Interstage Application Server 使用上の注意 - Windows(R) -

目次

3.4 Interstage シングル・サインオンの注意事項

1) Webブラウザの設定に関する注意事項

　Interstage シングル・サインオンで使用するWebブラウザは以下の設定にしてください。

• cookieを受け付けるように設定してください。
• Javaスクリプトを有効にしてください。
• プロキシサーバを使用する場合には、認証サーバと業務サーバのどちらに対してもプロキシを経由するように設定してください。

2) プロキシについて

　ロードバランサなどにより負荷分散している場合、ロードバランサの設定によってはクライアントが経由するプロキシが、アクセスごとに異なる場合があります。認証サーバ、業務サーバでは、プロキシのアドレスがクライアントのアドレスとして認識されるため、認証サーバにアクセスするときと業務サーバにアクセスするときでクライアントのアドレスが異なってしまい、シングル・サインオンを正しく使用できません。同じクライアントからのアクセスが同じプロキシを使用するようにロードバランサを設定してください。
　例えば、Interstage Traffic Directorの場合には"ノード単位の分散"に設定することで、同じクライアントからの要求に対しては同じサーバに接続するようになります。

3) アンインストール実行時に関する注意事項

　Interstage シングル・サインオンのアンインストーラは、インストールディレクトリ以下の全てのファイルを削除します。そのため、アンインストール実行前には削除されて困るファイルを他のディレクトリに退避してください。
　例えば、インストールされているリポジトリサーバや認証サーバ、業務サーバの各定義ファイルを直接編集すると、アンインストール時に編集した各定義ファイルが削除されます。アンインストール実行前には各定義ファイルを退避してください。

4) リポジトリサーバの起動に関する注意事項

　リポジトリサーバは、InfoDirectoryと連携して処理を行います。そのため、リポジトリサーバを起動する前には必ずInfoDirectoryを起動しておく必要があります。

5) リポジトリサーバ／認証サーバ／業務サーバのシステム時刻に関する注意事項

　リポジトリサーバ／認証サーバ／業務サーバのシステム時刻を正しく設定し同一となるようにしてください。各サーバのシステム時刻が同一でない場合には利用者の認証が正しく行われない場合があります。

6) 業務サーバのサービスIDファイルに関する注意事項

　ポータル機能と連携する場合は、業務サーバのサービスIDファイルとしてドメインの単位で共通となるサービスIDファイルを使用してください。

7) 認証サーバを複数配置し負荷分散するシステム構成に関する注意事項

　本システム構成では、以下に示す点について注意してください。

1. 複数の認証サーバは、論理的に同じホスト名となるようにロードバランサやInterstage Traffic Directorを設定してください。
2. 複数の認証サーバで使用するSSL通信の証明書の所有者名には、論理的に同じホスト名となるように設定されたホスト名をFQDN(Fully Qualified Domain Name)で指定してください。
3. 複数の認証サーバの定義ファイルは、すべて同じ設定内容としてください。
4. 業務サーバの定義ファイルに設定する「AuthServerURL」は、ロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を設定してください。

8) 認証サーバとリポジトリサーバを複数配置し負荷分散するシステム構成に関する注意事項

　本システム構成では、以下に示す点について注意してください。

1. 複数の認証サーバは、論理的に同じホスト名となるようにロードバランサやInterstage Traffic Directorを設定してください。
2. 複数の認証サーバで使用するSSL通信の証明書の所有者名には、論理的に同じホスト名となるように設定されたホスト名をFQDN(Fully Qualified Domain Name)で指定してください。
3. 複数の認証サーバの定義ファイルは、接続する参照系リポジトリサーバ(reference-repository)を除き同じ設定内容としてください。
4. 業務サーバの定義ファイルに設定する「AuthServerURL」は、ロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を設定してください。
5. 参照系リポジトリサーバの定義ファイルは、更新系リポジトリサーバと同じ設定内容としてください。ただし、SSOリポジトリの管理者DN(repository-bind-dn)およびパスワードから作成したBINDパスワード管理ファイル(repository-bind-password-path)が参照系リポジトリサーバと更新系リポジトリサーバで異なる場合は、それぞれの環境に合わせて設定してください。また、サービスIDファイルは更新系リポジトリサーバで作成したものをコピーして使用してください。
6. 更新系リポジトリサーバと参照系リポジトリサーバは、同じエディション／バージョンで構成してください。
7. ロックアウトの解除などSSOリポジトリの内容を変更する場合は、更新系リポジトリのSSOリポジトリを変更してください。
8. InfoDirectoryのシャドウイング機能を設定する場合、更新系リポジトリサーバのDSAを“サプライヤ”、参照系リポジトリのDSAを“コンシューマ”として設定してください。なお、“サプライヤ”と“コンシューマ”のDSAを作成する際には、必ず連携アプリスキーマとして【Interstage シングル・サインオン】を設定してください。また、“コンシューマ”のDSAを作成する場合は、トップエントリには何も設定しないでください。
   “サプライヤ”側のマシンで、“コンシューマDSAの詳細設定”を行う場合は、【パスワードシャドウ】を設定してください。なお、Windows Server 2003ではInfoDirectoryのシャドウイング機能は使用できません。
9. 雛型のLDIFファイルを使用する場合は、更新系リポジトリサーバのSSOリポジトリ（“サプライヤ”のDSA）に適用してください。
10. SSOリポジトリに格納されているロール定義の変更/追加/削除した場合は、更新系リポジトリサーバと参照系リポジトリサーバの両サーバ上でロール情報更新コマンド（ssorfinfsv）を実行してください。なお、InfoDirectoryのシャドウイング機能を使用して更新系リポジトリサーバのSSOリポジトリの変更内容を参照系リポジトリサーバに反映している場合は、参照系リポジトリサーバのSSOリポジトリに変更内容が反映されているかInfoDirectoryの管理ツールなどを使用し、確認してからロール情報更新コマンド（ssorfinfsv）を実行してください。あるいは、利用者が少ない夜間などの時間帯にロール情報更新コマンド（ssorfinfsv）を実行するよう考慮してください。

9) 旧バージョン・レベルの環境を使用する場合の注意事項

　旧バージョン・レベルで使用した環境定義ファイルは、そのまま本バージョンで使用することができます。ただし、リポジトリサーバと認証サーバの定義ファイルのバージョン・レベルが異なる場合には、ロックアウトするまでの失敗回数や認証情報の有効期間などの設定について注意が必要です。詳細については、“Interstage シングル・サインオン運用ガイド”の“トラブルシューティング”−“トラブル事例”の“ロックアウトに関するトラブル”“認証情報に関するトラブル”“証明書認証に関するトラブル”を参照してください。

10) Internet Explorerを使用して基本認証を行う場合の注意事項

　基本認証時に表示される、基本認証ダイアログにキャンセルで応答した場合には、連続した操作によって続けて表示される基本認証ダイアログに、正しいユーザID／パスワードを入力しても認証に失敗する場合があります。
　この場合には、続けて表示される基本認証ダイアログに再度、正しいユーザID／パスワードを入力して認証を行ってください。

目次