重要/要対応: Device Trust 旧認証局廃止に関する証明書更新のお願い – ペンティオヘルプセンター

2021年7月28日

OneLogin ご契約の皆様

ペンティオ株式会社
IDaaS事業部
OneLogin Engineer&Support Group

平素、お世話になっております。

ペンティオ株式会社 OneLoginサポートチームです。

2021年7月15日ならびに7月28日に米国OneLogin社からOneLogin管理者のみなさまにメール「件名: Important update regarding OneLogin Issued Certificates」でご案内致しましたOneLoginが発行するクライアント証明書の一斉失効に関して、ペンティオから日本語でご案内いたします。

このご案内はエンドユーザーのログインに影響がある重大なお知らせです。OneLogin が発行するクライアント証明書を用いた証明書認証（Device Trust）をご利用中のお客様は必ずご確認のうえ、未対応のお客様は早急にご対応をお願い申し上げます。

# お知らせの対象となるお客様

OneLoginの証明書認証機能「Device Trust」において、OneLoginが発行したクライアント証明書（1st Party Certificates）をご利用中のお客様

# お知らせの対象とならないお客様

下記のお客様には影響はございません。

証明書認証機能「Device Trust」を一切利用していないお客様
証明書認証機能「Device Trust」を2020年9月以降に利用開始し、クライアント証明書のダウンロードが2021年9月以降のお客様
証明書認証機能「Device Trust」のサードパーティ証明書認証（3rd Party Certificates）をご利用のお客様
OneLogin Desktop をご利用のお客様で、OneLogin Desktopサービスにより発行されたOneLogin発行のクライアント証明書をご利用のお客様
（ただしOneLogin Desktopと通常のDevice Trustを併用するお客様は、Device Trust側の証明書については対象となります）

# 2021年8月16日をもって旧認証局で発行されたDevice Trust 向けクライアント証明書によるログインはブロックされます

OneLoginは、昨年10月から管理者さまへメールおよび管理画面上でお知らせを行っておりましたとおり、Device Trust向け証明書発行機関（認証局）の廃止と新認証局移行を既に完了しております。

→ 過去にペンティオが掲載した日本語のご案内はこちら

今回のお知らせは、本来であれば2021年2月28日をもってサポート終了しております旧認証局が発行したクライアント証明書によるOneLoginへのログインを、2021年7月現在までは証明書の入れ替え作業が間に合わないお客様への配慮として特別に期限を延長していた措置について、プラットホーム管理上の都合から2021年8月16日をもって終了するご案内となります。

そのため現在も旧認証局が発行したクライアント証明書をご利用されているユーザーアカウントについては、直ちに新しいクライアント証明書の発行と端末への再インストールが求められます。

# 未対応のお客様へのお願い

まだ認証局移行のための証明書入れ替え対応が完了していないお客様は、エンドユーザーによるOneLogin、OneLoginと連携するクラウドサービスへのアクセスを継続するために次の2つを2021年8月16日より前に完了させる必要があります。

証明書入れ替え対象ユーザーの証明書を新たにOneLoginからダウンロードする
新たに発行した証明書をエンドユーザーがOneLoginを利用されるすべての端末（PC・モバイル）にインストールする

対象ユーザーとは、現在ご利用中のクライアント証明書が2020年8月末までに発行したものであるユーザーを指しております。詳しくは下記記事をご確認ください。

重要/要対応: 認証局移行に伴うDevice Trustクライアント証明書失効と移行アクションのご案内

# 未対応のお客様への特別対応

OneLoginは、特別な経過措置終了について最終期限の1ヶ月前にあたる2021年7月15日にご案内いたしました。未対応のお客様につきましては、1ヶ月以内に対象証明書をもつユーザーについて証明書の再発行と端末インポートが必要になり、ユーザー数が多い場合にはご対応には多くの時間を要することが見込まれます。そのためペンティオでは、未対応のお客様に対して下記の特別対応を行います。

# 証明書一斉入れ替えに係る特別対応

影響を受けるすべてのお客様へ証明書一括ダウンロードツールを無償で提供
旧認証局で発行されたクライアント証明書を利用してOneLoginにログインした記録のあるユーザーリストの提供

（１）証明書一括ダウンロードツールを無償ですべての対象企業に提供
本記事冒頭で触れたご案内メールが届いているペンティオ経由でOneLoginをご契約中のお客様については、本来は有償でご契約が必要となりますペンティオ製「OneLogin 証明書一括ダウンロードツール」を2021年8月31日までの期間限定で無償提供いたします。

→ ダウンロードページはこちら（対象企業のみ閲覧可能です）

OneLogin 証明書一括ダウンロードツールは、管理者がCSVファイル内にメールアドレスで指定したユーザーアカウントを対象としてOneLogin管理画面から証明書を自動ダウンロードするペンティオ独自のソフトウェアです。本来であればOneLogin管理画面から1ユーザーごと証明書をダウンロードする必要があるため、本ソフトウェアを利用することで20人単位、50人単位などまとまった数の処理を簡単に行うことができます。

＊証明書をダウンロードすると現在のクライアント証明書はその時点でご利用いただけなくなりますので、エンドユーザーのご利用に影響ない時間帯等に何回かわけてダウンロードと端末への再インストール作業を行うようご注意ください。

＊本特別対応で提供する証明書一括ダウンロードツールは2021年9月1日以降はソフトウェアが立ち上がらない機能制限を含んでおります。過去に有償でソフトウェアライセンスをご購入頂いたことのあるお客様には最新バージョンの非制限版をアップデート配布致しますので、別途ご相談ください。

（２）旧認証局で発行されたクライアント証明書を利用してOneLoginにログインした記録のあるユーザーリストを提供
2021年5月1日以降に旧認証局で発行されたクライアント証明書を利用してOneLoginにログインした記録のあるユーザーリスト（メールアドレスのみ）を米国OneLoginが用意しておりますので、こちらを管理者のみなさまに提供いたします。

このリストを希望されるお客様は、ペンティオヘルプセンターにお問い合わせください。その際、お問い合わせ内容から"【Device Trust】認証局移行に関するお問い合わせ"をご選択ください。

＊リストはあくまで2021年5月1日以降にOneLoginへログインした際に旧認証局の証明書を利用したユーザーのみとなっており、古い証明書を持っていても現在はユーザーポリシーで証明書が求められないユーザーや、統合Windows認証など証明書認証をバイパスしてログインしている場合には、このリストに含まれないユーザーが存在する可能性もございます。このリストはあくまで参考情報とし、リスト掲載のないユーザーでも証明書更新が必要な可能性があることをご理解ください。

# 米国OneLoginからのご案内（原文）

Dear {管理者アカウントのお名前},

This is a follow up to our previous communications stating that OneLogin issued certificates would become invalid earlier this year. Due to customer feedback we extended this a single time, but no further extensions will be granted.

On August 16, 2021 user authentication using OneLogin issued device trust certificates will become invalid if they were downloaded prior to September 2020. Below you will find information on how to determine if you are impacted.

If you use OneLogin Desktop to enable device trust for your OneLogin account, then no change is required on your end.

If you rely on certificates issued by OneLogin, either downloaded by end users or administrators, then you must update those certificates by August 16, 2021 to prevent any service interruptions to your users.

Action Required:

Migrate to multi-step login if you haven’t yet. To learn more about how to transition to multi-step login, see Multi-Step Login Flow. You should do this as soon as possible.
Issue new OneLogin certificates to your end users by downloading new certificates as the administrator, or enable Allow Self-Installation on the User Policy. To enable Allow Self-Installation, go to Security > Policies > New User Policy or select an extant user policy > MFA tab > check Allow Self-Installation under Require Trusted Device.

If you have questions then please reach out our documentation here or contact support@onelogin.com.

OneLogin

# 米国OneLoginからのご案内（日本語訳）

管理者のみなさま。

これは、今年の初めにOneLoginが発行した証明書が無効になるとお伝えしたことの続報です。お客様からのご意見により、1回だけ延長しましたが、これ以上の延長は認められません。

2020年9月以前にダウンロードされたOneLogin発行のデバイストラスト証明書を使用したユーザー認証は、2021年8月16日に無効となります。以下に、影響を受けるかどうかを判断するための情報を掲載します。

OneLogin Desktopを使用してOneLoginアカウントのデバイストラストを有効にしている場合は、お客様側での変更は必要ありません。

エンドユーザーまたは管理者がダウンロードしたOneLoginが発行した証明書に依存している場合は、ユーザーへのサービスの中断を防ぐため、2021年8月16日までにこれらの証明書を更新する必要があります。

必要なアクション:

まだ移行していない場合は、マルチステップ・ログインに移行してください。マルチステップログインへの移行方法の詳細については、「マルチステップログインの流れ」を参照してください。できるだけ早く実行してください。
管理者として新しい証明書をダウンロードしてエンドユーザに新しい OneLogin 証明書を発行するか、ユーザポリシーでセルフインストールの許可を有効にします。セルフインストールの許可を有効にするには、[セキュリティ] > [ポリシー] > [新規ユーザーポリシー]に移動するか、既存のユーザーポリシーを選択します > [MFA]タブ > [Require Trusted Device]の[セルフインストールの許可]をチェックします。

ご不明な点がございましたら、こちらのドキュメントをご覧いただくか、support@onelogin.com までお問い合わせください。