none
ADFSサーバーのサービス通信証明書入れ替えについて RRS feed

  • 質問

  • お世話になります。

    以下についてご回答お願いします。

    ※また、「お客様のアカウントが確認されるまで、本文に画像やリンクを含むことはできません。」と表示されるので、構成図イメージの画像を添付できておりません。

    <背景>
    証明書発行機能を持つADサーバーを、Windows2008から2016へリプレイスした。
    それに伴い、SaaSアプリケーションへのSSO実装用のADFSサーバーに登録している、サービス通信証明書の再発行と入れ替え作業を実施した。

    <事象>
    切替した直後(②)は、旧ADは停止しているため、新しいADにて証明書を再発行して登録しなおす(③)まで、SSO機能が使えないと想定していました。
    しかし実際はSSO機能が問題なく使えていたため、新しい証明書(新ADにて発行したもの)に切り替えた後でも、
    ADFSが新しい証明書を使って通信ができているのかの確証がとれませんでした。

    <質問>
    1)サービス通信証明書は、ユーザー(個人PC)とADFS間の証明書であり、AD(証明書発行機関)の停止には影響ないということでしょうか?
    それとも切替した直後(②)にSSOができていたのは、キャッシュなどが残っていたということなのでしょうか?

    2)サービス通信証明書を入れ替えた場合に、正しく通信できていることを確認する方法はありますか?
    ブラウザの証明書マークを押下し、表示される内容は新しいADにて発行した証明書の内容になっております。

    2019年11月29日 3:01

回答

  • チャブーンです。

    この件ですが、おっしゃる動作は「仕様」であり、問題はありません。

    まずAD CS(Active Directory証明書サービス)はどんな使われ方をしているか、ですが、AD CSサービスがオンデマンドで行うことは、「証明書の発行」のみとなります。AD FSに必要な「Active Directory認証」や「CRLの確認」は含まれていません。

    CRLは証明書の有効性を確認するために使われ、AD FSではチェックを行っています。CRLはAD CSが発行しますが、モノは「Active Diirectory」内で公開されており、ドメインコントローラーが1台以上あれば、AD CSの有無は関係なく参照できます。またActive Directory認証はAD CSと無関係に実施されますので、これも認証を受けてくれる任意のドメインコントローラーがあれば、問題はないのです。

    したがってこのケースでは、動作に支障はないわけです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年11月29日 5:02
    モデレータ
  • チャブーンです。

    SaaSアプリケーション以外が原因で、SSOができなくなる場合というのは、以下のケースでしょうか?

    だいたいあっていますが、厳密には違う部分があります。いったんAD FSで認証した場合、Cookieによるセッションキャッシュが生成され、AD FSからサインアウトするまではそのキャッシュが有効になるためです。その場合、ドメインコントローラーは一時的に動作していなくても、(認証キャッシュがあるので)動作はするでしょう。Cookieに関しては、したのページを参考にしてください。

    https://forsenergy.com/ja-jp/adfs/html/0357bdbc-219d-4ec1-a6d0-1a3376bc1eb5.htm


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ig1994 2019年12月6日 7:33
    2019年11月29日 9:22
    モデレータ

すべての返信

  • <構成>
    AD
    Windows 2016(移行前はWindows2008).
    マルチマスター構成。(うち1台が証明書発行機能を持つ)

    ADFS
    Windows2012。
    ADにて発行したサービス通信証明書を利用。
    2019年11月29日 3:01
  • ※また、「お客様のアカウントが確認されるまで、本文に画像やリンクを含むことはできません。」と表示されるので、構成図イメージの画像を添付できておりません。

    投稿頂いた構成図はこちらでしょうか?

    2019年11月29日 4:14
  • 投稿頂いた構成図はこちらでしょうか?

    はい、そちらです。

    宜しくお願いします。

    2019年11月29日 4:21
  • チャブーンです。

    この件ですが、おっしゃる動作は「仕様」であり、問題はありません。

    まずAD CS(Active Directory証明書サービス)はどんな使われ方をしているか、ですが、AD CSサービスがオンデマンドで行うことは、「証明書の発行」のみとなります。AD FSに必要な「Active Directory認証」や「CRLの確認」は含まれていません。

    CRLは証明書の有効性を確認するために使われ、AD FSではチェックを行っています。CRLはAD CSが発行しますが、モノは「Active Diirectory」内で公開されており、ドメインコントローラーが1台以上あれば、AD CSの有無は関係なく参照できます。またActive Directory認証はAD CSと無関係に実施されますので、これも認証を受けてくれる任意のドメインコントローラーがあれば、問題はないのです。

    したがってこのケースでは、動作に支障はないわけです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年11月29日 5:02
    モデレータ
  • ご回答ありがとうございます。

    証明書発行機関が停止していても、ドメインコントローラーによって認証できていたため、SSOが機能していたと理解しました。

    SaaSアプリケーション以外が原因で、SSOができなくなる場合というのは、以下のケースでしょうか?

    ①サービス通信証明書の有効期限切れや登録されていない状態の時

    ②トークン署名証明書・トークン暗号化解除証明書の有効期限切れや登録されていない状態の時

    ③AD(2台)、またはADFSが停止した場合

    2019年11月29日 6:29
  • チャブーンです。

    SaaSアプリケーション以外が原因で、SSOができなくなる場合というのは、以下のケースでしょうか?

    だいたいあっていますが、厳密には違う部分があります。いったんAD FSで認証した場合、Cookieによるセッションキャッシュが生成され、AD FSからサインアウトするまではそのキャッシュが有効になるためです。その場合、ドメインコントローラーは一時的に動作していなくても、(認証キャッシュがあるので)動作はするでしょう。Cookieに関しては、したのページを参考にしてください。

    https://forsenergy.com/ja-jp/adfs/html/0357bdbc-219d-4ec1-a6d0-1a3376bc1eb5.htm


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ig1994 2019年12月6日 7:33
    2019年11月29日 9:22
    モデレータ