はじめに
このドキュメントでは、2023年8月12日に期限切れになったCisco UmbrellaセキュアWebゲートウェイ(SWG)SAML証明書をアップグレードするための実施要請(CALL TO ACTION)について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Umbrella SWGに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
アクションが必要
更新されたUmbrella SWG SAML証明書を使用できるようになりました。
2023年8月12日に期限切れになったSWG SAML証明書を更新する必要があります。
UmbrellaユーザIDに使用されるUmbrella SAML証明書は、2023年8月12日の06:44:04(UTC)に期限切れになりました。
新しいUmbrella SAML証明書でアイデンティティプロバイダー(IdP)を更新する必要があります。この証明書を更新することは、IDPがここに提供されているUmbrella SAMLメタデータURLを監視するように既に設定されている場合を除き、SAMLユーザ認証の失敗やインターネットアクセスの消失を回避するために不可欠です。
メタデータが更新され、現在の署名証明書と新しい署名証明書の両方が含まれています。現在の証明書の有効期限が切れると、新しい証明書が署名に使用されます。現在の証明書は削除しないでください。Umbrellaは、有効期限が切れるまで古い証明書で署名を続行します。
これは年間作業であり、UmbrellaメタデータURLは前年と変わりません。証明書が更新されると、Cisco UmbrellaはURLを変更せずにメタデータを更新します。このアプローチは、証明書利用者メタデータURLを監視し、証明書利用者メタデータが新しい証明書で更新されたときに自動的に更新できる、ADFSやPing IdentityなどのIDプロバイダーをサポートします。
更新オプションの詳細については、Umbrellaサポートの記事を参照してください。
追加情報
- 一部のアイデンティティプロバイダーは、SAML要求シグニチャの検証を実行しないため、新しい証明書を必要としません。不明な場合は、IDプロバイダーのベンダーに確認を依頼してください。
- Umbrella SAML機能、組織固有のEntityID機能を使用する場合は、URLベースのメタデータ更新を使用しないでください。組織固有のエンティティIDは、同じアイデンティティプロバイダーに複数のUmbrella組織がリンクされている場合にのみ適用されます。このシナリオでは、新しい証明書を各IDP設定に手動で追加する必要があります。
詳細については、Umbrellaサポートにお問い合わせください。
フィードバック