Edge SSO サービス プロバイダ証明書の更新

Edge SSO サービス プロバイダ(SP)では、x509 証明書を使用して認証リクエストに署名し、SAML アサーションを復号します。Apigee のセキュリティ プロセスの一部として、SP 証明書を手動で更新します。通常は、毎年 1 月に行います。証明書が期限切れになると、Apigee から連絡があります。

証明書メタデータが自動的に更新されるように構成されていない ID プロバイダ(IDP)とともに SAML を使用している場合、証明書が更新されるまで、Apigee 管理コンソールの UI にアクセスできません。この変更によって、実行時 API トラフィックが影響を受けることはありません。

証明書メタデータ ファイルをダウンロードする

証明書が含まれているメタデータを手動で追加するか、または静的ファイルから証明書をアップロードして SAML IDP を構成した場合、Apigee によって証明書が更新された後、ユーザーが Apigee 管理コンソールの UI にログインできなくなります。1 月のリリース後、最新の証明書メタデータをダウンロードして、IDP の現在の証明書メタデータを置き換える必要があります。

次の場所から最新の証明書メタデータをダウンロードできます。

https://zoneName.login.apigee.com/saml/metadata/alias/zoneName.apigee-saml-login

zoneName は、Apigee から受け取ったゾーン名に対応しています。たとえば、ゾーン名が「myzone」の場合、URL は次のようになります。

https://myzone.login.apigee.com/saml/metadata/alias/myzone.apigee-saml-login

ADF の証明書メタデータの更新

このセクションでは、Microsoft Active Directory フェデレーション サービス(ADFS)用のメタデータの更新方法を説明します。

その他のすべての IDP については、メタデータに関して IDP のドキュメントをご覧ください。

証明書メタデータを更新する方法は、ADFS の構成方法によって異なります。

  1. 証明書利用者(この場合は Apigee)を監視するように ADFS インスタンスを設定した場合、1 月のリリース後、ADFS 管理ツールで利用できる [フェデレーション メタデータから更新] オプションをクリックして、メタデータを更新します。

    Edge SSO 証明書を更新する
  2. ファイルベースのメタデータを使用する場合:

    1. 1 月のリリース後、次の場所から新しいメタデータをダウンロードします。

      https://zoneName.login.apigee.com/saml/metadata/alias/zoneName.apigee-saml-login

      zoneName は、Apigee から受け取ったゾーン名に対応しています。

    2. 既存のメタデータを削除して、証明書利用者信頼を再作成します。詳細については、ADFS IDP での証明書利用者としての Edge の構成ドキュメントをご覧ください。

ご質問がある場合やサポートが必要な場合は、Apigee のサポートにお問い合わせください。