2023年クラウドSSO証明書更新
2023年7月のSSO証明書更新に関する説明
このドキュメントは、Keeper SSO Connect Cloud を特定のアイデンティティプロバイダと使用している法人のお客様に影響しますので、必ずお読みください。
注: Keeper側では何も変更する必要はありません。Keeper SSO設定を再設定しないでください 。何も削除しないでください。唯一必要なアクションは、IDプロバイダ上でKeeperの証明書を更新することです。
2023年7月20日12:18(米国太平洋標準時)に、SAMLリクエストの署名に使用されているKeeperの現在のクラウドSSO証明書の有効期限が切れます。これはサービスプロバイダー(SP)証明書と呼ばれています(IdP証明書ではありません)。
新しいサービスプロバイダー証明書を公開しました。証明書はXMLメタデータファイルに埋め込まれており、Keeper管理コンソールから「SP証明書のエクスポート」を直接ダウンロードすることも可能です。
影響を受けないお客様
Azure、Okta、Googleの基本設定を使用しているお客様は影響を受けません。
Keeper Automator を SSO Cloud と一緒に使用している場合、影響を受けません。
また、Automator に追加した証明書によって処理されるため、証明書を更新する必要はありません。 SSO On-Prem を使用している場合は、影響を受けません。
影響を受けるお客様
ADFS with Cloud SSO Connect(Automatorなし)を使用している場合、影響を受けます。
Ping Identity(Automatorなし)を使用している場合、影響を受けます。以下の説明をお読みください。
SLO(シングルログアウト)を有効にしてOktaを使用している場合、影響を受けます。以下の説明をお読みください。
JumpCloud(Automatorなし)を使用している場合、影響を受けます。以下の説明をお読みください。
サービスプロバイダ主導のSLO(シングルログアウト)を使用している場合、影響を受けます。 ID プロバイダで、当社の証明書を使用して SAML アサーションを暗号化する設定を行っている場合、影響を受けます(ID プロバイダが期限切れの証明書による暗号化を拒否した場合)。
他の ID プロバイダは、証明書の有効期限が切れている場合、要求を拒否することがあります。
定かでない場合はIDプロバイダが認証を拒否した場合に備えて、7月20日に更新を実行できるようにご準備ください。
対応するには?
IDプロバイダの「サービスプロバイダ証明書」を更新するだけです(Keeperのサービスプロバイダメタデータまたはサービスプロバイダ証明書をアップロードする)。これは今すぐ実行できます。 メタデータとSP認証はKeeper管理コンソールからご利用可能です。
準備
重要: SSO が利用できない、または有効期限切れの証明書の影響を受ける場合に備えて、SSOノードの外部に存在するアカウントとマスターパスワードで管理コンソールにログインできるようにしておいてください。
証明書の更新はわずか数分で済みます。
ADFSの手順
ADFSのサービスプロバイダ証明書を更新するには、以下の手順に従ってください。
Keeper 管理コンソールにログインしてください。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
AD FS 管理コンソールで Keeper Cloud SSO Relying Party Trust プロパティを選択します。
「暗号化」タブで、古い証明書を新しい証明書に置き換えます。
「署名」タブで、新しい SP 証明書をこの新しい証明書で追加/置換します。
Azure Instructions
Azureは証明書の有効期限の影響を受けないようですが、メタデータの更新は簡単です。
Azure Portal > Enterprise Applications > Keeper Password Manager > Single Sign-On にアクセスします。
一番上の「メタデータファイルをアップロード」をクリックします。
Keeperからダウンロードしたメタデータxmlファイルを選択します。
「保存」をクリック
Okta Instructions
Oktaでシングルログアウトを有効にしている場合にのみ
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
Okta 管理コンソール > アプリケーション > Keeper > サインオンタブに移動します。
「シングルログアウトを有効にする」を有効にしている場合...
「編集」をクリックし、KeeperからSP認証をアップロードし、「保存」をクリックします。
シングルログアウトを有効にしていない場合は、何もすることはありません。
JumpCloud Instructions
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP 認証エクスポート」をクリックし、証明書ファイルを保存します。
JumpCloud 管理ポータルに移動し、SSO に移動します。
Keeperアプリケーション > SSOタブを開きます。
「SP証明書の置き換え」をクリックし、新しいSP証明書ファイルを選択します。 (IdP証明書ではありません!)
Ping Identity Instructions
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
Ping Identity ポータルにログインします。
Ping Identityポータルの通知センターで、有効期限が切れる証明書が通知されます。
Ping ポータルで、Keeper アプリケーションを開きます。 「検証証明書」と「暗号化証明書」を更新します。 (または、新しいKeeperメタデータをアップロードしてください)
他の ID プロバイダ向けの手順
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
メタデータのエクスポート」をクリックし、証明書を含むメタデータファイルを保存します。
アイデンティティプロバイダーポータルにログインし、Keeper の SSO 設定を表示します。
KeeperのSP証明書ファイル(または必要な場合はメタデータ)を指示に従ってアップロードし、サービスプロバイダ証明書を更新して保存します。
お手伝いが必要ですか?
管理コンソールにログインできない場合は、サポートケースを開いてください。お客様の ID プロバイダと環境に関するすべての関連情報を提供してください。 サポートが必要な場合は、以下のリンクからサポートチケットを開いてください。
Q&A
Q: どの証明書が更新されていますか?
A: sso.keepersecurity.com の SAML 署名証明書が更新されました。 新しい証明書は現在稼働しており、2024 年 7 月まですべてのリクエストの署名に使用されます。この証明書は、リクエストへの署名、シングルログアウト(SLO)リクエストの送信に使用され、アイデンティティプロバイダからのアサーションを暗号化するために使用できます(そのように構成されている場合)。
Q: 弊社は影響を受けますか?
A: 上記の文書では、どのようなお客様が影響を受けるかを特定しています。もしご存知でなければ、古い証明書がまだ有効なうちに、今すぐ証明書を更新してください。それがベストプラクティスです。
Q: 鍵は変更されますか?
A: いいえ。現在の証明書が更新されるだけです。公開鍵は変更されず、証明書の有効期限のみが変更されます。
Q: なぜこのようなことが起きているのでしょうか?
A: すべての証明書は毎年更新しなければなりません。2020年以降、公開認証局は証明書を1年に1回更新することを義務付けています(複数年の証明書を購入した場合も同様)。
Q: SSO Connect On-Premは影響を受けますか?
A: いいえ、SSO Connect Cloudをご利用のお客様にのみ影響します。
Q: なぜAutomatorを使用すると影響を受けないのですか。
A: Automatorを設定する際、署名に使用される証明書はKeeperの証明書ではなく、Automatorの設定から取得されます。
Q: Automatorの設定方法を教えてください。
A: Keeper Automatorのサービス情報はこちらをご覧ください: https://docs.keeper.io/sso-connect-cloud/device-approvals/automator また、Automatorは毎年更新される証明書が必要です。時間間隔が違うだけです。
Last updated