ページの先頭行へ戻る
Interstage Application Server 移行ガイド

5.11 Interstage シングル・サインオンの移行

  ここでは、Interstage シングル・サインオンの移行について、以下を説明します。

Interstage Application Server V9.1での変更内容

◆Active Directoryとの連携

  Interstage Application Server V9.1から、ユーザ情報を管理するディレクトリサービスとしてActive Directoryを使用することができます。旧バージョン・レベルから移行してActive Directoryを使用する場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、Active Directoryと連携するための変更を行ってください。

  Active Directoryと連携するための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“ディレクトリサービスにActive Directoryを使用するシステムへの移行について”を参照してください。
  また、Active Directoryとの連携については、“シングル・サインオン運用ガイド”の“概要”-“Active Directoryとの連携”を参照してください。

◆ユーザ情報通知の強化

  Interstage Application Server V9.1から、Webアプリケーションへのユーザ情報の通知方法を変更しました。Interstage Application Server V5.1から移行した場合、拡張ユーザ情報の通知方法が以下のように異なります。

環境

属性値のURLエンコード

バイナリーデータの通知

複数属性値の通知

V5.1

なし

可 (サイズ制限あり)

不可

V9.1 (セション管理を行わない)

なし

可 (サイズ制限あり)

不可

V9.1 (セション管理を行う)

あり

可 (区切り文字はカンマ(,))

  業務サーバの環境定義ファイルに以下の定義項目を追加することで、拡張ユーザ情報の通知方法を変更することができます。

環境定義ファイル


C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf

/etc/opt/FJSVssoaz/conf/ssoatzag.conf

追加定義

以下の定義項目が追加できます。

・credential-extra-info-compatibility=YES

V5.1の通知方法で通知します。

・credential-extra-info-compatibility=NO

V9.1 (セション管理を行う)の通知方法で通知します。


  “credential-extra-info-compatibility”を省略した場合、または誤った定義を追加した場合は、セション管理の運用によって以下のように動作します。

◆セションの管理を行うシステムにおける証明書認証

  Interstage Application Server V9.1からセションの管理を行うシステムで証明書認証ができます。旧バージョン・レベルから移行してセションの管理を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、セションの管理を行うシステムで証明書認証を行うための設定を行ってください。

  セションの管理を行うシステムで証明書認証を行うための設定については、“シングル・サインオン運用ガイド”の“セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。

◆IPv6環境における運用

  Interstage Application Server V9.1からIPv6環境で運用することができます。IPv6環境で運用する場合は、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“バージョン・エディション混在でシングル・サインオンシステムを構築する場合の注意事項”を参照し、使用できるバージョン、エディションを確認してください。

Interstage Application Server V9.0での変更内容

◆リポジトリサーバ(更新系)の負荷分散

  Interstage Application Server V9.0から、リポジトリサーバ(更新系)を複数配置することで、認証やセション評価などの要求に対して負荷分散を行うことができます。旧バージョン・レベルから移行してリポジトリサーバ(更新系)による負荷分散を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、リポジトリサーバ(更新系)の負荷分散を行うための変更を行ってください。

  リポジトリサーバ(更新系)の負荷分散を行うための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について”を参照してください。
  また、Interstage シングル・サインオンにおけるリポジトリサーバ(更新系)の負荷分散については、“シングル・サインオン運用ガイド”の“概要”-“高性能・高信頼性システム”-“負荷分散”を参照してください。

  また、Interstage Application Server V9.0から、リポジトリサーバ(更新系)の負荷分散を行うための情報をSSOリポジトリに書き込むために、旧バージョンと比較して、若干の認証性能の低下が発生します。
  旧バージョン・レベルから移行した後に、リポジトリサーバ(更新系)の負荷分散を行わない場合には、リポジトリサーバの環境定義ファイルに以下の定義項目を追加することで、性能低下を発生させないようにすることができます。

環境定義ファイル

C:\Interstage\F3FMsso\ssoatcsv\conf\ssoatcsv.conf

/etc/opt/FJSVssosv/conf/ssoatcsv.conf

追加定義

以下の定義項目が追加できます。

・load-balancing-for-update-repository=NO

リポジトリサーバ(更新系)の負荷分散を行いません。


  “load-balancing-for-update-repository=NO”を追加した場合、リポジトリサーバ(更新系)の負荷分散を行いません。リポジトリサーバ(更新系)の負荷分散を行う場合には、定義しないでください。

◆環境変数によるユーザ情報の通知

  Interstage Application Server V9.0から、WebサーバにInterstage HTTP Serverを使用している場合、以下のInterstage シングル・サインオンの認証機能で認証された利用者のユーザ情報が環境変数に通知されるようになります。

ユーザ情報

環境変数名

認証方式

AUTH_TYPE

利用者のユーザID

REMOTE_USER

  業務サーバの環境定義ファイルに以下の定義項目を追加することで、ユーザ情報の通知方法を変更することができます。

環境定義ファイル


  C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf

  /etc/opt/FJSVssoaz/conf/ssoatzag.conf

追加定義

以下の定義項目が追加できます。

・header-auth-type-default=“文字列”

認証方式に関係なく、AUTH_TYPEに“文字列”で指定された値を通知します。
“SSO_AUTH”を通知する場合は、以下のように定義します。
    header-auth-type-default=SSO_AUTH

・set-http-header-auth-type=NO

AUTH_TYPEに認証方式を通知しません。

・set-http-header-uid=NO

REMOTE_USERに利用者のユーザIDを通知しません。

Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能の使用

  Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能を使用して、Interstage シングル・サインオンのサーバを追加することができます。また、Interstage HTTP Serverのバーチャルホスト機能を使用して、業務サーバを追加することができます。
  Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストに各サーバを作成する場合は、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”、または“環境構築(業務サーバ管理者編)”を参照してください。

ログイン構成ファイルの変更

  Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能が使用できます。Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストを使用した環境でInterstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用する場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行ってください。その後、ログイン構成ファイルのモジュールオプションに“serverport”を使用している場合は、“business-system-name”に変更してください。
  ログイン構成ファイルについては、“シングル・サインオン運用ガイド”の“アプリケーションの開発”-“Javaアプリケーションの開発”-“アプリケーション実行環境の設定”-“ログイン構成ファイルの作成”を参照してください。

◆コマンドの変更

  Interstage Application Server 8.0以前で提供していた以下のコマンドの扱いが変更されました。変更点を以下に示します。
  各コマンドの詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。

コマンド

変更点

ssocloneac

  • 本バージョンでは使用できません。
    ssobackupコマンド、およびssorestoreコマンドを使用してください。

ssocloneaz

  • 互換コマンドとして提供しています。
    ssobackupコマンド、およびssorestoreコマンドを使用してください。

  • コマンドの拡張子が“.bat”から“.exe”に変わっています。コマンドの機能については、旧バージョン・レベルからの変更はありません。

ssosetsvc

  • リポジトリサーバが構築されているInterstage HTTP ServerのWebサーバ名を指定する引数“webname”が追加されました。引数“webname”は必ず指定しなければなりません。

ssounsetsvc

Interstage Application Server 8.0での変更内容

◆セションの管理

  Interstage Application Server 8.0からセションの管理を行うことができます。旧バージョン・レベルから移行してセションの管理を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、セションの管理を行うための変更を行ってください。

  セションの管理を行うための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“セションの管理を行う運用への移行について”を参照してください。
  また、Interstage シングル・サインオンにおけるセションの管理については、“シングル・サインオン運用ガイド”の“概要”-“認証”を参照してください。

Interstage Application Server V7.0、およびInterstage Application Server Standard Edition、Enterprise Edition V6.0での変更内容

Interstage管理コンソール

  Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降では、Interstage管理コンソールを使用して環境を設定します。Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1の環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。

旧バージョン・レベルからのサーバ環境の移行

  Interstage シングル・サインオンのシステムは以下のサーバから構成されます。ここでは、それぞれのサーバの移行方法について説明します。

  1台のマシンに複数のサーバ(リポジトリサーバと認証サーバなど)を構築して運用している場合、各サーバは同時に移行してください。Interstage シングル・サインオンの各製品における1台のマシンに構築可能なサーバの組み合わせは以下になります。

製品

1台のマシンに構築可能なサーバの組み合わせ

Interstage Web Server

  • 業務サーバ

Interstage Application Server Standard-J Edition
Interstage Application Server Enterprise Edition

  • 業務サーバ

  • 認証サーバ

  • リポジトリサーバ

  • リポジトリサーバ、および認証サーバ

  また、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して運用している場合、移行後の環境にて以下のいずれかの運用を行うと、リポジトリサーバ(参照系)は使用されなくなります。リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散している場合は、リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムへ移行することを推奨します。

  リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムについては、“シングル・サインオン運用ガイド”の“概要”-“高性能・高信頼性システム”-“負荷分散”を参照してください。
  リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行方法については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について”を参照してください。

Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降からのサーバの移行

  以下の製品からのサーバの移行方法を説明します。

  シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。

Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1からのサーバの移行

  以下の製品からのサーバの移行方法を説明します。

  シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。

Javaアプリケーションの移行

  Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションの移行手順については以下を参照してください。