Edge SSO サービス プロバイダ(SP)では、x509 証明書を使用して認証リクエストに署名し、SAML アサーションを復号します。Apigee のセキュリティ プロセスの一環として、Apigee の SP 証明書は毎年(通常は 1 月に)更新されます。証明書の有効期限が近づくと、Apigee から連絡があります。
SAML で使用している ID プロバイダ(IDP)が、証明書メタデータを自動的に更新するように構成されていない場合は、お客様が手動で証明書を更新するまで、Apigee 管理コンソールの UI にアクセスできません。この変更によって、実行時 API トラフィックが影響を受けることはありません。
証明書メタデータ ファイルをダウンロードする
SAML IDP を構成したときに証明書を含むメタデータを手動で追加したか、静的ファイルから証明書をアップロードした場合は、Apigee によって証明書が更新された後、ユーザーは Apigee 管理コンソールの UI にログインできなくなります。1 月にリリースされた最新の証明書メタデータをダウンロードして、IDP の現在の証明書メタデータを置き換える必要があります。
次の場所から最新の証明書メタデータをダウンロードできます。
https://zoneName.login.apigee.com/saml/metadata/alias/zoneName.apigee-saml-login
ここで、zoneName は Apigee から通知されたゾーン名に対応します。たとえば、ゾーン名が「myzone」の場合、URL は次のようになります。
https://myzone.login.apigee.com/saml/metadata/alias/myzone.apigee-saml-login
ADF の証明書メタデータの更新
このセクションでは、Microsoft Active Directory フェデレーション サービス(ADFS)用のメタデータの更新方法を説明します。
その他のすべての IDP については、メタデータに関して IDP のドキュメントをご覧ください。
証明書メタデータを更新する方法は、ADFS の構成方法によって異なります。
ADFS インスタンスをセットアップしたときに証明書利用者(この場合は Apigee)をモニタリングするように設定した場合は、1 月に証明書がリリースされた後、ADFS 管理ツールの [フェデレーション メタデータから更新] オプションをクリックしてメタデータを更新します。
ファイルベースのメタデータを使用する場合:
1 月のリリース後、次の場所から新しいメタデータをダウンロードします。
https://zoneName.login.apigee.com/saml/metadata/alias/zoneName.apigee-saml-login
ここで、zoneName は Apigee から通知されたゾーン名に対応します。
- 既存のメタデータを削除して、証明書利用者信頼を再作成します。詳細については、ADFS IDP での証明書利用者としての Edge の構成ドキュメントをご覧ください。
ご質問がある場合やサポートが必要な場合は、Apigee のサポートにお問い合わせください。