Vaultは、サーバとウェブブラウザ (HTTPS) 間の安全なデータ転送に証明書を使用し、SAML SSO と Spark メッセージには個別の証明書を使用します。
HTTPS ウェブサーバ証明書は、ほとんど影響を与えずに定期的に更新します。場合によっては、ユーザはローカルブラウザのキャッシュをクリアする必要がありますが、通常は必要ありません。SAML および Spark メッセージングに使用する証明書は毎年更新し、管理者または開発者が既存のプロファイルまたは統合をチェックして、新しい証明書で動作することを確認する必要がある場合があります。
SAML SSO および Spark メッセージング証明書について
すべての Vault は同じ署名証明書を使用します。署名証明書は毎年更新されます。新しい証明書をリリースする前に、Veeva はメンテナンス通知を送信します。通知には、日付など、今後の更新の詳細が記載されています。新しい証明書がリリースされると、Vault はすべての SAML プロファイルと Spark メッセージング接続を自動的に更新し、新しい証明書を使用できるようにします。
更新中も以前の証明書は引き続き使用可能であり、必要に応じて新しい証明書と以前の証明書を切り替えることができます。例えば、統合が失敗した場合や、新しい証明書に切り替える前にテストを実行する必要がある場合などです。更新期間が終了すると、新しい証明書が唯一の有効な証明書になります。Vault 署名証明書のダウンロード。
SAML SSOおよび Spark メッセージング証明書の更新には、次の 5 つの段階があります。
- 新しい証明書のパブリッシング。新しい証明書をダウンロードできます。新しい証明書でテストを開始できます。Vault 署名証明書のダウンロード。
- 新しい証明書のテスト期間。新しい署名証明書は、この期間中にテストできます。
- ロールバックオプション付きの新しい証明書の更新。新しい署名証明書は、すべての SAML プロファイルと Spark 接続で有効になります。
- 新旧の証明書のサポート。以前の証明書は引き続きサポートされており、追加のテストが必要な場合はロールバックできます。
- 最終的な証明書の更新。以前の証明書にロールバックすると、新しい署名証明書が再び有効になります。以前の署名証明書は使用できなくなりました。
更新中に、証明書を切り替えたり、初期更新日と最終更新日を表示したり、接続または SAML プロファイルから両方の証明書をダウンロードしたりできます。
証明書のロールオーバー時に実行することの詳細については、 SAML SSO および Spark メッセージング証明書ロールオーバーを参照してください。
一般的な SAML SSO および Spark メッセージングの更新の問題
- 一部の SAML SSO アイデンティティプロバイダーは、新しい SP 証明書に自動的に更新できますが、そうでないものもあります。初期更新イベントの前に、プロバイダーのシステムで新しい証明書を設定する必要がある場合があります。サーバ上の証明書を更新するプロセスの詳細については、アイデンティティプロバイダーの管理者に問い合わせてください。他にご不明な点がございましたら、いつでも Veeva サポートにお問い合わせください。
- 新しい証明書がリリースされると、Vault SAML SP メタデータには古い証明書と新しい証明書の両方が含まれます。一部の IdP は、Vault SAML プロファイルから SP メタデータをダウンロードすることにより、SP 設定の証明書を自動更新し、古い証明書と新しい証明書の両方をインストールしています。これにより、ADFS などの IdP は、署名の検証に使用する証明書が分からないため、Vault が発行した SP で開始された SAML コールを拒否する可能性があります。SP 証明書についてをご覧ください。
- 一部の Spark メッセージング統合は証明書をキャッシュする可能性があるため、最初の証明書の更新が発生したときに、新しい証明書がすぐに取得できない場合があります。キャッシュされた証明書が頻繁に更新されるように設定されていることを確認してください。