こんにちは。
今回は Azure AD のトークン署名の証明書が更新される件についてのお知らせです。
すでに詳細な情報が以下のように公開されていますが、本ブログでも改めてご紹介します。
Azure Active Directory の署名キーのロールオーバー
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-signing-key-rollover/
Azure AD のトークン署名の証明書
Azure AD を利用する目的の一つとして、 Azure AD とアプリケーションを連携させ、シングル サインオンを実現させること、Azure AD に登録されているアカウント情報を使用することが挙げられます。
以上のような動作の裏では Azure AD がトークンを発行し、各アプリケーションがそのトークンに付与されている署名を検証するという処理が行われています。 この具体的な処理は、 Azure AD がトークン署名証明書の秘密キーを利用して署名をトークンに付与し、それを各アプリケーションがフェデレーション メタデータとして公開している Azure AD のトークン署名証明書の公開キーを利用して検証するというものです。
今回実施を予定していること
一連のトークン検証処理で利用されるトークン署名証明書が 2016 年 8 月 15 日に更新される予定です。
また、これ以降も 6 週間ごと (今後変更される可能性があります) に更新される予定です。
この更新による考えられる影響として、トークン署名証明書が更新されることにより、その古い証明書を固定して利用するように構成されているアプリケーションでは Azure AD との連携が正常に動作しなくなることがあります。 Azure AD と連携しているアプリケーションが、推奨されているように証明書が更新されても自動的に対応するように設計されていれば特に影響は生じません。
対応策
影響が生じないようにするためには、Azure AD と連携するアプリケーションが証明書の自動更新に対応している状態であるかの確認を各アプリケーションの開発元に確認する必要があります。また、自動更新に対応していない場合には、その改修についてもアプリケーション開発元に確認をお願いします。
なお、以下に合致するアプリケーションについては、影響を受けません。
・ Azure のギャラリーから追加したアプリケーション
・ Azure Application Proxy で公開しているアプリケーション
・ 自動更新に対応するように構成されたアプリケーション
詳細については、上記 Azure Active Directory の署名キーのロールオーバー の情報を確認ください。
それ以外に参考になる記事も紹介します。
Hey #AzureAD App Devs! We’re going to roll our certs on 5/23
https://blogs.technet.microsoft.com/enterprisemobility/2016/05/12/hey-azuread-app-devs-were-going-to-roll-our-certs-on-523/
#AzureAD: Postponing our planned certificate roll
https://blogs.technet.microsoft.com/enterprisemobility/2016/05/21/azuread-postponing-our-planned-certificate-roll/