none
ADFSの自動ロールオーバー機能 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADFSの自動ロールオーバ機能で証明書が更新された場合の説明に

    1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。

    2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。

    ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。

    ※の記述の意味が分からないのですが、ご存知の方がいらっしゃれば教えてください。

    AD FS の自動証明書ロールオーバー機能についてというTechnetのページで

    https://blogs.technet.microsoft.com/jpntsblog/2016/10/13/ad-fs-%E3%81%AE%E8%87%AA%E5%8B%95%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%AA%E3%83%BC%E3%83%90%E3%83%BC%E6%A9%9F%E8%83%BD%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/

    (d) 想定されるリスク

    がありますが具体的に何を確認すればよいのでしょうか?

    2017年11月28日 1:36
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    Office 365(Azure Active Directory)のように、自動的にメタデータの変更を検出できないような環境の場合、相手先で登録してあるADFSのトークン署名/トークン暗号化解除証明書を新しいものに更新しておく必要があります。

    具体的には、例えば相手がOffice 365であれば

    Update-MSOLFederatedDomain -DomainName [ドメイン名]

    を実施して証明書情報を更新します。

    その5日間の間にコマンドを実施すれば プライマリとセカンダリの証明書が両方相手側に伝わっておりますので、実際にロールオーバーされても通信が継続できるようになります。

    2017年11月29日 2:49
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    Office 365(Azure Active Directory)のように、自動的にメタデータの変更を検出できないような環境の場合、相手先で登録してあるADFSのトークン署名/トークン暗号化解除証明書を新しいものに更新しておく必要があります。

    具体的には、例えば相手がOffice 365であれば

    Update-MSOLFederatedDomain -DomainName [ドメイン名]

    を実施して証明書情報を更新します。

    その5日間の間にコマンドを実施すれば プライマリとセカンダリの証明書が両方相手側に伝わっておりますので、実際にロールオーバーされても通信が継続できるようになります。

    2017年11月29日 2:49
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Genki.wさん、回答ありがとうございます。

    補足というか確認なのですが、Azure AD Connectで同期+AD FS認証しているOffice 365システムの場合、証明書の更新=同期をしていれば、自動更新されているので、コマンド実施も不要だと思っています。

    https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-o365-certs#autorenew

    技術的要素は、おっしゃるとおりかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月29日 4:48
    |
    モデレータ