Interstage Application Server シングル・サインオン運用ガイド
目次 索引 前ページ次ページ
第3章 環境構築 > 3.2 リポジトリサーバの環境構築 > 3.2.1 SSOリポジトリの構築

3.2.1.4 LDIFファイルを使用したSSOリポジトリの作成例

 LDIFファイルをInfoDirectoryの管理ツールで読み込んでSSOリポジトリを作成する場合は、DSAが起動されている必要があります。起動されていない場合には、以下の方法で起動してください。

Interstage シングル・サインオン用のDSA起動方法

  1. image
    [スタート]メニューで[プログラム][InfoDirectory][管理ツールクライアント]を選択します。
    image
    Xウィンドウが動作する環境で、techMgrコマンドを実行します。
    imageimage
    [InfoDirectory管理ツール]画面が表示されます。
  2. [InfoDirectory管理ツール]画面で、[サーバツール][DSA運用管理]を選択し、[DSA運用管理]画面からInterstage シングル・サインオン用のDSA(例.DSA名は"cn=ssoDsa-389")を選択した状態で[DSA][DSA起動]を選択します。
    [管理者認証]画面が表示されますので、“管理ツール管理者の登録”で設定したユーザID/パスワードを入力し、[了解]ボタンを押下するとDSA起動が成功したメッセージが表示され、DSAが起動されます。(例.ユーザIDは"admin"、パスワードは"adminpass")

LDIFファイルをInfoDirectoryの管理ツールで読み込む方法

 Interstage シングル・サインオンが提供するLDIFファイルをInfoDirectoryの管理ツールで読み込んでSSOリポジトリを作成する方法について説明します。

LDIFファイルのファイル名と格納先

 LDIFファイルのファイル名
 sso-sample.ldif
 LDIFファイルのファイルの格納先
image
 C:\Interstage\F3FMsso\ssoatcsv\conf
image
 /etc/opt/FJSVssosv/conf
  1. [InfoDirectory管理ツール]を起動します。起動方法については、“Interstage シングル・サインオン用のDSA起動方法”の手順"1."を参照してください。
  2. [InfoDirectory管理ツール]画面の[接続][ログイン]を選択します。
    [ログイン]画面が表示されます。
  3. [ログイン]画面で[DSA選択]ボタンを押下します。
  4. Interstageシングル・サインオン用のDSAの作成と起動”で作成したDSAを選択し、[OK]ボタンを押下します。(例.DSA名"cn=ssoDsa-389"を選択)
  5. [ログイン]画面でDSA管理者のユーザDN/パスワードを入力し、[ログイン]ボタンを押下します。(例.DSA管理者のユーザDNは"cn=ssoadmin"、パスワードは"ssoadminpass")
  6. [InfoDirectory管理ツール]画面の[サーバツール][サーバ管理]を選択します。
  7. [サーバ管理]画面の[ツール][LDIFから入力]を選択します。
  8. [LDIFから入力]画面で、[参照]ボタンを押下し、[ファイル参照]画面で取り込むInterstage シングル・サインオンが提供するLDIFファイルを選択し、[OK]ボタンを押下します。その後、[LDIFから入力]画面の[OK]ボタンを押下します。
    ⇒ リストア完了のメッセージが表示されます。メッセージにしたがい実行結果を確認後、表示されたメッセージ画面の[了解]ボタンを押下してください。
  9. [サーバ管理]画面の[キャンセル]ボタンを押下し、[サーバ管理]画面を終了します。
  10. [InfoDirectory管理ツール]画面の[表示][リフレッシュ]を選択します。
  11. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"配下を全て表示します。
    ⇒ 以下のように表示されます。

    image

    LDIFファイルから入力した内容をそのまま使用する場合には、[InfoDirectory管理ツール]画面の[接続][ログアウト]を選択し、ログアウトを行ってから管理ツールを終了します。

image
Interstage シングル・サインオン用のDSAの作成と起動”の「連携アプリスキーマ設定」画面で、連携アプリスキーマとして「Interstage シングル・サインオン」を追加していない場合は、LDIFファイルの読み込みに失敗するか、内容が正しく登録されません。


 以下に、SSOリポジトリの変更方法について説明します。

管理ツールを再起動させた後、SSOリポジトリの変更を行う場合には、必ず[InfoDirectory管理ツール]画面の[接続][ログイン]でInterstage シングル・サインオンのDSAを選択してログインする必要があります。

image
 リモート端末よりInfoDirectory管理ツールを使用して既に作成済みのSSOリポジトリに変更を行う場合には、InfoDirectory管理ツールで変更するSSOリポジトリのDSAにログインした後、以下の操作を実施しておく必要があります。

  1. [InfoDirectory管理ツール]画面の[サーバツール][スキーマ制御]を選択します。
    [スキーマ制御]画面が表示されます。
  2. [スキーマ制御]画面の[オブジェクトクラスのカテゴリ]から【SSO】を選択します。
  3. [スキーマ制御]画面の[表示][最新情報]を選択します。
  4. [スキーマ制御]画面の[スキーマ][終了]を選択し、[スキーマ制御]画面を終了します。



国名や組織名の変更(例.組織名"Fujitsu Limited"を"University"に変更)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"配下にある"Fujitsu Limited"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ更新]を選択します。
    [組織プロパティ]画面が表示されます。
  2. [組織プロパティ]画面の[一般]タブ−[組織名]欄を"Fujitsu Limited"から実際の環境に変更し、[OK]ボタンを押下すると、変更した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 環境(組織名)が変更され[InfoDirectory管理ツール]画面に戻ります。



ロール定義の変更(例.定義されているロール名を"Admin"から"Manager"に変更)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Role"配下にある"Admin"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ更新]を選択します。
    [エントリプロパティ]画面が表示されます。
  2. [エントリプロパティ]画面の[一般]タブ−[属性]から[名前]を選択し、[属性値]の"Admin"を選択します。
  3. [属性値][値]欄の"Admin"を"Manager"に変更して[更新]ボタンを押下します。
    [エントリ名]欄が"cn=Manager"に変更されます。
  4. [エントリプロパティ]画面の[OK]ボタンを押下すると、変更した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ ロール定義の"Admin"が"Manager"に変更され[InfoDirectory管理ツール]画面に戻ります。



ロール定義の追加(例.ロール定義"User"を追加)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"配下にある"Role"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][エントリ登録]を選択します。
    [エントリ登録]画面が表示されます。
  2. [エントリ登録]画面の[カテゴリ]から【SSO】を選択します。
    [構造オブジェクトクラス一覧]にInterstage シングル・サインオン用のオブジェクトクラスが表示されます。
  3. [エントリ登録]画面の[構造オブジェクトクラス一覧]から"SSOロール"を選択します。
  4. [エントリ登録]画面の[一般]タブ−[属性][名前]を選択し、[属性値][値]欄に"User"を入力し[追加]ボタンを押下します。
    [エントリ名]欄に"cn=User"が表示されます。
  5. [エントリ登録]画面の[OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ ロール定義に"User"が追加され[InfoDirectory管理ツール]画面に戻ります。



ロール定義の削除(例.定義されているロール"User"を削除)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Role"配下にある"Guest"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ削除]を選択します。
    [ユーザ確認]画面が表示されます。
  2. [ユーザ確認]画面表示されますので、[はい]ボタンを押下してください。
    ⇒ ロール定義から"User"が削除され[InfoDirectory管理ツール]画面に戻ります。

image
ロール定義を変更/追加/削除した場合は、そのロールを使用しているユーザ情報や保護リソース情報のパス定義も合わせて変更を行う必要があります。環境構築後にロール定義の変更/追加/削除を行う場合は、“ロール定義の変更、追加”を参照してください。



保護リソースの変更(例.定義されている"www.fujitsu.com:80"のポート番号を81に変更

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource"−"com"−"fujitsu"配下にある"www+80"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ更新]を選択します。
    [エントリプロパティ]画面が表示されます。
  2. [エントリプロパティ]画面の[一般]タブ−[属性]から[SSOポート番号]を選択し、[属性値]の"80"を選択します。
  3. [属性値][値]欄の"80"を"81"に変更して[更新]ボタンを押下します。
    [エントリ名]欄が"dc=www+ssoPortNumber=81"に変更されます。
  4. [エントリプロパティ]画面の[OK]ボタンを押下すると、変更した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソース定義が変更され[InfoDirectory管理ツール]画面に戻ります。



保護リソースの変更(例.定義されている"www.fujitsu.com:80/admin/"のパスを/president/に変更)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource"−"com"−"fujitsu"−"www+80"配下にある"/admin/"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ更新]を選択します
    [エントリプロパティ]画面が表示されます。
  2. [エントリプロパティ]画面の[一般]タブ−[属性]から[名前]を選択し、[属性値]の"/admin/"を選択します。
  3. [属性値][値]欄の"/admin/"を"/president/"に変更して[更新]ボタンを押下します。
    [エントリ名]欄が"cn=/president/"に変更されます。
  4. [エントリプロパティ]画面の[OK]ボタンを押下すると、変更した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソース定義が変更され[InfoDirectory管理ツール]画面に戻ります。
    必要に応じて、[補助]タブ−[属性][SSOロール名]、[SSOユーザ属性]の値を変更してください。ロール名については、“ロールによる認可”または“ロールセットによる認可”を参照してください。SSOユーザ属性については、“環境変数による通知情報の設定”を参照してください。



保護リソースの追加(例.別ドメインの業務サーバ"www.fujitsu.co.jp:80"を追加)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"配下にある"Resource"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][エントリ登録]を選択します。
    [エントリ登録]画面が表示されます。
  2. [エントリ登録]画面の[構造オブジェクトクラス一覧]から“ドメイン”を選択します。
  3. [エントリ登録]画面の[一般]タブ−[属性][ドメインコンポーネント]を選択します。
  4. [属性値][値]欄に"jp"を入力し[追加]ボタンを押下します。
    [エントリ名]欄に"dc=jp"が表示されます。
  5. [OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソース定義"jp"が追加され[InfoDirectory管理ツール]画面に戻ります。
    同様に"co"と"fujitsu"のドメインについて行い、"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource"−"jp"−"co"−"fujitsu"のツリーを作成してください。
  6. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource" −"jp"−"co"配下にある"fujitsu"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][エントリ登録]を選択します。
    [エントリ登録]画面が表示されます。
  7. [エントリ登録]画面の[カテゴリ]から【SSO】を選択します。
    [構造オブジェクトクラス一覧]にInterstage シングル・サインオン用のオブジェクトクラスが表示されます。
  8. [エントリ登録]画面の[構造オブジェクトクラス一覧]から“SSOサイト”を選択します。
  9. [エントリ登録]画面の[一般]タブ−[属性][ドメインコンポーネント]を選択し、[属性値][値]欄に"www"を入力し[追加]ボタンを押下します。
    [エントリ名]欄に"dc=www"が表示されます。
  10. 続いて[エントリ登録]画面の[一般]タブ−[属性][SSOポート番号]を選択し、[属性値][値]欄に"80"を入力し[追加]ボタンを押下します。
    [エントリ名]欄は"dc=www"から"dc=www+ssoPortNumber=80"が表示されます。
  11. [エントリ登録]画面の[OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソースに"www+80"が追加され[InfoDirectory管理ツール]画面に戻ります。



保護リソースの追加(例. 定義されている"www.fujitsu.com:80"にパス定義"/executive/"を追加)

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource"−"com"−"fujitsu"配下にある"www+80"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][エントリ登録]を選択します。
    [エントリ登録]画面が表示されます。
  2. [エントリ登録]画面の[カテゴリ]から【SSO】を選択します。
    [構造オブジェクトクラス一覧]にInterstage シングル・サインオン用のオブジェクトクラスが表示されます。
  3. [エントリ登録]画面の[構造オブジェクトクラス一覧]から“SSOリソース”を選択します。
  4. [エントリ登録]画面の[一般]タブ−[属性][名前]を選択し、[属性値][値]欄に"/executive/"を入力し[追加]ボタンを押下します。
    [エントリ名]欄に"cn=/executive/"が表示されます。
  5. [エントリ登録]画面の[補助]タブ−[属性][SSOロール名]を選択し、[属性値][値]欄にロール名を入力し[追加]ボタンを押下します。入力するロール名については、“ロールによる認可”または“ロールセットによる認可”を参照してください。
    [エントリ名]欄に追加されたロール名が表示されます。
    必要に応じて、[補助]タブ−[属性][SSOユーザ属性]を選択し、値を設定してください。入力するSSOユーザ属性については、“環境変数による通知情報の設定”を参照してください。
  6. [エントリ登録]画面の[OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソースに"/executive/"が追加され[InfoDirectory管理ツール]画面に戻ります。



保護リソースの追加(例.別ドメインの業務サーバ"www.aaa.fujitsu.com"を追加

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource"配下にある"com"−"fujitsu"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][エントリ登録]を選択します。
    [エントリ登録]画面が表示されます。
  2. [エントリ登録]画面の[構造オブジェクトクラス一覧]から“ドメイン”を選択します。
  3. [エントリ登録]画面の[一般]タブ−[属性][ドメインコンポーネント]を選択します。
  4. [属性値][値]欄に"aaa"を入力し[追加]ボタンを押下します。
    [エントリ名]欄に"dc=aaa"が表示されます。
  5. [OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ 保護リソース定義"aaa"が追加され[InfoDirectory管理ツール]画面に戻ります。
  6. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource" −"com" −"fujitsu"配下にある"www"を選択します。[InfoDirectory管理ツール]画面の[エントリ]メニューの[コピー]を選択します。
  7. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO ACI"−"Resource" −"com" −"fujitsu"配下にある"aaa"を選択します。[InfoDirectory管理ツール]画面の[エントリ]メニューの[貼り付け]を選択します。
  8. 保護リソースに"www.aaa.fujitsu.com"が追加されました。



ユーザ情報の変更(例.Fujitsu Hanakoのユーザ情報を変更

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO User"配下にある"Fujitsu Hanako"を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ更新]を選択します。
    [ユーザプロパティ]画面が表示されます。
  2. [ユーザプロパティ]画面で変更内容に応じて[一般]タブの[姓][名前][ログイン名][パスワード][電子メールアドレス]など変更する個所を再入力します。(なお、パスワードは暗号化して表示されています。)
  3. [ユーザプロパティ]画面で変更内容に応じて[補助]タブの[属性]から[SSO認証方式][SSOロール名]などを変更します。
    例えば、[SSO認証方式]で"basicAuth"を"certAuth"に変更する場合、
    [属性]から[SSO認証方式]を選択し、[属性値]の"basicAuth"を選択します。
    [属性値][値]欄の"basicAuth"を"certAuth"に変更して[更新]ボタンを押下します。
    [ユーザプロパティ]画面の[OK]ボタンを押下すると、変更した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ Fujitsu Hanakoのユーザ情報が変更され[InfoDirectory管理ツール]画面に戻ります。



ユーザ情報の追加(例.ユーザ情報にFujitsu Mamoruを追加

  1. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"配下にある"SSO User" を選択し、右クリックします。表示されたドロップダウンメニューから[エントリ登録][ユーザ登録]を選択します。
    [ユーザ登録]画面が表示されます。
  2. [ユーザ登録]画面で[一般]タブの[姓]に"Fujitsu"、[名前]に"Fujitsu Mamoru"、[ログイン名]に"mamoru"、[パスワード]に"mamoru"、[電子メールアドレス]に"mamoru@jp.fujitsu.com"を入力します。
    image
  3. [ユーザ登録]画面の[表示切替]ボタンを押下します。
    ⇒ 表示が切り替り、属性が一覧表示されます。
  4. [ユーザ登録]画面の[一般]タブから[オブジェクトクラス]を選択し、[属性値][選択]ボタンを押下します。
    [オブジェクトクラス選択]画面が表示されます。
  5. [オブジェクトクラス選択]画面の[カテゴリ]から【SSO】を選択します。
    [構造オブジェクトクラス一覧]にInterstage シングル・サインオン用のオブジェクトクラスが表示されます。
  6. [オブジェクトクラス選択]画面から“SSOユーザ”を選択し、[OK]ボタンを押下します。
    [ユーザ登録]画面に戻ります。
  7. [ユーザ登録]画面の[属性値][値]欄に"ssoUser"が設定されていることを確認し[追加]ボタンを押下します。
    [オブジェクトクラス]に"ssoUser"が追加されます。
  8. [ユーザ登録]画面の[補助]タブを選択し、[属性]から[SSO認証方式][SSOロール名]などを入力します。Interstage シングル・サインオンの運用に合わせて各情報を入力してください。設定する情報については“ユーザ情報の作成”を参照してください。
  9. [ユーザ登録]画面の[OK]ボタンを押下すると、追加した旨の[情報]画面が表示されますので、[了解]ボタンを押下してください。
    ⇒ユーザ情報にFujitsu Mamoru用のユーザが追加され[InfoDirectory管理ツール]画面に戻ります。



ユーザ情報の追加(例.LDIFファイルを使用し、複数のユーザ情報を追加)

  1. 例では、以下のLDIFファイルを新規作成します。
    image
     C:\temp\add-user.ldif
    image
     /tmp/add-user.ldif
  2. 作成したファイルに、以下のユーザ情報の定義を追加します。
    ここでは、"Fujitsu User1"というユーザを追加する例を記述します。
    LDIFファイルには"属性名: 値"の形式で記述してください。ユーザ情報の作成で使用する属性名と値については、“ユーザ情報の作成”を参照してください。LDIFファイルの詳細については、“InfoDirectory使用手引書”の“LDAPコマンド”−“LDIF”を参照してください。
    dn: cn=Fujitsu User1,ou=SSO User,o=Fujitsu Limited,c=jp
    cn: Fujitsu User1
    sn: Fujitsu
    uid: user1
    userPassword: user1
    givenName: User1
    employeeNumber: 200001
    mail: user1@jp.fujitsu.com
    ssoRoleName: Admin
    ssoAuthType: basicAuthOrCertAuth
    ssoCredentialTTL: 60
    ssoNotBefore: 20000101000000+0900
    ssoNotAfter: 20371231235959+0900
    objectClass: top
    objectClass: person
    objectClass: inetOrgPerson
    objectClass: ssoUser

    (注意)ユーザ情報の定義の途中に改行を入れないでください。また、次のユーザ情報との間には改行を1つ入れてください。(LDIFファイルの最終行には改行を2つ入れてください)

  3. 2.の操作を繰り返し、ユーザ情報を追加してください。
  4. 作成したLDIFファイルをディスクに保存します。
  5. [InfoDirectory管理ツール]画面の[サーバツール][サーバ管理]を選択します。
  6. [サーバ管理]画面の[ツール][LDIFから入力]を選択します。
  7. [LDIFから入力]画面で、[参照]ボタンを押下し、[ファイル参照]画面で作成したLDIFファイルを選択し、[OK]ボタンを押下します。その後、[LDIFから入力]画面の[OK]ボタンを押下します。
    ⇒ リストア完了のメッセージが表示されます。メッセージにしたがい実行結果を確認後、表示されたメッセージ画面の[了解]ボタンを押下してください。
  8. [サーバ管理]画面の[キャンセル]ボタンを押下し、[サーバ管理]画面を終了します。
  9. [InfoDirectory管理ツール]画面の[表示][リフレッシュ]を選択します。
  10. [InfoDirectory管理ツール]画面の[ディレクトリ]タブのツリーに表示されている"jp"−"Fujitsu Limited"−"SSO User" 配下を全て表示します。
    ⇒ 2.の操作で追加したユーザ情報が表示されます。



image

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2003