Interstage Application Server シングル・サインオン運用ガイド

目次 索引

A.12 ディレクトリサービスにActive Directoryを使用するシステムへの移行について

　ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用しているシステムからActive Directoryを使用するシステムに移行する場合は、以下の点に注意して環境を変更してください。

　なお、ユーザ情報を登録するディレクトリサービスにActive Directoryを使用するシステムについては、“Active Directoryとの連携”を参照してください。

■注意事項

• ユーザ情報を登録するディレクトリサービスをActive Directoryに変更するための環境設定の変更は、必ずInterstage シングル・サインオンのシステムを構成しているすべてのリポジトリサーバ、および認証サーバに対して行ってください。
• 環境設定を変更する前に、Interstage シングル・サインオン資源のバックアップをすべてのリポジトリサーバ、および認証サーバに対して行ってください。バックアップの作業については“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”を参照してください。

■変更手順

　以下のシステム構成に分けて説明します。

• リポジトリサーバを1台配置するシステムの場合
• リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合

【リポジトリサーバを1台配置するシステムの場合】

　変更は以下の手順で行います。

1. シングル・サインオンの拡張スキーマの設定
   シングル・サインオンの拡張スキーマを使用する場合に実施します。
2. Active Dirctoryのユーザ情報の設定
3. SSOリポジトリの設定
4. SSL通信環境の構築
   Active DirectoryとSSL通信を行う場合に実施します。
5. リポジトリサーバの変更
6. 認証サーバの変更
7. 統合Windows認証を行うための設定

1)シングル・サインオンの拡張スキーマの設定

　ActiveDirectoryにシングル・サインオンのスキーマを拡張します。
　拡張スキーマの設定方法については、“シングル・サインオンの拡張スキーマの設定”を参照してください。

2)Active Dirctoryのユーザ情報の設定

　Active Directoryにユーザ情報を設定します。
　Active Directoryにユーザ情報を設定する際の注意点、およびポイントについては、“Active Directoryのユーザ情報の設定”を参照してください。

3)SSOリポジトリの設定

　SSOリポジトリにロール定義を登録します。

• シングル・サインオンの拡張スキーマを使用しない場合
  ActiveDirectoryで管理しているユーザ情報の任意の属性値とInterstage シングル・サインオンのロール定義を関連付けてSSOリポジトリに登録します。
  設定手順については、“SSOリポジトリの設定(ロール定義の関連付け)”を参照してください。
• シングル・サインオンの拡張スキーマを使用する場合
  すでにSSOリポジトリに登録されているロール定義以外に、ロール定義が必要な場合や、ロール定義を変更する場合は、運用に応じてロール定義の追加、変更を行ってください。
  ロール定義の追加、変更については、“ロール定義の変更、追加”を参照してください。

4)SSL通信環境の構築

　Active DirectoryとSSL通信を行うための設定を行います。
　設定手順については、“SSL通信環境の構築”を参照してください。

5)リポジトリサーバの変更

　リポジトリサーバのInterstage管理コンソールから以下の手順で変更します。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[リポジトリサーバ詳細設定[表示]]をクリックしてください。
2. [リポジトリ]の[ユーザ情報の登録先に使用するディレクトリサービス]を[Active Directory]に変更し、[シングル・サインオンの拡張スキーマを使用する]を運用に応じてチェックしてください。
3. [Active Directoryの設定]でActive Directoryの接続情報を設定し、[ユーザ情報の登録先エントリ]をActive Directoryのユーザ情報の登録先エントリに変更し、[適用]ボタンをクリックします。
4. リポジトリサーバを再起動してください。
5. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択してください。
6. [詳細設定[表示]]をクリックし、[リポジトリ]の[ユーザ情報の登録先エントリ]がActive Directoryのユーザ情報の登録先エントリに変更されていることを確認してください。
7. [パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築ファイルをダウンロードしてください。
8. 認証サーバに認証基盤構築ファイルを転送後、認証基盤構築ファイルを削除してください。

6)認証サーバの変更

　認証サーバを以下の手順で変更します。
　認証サーバの負荷分散を行っている場合は、全ての認証サーバにて以下を実施してください。また、運用にあわせてロードバランサの設定を変更してください。ロードバランサの設定については、“認証サーバの負荷分散”を参照してください。

1. ユーザ情報の登録先に使用するディレクトリサービスをActive Directoryに変更したリポジトリサーバからダウンロードした認証基盤構築ファイルを、認証サーバに転送してください。
2. 手順1.で転送した認証基盤構築ファイルを指定して、ssoimpacコマンドを実行してください。
3. Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。
4. [詳細設定[表示]]をクリックし、[統合Windows認証の設定]の[認証に使用する属性]が[使用しません]になっていることを確認し、[適用]ボタンをクリックしてください。[使用しません]になっていない場合は、手順2.で誤った認証基盤構築ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。
5. 認証サーバを再起動してください。
6. 認証基盤構築ファイルを削除してください。

7)統合Windows認証を行うための設定

　統合Windows認証を行うための設定を行います。設定手順については、“統合Windows認証を行うための設定”を参照してください。
　なお、すでに設定済みの場合は、実施不要です。

【リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合】

　変更は以下の手順で行います。
　本システムの場合、まず、1台のリポジトリサーバ(更新系)を変更した後、負荷分散している残りのすべてのリポジトリサーバ(更新系)を変更します。

1. シングル・サインオンの拡張スキーマの設定
   シングル・サインオンの拡張スキーマを使用する場合に実施します。
2. Active Dirctoryのユーザ情報の設定
3. SSOリポジトリの設定
4. SSL通信環境の構築
   Active DirectoryとSSL通信を行う場合に実施します。
5. リポジトリサーバ(更新系)の変更
   1. リポジトリサーバ(更新系)の変更
   2. 負荷分散しているリポジトリサーバ(更新系)の変更
6. 認証サーバの変更
7. 統合Windows認証を行うための設定

1)シングル・サインオンの拡張スキーマの設定

　リポジトリサーバを1台配置するシステムの場合の、シングル・サインオンの拡張スキーマの設定と同じ手順です。

2)Active Dirctoryのユーザ情報の設定

　リポジトリサーバを1台配置するシステムの場合の、Active Directoryのユーザ情報の設定と同じ手順です。

3)SSOリポジトリの設定

　リポジトリサーバを1台配置するシステムの場合の、SSOリポジトリの設定と同じ手順です。

4)SSL通信環境の構築

　リポジトリサーバを1台配置するシステムの場合の、SSL通信環境の構築と同じ手順です。

5)リポジトリサーバ(更新系)の変更

1. リポジトリサーバ(更新系)の変更
   1. リポジトリサーバを1台配置するシステムの場合の、リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバ(更新系)を変更します。
   2. ユーザ情報の登録先に使用するディレクトリサービスをActive Directoryに変更したリポジトリサーバ(更新系)のマシンを移出マシンとして、ssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに移出します。
      ssobackupコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してください。
2. 負荷分散しているリポジトリサーバ(更新系)の変更
   負荷分散している残りのすべてのリポジトリサーバ(更新系)にて実施します。
   1. 負荷分散しているリポジトリサーバ(更新系)を移入マシンとして、リポジトリサーバ(更新系)の変更で移出した資源格納ファイルを転送してください。
   2. ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。
      ssorestoreコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してください。
   3. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択してください。
   4. [リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ]の[Active Directoryの設定]が表示されていることを確認し、[適用]ボタンをクリックしてください。[Active Directoryの設定]が表示されていない場合は、手順2.で誤った資源格納ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。

　上記作業が終了したら、すべてのリポジトリサーバ(更新系)を起動し、移出した資源格納ファイルを削除してください。

6)認証サーバの変更

　リポジトリサーバを1台配置するシステムの場合の、認証サーバの変更と同じ手順です。

7)統合Windows認証を行うための設定

　リポジトリサーバを1台配置するシステムの場合の、統合Windows認証を行うための設定と同じ手順です。

目次 索引