Active Directory Federation Service (ADFS) における障害のスポット対応

社内アプリケーションで利用しているADFSのログイン認証における障害対応のご依頼をいただき、迅速な対応を行いました。

背景と要件:

ある日を境に、社内アプリケーションでのADFSによるログイン認証が動作しなくなったという情報を受けました。
業務上必要なアプリケーションであること、設定変更などは行っておらず障害箇所が不明ということもあり、柔軟かつ即座の対応が求められました。

調査と対応:

我々は、ご依頼から数日で実地調査を行いました。SAML認証の知識を活かして認証通信の内容を精査し、ADFSで利用されている証明書が意図せず自動更新されたことが原因であることを特定しました。
具体的には、ADFSのトークン署名証明書が更新された場合、SP側の事前鍵を手動で更新する必要があることが判明しました。

一時的な対応として、手動で事前鍵を更新し、ログイン認証システムの復旧を確認しました。
そして後日、同様の障害が再発しないようにADFSの証明書の自動ロールオーバー機能を無効化し、証明書の期限を延長するといった恒久的な対策を実施しました。

成果と利点:

迅速な障害対応を行い、社内アプリケーションの稼働を素早く回復させることができました。
また、同様の障害が再発しないように、恒久的な対策を実施することで、システムの安定性と可用性を向上させることができました。

TOP