SAML 署名に外部証明書を使用するには、Workspace ONE Access コンソールから証明書署名リクエスト (CSR) を生成する必要があります。CSR が認証局に送信され、SAML 署名証明書が生成されます。

注: Workspace ONE Access サービスで外部署名付き証明書を使用するには、 Workspace ONE Access コンソールから認証局に送信する CSR を生成する必要があります。

証明書署名リクエストの生成

[手順]

  1. Workspace ONE Access コンソールの [リソース] > [Web アプリケーション] ページで、[設定][SAML メタデータ] を選択します。
  2. [CSR を生成] タブを開きます。
  3. 必要な情報を入力します。
    オプション 説明
    共通名 完全修飾ドメイン名を入力します。次に例を示します。www.example.com
    組織 法的に登録された組織の名前を入力します。次に例を示します。Mycompany, Inc.
    部門 証明書に追加される会社の部署名を記入します。たとえば、IT Services となります。
    市区町村 組織が法的に位置する市区町村を入力します。
    都道府県 組織が位置する都道府県または地域を入力します。省略せずに入力します。
    国名の数文字を入力して、表示される候補から該当する国を選択します。
    キー生成アルゴリズム CSR に署名するために使用されるセキュア ハッシュ アルゴリズムを選択します。
    キー サイズ キーで使用されるビット数を選択します。RSA 2048 が推奨されます。2048 未満の RSA キー サイズは安全でないと見なされます。
  4. [生成] をクリックします。

CSR をコピーして、証明書を作成する認証局に渡します。

認証局の署名証明書のアップロード

証明書を受け取ったら、証明書を Workspace ONE Access サービスにアップロードします。認証局 (CA) は自己署名証明書を置き換えます。

  1. Workspace ONE Access コンソールの [リソース] > [Web アプリケーション] ページで、[設定][SAML メタデータ] を選択します。
  2. [CSR を生成] タブを開きます。
  3. [証明書をアップロード] をクリックし証明書に移動します。
  4. [開く] をクリックします。

    Workspace ONE Access コンソールの SAML 署名証明書と SAML メタデータ ファイルは、新しい証明書で更新されます。

  5. [統合] > [コネクタ] ページに移動し、各コネクタの [再起動] をクリックします。

    メタデータがコネクタで更新されます。

次に、更新された SAML メタデータ ファイルを使用して、すべての SAML サービス プロバイダおよび ID プロバイダを再構成します。この手順を実行しないと、SAML トランザクションが失敗し、シングル サインオンは機能しません。Workspace ONE Access から SAML 署名証明書をダウンロードして証明書利用者アプリケーションで構成するを参照してください。