Interstage Application Server シングル・サインオン運用ガイド
目次 索引 前ページ次ページ
第3章 環境構築> 3.3 リポジトリサーバの環境構築

3.3.3 サービスIDファイルの作成

サービスIDファイルとは

 SSOリポジトリに登録されている利用者のメールアドレスや社員番号などの認証情報は、利用者の証明書やユーザID・パスワードをもとにリポジトリサーバにより取り出され、認証サーバを経由して業務サーバに通知されます。その際、認証情報を暗号化して安全に各サーバに通知する必要があります。サービスIDファイルは、認証情報を暗号化する際の鍵となるサービスIDを格納するファイルです。


 サービスIDはセキュリティ上重要な情報です。サービスID、およびサービスIDファイルはSSO管理者が厳重に管理してください。

サービスIDファイルの作成

 サービスIDファイル作成コマンド(ssoencsid)を使用して、サービスIDからサービスIDファイルを作成します。サービスIDファイル作成コマンドは、絶対パスで実行する必要はありません。
 サービスIDファイル作成コマンドの詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。

 サービスIDファイルには、以下の2種類があります。

  1. リポジトリサーバ用/認証サーバ用のサービスIDファイル
     リポジトリサーバと認証サーバが使用するサービスIDファイルです。
  2. 業務サーバのサービスIDファイル
     業務サーバが使用するサービスIDファイルです。

リポジトリサーバ用/認証サーバ用のサービスIDファイルの作成

 リポジトリサーバ用/認証サーバ用のサービスIDファイルは、リポジトリサーバを構築する場合に作成します。
ここで作成したサービスIDファイル名は、リポジトリサーバの定義ファイルの"serviceidpath" (“リポジトリサーバの定義ファイルの設定”)に絶対パスで設定します。

 認証サーバを構築する場合には、同じサービスIDファイルを認証サーバ用として使用します。


 サービスIDファイル名 "C:\Interstage\F3FMsso\ssoatcsv\conf\serviceid"
 サービスID "ssoserviceid"

> ssoencsid C:\Interstage\F3FMsso\ssoatcsv\conf\serviceid
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。


 サービスIDファイル名 "/etc/opt/FJSVssosv/conf/serviceid"
 サービスID "ssoserviceid"

> ssoencsid /etc/opt/FJSVssosv/conf/serviceid
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。

業務サーバのサービスIDファイルの作成

 業務サーバのサービスIDファイルは、業務サーバ管理者から業務サーバ用のサービスIDファイルの作成依頼を受けてから作成し、業務サーバ管理者に配布します。

業務サーバのサービスIDファイルを作成するには、以下の2つの方法があります。

  1. 業務サーバのFQDN(Fully Qualified Domain Name)でサービスIDファイルを作成する方法
     認証情報を業務サーバごとに保持する場合は、-fオプションに業務サーバのFQDNを指定し、サービスIDファイルを作成してください。

  2. ドメインの単位で共通のサービスIDファイルを作成する方法
     認証情報を業務サーバのドメインの単位で保持する場合は、-nオプションにドメインを指定し、サービスIDファイルを作成してください。この場合、認証情報をドメインで共有するため、より高速な運用が行えます。

 サービスIDをドメインの単位で作成した場合、認証情報はそのドメイン内で共有されます。このため、ドメイン内に不正なサーバを設置された場合に、利用者がそのサーバにアクセスして認証情報を搾取される危険性があります。サービスIDファイルは、業務サーバのFQDN(Fully Qualified Domain Name)で作成することを推奨します。ドメインの単位で作成する場合は、ドメイン内に不正なサーバが設置されないように管理する必要があります。

 業務サーバのサービスIDファイルを作成する場合は、必ず、-fオプションまたは-nオプションを指定してください。業務サーバの前にロードバランサやInterstage Traffic Directorを設置して運用する場合には、ロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名のFQDNまたはドメインを指定してください。

なお、Portalworksと連携する場合は、業務サーバのサービスIDファイルとしてドメインの単位で共通のサービスIDファイルを作成してください。

業務サーバのFQDNでサービスIDファイルを作成する方法


 サービスIDファイルを"C:\ssosid"ディレクトリの配下に作成する場合。
 サービスIDファイル名 "C:\ssosid\domainsid"
 サービスID "ssoserviceid"
 作成依頼された業務サーバのURL "www.fujitsu.com"

 以下は、業務サーバ用のサービスIDファイルをFQDN("www.fujitsu.com")で作成する例です。

> ssoencsid C:\ssosid\domainsid -f www.fujitsu.com
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。


 サービスIDファイルを"/ssosid"ディレクトリの配下に作成する場合。
 サービスIDファイル名 "/ssosid/domainsid"
 サービスID "ssoserviceid"
 作成依頼された業務サーバのURL "www.fujitsu.com"

 以下は、業務サーバ用のサービスIDファイルをFQDN("www.fujitsu.com")で作成する例です。

> ssoencsid /ssosid/domainsid -f www.fujitsu.com
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。

ドメインの単位で共通のサービスIDファイルを作成する方法


 サービスIDファイルを"C:\ssosid"ディレクトリの配下に作成する場合。
 サービスIDファイル名 "C:\ssosid\domainsid"
 サービスID "ssoserviceid"
 作成依頼された業務サーバのURL "www.fujitsu.com"

 以下は、業務サーバ用のサービスIDファイルを".fujitsu.com"ドメインの単位で作成する例です。

> ssoencsid C:\ssosid\domainsid -n .fujitsu.com
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。


 サービスIDファイルを"/ssosid"ディレクトリの配下に作成する場合。
 サービスIDファイル名 "/ssosid/domainsid"
 サービスID "ssoserviceid"
 作成依頼された業務サーバのURL "www.fujitsu.com"

 以下は、業務サーバ用のサービスIDファイルを".fujitsu.com"ドメインの単位で作成する例です。

> ssoencsid /ssosid/domainsid -n .fujitsu.com
ServiceID:         <− "ssoserviceid"を入力(注)
Retype:           <− "ssoserviceid"を再入力(注)

注)入力したサービスIDは表示されません。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2005