本記事では、OneLogin から各サービスへの SAML または WS-Federation(WS-Fed)シングルサインオン(SSO)に必要なSAML署名証明書が有効期限切れとなった場合における更新手順をご案内します。
目次
本記事の対象となるお客様
本記事に記載する「証明書の更新手順」を実施していただくべき対象のお客様は下記の通りです。
- OneLoginとアプリケーションを以下の認証方式でSSO連携し、使用している電子証明書の有効期限が近いお客様
- SAML1.1
- SAML2.0(現在一般的な認証方式)
- WS-Federation(Microsoft 365など)
- WS-Trust(Microsoft 365など)
- 下記の通知メールを受け取ったお客様
通知メールについて
OneLoginでは、SAML2.0・WS-Federation などのフェデレーション認証に利用する電子証明書の有効期限が近づいてきた際に、OneLoginの管理者へお知らせメールを配信しております。下記のようなメールが届きましたら、本記事をご一読のうえ有効期限到来までにOneLoginおよびアプリケーションにおける証明書更新手続きを実施してください。
・通知メールの例
件名: Your Account certificate is about to expire
更新がはじめてのお客様は、OneLoginアカウント開設から5年が有効期限となる下記2つの電子証明書について通知が届いているかと存じます。
- Standard Strength Certificate (2048-bit)
- Low Strength Certificate (1024-bit)
既に1度更新を行われたお客様については、前回更新作業時などに命名された証明書名となっており、上記と異なる場合もございます。
証明書の一覧につきましては、OneLogin 管理ポータルの Security > Certificates メニューよりご確認いただけます。 なお、下記URLの {your-subdomain} 部分をご利用のサブドメインに変更して、直接アクセスすることも可能です。
https://{your-subdomain}.onelogin.com/certificates
また、こちらのお知らせメールは、Account Owner の方にのみ下記頻度で送信されます。Super User 権限を持つ通常の特権管理者には送信されないためご了承ください。
- 電子証明書失効の365日前に1通
- 電子証明書失効の90日前に1通
- 電子証明書失効の45日前から毎日1通
上記の通知は、証明書がSSOに利用されているかどうかに関わらず、証明書が失効するもしくは削除されるまで通知メールを送信します。そのため、本記事の手順にそってOneLogin側、アプリケーション側ともに証明書を更新できましたら、古い証明書の削除を推奨いたします。
電子証明書について
本記事でご案内する電子証明書は、SSO時にOneLoginがアプリケーションへ認証情報を安全に渡すための電子署名に使用されます。アプリケーション側は、認証情報が信頼できるIDプロバイダー(OneLogin)からのものであることを証明書の公開鍵を使って検証します。この証明書は、OneLoginからのSSO連携設定時に必ずアプリケーション側にアップロードいたします。
この証明書には有効期限があり、OneLoginのデフォルト設定では発行から5年後に失効するため、利用開始から約4~5年が経過したお客様には、証明書更新の通知メールが届きます。
電子証明書の有効期限が切れますと、公開鍵を用いた検証ができずSSOに失敗するため、有効期限切れ前に必ず更新手続きをお願いいたします。
電子証明書の更新概要
注意事項(重要)
- 後述する手順を実施することで、シングルサインオンで使用される電子証明書が変更されます
- OneLogin(IdP)とアプリケーション(SP)間で対となる秘密鍵・公開鍵が設定されていない場合、アプリケーションへのSSO機能が利用できません。証明書更新の手続きにおいては、OneLoginとアプリケーション側の双方において証明書の入れ替えが必要となりますのでご了承ください
電子証明書更新ステップ
- 既存の電子証明書の有効期限を確認
- 新規の電子証明書を作成
- デフォルト証明書を新規証明書に変更
- 有効期限が近い電子証明書を使用しているアプリケーションを確認
- OneLogin側を新規作成した証明書に更新
- アプリケーション側を新規作成した証明書に更新
☆ おすすめの証明書更新方法
平日であれば業務時間外、あるいは土日祝などのサービス利用者が少ないタイミングで電子証明書を更新することを推奨します。また、作業実施時間帯はアプリケーションへシングルサインオンできなくなることがあることを、必ず前もってエンドユーザーに周知してください。
また管理者の方におかれましては、作業実施前に必ず後述の操作手順を確認し、あわせて証明書更新を行うアプリケーション(サービスプロバイダ)側のドキュメントなども一通りご確認されることを推奨いたします。
既存電子証明書の有効期限を確認する
まずは証明書更新手続きを完了するまでにどの程度の猶予があるかを確認するために、現在OneLoginに登録されているSAML認証やWS-Federation認証に利用している証明書を確認し、有効期限を把握します。
OneLogin シングルサインオン用電子証明書 確認手順
- OneLoginに管理者としてログインし[管理]をクリックします
- Security > Certificates を選択します
- 過去に証明書を別途作成していなければ、初回更新時は下記2つの証明書が格納されています
- 各証明書の行にある Expires mm-dd-yyyy と書いてある日付部分が、証明書の有効期限となります。下記画像では、2031年2月12日 が有効期限となっています
以上の手順で現在利用している証明書の有効期限を確認できましたので、この期限までは現在のままでも正常に利用することが可能です。この期限までにはすべてのSAML・WS-Federation認証アプリで利用している証明書をこれから作成する新しい証明書へ更新してください。
また上記証明書の場合、アカウントオーナーに証明書の更新を促すメールが自動通知されるのは期限である2031年2月12日の90日前である2030年11月12日頃となります。
OneLogin側の証明書更新手順
注意:証明書更新手順を実行している間、OneLoginユーザーは当該のサービスにSSO(シングルサインオン)することができなくなるため、OneLogin側の証明書更新手順とサービスプロバイダ側の更新作業は連続して行うことを推奨します。また、サービスプロバイダ(SP)側の電子証明書の更新 を合わせて行いますので、あらかじめサービスプロバイダ側SAML証明書更新手順を確認してから実施してください。
1. 新しい電子証明書の作成
- OneLoginに管理者でログインし、Security > Certificates を選択します
- [New]をクリックします
-
任意の証明書名を入力します
例)SAML Cert 2026-01-01 (2048-bit)✅ 「証明書発行日を名前に入れる」「名前は短くする」がおすすめ
1. 証明書発行日を証明書名に含めることで、新しいアプリを設定する際に証明書の期限がわかりやすくなります
2. OneLoginの各コネクタ > SSOタブで証明書を選択する際、プルダウンの表示領域が狭い関係で設定した名称のうち先頭の半角25文字程度しか表示されません。デフォルトに設定した1つの証明書をすべてのアプリで利用する場合は特に問題ありませんが、複数の証明書を使い分けるお客様は区別できる名称をなるべく先頭に寄せることを推奨します
(例: SAML Cert 2026-01-01 (2048-bit) と名前をつけた場合…)
-
次に下記3点が設定項目としてありますので、SignatureをSHA-256に変更します
Key LengthとExpirationは特別な事情が無い限り、そのままの値を使用してください設定項目 デフォルト設定 Key Length 2048 bit Signature SHA-256 Expiration 5 Years
また、サービス側から指定がない限り、Certificate Keys の 基本制約拡張のCAフラグを「true」に設定し、KeyUsageのkeyCertSignビットを設定します。にはチェックを入れないでください -
[Save]をクリックします
-
証明書が正常に作成されると、証明書詳細画面に遷移します
以上で証明書の作成は完了です。
証明書一覧から、実際に作成した証明書があるか確認することができます
2. SAML証明書のデフォルト化
現在の設定では以前から登録されている有効期限が近い証明書をデフォルトとして利用するよう設定されていますので、先ほど作成した新しい証明書をデフォルトに設定します。
-
デフォルトに設定したい証明書を Security >[Certificates]をクリックし、一覧から選択します
- 証明書詳細画面が開いたら、画面右上にある[Set As Default]をクリックします
- 確認ダイアログが表示されるので[Confirm]をクリックします
- 新しい証明書において、Default 表記が出たことを確認します
新証明書のデフォルト化設定は以上です。
3. SAMLコネクタの証明書更新
次に新しい証明書の作成で設定した証明書をSAMLコネクタで実際に利用するための設定を行います。
この操作を行うことで "SAML認証時に使われる証明書"(OneLogin側)が変更され、ユーザーの認証に影響します。
ここまでの操作と、ここからの操作は日を分けても問題ありませんので、OneLogin利用者の少ない時間帯(営業時間外・土日祝日など) にご操作ください。
SAMLコネクタの証明書更新 と サービスプロバイダー側の証明書更新 はOneLogin利用者のシングルサインオンに影響します。連続して2つの操作を行う必要がありますので、事前に本手順とサービスプロバイダ側SAML証明書更新手順を確認してから実施してください。
-
証明書一覧から現在利用している(古い)証明書をクリックします
利用中アプリが 0 apps ではないものが現在利用している証明書です
(例: Standard Strength Certificate (2048-bit))
-
証明書詳細画面が開くので、ページ下部に表示されている Apps using this certificate を確認します。現在この証明書が割り当てられているSAMLコネクタの名前が表示されています
- 次に証明書を変更したいコネクタの名前をクリックします(例: ここでは Box の証明書を更新します。)
- コネクタ設定画面が開くので、サイドバーの SSOタブをクリックし、証明書を確認します
- 証明書を変更するために X.509 Certificate 欄の左下にある[Change]をクリックします
- 証明書の選択ポップアップが表示されるので、画面左側にあるプルダウンから、新しく作成した証明書を選択します
- 証明書を選択したら画面右下の [Continue] をクリックして確定します
-
Certificate successfully updated to '選択したSAML証明書名' が表示されることを確認し、[Save]をクリックします
コネクタで使用する証明書の更新は以上です。
サービスプロバイダ(SP)側の証明書更新
最後にOneLoginで作成した新しい証明書ファイルをサービスプロバイダ(SP)側に登録します。
この操作を完了するまでは、ユーザーはOneLoginからシングルサインオン出来ません
クラウドサービスによって証明書の更新手順が異なりますので、各サービス事業者が提供しているSAML連携設定資料をご確認ください。
サービスプロバイダ(SP)側の設定に関するペンティオ記事
一部主要アプリケーションについては、弊社でも設定手順をご案内しておりますのでぜひご覧ください。
- SAML署名証明書の更新 - AWS IAM Identity Center
- SAML署名証明書の更新 - Box
- SAML署名証明書の更新 - Google Workspace
- SAML署名証明書の更新 - Microsoft 365
- SAML署名証明書の更新 - Netskope
- SAML署名証明書の更新 - Netskope Proxy Base App
- SAML署名証明書の更新 - Salesforce
SAML証明書の更新パターン
SAML証明書の更新手順は、主に下記の4通りに分けられます。下記内容をご参考にしていただきながら、詳しい更新手順は各アプリケーション事業者様、ベンダー様にご確認いただけますと幸いです。
- 証明書のpemファイルをアップロードする
SAMLの設定箇所に証明書をアップロードする箇所がある場合はこちらのパターンです
(例: Google)
GoogleのSAML証明書 更新手続きにつきましては下記ドキュメントをご確認ください
SAML署名証明書の更新 - Google Workspace
- コネクタのメタデータファイルをアップロードする
SAMLの設定箇所にメタデータファイルをアップロードする箇所がある場合はこちらのパターンです
例)ジョブカン
- 証明書の内容をコピー&ペーストする
SAMLの設定箇所に証明書の内容を入力する箇所がある場合はこちらのパターンです
例)カオナビ
- 証明書のFingerprintを登録する
SAMLの設定箇所に、上記とは異なる方法で証明書データを登録することが可能な場合はこちらのパターンです
例)Meraki
SAML証明書の通知機能
OneLoginで利用されるSAML署名用電子証明書の有効期限は、設定により1年、2年、5年のいずれかとなります。期限が切れる前に証明書の更新作業が必要となるため、失効前に届く通知の設定内容について以下を確認してください。
- OneLoginに管理者でログインし、[管理]をクリックします
- Activity > Notifications を選択します
- [Notify account owner for certificates about to expire]をクリックします
- 通知設定の編集画面が表示されますので、以下の標準設定内容を確認してください。赤枠で囲まれた各項目は、必要に応じて変更することが可能です
通知の解除
OneLoginから送信される証明書更新を求めるメールは、証明書の更新作業が完了されたかどうかに関わらず、有効期限までは連日通知され、停止することはできません。
通知を受け取りたくないお客様は、通知設定自体を無効化するか、既存の証明書をOneLoginテナントから削除してください。 ただし、通知設定を無効化すると次回更新が必要なタイミングまでに再度有効化することを忘れて失効させてしまうリスクがあるため、すべてのSAMLアプリケーションにおいて証明書の入れ替えと動作確認が完了しているお客様は、「古い証明書をOneLoginから削除する方法」で通知を止めることを推奨いたします。
削除にあたっての注意事項
- 一度削除した証明書は復元できません
- 1つでもコネクタ(アプリ)に割り当てられている証明書は削除できません