Entra ID と AWS IAM Identity Center を連携している環境において SAML 証明書を更新してみた
Entra ID と AWS IAM Identity Center を SAML で連携している環境では、Entra ID 側の証明書の更新作業が必要となります。AWS IAM Identity Center では証明書を 2 つ登録できることから、新しい証明書への移行をスムーズに実施できます。実際に証明書の更新作業を試してみました。
証明書の更新イメージ
Entra ID の証明書を更新する流れのイメージです。
Entra ID エンタープライズアプリケーションで新しい証明書を発行して、AWS IAM Identity Center に新旧両方の証明書を登録します。その後に、新しい証明書に切り替えます。
証明書の更新を試してみた
今回は Entra ID 管理センターで作業をします。同じ作業は Azure ポータルでも実施できると思います。
まずは WS IAM Identity Center に対応する Entra ID の「エンタープライズアプリケーション」を選択します。この画面から証明書の有効期限日も確認できます。検証環境のため更新まで十分な期限がありますが、今回はこのまま新しい証明書を発行してみます。
「シングルサインオン」メニューにおいて「SAML 署名証明書」の「編集」をクリックします。
「新しい証明書」をクリックします。
新しい証明書が追加されていることを確認して「保存」を実行します。
この時点では新しい証明書の「状態」は 非アクティブ です。今回のケースでは、保存前と比較して証明書の表示順番が入れ替わっていました。
AWS IAM Identity Center にアップデートするために、証明書をダウンロードします。
新しく作成した証明書の「⋯」から「PEM 証明書のダウンロード」を実行して保存します。
次に、AWS IAM Identity Center に証明書をアップロードします。
AWS IAM Identity Center の「設定」における「アイデンティティ」タブを選択し、「アクション」→「認証の管理」を選択します。
「SAML 2.0 証明書を管理」項目において「証明書をインポート」を実行します。説明に記載されているとおり、最大 2 つの証明書を設定できるため、新旧両方の証明書をインポートできます。
「ファイルを選択」から Entra ID で発行した新しい証明書をアップロードして「証明書をインポート」を実行します。
インポート後は 2 つ目の証明書が追加されたことを確認できました。有効状態にチェックマークがあることも確認しておくとよいと思います。
AWS IAM Identity Center 側に新しい証明書が追加されたため、Entra ID 側で新しい証明書に切り替えます(新しい証明書をアクティブ化します)。
AWS IAM Identity Center に対応するエンタープライズアプリケーションの「シングルサインオン」メニューを開き、SAML 証明書の「編集」をクリックします。
新しく作成した非アクティブ状態の証明書の「⋯」をクリックして「証明書をアクティブにする」を実行します。
下記確認画面が表示されます。先ほど、AWS IAM Identity Center 側でオンボードしているため「はい」を実行します。
非アクティブな証明書をアクティブ化しようとしています。アプリケーションのダウンタイムを防ぐには、この証明書がアプリケーションのサイト上のアプリケーションに正常にオンボードされていることを確認してください。
数秒で新しく発行した証明書がアクティブになり、古い証明書が非アクティブに変更されました。
ブラウザのシークレットウインドウを開き、AWS IAM Identity Center のアクセスポータルに Entra ID ユーザーでサインインできることを確認してみたところ、問題なくサインインできました。
最後に、Entra ID と AWS IAM Identity Center に存在する更新前の古い証明書を削除します。
Entra ID において、AWS IAM Identity Center に対応するエンタープライズアプリケーションの「シングルサインオン」メニューを開き、SAML 証明書の「編集」をクリックします。
更新前の古い証明書の「⋯」から「証明書の削除」を実行します。削除してよいかの確認メッセージも表示されるため確認して実行します。
数秒で証明書が削除され、新しい証明書のみの状態になりました。
AWS IAM Identity Center においても更新前の証明書を削除します。「設定」における「アイデンティティ」タブを選択し、「アクション」→「認証の管理」を選択します。
古い証明書を選択して「削除」を実行します。Entra ID 同様に削除してよいかの確認が表示されるため、確認して削除します。
数秒で削除され、新しい証明書のみとなりました。
念のため、再度シークレットウインドウで AWS IAM Identity Center に Entra ID ユーザーでサインインできることを確認し、問題なくサインインできることも確認できました。
以上で Entra ID の SAML 証明書の更新は完了です。
さいごに
Entra ID と AWS IAM Identity Center を SAML で連携している環境において、Entra ID 側の証明書の更新作業を試してみました。実は以前にも試したことがあったのですが、双方のサービス名が変わっていたため改めて試してみました。前回の下記ブログと異なり、今回は Entra ID 管理センターから作業している点も違いです。手順の流れや設定内容は変わりなく、UI が変わっている程度の違いでした。
以上、このブログがどなたかのご参考になれば幸いです。
