Google WorkspaceをIdPとしてAzureADを構成しているのですが、SAML証明書が有効期限を迎えてしまったので、その更新手順です。
Google Workspace側の作業
- Google Workspaceの管理画面で、アプリ > ウェブアプリとモバイルアプリ > Microsoft Office 365 > サービス プロバイダの詳細にアクセスする
- 「証明書を管理」ボタンを選択
- 「証明書の追加」ボタンを選択
- 発行された証明書データをコピーしておく
Msolコマンド(PowerShell)側の作業
cmdlet.ps
> Connect-MsolService
> $cert = "-----BEGIN CERTIFICATE----- ... [上で追加した証明書データから改行文字を除いたもの] ... -----END CERTIFICATE-----"
> Set-MsolDomainFederationSettings -DomainName "[フェデレーションモードのドメイン]" -SigningCertificate $cert -PreferredAuthenticationProtocol "SAMLP"
Get-MsolDomainFederationSettings -DomainName [ドメイン] を実行してみて証明書が置き換わっていれば設定OKかと思います。置き換えたらGoogle Workspace側の古いSAML証明書は削除しておきましょう。
PreferredAuthenticationProtocol "SAMLP" を指定しないとならないようで、これが判明するまでに時間がかかってしまいました。
設定更新のためのMsolコマンドレットはどれを実行すればいいんだ??という状態だったのでメモしてみました。