マルチSSO時にIDP証明書を安全に自己更新し、「IDP証明書の不一致」が発生しないようにする方法Issue いくつかの ID プロバイダー (IdP) サーバー (ADFS など) は、証明書の有効期限が切れる 2 〜 4 週間前にアクティブな証明書を変更し、マルチ SSO 構成でアラートと認証エラーを引き起こす可能性があります。証明書が変更されたら、ユーザーがログインしようとしたときに SSO 認証エラーが発生しないように、すべてのインスタンスを更新する必要があります。 症状 SSO証明書を自分で更新できるのは、 マルチ SSO プラグインがインストールされています。IdP メタデータ URL にはインスタンスからアクセスできます。ユーザーがログインしようとするとエラーメッセージが表示され、ログアウトページが表示されます。ユーザーがログインしようとすると、システムログに「IDP 証明書の不一致」エラーが表示されます。IDP から提供された証明書によってインスタンスの SAML 証明書が更新されると、ユーザーは再度ログインできるようになります。CauseIdP が署名証明書を変更したため、インスタンスは IdP から受信した SAML 要求を確認できません。ResolutionKingston リリースには、IdP レコードに設定された IdP メタデータ URL から IdP メタデータをフェッチし、その証明書を自動的に更新できるスケジュール済みジョブ「Refresh MultiSSO IDP Metadata」があります。 システムが IdP メタデータから証明書を自動的に更新できるようにするには、インスタンスから Idp メタデータ URL にアクセスできることを確認する必要があります。そうでない場合は、Idp が証明書を変更するたびに、証明書を手動で更新し続ける必要があります。アクセス可能なメタデータ URL がある場合は、次の手順を実行する必要があります。 リストビューで IdP レコードを開きます ([ID プロバイダー] という名前のメニューからではなく、SAML2 テーブルから)。例: <instance>/saml2_update1_properties_list.do?sysparm_query=IDP がアクティブであることを確認し、「IDP メタデータ URL」(saml2_update1_properties.idp_metadata_url) を IDP メタデータ (署名証明書を含む) を指す URL に設定します。ssocircleの場合は「https://idp.ssocircle.com/」ですスケジュール済みスクリプト実行「Refresh MultiSSO IDP Metadata」がアクティブで、30 分ごとに実行されていることを確認します。<instance>/sysauto_script_list.do?sysparm_query=name%3DRefresh%20MultiSSO%20IDP%20Metadataスケジュール済みジョブが正しく実行されていることを検証します。証明書は 30 分ごとに更新されます。 注: この更新により、暗号化証明書と署名証明書の両方が取得される可能性があります。ただし、マルチ SSO は署名証明書のみを使用します。 Related LinksIdP メタデータ URL に関する参考資料をいくつかご紹介します。 SSO サークルの場合、メタデータはここにあります。 https://idp.ssocircle.com/OKTA の場合、SAML メタデータ URL の汎用形式は https://[okta_org_url].okta.com/app/[app_id]/sso/saml/metadata です。ADFS の場合、メタデータは通常 https://<adfs URL>/FederationMetadata/2007-06/FederationMetadata.xml にありますAzure の場合、https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml 必要な正しいメタデータ URL を検証するには、IdP アドミニストレーターにお問い合わせください。