セションの管理を行っていないシステムからセションの管理を行うシステムに移行する場合は、以下の点に注意して、セションの管理を行うための環境に変更してください。
■注意事項
セションの管理を行うための環境設定の変更は、必ずInterstage シングル・サインオンのシステムを構成している全サーバに対して行ってください。
環境設定を変更する前に、Interstage シングル・サインオン資源のバックアップを全サーバに対して行ってください。バックアップの作業については“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”を参照してください。
SSOリポジトリで管理するユーザ情報の認証方式(ssoAuthType)に“certAuth”を設定した場合には、利用者の認証に失敗します。利用者の認証方式を変更するか、証明書認証を行うための設定を行ってください。(注1)(注2)
セションの管理を行うシステムでは、SSOリポジトリで管理するユーザ情報にユーザIDを必ず設定してください。(注1)
負荷分散を行うシステムの場合は、ロードバランサの設定を見直してください。(注3)
注1)認証方式、およびユーザ情報については、“2.3.2.5 ユーザ情報のエントリ”を参照してください。
注2)証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。
注3)ロードバランサの設定については、“付録E ロードバランサの設定”を参照してください。
■変更手順
以下のシステム構成に分けて説明します。
【リポジトリサーバの負荷分散を行わないシステムの場合】
変更は以下の手順で行います。
リポジトリサーバの変更
認証サーバの変更
業務サーバの変更
Javaアプリケーションの変更(注)
注)Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合に行ってください。
SSO管理者は、以下の作業を行います。
リポジトリサーバのInterstage管理コンソールから以下の手順で変更します。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[セション管理詳細設定[表示]]をクリックしてください。
[セション管理の設定]の[セション管理の運用]を[運用を行う]に変更し、[適用]ボタンをクリックします。(注1)(注2)
リポジトリサーバを再起動してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が、[運用を行う]になっていることを確認してください。
[パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築ファイルをダウンロードしてください。
認証サーバに認証基盤構築ファイルを転送後、認証基盤構築ファイルを削除してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が、[運用を行う]になっていることを確認してください。(注3)
複数の業務システムを運用している場合は、全ての業務システムに対して手順11、および手順12を実施してください。
必要項目を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに業務システム基盤構築ファイルをダウンロードしてください。
業務サーバ管理者に業務システム構築ファイルを配布した後に、業務システム構築ファイルを削除してください。
注1)リポジトリサーバをSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参照し、環境設定を行ってください。
注2)リポジトリサーバをクラスタシステムで運用している場合は、暗号化情報(サービスID)ファイルを共用ディスクに移動し、環境定義ファイルを変更してください。また、待機ノードの環境設定についても同様に変更してください。なお、詳細については“高信頼性システム運用ガイド”の“クラスタサービスの環境設定手順”-“Interstageの環境設定”-“Interstage シングル・サインオンを使用する場合”の“1)運用ノード(ノード1)での構築”に記載されている手順3、および手順4を参照してください。
また、Interstage シングル・サインオン用の状態遷移プロシジャを登録してください。状態遷移プロシジャについては、“高信頼性システム運用ガイド”の“クラスタサービスの環境設定手順”-“クラスタサービスの設定”を参照してください。
注3)Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバ間を非SSL通信で行う場合、業務サーバを再起動する前に業務サーバが参照する認証サーバのURLを変更する必要があります。[認証基盤の情報]の[認証サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してください。
認証サーバを以下の手順で変更します。認証サーバの負荷分散を行っている場合は、全ての認証サーバにて実施してください。
セションの管理を行う設定に変更したリポジトリサーバからダウンロードした認証基盤構築ファイルを、認証サーバに転送してください。
手順1.で転送した認証基盤構築ファイルを指定して、ssoimpacコマンドを実行してください。
ssoimpacコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った認証基盤構築ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。
認証サーバを再起動してください。
認証基盤構築ファイルを削除してください。
業務サーバ管理者は、以下の作業を行います。
業務サーバを以下の手順で変更します。業務サーバの負荷分散を行っている場合、または複数の業務システムを運用している場合は、全ての業務サーバにて実施してください。
認証サーバとSSL通信を行うために必要なInterstage証明書環境を作成します。すでにInterstage証明書環境が作成されている場合は、この作業は不要です。Interstage証明書環境の作成については“D.5 Interstage証明書環境の作成”を参照してください。
セションの管理を行う設定に変更したリポジトリサーバからダウンロードした業務システム構築ファイルを、SSO管理者から取得してください。
手順2.で取得した業務システム構築ファイルを指定して、ssoimpazコマンドを実行してください。業務サーバでシングル・サインオンJavaAPIを使用している場合は、-jオプションを指定してください。
ssoimpazコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順3.で誤った業務システム構築ファイルを指定してコマンドを実行しています。手順2.から再度実施してください。
業務サーバを組み込んでいるWebサーバに以下の設定を追加してください。すでに設定済みの場合は、この作業は不要です。
Microsoft(R) Internet Information Services 5.0の場合
“3.4.3 Microsoft(R) Internet Information Services 5.0 への組み込み”で行う手順5から手順8を行ってください。
Microsoft(R) Internet Information Services 6.0の場合
“3.4.4 Microsoft(R) Internet Information Services 6.0 への組み込み”で行う手順5から手順12、および手順16を行ってください。
Microsoft(R) Internet Information Services 7.0の場合
“3.4.5 Microsoft(R) Internet Information Services 7.0 への組み込み”で行う手順6から手順12を行ってください。
Sun Java System Web Server 6.0,6.1の場合
“3.4.2 Sun Java System Web Server 6.0,6.1への組み込み”を参照し、環境定義ファイルに必要な項目を追加してください。
業務サーバを再起動してください。
業務システム構築ファイルを削除してください。
Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合は、以下の手順で変更します。業務サーバの定義を使用する(ログイン構成ファイルにserverportオプションを指定する)アプリケーションを使用している場合は、業務サーバの変更も行ってください。
セションの管理を行う設定に変更したリポジトリサーバからダウンロードした業務システム構築ファイルを、SSO管理者から取得してください。
手順1.で取得した業務システム構築ファイルを指定して、ssoimpazコマンドを実行してください。ssoimpazコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
Javaプリケーションを再起動してください。
業務システム構築ファイルを削除してください。
【リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合】
変更は以下の手順で行います。
本システムの場合、まず、1台のリポジトリサーバ(更新系)を変更した後、負荷分散している残りのすべてのリポジトリサーバ(更新系)を変更します。
リポジトリサーバ(更新系)の変更
リポジトリサーバ(更新系)の変更
負荷分散しているリポジトリサーバ(更新系)の変更
認証サーバの変更
業務サーバの変更
Javaアプリケーションの変更(注)
注)Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合に行ってください。
SSO管理者は、以下の作業を行います。
リポジトリサーバ(更新系)の変更
リポジトリサーバの負荷分散を行わないシステムの場合の、1)リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバ(更新系)を変更します。
セションの管理を行う設定に変更したリポジトリサーバ(更新系)のマシンを移出マシンとして、ssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに移出します。
ssobackupコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。
負荷分散しているリポジトリサーバ(更新系)の変更
負荷分散している残りのすべてのリポジトリサーバ(更新系)にて実施します。
負荷分散しているリポジトリサーバ(更新系)を移入マシンとして、1)リポジトリサーバ(更新系)の変更で移出した資源格納ファイルを転送してください。
ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。
ssorestoreコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。
Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択してください。
[セション管理詳細設定[表示]]をクリックし、[セション管理の設定]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。
上記作業が終了したら、すべてのリポジトリサーバ(更新系)を起動し、移出した資源格納ファイルを削除してください。
リポジトリサーバの負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順です。
業務サーバ管理者は、以下の作業を行います。
リポジトリサーバの負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。
リポジトリサーバの負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。
【リポジトリサーバと認証サーバを1台のマシンに構築し、複数台配置して負荷分散を行うシステムの場合】
変更は以下の手順で行います。
本システムの場合、まず、1台のマシンに構築されたリポジトリサーバと認証サーバを変更した後、負荷分散している残りのすべてのリポジトリサーバ、および認証サーバを変更します。
リポジトリサーバの変更
認証サーバの変更
負荷分散しているリポジトリサーバ、および認証サーバの変更
業務サーバの変更
Javaアプリケーションの変更(注)
注)Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合に行ってください。
SSO管理者は、以下の作業を行います。
リポジトリサーバの負荷分散を行わないシステムの場合の、1)リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバを変更します。
リポジトリサーバの負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順で、1台の認証サーバの変更を行います。
セションの管理を行う設定に変更した認証サーバのマシンを移出マシンとして、ssobackupコマンドを-sv、および-acオプションで実行し、リポジトリサーバ、および認証サーバ資源を資源格納ファイルに取り出します。
ssobackupコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。
負荷分散している残りのすべてのリポジトリサーバ、および認証サーバを以下の手順で変更します。
負荷分散しているリポジトリサーバ、および認証サーバを移入マシンとして、2)認証サーバの変更で移出した資源格納ファイルを転送してください。
ssorestoreコマンドを実行し、リポジトリサーバ、および認証サーバ資源を移入します。
ssorestoreコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。
Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択してください。
[セション管理詳細設定[表示]]をクリックし、[セション管理の設定]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。
詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。
上記作業が終了したら、すべてのリポジトリサーバ、および認証サーバを起動し、移出した資源格納ファイルを削除してください。
業務サーバ管理者は、以下の作業を行います。
負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。
負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。
【リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散するシステムの場合】
変更は以下の手順で行います。
リポジトリサーバ(更新系)の変更
リポジトリサーバ(参照系)の変更
認証サーバの変更
業務サーバの変更
Javaアプリケーションの変更(注)
注)Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合に行ってください。
SSO管理者は、以下の作業を行います。
リポジトリサーバのInterstage管理コンソールから以下の手順で変更します。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[セション管理詳細設定[表示]]をクリックしてください。
[セション管理の設定]の[セション管理の運用]を[運用を行う]に変更し、[適用]ボタンをクリックします。(注1)(注2)
リポジトリサーバ(更新系)を再起動してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が、[運用を行う]になっていることを確認してください。
[パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築ファイルをダウンロードしてください。
認証サーバ、およびリポジトリサーバ(参照系)に認証基盤構築ファイルを転送後、認証基盤構築ファイルを削除してください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が、[運用を行う]になっていることを確認してください。(注3)
手順11、および手順12については、全ての業務システムに対して実施してください。
必要項目を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに業務システム基盤構築ファイルをダウンロードしてください。
業務サーバ管理者に業務システム構築ファイルを配布した後に、業務システム構築ファイルを削除してください。
注1)リポジトリサーバ(更新系)をSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参照し、環境設定を行ってください。
注2)リポジトリサーバをクラスタシステムで運用している場合は、暗号化情報(サービスID)ファイルを共用ディスクに移動し、環境定義ファイルを変更してください。また、待機ノードの環境設定についても同様に変更してください。なお、詳細については“高信頼性システム運用ガイド”の“クラスタサービスの環境設定手順”-“Interstageの環境設定”-“Interstage シングル・サインオンを使用する場合”の“1)運用ノード(ノード1)での構築”に記載されている手順3、および手順4を参照してください。
また、Interstage シングル・サインオン用の状態遷移プロシジャを登録してください。状態遷移プロシジャについては、“高信頼性システム運用ガイド”の“クラスタサービスの環境設定手順”-“クラスタサービスの設定”を参照してください。
注3)Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバ間を非SSL通信で行う場合、業務サーバを再起動する前に業務サーバが参照する認証サーバのURLを変更する必要があります。[認証基盤の情報]の[認証サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してください。
リポジトリサーバ(参照系)を以下の手順で変更します。複数のリポジトリサーバ(参照系)を運用している場合は、全てのリポジトリサーバ(参照系)にて実施してください。
セションの管理を行う設定に変更したリポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを、リポジトリサーバ(参照系)に転送してください。
手順1.で転送した認証基盤構築ファイルを指定して、ssoimpsvコマンドを実行してください。
ssoimpsvコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ(参照系)] > [環境設定]タブを選択してください。
[詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った認証基盤構築ファイルを指定してコマンドを実行しています。手順1.から再度実施してください。(注)
リポジトリサーバ(参照系)を再起動してください。
認証基盤構築ファイルを削除してください。
注)リポジトリサーバ(参照系)をSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参照し、環境設定を行ってください。
負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順です。
業務サーバ管理者は、以下の作業を行います。
負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。
負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。
