SAML証明書の更新方法と注意点

New RelicのログインではSAML SSOを使って、任意のIDプロバイダーと連携し、ログインしていただけるようになっております。このSAML設定時には必ず、IDプロバイダーから証明書が発行されます。またその証明書には有効期限があり、定期的に証明書が更新されるため、その更新方法に関して説明します。

証明書の設定

実際の更新方法を紹介する前にまず、New Relicでどのように証明書が設定されているかを紹介します。

すでにSAMLを設定されている方々はご存知かと思いますが、SAML SSOを設定する場合、New RelicのAuthentication Domainの設定にて行っていただきます。その中に「Source of SAML metadata」という項目があり、こちらが証明書に関連する設定となります。

また、上記設定には以下の2つの選択肢があります。

• Identity provider metadata URL
• Upload a certificate

1つ目は、URLにて設定する方式となります。例えばEntraIDの場合「フェデレーション メタデータ エンドポイント」と記載されており、このURLにアクセスした先に証明書の情報が含まれるため、URLを設定すれば証明書も設定されたことになります。

また、2つ目は証明書をNew Relicに直接アップロードして頂く方法です。こちらを利用する場合、PEMでエンコードされたx509証明書をアップロードして頂く必要があります。

通常は、IDプロバイダーから提供されたURLを設定されるケースが多いかと思われます。

実際の証明書の更新作業

New Relic上での証明書の更新作業は、前述の「Source of SAML metadata」を変更していただく。という対応になります。現在の設定の確認や変更に関しては、Administration > Authentication Domains の画面から対象のAuthentication Domainの右側の「...」からManageを選択していただくことで確認していただけます。

URLで設定されている場合

IDプロバイダー側で証明書の更新作業を行った場合、通常はURL自体は変わらず、URLから取得される内容が変更されるのみのようです。この場合、New Relic上の設定を変更して頂く必要はなく、そのままご利用いただけます。なお、URLが変更される場合は、先の設定にて新しいURLを設定してください。

実際にURLが変更されるかに関してはご利用のIDプロバイダーにご確認ください。

証明書をUploadされている場合

先の設定にて新しい証明書をUploadし直してください。アップロード後から新しい証明書が適用されるようになります。なお、新旧の証明書を並行することはできないため、ユーザがログインを実施しないタイミング等に更新していただくのが良いものと思われます。

注意点

SAML SSOの設定を変更する場合、設定変更のミスのよりログインができなくなるというリスクがあります。お客様の設定されたログインがSAML SSOのみの場合、設定を修正するためにログインをすると行ったこともできなくなります。

そのため、基本的には別のAuthentication Domainにてパスワードでログインでき、必要な権限を持つユーザを残している状態で設定を変更していただくのが推奨となります。

なお、上記のパスワードログインを設定していないにも関わらず、SAML SSOの設定の問題によりログインできなくなった場合、こちらに記載のワンタイムアクセスにて、復旧を試みていただきますようお願い致します。