SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

Zscaler ZIA/ZPAのEntraID SAML証明書更新手順

  1. ホーム
  2. 技術ブログ
  3. ゼロトラスト
  4. Zscaler ZIA/ZPAのEntraID SAML証明書更新手順
ゼロトラスト
2026.01.07

皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。

SASEや様々なSaaSサービスとEntraIDをシングルサインオン連携しているお客様は多いかと思います。

EntraIDでは、シングルサインオンで利用するSAML証明書が最長「3年」という期限があるため、3年以内に更新する必要があります。

SAML証明書を更新しない場合は、シングルサインオン連携でエラーとなり、認証ができない状態となります。

ZIAは基本的に一度ログインするとZCC端末からログアウトしない限りは基本的に再認証は発生しませんが、ZPAについてはデフォルトでは「7日」ごとに再認証が必要となります。ZPAは内部アクセス通信のため、セキュリティ保護の観点から定期的に認証が必要になっています。

ZIAについても、新しく入社した方などがZCCからログインしようとするとEntraIDとの認証部分でエラーとなってしまいます。

■EntraIDとのシングルサインオン用の証明書が切れて、エラーになっている画面

img.png

これを防ぐためにも、3年が経過する前にSAML証明書を更新する必要があります。

主な手順は下記のとおりです。

1.EntraID側で新しいSAML証明書を発行し、アクティベート

2.SAML証明書をダウンロードし、Zscaler側にインポート

ZIAでの証明書更新手順

まず、ZIAとEntraIDにおけるSAML証明書の期限を確認します。

■ZIA

[Administration]>[Authentication Settings]>[Identity Providers]>[EntraIDと連携している項目]

img.png

■EntraID側

[エンタープライズアプリケーション]>[ZIAと連携している項目]>[2.シングルサインオンの設定]>[SAML証明書]

img.png

img.png

■新しいSAML証明書発行とダウンロード

シングルサインオンの設定をクリックし、SAML証明書で編集をクリックします。

img.png

[新しい証明書]をクリックして、証明書を作成し、保存します。

保存前であれば、証明書の期限を変更することが可能です(最長で3年)

img.png

img.png

新しく作成した証明書の右端にある「・・・」をクリックしアクティブにします。(テストは「いいえ」をクリックします)

img.png

img.png

証明書(Base64)からダウンロードします

img.png

ZIAでは、「PEM」形式でないと登録できないため、ダウンロードした証明書の拡張子を「pem」に変更します。

img.png

■ZIA側でのSAML証明書更新

ZIAの管理画面にて、対象のIDP設定の編集をクリック

アップロードをクリックし、EntraIDからダウンロードした証明書をアップロードします。

img.png

更新後、SAML証明書の有効期限が更新されていることを確認します。

img.png

確認後、保存をクリックします。最後に有効化を忘れずにクリックします。

img.png

ZIA側の証明書更新作業は以上となります。

ZPAでの証明書更新手順

まず、ZPAとEntraIDにおけるSAML証明書の期限を確認します。

■ZPA

[Authentication]>[User Authentication]>[IdP Configuration]>[EntraIDと連携している項目]

img.png

■EntraID側

[エンタープライズアプリケーション]>[ZPAと連携している項目]>[2.シングルサインオンの設定]>[SAML証明書]

img.png

img.png

■新しいSAML証明書発行とダウンロード

シングルサインオンの設定をクリックし、SAML証明書で編集をクリックします。

img.png

[新しい証明書]をクリックして、証明書を作成し、保存します。

保存前であれば、証明書の期限を変更することが可能です(最長で3年)

img.png

img.png

この段階ではまだ証明書はアクティブにはしないでください(テストは「いいえ」をクリックします)

img.png

[フェデレーション メタデータXML]をダウンロードします(証明書(Base64)ではないので注意)

このファイルの中に、新旧両方のデータが入っています。

img.png

■ZPA側でのSAML証明書更新

ZIAの管理画面にて、対象のIDP設定の編集をクリック

EntraIDからダウンロードしたXMLファイルをアップロードします。

img.png

[Save]をクリックすると、警告画面が表示されますが、[このまま続行]をクリックします。

img.png

以前の証明書が期限切れ前で有効な場合は、特にユーザー側にメッセージは表示されず、利用可能です。

ZPA側で証明書が更新されていることを確認します。

img.png

■新しいSAML証明書をアクティブ化

EntraIDの画面に戻り、新しい証明書の右にある[・・・]をクリックし「証明書をアクティブにする」をクリックします。

img.png

メッセージが出ますが、「はい」をクリックして適用します。

img.png

EntraID側でも証明書が更新されていることを確認してください。古い証明書(非アクティブになる)は、特に必要がなければ期限切れ後に削除して問題ございません。

img.png

ZPA側の証明書更新作業は以上となります。

ZPAで認証タイムアウトポリシーなどを設定している場合、再認証を効いてくることがありますので、その際は再認証をしてください。

img.png

まとめ

シングルサインオンは大変便利ですが、EntraIDではSAML証明書の更新が最長で3年ごとに更新が必要になります。忘れると、認証が通らずに障害となってしまうため、あらかじめスケジュールを切って、有効期限が来る前に更新をするようにしてください。

弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。

Zscalerに関する記事一覧

Zscalerに関する記事一覧

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 ソリューション技術統括部 ソリューション技術部 2課
大東 智裕 - Tomohiro Daito -

SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。
#Zscaler Top Engineer Award'24
#Zscaler Best Evangelist Award'25

Related Posts

関連記事