスコープIDで更新する必要もあります。スコープ付きエンティティID機能について詳しくは、「Citrix Cloudでスコープ付きのエンティティIDを使用したSAMLアプリケーションを構成する」を参照してください。新しく生成されたスコープIDをCitrix CloudのSAML UIからコピーし、SAMLアプリケーションのエンティティIDを新しいスコープIDで更新します。 エンティティIDをhttps://saml.cloud.com/<new scope ID after reconnect>に更新する必要があります。

IDプロバイダーのSAML署名証明書の更新