ここでは、Interstage シングル・サインオンの移行について、以下を説明します。
■Interstage Application Server V9.1での変更内容
◆Active Directoryとの連携
Interstage Application Server V9.1から、ユーザ情報を管理するディレクトリサービスとしてActive Directoryを使用することができます。旧バージョン・レベルから移行してActive Directoryを使用する場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、Active Directoryと連携するための変更を行ってください。
Active Directoryと連携するための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“ディレクトリサービスにActive Directoryを使用するシステムへの移行について”を参照してください。
また、Active Directoryとの連携については、“シングル・サインオン運用ガイド”の“概要”-“Active Directoryとの連携”を参照してください。
◆ユーザ情報通知の強化
Interstage Application Server V9.1から、Webアプリケーションへのユーザ情報の通知方法を変更しました。Interstage Application Server V5.1から移行した場合、拡張ユーザ情報の通知方法が以下のように異なります。
環境 | 属性値のURLエンコード | バイナリーデータの通知 | 複数の属性値の通知 |
---|---|---|---|
V5.1 | なし | 可 (サイズ制限あり) | 不可 |
V9.1 (セション管理を行わない) | なし | 可 (サイズ制限あり) | 不可 |
V9.1 (セション管理を行う) | あり | 可 | 可 (区切り文字はカンマ(,)) |
業務サーバの環境定義ファイルに以下の定義項目を追加することで、拡張ユーザ情報の通知方法を変更することができます。
C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf
/etc/opt/FJSVssoaz/conf/ssoatzag.conf
以下の定義項目が追加できます。
V5.1の通知方法で通知します。
V9.1 (セション管理を行う)の通知方法で通知します。
“credential-extra-info-compatibility”を省略した場合、または誤った定義を追加した場合は、セション管理の運用によって以下のように動作します。
セション管理を行う場合
V9.1 (セション管理を行う)の通知方法で通知します。
セション管理を行わない場合
V5.1の通知方法で通知します。
◆セションの管理を行うシステムにおける証明書認証
Interstage Application Server V9.1からセションの管理を行うシステムで証明書認証ができます。旧バージョン・レベルから移行してセションの管理を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、セションの管理を行うシステムで証明書認証を行うための設定を行ってください。
セションの管理を行うシステムで証明書認証を行うための設定については、“シングル・サインオン運用ガイド”の“セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。
◆IPv6環境における運用
Interstage Application Server V9.1からIPv6環境で運用することができます。IPv6環境で運用する場合は、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“バージョン・エディション混在でシングル・サインオンシステムを構築する場合の注意事項”を参照し、使用できるバージョン、エディションを確認してください。
■Interstage Application Server V9.0での変更内容
◆リポジトリサーバ(更新系)の負荷分散
Interstage Application Server V9.0から、リポジトリサーバ(更新系)を複数配置することで、認証やセション評価などの要求に対して負荷分散を行うことができます。旧バージョン・レベルから移行してリポジトリサーバ(更新系)による負荷分散を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、リポジトリサーバ(更新系)の負荷分散を行うための変更を行ってください。
リポジトリサーバ(更新系)の負荷分散を行うための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について”を参照してください。
また、Interstage シングル・サインオンにおけるリポジトリサーバ(更新系)の負荷分散については、“シングル・サインオン運用ガイド”の“概要”-“高性能・高信頼性システム”-“負荷分散”を参照してください。
また、Interstage Application Server V9.0から、リポジトリサーバ(更新系)の負荷分散を行うための情報をSSOリポジトリに書き込むために、旧バージョンと比較して、若干の認証性能の低下が発生します。
旧バージョン・レベルから移行した後に、リポジトリサーバ(更新系)の負荷分散を行わない場合には、リポジトリサーバの環境定義ファイルに以下の定義項目を追加することで、性能低下を発生させないようにすることができます。
C:\Interstage\F3FMsso\ssoatcsv\conf\ssoatcsv.conf
/etc/opt/FJSVssosv/conf/ssoatcsv.conf
以下の定義項目が追加できます。
リポジトリサーバ(更新系)の負荷分散を行いません。
“load-balancing-for-update-repository=NO”を追加した場合、リポジトリサーバ(更新系)の負荷分散を行いません。リポジトリサーバ(更新系)の負荷分散を行う場合には、定義しないでください。
◆環境変数によるユーザ情報の通知
Interstage Application Server V9.0から、WebサーバにInterstage HTTP Serverを使用している場合、以下のInterstage シングル・サインオンの認証機能で認証された利用者のユーザ情報が環境変数に通知されるようになります。
ユーザ情報 | 環境変数名 |
---|---|
認証方式 | AUTH_TYPE |
利用者のユーザID | REMOTE_USER |
業務サーバの環境定義ファイルに以下の定義項目を追加することで、ユーザ情報の通知方法を変更することができます。
C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf
/etc/opt/FJSVssoaz/conf/ssoatzag.conf
以下の定義項目が追加できます。
認証方式に関係なく、AUTH_TYPEに“文字列”で指定された値を通知します。
“SSO_AUTH”を通知する場合は、以下のように定義します。
header-auth-type-default=SSO_AUTH
AUTH_TYPEに認証方式を通知しません。
REMOTE_USERに利用者のユーザIDを通知しません。
“set-http-header-uid=NO”を追加した場合、監査証跡に利用者のユーザIDが記録されません。監査証跡機能を使用する場合は、定義しないでください。
header-auth-type-defaultに以下の文字列を指定した場合、旧バージョン環境においてアプリケーションが取得できる文字列と同じ値が、AUTH_TYPEに通知されることになります。アプリケーションにおいて問題がないか十分に確認してください。
Basic
Digest
BASIC
DIGEST
FORM
CLIENT_CERT
◆Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能の使用
Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能を使用して、Interstage シングル・サインオンのサーバを追加することができます。また、Interstage HTTP Serverのバーチャルホスト機能を使用して、業務サーバを追加することができます。
Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストに各サーバを作成する場合は、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”、または“環境構築(業務サーバ管理者編)”を参照してください。
◆ログイン構成ファイルの変更
Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能が使用できます。Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストを使用した環境でInterstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用する場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行ってください。その後、ログイン構成ファイルのモジュールオプションに“serverport”を使用している場合は、“business-system-name”に変更してください。
ログイン構成ファイルについては、“シングル・サインオン運用ガイド”の“アプリケーションの開発”-“Javaアプリケーションの開発”-“アプリケーション実行環境の設定”-“ログイン構成ファイルの作成”を参照してください。
◆コマンドの変更
Interstage Application Server 8.0以前で提供していた以下のコマンドの扱いが変更されました。変更点を以下に示します。
各コマンドの詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。
コマンド | 変更点 |
---|---|
ssocloneac |
|
ssocloneaz |
|
ssosetsvc |
|
ssounsetsvc |
■Interstage Application Server 8.0での変更内容
◆セションの管理
Interstage Application Server 8.0からセションの管理を行うことができます。旧バージョン・レベルから移行してセションの管理を行う場合は、“■旧バージョン・レベルからのサーバ環境の移行”を行った後、セションの管理を行うための変更を行ってください。
セションの管理を行うための変更については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“セションの管理を行う運用への移行について”を参照してください。
また、Interstage シングル・サインオンにおけるセションの管理については、“シングル・サインオン運用ガイド”の“概要”-“認証”を参照してください。
■Interstage Application Server V7.0、およびInterstage Application Server Standard Edition、Enterprise Edition V6.0での変更内容
◆Interstage管理コンソール
Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降では、Interstage管理コンソールを使用して環境を設定します。Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1の環境定義の項目とInterstage管理コンソールによる設定の対応については“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”を参照してください。
■旧バージョン・レベルからのサーバ環境の移行
Interstage シングル・サインオンのシステムは以下のサーバから構成されます。ここでは、それぞれのサーバの移行方法について説明します。
リポジトリサーバ
認証サーバ
業務サーバ
1台のマシンに複数のサーバ(リポジトリサーバと認証サーバなど)を構築して運用している場合、各サーバは同時に移行してください。Interstage シングル・サインオンの各製品における1台のマシンに構築可能なサーバの組み合わせは以下になります。
製品 | 1台のマシンに構築可能なサーバの組み合わせ |
---|---|
Interstage Web Server |
|
Interstage Application Server Standard-J Edition |
|
また、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して運用している場合、移行後の環境にて以下のいずれかの運用を行うと、リポジトリサーバ(参照系)は使用されなくなります。リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散している場合は、リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムへ移行することを推奨します。
統合Windows認証だけで認証を行う場合
以下をすべて満たす環境で、認証サーバ間連携を行う場合
保護リソースは、相手シングル・サインオンシステムにだけ定義されていること。
自シングル・サインオンシステムの認証基盤に直接アクセスして認証を行わないこと。
リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムについては、“シングル・サインオン運用ガイド”の“概要”-“高性能・高信頼性システム”-“負荷分散”を参照してください。
リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行方法については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”-“リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について”を参照してください。
◆Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降からのサーバの移行
以下の製品からのサーバの移行方法を説明します。
Interstage Application Server V9.0以降
Interstage Application Server V7.0/8.0
Interstage Application Server Standard Edition V6.0
Interstage Application Server Enterprise Edition V6.0
シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。
◆Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1からのサーバの移行
以下の製品からのサーバの移行方法を説明します。
Interstage Application Server Plus V6.0
Interstage Application Server Web-J Edition V6.0
Interstage Application Server V5.1
シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。
Interstage Application Server Plus V6.0からのリポジトリサーバ、および認証サーバの移行
Interstage Application Server Plus、Web-J Edition V6.0からの業務サーバの移行
移行前の製品で提供されていたシングル・サインオンのリポジトリサーバ、認証サーバおよび業務サーバを高速化する設定については、移行する必要はありません。
Interstage Application Server V5.1からの移行において、各サーバの環境定義ファイルのアクセスログ出力先ファイル名にUTF形式で257バイト以上のファイル名を指定している場合には、UTF形式で256バイト以下のファイル名に変更する必要があります。
■Javaアプリケーションの移行
Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションの移行手順については以下を参照してください。