developersIO
Entra ID と Google Workspace を連携している環境において SAML 証明書を更新してみた

Entra ID と Google Workspace を連携している環境において SAML 証明書を更新してみた

Entra ID と Google Workspace のシングルサインオンにおける SAML 署名証明書更新手順です。SAML 署名証明書には有効期限がありますので期限が切れる前に更新作業をしましょう。
Google Workspace(G Suite)Microsoft Entra IDSAML
FacebookHatena blogX
2026.03.09

Entra ID と Google Workspace を SAML で連携している環境では、Entra ID 側の証明書の更新作業が必要となります。

以下手順を参考に Entra ID と Google Workspace の SAML 証明書更新作業を試してみました。

https://dev.classmethod.jp/articles/entra-id-aws-iam-identity-center-saml-certificate-renewal/

証明書の更新イメージ

Entra ID の証明書を更新する流れのイメージです。
Entra ID エンタープライズアプリケーションで新しい証明書を発行して、Google Workspace に新旧両方の証明書を登録します。その後に、新しい証明書に切り替えます。

entra-id-gws.png

証明書の更新を試してみた

今回は Entra ID 管理センターで作業をします。同じ作業は Azure ポータルでも実施できると思います。
まずは Google Workspace に対応する Entra ID の「エンタープライズアプリケーション」を選択します。この画面から証明書の有効期限日も確認できます。検証環境のため更新まで十分な期限がありますが、今回はこのまま新しい証明書を発行してみます。

entra-id-saml-1.png

「シングルサインオン」メニューにおいて「SAML 署名証明書」の「編集」をクリックします。

entra-id-saml-2.png

「新しい証明書」をクリックします。

entra-id-saml-3.png

新しい証明書が追加されていることを確認して「保存」を実行します。

entra-id-saml-4.png

この時点では新しい証明書の「状態」は 非アクティブ です。今回のケースでは、保存前と比較して証明書の表示順番が入れ替わっていました。

entra-id-saml-5.png

Google Workspace にアップロードするために、証明書をダウンロードします。
新しく作成した証明書の「⋯」から「Base64 証明書のダウンロード」を実行して保存します。

entra-id-saml-6.png

次に、Google Workspace に証明書をアップロードします。
「セキュリティ」 → 「認証」 → 「サードパーティの IdP による SSO」を選択します。「サードパーティの SSO プロファイル」から対象の SAML プロファイルをクリックします。

gws-saml-1.png

「IdP の詳細」から編集マークをクリックし、「別の証明書をアップロード」をクリックします。先ほどダウンロードした .cer の拡張子のファイルを開きます。

gws-saml-2.png

新しい有効期限で「保留」と記載された2つ目の証明書が追加されたことを確認し、「保存」をクリックします。説明に記載されているとおり、最大 2 個までの証明書を設定できるため、新旧両方の証明書をインポートできます。

gws-saml-3.png

Google Workspace 側に新しい証明書が追加されたため、Entra ID 側で新しい証明書に切り替えます(新しい証明書をアクティブ化します)。
Google Workspace に対応するエンタープライズアプリケーションの「シングルサインオン」メニューを開き、SAML 証明書の「編集」をクリックします。

新しく作成した非アクティブ状態の証明書の「⋯」をクリックして「証明書をアクティブにする」を実行します。

entra-id-saml-7.png

下記確認画面が表示されます。先ほど、Google Workspace 側でオンボードしているため「はい」を実行します。

entra-id-saml-8.png

数秒で新しく発行した証明書がアクティブになり、古い証明書が非アクティブに変更されました。

entra-id-saml-9.png

ブラウザのシークレットウインドウを開き、Google ドライブなどのサービスにアクセスして Entra ID ユーザーでサインインできることを確認してみたところ、問題なくサインインできました。

login-test.png

最後に、Entra ID と Google Workspace に存在する更新前の古い証明書を削除します。
Entra ID において、Google Workspace に対応するエンタープライズアプリケーションの「シングルサインオン」メニューを開き、SAML 証明書の「編集」をクリックします。

更新前の古い証明書の「⋯」から「証明書の削除」を実行します。削除してよいかの確認メッセージも表示されるため確認して実行します。

entra-id-saml-10.png

数秒で証明書が削除され、新しい証明書のみの状態になりました。

Google Workspace においても更新前の証明書を削除します。
「セキュリティ」 → 「認証」 → 「サードパーティの IdP による SSO」を選択します。「サードパーティの SSO プロファイル」から対象の SAML プロファイルをクリックします。
「IdP の詳細」から編集マークをクリックし、有効期限が古い証明書 のゴミ箱マークをクリックします。

gws-saml-4.png

その後、忘れずに「保存」をクリックします。

念のため、再度シークレットウインドウで Google ドライブなどのサービスに Entra ID ユーザーでサインインできることを確認し、問題なくサインインできることも確認できました。
以上で Entra ID の SAML 証明書の更新は完了です。

この記事をシェアする

FacebookHatena blogX

関連記事

Entra ID と AWS IAM Identity Center を連携している環境において SAML 証明書を更新してみた
yhana
2026.02.21
Okta から Google Workspace への SSO を実装する
村田一紘
2025.11.07
ユーザープロビジョニング無しで Okta から Google Workspace への SSO を実装する
村田一紘
2026.03.03
OktaでSalesforceをSAML連携させてシングルサインオン(SSO)してみた #okta
きだぱん
2025.11.18