none
IdP証明書更新の間隔について RRS feed

  • 質問

  • Azure Active Directory→アプリの登録→エンドポイント→フェデレーションメタデータドキュメントのIDPSSODescriptorタグ内のX509証明書がいつの間にか変更されました。

    ①まず、実際に証明所が勝手に変更されるかの事実確認を行なわせてください。
    人づてに聞いた話では6週間毎に変更されると伺っていますが、エビデンスとしてそれらの情報が記載されているページがあると助かります。
     
    ②加えまして証明書の変更発生をさせない手段、あるいは変更頻度の低減をする手段があるか、変更を予告、通知する手段があるかを教えてください。
    ③また、それらに関してAzure ADのエディション別に差異がありましたらエディション別に教えてください。

    2020年2月14日 2:38

回答

  • 以下のURLが参考になるかもしれません。

    Azure Active Directory の署名キーのロールオーバー
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-signing-key-rollover
    これらのキーは定期的にロールオーバーされ、緊急時にはすぐにロールオーバーされる可能性があることにご注意ください。

    また、以下のURLを確認する限り、署名キーのロールオーバーを止める方法はないもようです。また、1年以上前の情報となりますが、変更の通知も行っていないそうです。
    そのため、アプリケーション側で署名キーのロールオーバーを自動的にハンドルすることが望ましいとあります。

    Azure AD SAML authentication signing certificate change
    https://stackoverflow.com/questions/49638670/azure-ad-saml-authentication-signing-certificate-change

    アプリケーションに影響が波及するかどうかの評価とその対処法
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-signing-key-rollover#how-to-assess-if-your-application-will-be-affected-and-what-to-do-about-it
    • 回答としてマーク _nameless_ 2020年2月17日 3:18
    2020年2月15日 17:15

すべての返信

  • 以下のURLが参考になるかもしれません。

    Azure Active Directory の署名キーのロールオーバー
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-signing-key-rollover
    これらのキーは定期的にロールオーバーされ、緊急時にはすぐにロールオーバーされる可能性があることにご注意ください。

    また、以下のURLを確認する限り、署名キーのロールオーバーを止める方法はないもようです。また、1年以上前の情報となりますが、変更の通知も行っていないそうです。
    そのため、アプリケーション側で署名キーのロールオーバーを自動的にハンドルすることが望ましいとあります。

    Azure AD SAML authentication signing certificate change
    https://stackoverflow.com/questions/49638670/azure-ad-saml-authentication-signing-certificate-change

    アプリケーションに影響が波及するかどうかの評価とその対処法
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-signing-key-rollover#how-to-assess-if-your-application-will-be-affected-and-what-to-do-about-it
    • 回答としてマーク _nameless_ 2020年2月17日 3:18
    2020年2月15日 17:15
  • NOBTA 様
    返信いただきありがとうございます。

    まとめますと、
    ①定期的、場合によっては直ちに更新される。具体的な更新周期に関して明示はされていない。
    ②更新の予告、通知は行なっていない。アプリ側で変更を検知する必要と、複数証明書を取り込めるように対応する必要がある。
    でしょうか。

    こちらでも情報を探してはいますが、エディション別で変更周期が異なるという情報は見つからなさそうです。

    2020年2月17日 3:19