Interstage Application Server シングル・サインオン運用ガイド

目次 索引

7.2.2 導入手順

　以下に、Interstage シングル・サインオンシステムに認証サーバ間連携を導入する手順を説明します。
　Interstage シングル・サインオンシステムAを自シングル・サインオンシステムとし、Interstage シングル・サインオンシステムBを相手シングル・サインオンシステムとして連携を行う場合を例に示します。

　認証サーバにて以下の作業を行ってください。

【認証サーバを1台配置するシステムの場合】

1. 認証サーバ間連携の運用許可
   認証サーバがV9.0以前の旧バージョンから移行した環境の場合、認証サーバで認証サーバ間連携の運用を行うための設定を行います。
   認証サーバ、およびリポジトリサーバ(更新系)をV9.1以降のバージョンで新規に構築した環境の場合は、この作業は不要です。
   　
2. 自シングル・サインオンシステムのデジタル署名用証明書の登録(注)
   “相手シングル・サインオンシステムと連携するための準備”で取得した、自シングル・サインオンシステムでデジタル署名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先に登録してください。なお、サイト証明書が署名用に使用できる場合は、この作業は不要です。

   
   　デジタル署名用証明書　　　　　　　　C:\SystemA_Cert.cer
   　デジタル署名用証明書のニックネーム　SYSA_CERT

   　デジタル署名用証明書を“C:\SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
   　パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

   C:\> scsenter -n SYSA_CERT -f C:\SystemA_Cert.cer -o Password: 証明書がキーストアに追加されました。 SCS: 情報: scs0104: 証明書を登録しました。 C:\>

   
   　デジタル署名用証明書　　　　　　　　/tmp/SystemA_Cert.cer
   　デジタル署名用証明書のニックネーム　SYSA_CERT

   　デジタル署名用証明書を“/tmp/SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
   　証明書を登録する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
   　以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

   # JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME # scsenter -n SYSA_CERT -f /tmp/SystemA_Cert.cer -o Password: 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0104: 証明書を登録しました。 #

   
   

3. 認証サーバ間連携サービスの配備
   ssodeployコマンドを使用して、サーブレットアプリケーションとしてServletコンテナへ配備します。
   　
4. Webブラウザに表示するメッセージのカスタマイズ
   運用時に表示されるWebブラウザのメッセージを必要に応じてカスタマイズします。
   　
5. 相手シングル・サインオンシステムのデジタル署名検証用証明書の登録(注)
   “相手シングル・サインオンシステムと連携するための準備”で交換した、相手シングル・サインオンシステムでデジタル署名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先に登録してください。

   
   デジタル署名検証用証明書　　　　　　　　C:\SystemB_Cert.cer
   デジタル署名検証用証明書のニックネーム　SYSB_CERT

   　デジタル署名検証用証明書を“C:\SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
   　パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

   C:\> scsenter -n SYSB_CERT -f C:\SystemB_Cert.cer -e Password: 証明書がキーストアに追加されました。 SCS: 情報: scs0104: 証明書を登録しました。 C:\>

   
   デジタル署名用証明書　　　　　　　　/tmp/SystemB_Cert.cer
   デジタル署名用証明書のニックネーム　SYSB_CERT

   　デジタル署名用証明書を“/tmp/SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
   　以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

   # scsenter -n SYSB_CERT -f /tmp/SystemB_Cert.cer -e Password: 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0104: 証明書を登録しました。 #

   
   

6. ユーザ情報のカスタマイズ
   ユーザ情報を変換するルールを記述したユーザ情報カスタマイズ定義ファイルを作成し、運用に合わせてユーザ情報を変換します。
   　
7. 認証サーバ間連携の設定
   Interstage管理コンソールを使用して、認証サーバ間連携を行うための設定を行います。
   　
8. 認証サーバの停止
   Interstage管理コンソールを使用して、認証サーバを停止します。
   　
9. 認証サーバ間連携サービスの起動
   Interstage管理コンソールを使用して、認証サーバ間連携サービスを起動します。
   　
10. 認証サーバの起動
    Interstage管理コンソールを使用して、認証サーバを起動します。

　注)scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編）”の“SSL環境設定コマンド”を参照してください。

【認証サーバを複数台配置して負荷分散を行うシステムの場合】

1. 認証サーバ間連携サービスの環境構築
   任意の1台の認証サーバで、認証サーバを1台配置するシステムの場合の手順1から7までを実施します。
   　
2. 移出マシンの資源の取り出し
   手順1で環境を構築した認証サーバ(移出マシン)から、認証サーバ間連携サービスの環境を取り出します。
   1. 移出マシンでssobackupコマンドを-acオプションで実行し、認証サーバ資源を資源格納ファイルに取り出します。(注1)
   2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、それらのファイルを取り出してください。
   3. Interstage証明書環境、およびIJServerの資源を移出してください。(注1)
   4. 手順1から3で取り出した資源を、移入マシンに転送します。
      転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、手順1で取り出した資源格納ファイルの権限は変更しないでください。
      　
3. 移入マシンへの資源の移入
   手順1で環境を構築した認証サーバを除く、負荷分散している残りのすべての認証サーバ(移入マシン)に、手順2で取り出した認証サーバ間連携サービスの環境を移入します。
   1. 移入マシンで、ssorestoreコマンドを実行し、認証サーバ資源を移入します。(注1)
   2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、移出マシンから取り出したそれらのファイルを格納してください。
   3. 移出マシンから取り出したInterstage証明書環境資源、およびIJServerの資源を移入してください。(注1)
      認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、負荷分散のために認証サーバを追加した際に登録したサイト証明書を、再度Interstage証明書環境へ登録してください。(注2)
   4. 移出マシンから取り出した資源格納ファイルを削除してください。
      　
4. ロードバランサの設定
   クライアントと認証サーバ間連携サービスとのセションの一意性を保証する必要があります。認証サーバ間連携サービスを起動する前に、ロードバランサの設定を行ってください。
   　
5. 認証サーバの停止
   Interstage管理コンソールを使用して、すべての認証サーバを停止します。
   　
6. 認証サーバ間連携サービスの起動
   Interstage管理コンソールを使用して、すべての認証サーバにおいて認証サーバ間連携サービスを起動します。
   　
7. 認証サーバの起動
   Interstage管理コンソールを使用して、すべての認証サーバを起動します。

　注1)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”−“他サーバへの資源移行”を参照してください。

　注2)負荷分散のための認証サーバの追加については、“負荷分散のため認証サーバを追加する”を参照してください。

• すべてのInterstage シングル・サインオンシステムに認証サーバ間連携の導入が完了した後、認証を行うシステムの設定を行い、以下の動作について確認してから運用を開始してください。認証を行うシステムの設定については、“認証を行うシステムの設定”を参照してください。
  • 各Interstage シングル・サインオンシステムの保護リソースにアクセスし、正常に認証できること。
  • 利用者のアクセス制御(認可)が正常に行えること。
  • サインオフが正常に行えること。
  • カスタマイズした画面が正常に表示されること。
  • 各Interstage シングル・サインオンシステムの業務サーバ上に構築したWebアプリケーションで、カスタマイズしたユーザ情報が正常に取得できること。
    　
• 運用を開始する前に、以下の作業を行ってください。

  【SSO管理者】

  • 認証を行うシステムの設定画面のURLを業務サーバ管理者に通知してください。
    認証を行うシステムの設定画面のURLについては、“認証を行うシステムの設定”を参照してください。
  • セションの管理を行わないInterstage シングル・サインオンシステムと連携する場合は、以下について業務サーバ管理者に通知してください。(注)
    • セションの管理を行わないInterstage シングル・サインオンシステムの業務サーバにアクセスした状態でサインオフを行うと、以下のメッセージがWebブラウザに表示され、サインオフに失敗します。Webブラウザを閉じて対処してください。
      　　「サインオフできませんでした。Webブラウザを閉じてください。」

  【業務サーバ管理者】

  • 利用者に認証を行うシステムの設定画面のURLを通知し、サービスを利用する前に、必ず認証を行うシステムの設定を行うよう運用指導してください。
    認証を行うシステムの設定については、“認証を行うシステムの設定”を参照してください。
  • SSO管理者からサインオフに失敗する場合について連絡を受けた場合は、利用者に以下のように運用指導してください。
    • サインオフを行った際に以下のメッセージが表示される場合は、Webブラウザを閉じてください。
      　　「サインオフできませんでした。Webブラウザを閉じてください。」

注)セションの管理を行わないInterstage シングル・サインオンシステムと連携する場合の注意については、“使用上の注意”の“注意事項”−“Interstage シングル・サインオンの注意事項”−“認証サーバ間連携に関する注意事項”を参照してください。

7.2.2.1 認証サーバ間連携の運用許可

7.2.2.2 認証サーバ間連携サービスの配備

7.2.2.3 認証サーバ間連携の設定

目次 索引