サービスプロバイダーSAML署名証明書の更新
署名付きの要求と応答を使用するSAML接続は、2つの異なるSAML署名証明書に依存します。SAML接続の両側に1つずつです。
サービスプロバイダー署名証明書
この証明書はCitrixによって定期的に提供され、 SAMLアプリケーションにアップロードされるか、Citrix CloudのSAMLメタデータ経由で取得されます。
Citrix Cloud管理者が展開の準備をする時間を確保するために、SAML署名証明書は有効期限が切れる前にローテーションする必要があります。証明書のローテーションでは、サービスプロバイダーとIDプロバイダーの両方が確実に連携し、ダウンタイムを防止する必要があります。
選択したSAMLプロバイダーがサービスプロバイダーSAML署名証明書の自動ローテーションをサポートしていない場合は、期限切れになる証明書を置き換えるために、SAMLプロバイダー内でSAML署名証明書を手動でローテーションする必要があります。
重要:
このSAML eDocセクション内の既存のすべてのガイドには、SAML接続の両側で署名を構成する方法に関して詳細が記載されています。Citrixでは、署名付きSAML構成のみをお勧めします。これらの構成はより安全であり、一部のSAMLプロバイダーではログアウト(SLO)を成功させるために必要になるためです。
よくある質問
SAML署名とは何ですか?
SAML署名証明書は、サービスプロバイダー(SP)とSAMLプロバイダー(IdP)間で送信されるデータを検証するために使用されるX.509証明書です。SAMLプロバイダー(IdP)は、Citrix Cloud SAML署名証明書を使用して、Citrix CloudからSAML認証要求内で送信された署名を検証します。Citrix Cloudは、SAMLプロバイダー署名証明書を使用して、SAML応答が信頼できる接続済みのIdPからのものであることを確認します。
SAMLの署名付き要求の強制とは何ですか?
Citrix Cloudが署名付き要求を送信するように構成されているからといって、SAMLプロバイダーが署名の使用を強制し、署名されていないSAML要求の受信を拒否することを保証するわけではありません。大半のSAMLプロバイダーには、署名付き要求を強制するオプションがあります。つまり、SAMLプロバイダーへのログインを求める署名のない要求を受信すると、ログオンは失敗します。IdP設定のステータスを確認するのは、SAMLプロバイダー管理者の責任です。Citrixサポートは、署名付き要求がお客様のSAMLアプリケーション内で強制されるかどうかを制御したり、それを表示したりすることはできません。
CitrixはサービスプロバイダーのSAML署名証明書をどのくらいの頻度でローテーションしますか?
有効なサービスプロバイダー署名証明書と新しく発行された署名証明書が重複することがないようにするため、Citrixではサービスプロバイダー署名証明書を約11か月ごとにローテーションしています。これは、既存の証明書の有効期限が切れる30日前にCitrix Cloudのお客様が有効な証明書を利用できるようにするためです。
サービスプロバイダーSAML署名証明書のアドバタイズフェーズとは何ですか?
アドバタイズフェーズでは、現在のSAML署名証明書と代わりのSAML署名証明書がCitrix Cloudメタデータに表示されます。ローテーションの日時までは、アクティブな証明書のみをSAML要求の検証に使用できます。
現在のCitrix Cloud SAML署名証明書の有効期限が近づいているため交換が必要であることを示す通知が、メールとCitrix Cloud管理コンソールで届いたのはなぜですか?
SAMLプロバイダー(IdP)は、WorkspaceやCitrix Cloud管理者コンソールなどのサービスプロバイダーからの受信SAML要求の署名を検証するために、有効で期限内の証明書を必要とします。WorkspaceまたはCitrix Cloud管理コンソールへのログオンにSAMLを使用しているCitrix Cloudのお客様には、SAML署名証明書のローテーションが間近に迫っていることが通知されます。
Citrix Cloudのお客様がCitrix Cloud SAML署名証明書のローテーションの影響を受けているかどうかはどうすればわかりますか?
以下のSAML構成を使用しているCitrix Cloudのお客様が影響を受けます。
- Citrix Cloud内のSAML接続で [認証要求に署名する]=[はい] が構成されています
- Azure Active Directory、ADFS、OktaなどのSAMLプロバイダーが、署名されていないSAML要求を拒否するように構成されています(署名付き要求の強制)。
- Citrix Cloud SAML接続内およびSAMLプロバイダー内でシングルログアウト(SLO)が構成されています。SAMLプロバイダーによっては、OktaやPingFederateなどのSLO要求への署名が必要な場合があります。
Citrix Cloud SAML接続の署名の構成を確認する方法を教えてください
[IDおよびアクセス管理]>[SAML 2.0]>[表示] に移動して、Citrix Cloud SAML接続内で [認証要求に署名する] が有効になっているかどうかを確認します。Citrix Cloud内のすべての新しいSAML接続は、ログオン(SSO) とログアウト(SLO)の両方で、デフォルトでIDプロバイダーの署名認証/ログアウト要求が[はい] になります。
SAMLアプリ内で署名の強制が構成されているかどうかを確認する方法を教えてください
これは使用しているSAMLプロバイダーによって異なります。このオプションが提供されていない場合もあります。Azure AD、ADFS、Okta、およびPingFederateはすべて署名の強制をサポートしています。SAML管理者は、SAMLプロバイダーの機能とその最新の構成を把握しておくことが重要です。Citrixサポートはこれを制御したり把握したりすることはできません。
最新のサービスプロバイダー(SP)署名証明書のコピーはどこで入手できますか?
この証明書は、Citrix Cloud SAMLメタデータを使用してCitrixによって提供され、SP署名証明書のローテーションのアドバタイズフェーズ中に定期的に更新されます。更新は、少なくとも1暦年に1回発生します。
米国、EU(欧州)、APS(南アジア太平洋)向け:https://saml.cloud.com/saml/metadata
日本向け:https://saml.citrixcloud.jp/saml/
米国政府機関向け:https://saml.cloud.us/saml/metadata
SAMLアプリが複数の検証証明書をサポートしている場合、古いCitrix Cloud SAML署名証明書を削除しても安全なのはどのタイミングですか?
古いCitrix Cloud署名証明書は、メールとCitrix Cloud管理者コンソールの通知に記載されている証明書のローテーション日時以降にのみ削除してください。
メタデータの交換を使用して、SAMLプロバイダーを最新のCitrix Cloud SP SAML署名証明書で自動的に更新
SAMLメタデータの交換を使用する場合、SAMLプロバイダーは、https://saml.cloud.com/saml/metadataなどのメタデータURLを監視することにより、Citrix Cloud SAMLメタデータを自動的に消費します。SAMLプロバイダーがSAMLメタデータの交換をサポートしている場合、SP署名証明書は既に自動的に更新されている可能性があります。 SAMLプロバイダーがメタデータの交換をサポートしていることを確認します。その後、現在のSAML署名証明書の有効期限が切れる前に更新が行われたかどうかを確認できます。
重要
各サードパーティのSAMLプロバイダーがサポートするSAML機能には大きな違いがあります。Citrix Cloud管理者には、使用しているSAMLプロバイダーの機能と要件を把握して理解する責任があります。 これは、Citrix Cloud SAML接続構成(SP)とSAMLプロバイダー(IdP)構成の両方が一致していることを確認するために必要です。SAMLプロバイダーのドキュメントを参照して、署名検証がサポートされているかどうか、およびSAMLの要求と応答に署名が必要かどうかを確認してください。
SAMLプロバイダーを最新のCitrix Cloud SP SAML署名証明書で手動で更新
重要
SP証明書のローテーションは、Citrix Cloudから新しい証明書が公開されるたびに実行する必要があります。そうしないと、SAMLログオンに影響が出てダウンタイムが発生します。
-
Citrix Cloudから最新のSAMLメタデータを取得するには、[IDおよびアクセス管理] で現在のSAML接続を表示し、[認証] をクリックし、[SAML接続] を選択して [表示] をクリックします。 次の画像は、米国、EU、APSなどのCitrix Cloud地域でこのファイルがどのように表示されるかを示す例です:
https://saml.cloud.com/saml/metadata
このメタデータXMLファイルの例には、x509のCitrix Cloud SAML署名証明書が2つあります。
- XMLファイルをサードパーティツールにアップロードするか、メタデータURLを指定することで、メタデータからx509証明書を抽出できます。
- https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtractにアクセスします
-
Citrix Cloudのお客様の地域に対応するSAMLメタデータのURLを入力してください:
- 米国、EU(欧州)、APS(南アジア太平洋)向け:https://saml.cloud.com/saml/metadata
- 日本向け:https://saml.citrixcloud.jp/saml/metadata
- 米国政府機関向け:https://saml.cloud.us/saml/metadata
SAML署名証明書をhttps://www.rcfed.com/SAMLWSFed/MetadataCertificateExtractからダウンロードします。
-
新しく抽出したCitrix Cloud SP SAML証明書をSAMLプロバイダーにアップロードします。 このプロセスはSAMLプロバイダーごとに異なります。適切なSAMLプロバイダーのマニュアルを使用して、SP署名証明書のローテーション手順が適切であることを確認してください。
SAMLプロバイダーによっては、既存のSAML署名証明書を新しい証明書に置き換える必要がある場合があります。場合によっては、SAMLプロバイダーが複数のSP署名証明書を同時にサポートする場合もあるため、新しい署名証明書をアップロードするだけで十分です。有効期限が切れたら、古い証明書を削除することをお勧めします。
代わりのCitrix Cloud SAML署名証明書をAzure Active Directory SAMLアプリケーションにアップロード
Azure Active Directory SAMLアプリを構成する前に、「SAML要求の署名検証」で詳細を参照してください。
- Azure Active Directoryに移動し、Enterprise Applications を選択してお使いのSAMLアプリをクリックします。
-
SAMLアプリケーション内のSAML証明書セクションを探します。
-
[Upload Certificate] を選択し、SAMLメタデータから取得した代わりのCitrix Cloud SAML署名証明書をアップロードします。
注:
Azure Active Directory SAMLアプリでは複数の署名検証証明書を構成できるため、現在の証明書の有効期限が切れる前に余裕をもって代わりの証明書をアップロードできます。次のスクリーンショットには、2つの有効な証明書が表示されています。証明書の1つは、近い将来期限切れになる予定です。アップロードされた証明書の少なくとも1つが有効で、まだ有効期限が切れていない限り、Citrix WorkspaceおよびCitrix CloudへのSAMLログインは引き続き成功し、停止は発生しません。
重要:
メールやCitrix Cloud管理コンソールの通知に記載されているSAMLローテーションの日時が経過するまで、既存の検証証明書は削除しないでください。新しいCitrix Cloud証明書は、これら2つの通知で指定された日時にのみ有効になります。
代わりのCitrix Cloud SAML署名証明書をOkta SAMLアプリケーションにアップロード
Oktaは、複数のSP SAML署名証明書を同時にサポートしていません。現在使用している既存のCitrix Cloud SP署名証明書を新しい証明書で上書きする以外の方法はありません。これは、定期的にスケジュール設定された保守時間に行うことをお勧めします。
-
[アプリケーション] に移動し、[アプリケーション] を選択して、Okta SAMLアプリを検索します
-
[一般] から [SAML設定] に移動し [編集] をクリックして、[SAMLの構成]、[詳細設定を表示する]、[署名付き証明書] の順に選択して代わりの証明書をアップロードします。Oktaは、現在のCitrix Cloud SAML署名証明書をアップロードUIに表示しません。これがアップロードされた後にのみ、代わりの証明書が表示されます。
-
[署名付き証明書] を選択し、[ファイルの参照] をクリックして、Citrix Cloud SAMLメタデータから取得した代わりのCitrix Cloud SAML署名証明書をアップロードします。
重要
メールとCitrix Cloud管理コンソールの通知に記載されているSAMLローテーション日時まで、既存の検証証明書を上書きしないでください。新しいCitrix Cloud証明書は、これら2つの通知で指定された日時にのみ有効になります。