投稿日: May 13, 2020
AWS Single Sign-On (AWS SSO) 管理者は、認証ダウンタイムなしで、外部 ID プロバイダー (IdP) に使用する X.509 証明書をローテーションできるようになりました。
証明書を定期的にローテーションし、有効期間が短い証明書の有効期限を強制機能として強制することにより、証明書の侵害を阻止することをお勧めします。証明書をローテーションする場合、管理者は IdP および AWS SSO で証明書を更新する必要があります。これにより、プロセス中に認証のダウンタイムが発生する可能性があります。ローテーション中の認証エラーを回避するために、AWS SSO では、引き続き既存の証明書を使用できる状態で、管理者が AWS SSO に代替証明書をインストールできるようになりました。その後、管理者は IdP を更新して、認証のダウンタイムを発生させることなく、新しい証明書を有効にして古い証明書を削除することができます。AWS SSO により、管理者は複数のアクティブな証明書を取得して、この適切なローテーションを促進できます。
この機能は、AWS SSO がサポートするすべてのリージョン内で追加費用なしで AWS SSO 管理コンソールで使用できます。
AWS SSO 環境内で外部 ID プロバイダー証明書を最適に管理する方法については、AWS SSO - 外部 IdP 証明書管理のドキュメントをご覧ください。