オンプレミスの Active Directory Federation Service の証明書ライフサイクル管理
オンプレミスの Active Directory を DigiCert ONE と統合する場合、Active Directory Federation Service(AD FS)は、ID プロバイダ(IdP)として機能させるためにローカル環境で使用して展開できる選択肢の 1 つです。
AD FS の運用時には、認証プロセスに不可欠な次の証明書のライフサイクルを管理する必要があります。
サービス通信証明書
これは、AD FS との HTTPS 通信を保護するために使用される TLS(SSL)証明書です。公開 TLS 証明書がインストールされていない場合、次のオプションのいずれかにより取得できます。
DigiCert から証明書を取得する(営業担当者に確認する)
「
Generic Private Server Certificate」テンプレートを使用して、DigiCert® Trust Lifecycle Manager から証明書を発行する1
プライベート TLS 証明書を使用するには、ローカルシステムの信頼できる CA ストアにプライベート CA チェーンをインストールする必要があります。
トークン署名証明書
この証明書は、AD FS が DigiCert ONE に送信する SAML 応答のデジタル署名に使用されます。この証明書は、応答が DigiCert ONE により信頼されていることを保証するために不可欠なものです。この証明書のロールオーバーに関する詳細については、Microsoft のドキュメント『AD FS 用トークン署名証明書とトークン復号証明書の取得と設定』を参照してください。この証明書のロールオーバー後に、DigiCert ONE 設定ポータルで IdP メタデータを更新する必要があります。IdP メタデータの設定に関する詳細については、「Enable and configure single sign-on with SAML」を参照してください。
警告
トークン署名証明書のロールオーバー時に DigiCert ONE の IdP メタデータが更新されていない場合、ユーザー認証に失敗します。
トークン復号証明書
この証明書は、AD FS がサービスプロバイダの受信 SAML リクエストを復号するために使用されます。DigiCert ONE は暗号化された SAML リクエストに対応していないため、この証明書は DigiCert ONE ワークフローでは使用されません。ただし、定期的な証明書メンテナンスの一環として、他の証明書と共にこの証明書も置き換えることを推奨します。この証明書のロールオーバーに関する詳細については、Microsoft のドキュメント『AD FS 用トークン署名証明書とトークン復号証明書の取得と設定』を参照してください。