Interstage Application Server シングル・サインオン運用ガイド

目次 索引

4.5.1 ロール定義の変更、追加

　利用者の所属が異動になったり役職が変更となったりした場合は、その利用者のロールを変更、または追加することによりアクセスできるリソースを変更、追加することができます。

　ロール定義の変更、追加は、以下の手順で行います。

1. SSOリポジトリのロール定義を変更、または追加します。
2. 必要に応じて、保護リソースのサイト定義とパス定義にロールを変更、追加します。
3. 必要に応じて、ユーザのエントリにロールを変更、追加します。
4. リポジトリサーバにてロール情報更新コマンド（ssorfinfsv）を実行するか、リポジトリサーバを停止し再起動してください。なお、更新系リポジトリサーバと参照系リポジトリサーバにて運用している場合には、両サーバ上でロール情報更新コマンドを実行してください。
5. 以下のいずれかの方法によりアクセス制御情報を更新してください。
   ・業務サーバの定義ファイルにアクセス制御情報オプションを設定している場合は、業務サーバを停止し再起動してください。
   ・業務サーバにてアクセス制御情報更新コマンド（ssorfinfaz）を実行してアクセス制御情報を更新してください。
   ・SSL通信で業務サーバを運用している場合、業務サーバにてアクセス制御情報更新コマンド（ssorfinfaz）を実行してアクセス制御情報ファイルを更新し、ブラウザから業務サーバにアクセスするか、Webサーバを再起動してください。

各コマンドの詳細については、“リファレンスマニュアル（コマンド編）”を参照してください。

　業務サーバの定義ファイルについては、“業務サーバの定義ファイルの設定”を参照してください。

• 業務サーバを起動後は必ず保護リソースにアクセスして、認証／認可が行われる事を確認してください。認証／認可が正しく行われない場合は、業務サーバの定義ファイルの設定に誤りがある可能性があります。システムのログに登録されるメッセージ内容を確認し要因を取り除いて下さい。メッセージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照してください。
• 更新系リポジトリサーバと参照系リポジトリサーバを配置して負荷分散している場合は、利用者が少ない夜間などの時間帯にロールの変更や追加を行うよう考慮してください。
• IIS6.0で業務サーバを運用する場合、ssorfinfazコマンド実行後は必ず、アクセス制御情報ファイルのアクセス権限をAdministrators、SYSTEMおよびアプリケーション プールのアプリケーション プール IDに指定したアカウントまたはユーザに対してのみ、フルコントロールを許可してください。アクセス権限の設定については、“業務サーバの運用資源”を参照してください。

目次 索引