本項では、Interstage シングル・サインオンの構築と設定について説明します。
Interstage シングル・サインオンのセットアップおよび既存のInterstage シングル・サインオンへの情報設定の流れを以下に示します。
注意
本項で説明する手順は、管理者権限で実施してください。
本項で説明する手順は、以下のいずれかの製品のインストールが完了していることを前提としています。
Systemwalker Runbook Automation
Systemwalker Configuration Manager
Systemwalker Service Catalog Manager
Interstage シングル・サインオンに利用するLDAPは、Interstageディレクトリサービスのみとなります。Active Directory/OpenLDAPはご利用になれません。
本項で説明しているInterstage管理コンソールには以下の手順でログインを行います。
以下のURLをブラウザに入力しログイン画面を表示します。また、ログイン時のユーザーには、OSのシステム管理者を指定します。
http://[管理サーバのホスト名]:12000/IsAdmin
または
https://[管理サーバのホスト名]:12000/IsAdmin
SSL通信の環境構築について説明します。
注意
すでにSSL通信の環境構築が完了している場合、本作業を行う必要はありません。
SSL通信の環境構築手順
Interstage シングル・サインオンのセットアップを行う前準備として、SSL通信環境の構築を行います。
SSL通信環境の構築は、以下の手順で行います。
Interstage証明書環境へのアクセス権限の設定【Linux】
Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成
SSL通信に使用する証明書の登録
SSL通信を行うための設定
参考
SSL環境の構築方法の詳細については、“Interstage Application Server セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。
Interstage証明書環境へのアクセスを許可する、所有グループを作成します。
注意
Interstage シングル・サインオンを構築するプラットフォームがLinuxの場合のみ、この作業を行ってください。Windowsの場合、この作業は不要です。
ここではコマンドで所有グループを作成する例を示します。
Interstage証明書環境の所有グループを作成します。
以下の例では、所有グループをiscertgで作成しています。
# groupadd iscertg
注意
Interstage証明書環境の構築時に作成した所有グループを、証明書取得申請書(CSR)の作成コマンド(scsmakeenv)の-gオプションに指定する必要があります。証明書取得申請書(CSR)の作成コマンドについては、“3.1.3.1.2 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成”を参照してください。
実行ユーザーをiscertgグループへ登録します。
以下の例では、実行ユーザーをnobodyにしています。
# usermod -G iscertg nobody
注意
Interstage証明書環境の所有グループに登録する実行ユーザーは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザーを使用する必要があります。
証明書取得申請書(CSR)の作成コマンド(以降、scsmakeenvコマンドと記述します)を使用して、Interstage証明書環境の作成、およびSSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)の作成を行います。
以下に作成手順および実行例を示します。
作成手順
環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。
Linuxで必要な手順です。Windowsでは環境変数JAVA_HOMEの設定は必要ありません。
scsmakeenvコマンドを実行します。
【Windows】
scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名>
【Linux】
scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名> -g <Interstage証明書環境へのアクセスを許可するグループ>
証明書取得申請書(CSR)の出力先ファイル名は、必要に応じて変更してください。
注意
scsmakeenvコマンドで指定する秘密鍵のニックネームは、認証局から取得したサイト証明書を登録するときに必要になります。
参考
scsmakeenvコマンドの詳細については、“Interstage Application Server リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
Interstage証明書環境へアクセスするためのパスワードを入力します。
パスワードは、Interstage証明書環境へアクセスするために必要です。
識別名を入力します。
"What is your first and last name?"(英数字氏名)の問い合わせに、Webサーバのホスト名として証明書の申請を行うサーバのFQDN(Fully Qualified Domain Name)を指定してください。
手順4同様、以下の項目を入力します。
organizational unit(英数字組織単位名)
organization(英数字組織名)
City or Locality(市区町村名)
State or Province(都道府県名)
country code(国名)
入力した値を確認します。
入力した値で証明書取得申請書を作成する場合は[yes]を、入力し直す場合には、[no]を入力してください。
証明書取得申請書(CSR)を認証局に送付し、証明書の発行を依頼します。
scsmakeenvコマンドが正常に終了すると、証明書取得申請書(CSR)がscsmakeenvコマンドの-fオプションで指定した申請書の出力先ファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
実行例
以下の設定値を使って、コマンドの実行例を示します。
・サイト証明書のニックネーム:SERVERCERT ・申請書の出力先ファイル名:C:\temp\ssocert.txt ・Interstage証明書環境へのアクセスを許可するグループ:iscertg ・英数字氏名:ssoserver.fujitsu.com ・英数字組織単位名:FUJITSU TOKYO ・英数字組織名:FUJITSU ・市区町村名:Shinjuku ・都道府県名:Tokyo ・国名:jp
申請書の出力先ファイル名を“C:\temp\ssocert.txt”にした場合の例です。必要に応じて申請書の出力先ファイル名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
C:\>scsmakeenv -n SERVERCERT -f C:\temp\ssocert.txt New Password: Retype: Input X.500 distinguished names. What is your first and last name? [Unknown]: ssoserver.fujitsu.com What is the name of your organizational unit? [Unknown]: FUJITSU TOKYO What is the name of your organization? [Unknown]: FUJITSU What is the name of your City or Locality? [Unknown]: Shinjuku What is the name of your State or Province? [Unknown]: Tokyo What is the two-letter country code for this unit? [Un]: jp Is <CN=ssoserver.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct? [no]: yes SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\temp\ ssocert.txt> C:\>
以下の設定値を使って、コマンドの実行例を示します。
・サイト証明書のニックネーム:SERVERCERT ・申請書の出力先ファイル名:/tmp/ssocert.txt ・Interstage証明書環境へのアクセスを許可するグループ:iscertg ・英数字氏名:ssoserver.fujitsu.com ・英数字組織単位名:FUJITSU TOKYO ・英数字組織名:FUJITSU ・市区町村名:Shinjuku ・都道府県名:Tokyo ・国名:jp
実行例では、“iscertg”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成します。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。
実行例では、Bourneシェルを使用しています。
# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME # scsmakeenv -n SERVERCERT -f /tmp/ssocert.txt -g iscertg New Password: Retype: Input X.500 distinguished names. What is your first and last name? [Unknown]: ssoserver.fujitsu.com What is the name of your organizational unit? [Unknown]: FUJITSU TOKYO What is the name of your organization? [Unknown]: FUJITSU What is the name of your City or Locality? [Unknown]: Shinjuku What is the name of your State or Province? [Unknown]: Tokyo What is the two-letter country code for this unit? [Un]: jp Is <CN=ssoserver.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct? [no]: yes UX:SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</tmp/ssocert.txt> UX:SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。 #
注意
すでにInterstage証明書環境を構築済みの場合、Interstage証明書環境のパスワードの入力が要求されるので、Interstage証明書環境構築時に設定したパスワードを入力してください。
参考
テスト環境用にテスト用サイト証明書を利用できます。テスト用サイト証明書はテスト環境用のみに利用し、実際の運用では利用しないでください。
テスト用サイト証明書の作成については、“付録B テスト用サイト証明書の作成について”を参照してください。
認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(以降、scsenterコマンドと記述します)を使用して登録します。
参考
認証局によっては、中間認証局証明書の登録が必要な場合があります。詳細については、“Interstage Application Server セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”の“証明書・CRLの登録”を参照してください。
テスト用サイト証明書を利用する場合には本手順は実施不要です。
作成手順
環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。
Linuxで必要な手順です。Windowsでは環境変数JAVA_HOMEの設定は必要ありません。
scsenterコマンドで認証局の証明書を登録します。
scsenter -n <認証局の証明書のニックネーム> -f <認証局の証明書>
参考
scsenterコマンドの詳細については、“Interstage Application Server リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
Interstage証明書環境へアクセスするためのパスワードを入力します。
scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。
scsenterコマンドでサイト証明書を登録します。
scsenter -n <サイト証明書のニックネーム> -f <サイト証明書> -o
認証局から取得したサイト証明書を登録する場合に、scsmakeenvコマンドで秘密鍵に指定したニックネームを指定してください。なお、サイト証明書の登録には、-oオプションを必ず指定してください。
Interstage証明書環境へアクセスするためのパスワードを入力します。
scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。
実行例
以下の設定値を使って、コマンドの実行例を示します。
・認証局の証明書:C:\temp\ca-cert.cer ・認証局の証明書のニックネーム:CACERT ・サイト証明書:C:\temp\server-cert.cer ・サイト証明書のニックネーム:SERVERCERT
取得した認証局の証明書、およびサイト証明書を“C:\temp\ca-cert.cer”、および“C:\WINNT\temp\server-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
C:\>scsenter -n CACERT -f C:\temp\ca-cert.cer Password: 証明書がキーストアに追加されました。 SCS: 情報: scs0104: 証明書を登録しました。 C:\>scsenter -n SERVERCERT -f C:\temp\server-cert.cer -o Password: 証明書応答がキーストアにインストールされました。 SCS: 情報: scs0104: 証明書を登録しました。 C:\>
以下の設定値を使って、コマンドの実行例を示します。
・認証局の証明書:/tmp/ca-cert.cer ・認証局の証明書のニックネーム:CACERT ・サイト証明書:/tmp/server-cert.cer ・サイト証明書のニックネーム:SERVERCERT
取得した認証局の証明書およびサイト証明書のファイル名は、必要に応じて変更してください。
実行例では、Bourneシェルを使用しています。
# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME # scsenter -n CACERT -f /tmp/ca-cert.cer Password: 証明書がキーストアに追加されました。 UX:SCS: 情報: scs0104: 証明書を登録しました。 # scsenter -n SERVERCERT -f /tmp/server-cert.cer -o Password: 証明書応答がキーストアにインストールされました。 UX:SCS: 情報: scs0104: 証明書を登録しました。 #
Interstage管理コンソールを使用して、SSLの定義を作成します。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順は以下のとおりです。
Webブラウザを起動します。
Interstage管理コンソールのURLを指定します。
以下にURLの形式を示します。
(SSL暗号化通信を使用しない場合)
http://[ホスト名]:[ポート番号]/IsAdmin/
(SSL暗号化通信を使用する場合)
https://[ホスト名]:[ポート番号]/IsAdmin/
Interstage管理コンソールにログインします。
SSLの定義を作成します。
[システム]>[セキュリティ]>[SSL]>[新規作成]タブを選択し、[簡易設定]をクリックして、登録したサイト証明書のニックネームを選択し、SSL定義を作成してください。
以下の項目を設定し、[作成]ボタンをクリックしてください。
設定項目 | 設定値 |
|---|---|
定義名 | SSL定義を識別する名前を設定します。 ここで設定した定義名は、Interstage シングル・サインオンのセットアップ時に指定します。 定義には32文字以内の半角英数字、および以下の記号が指定できます。
|
サイト証明書のニックネーム | “3.1.3.1.3 SSL通信に使用する証明書の登録”で、Interstage証明書環境にサイト証明書を登録した際に指定したニックネームを選択してください。登録したサイト証明書はInterstage管理コンソールの[システム]>[セキュリティ]>[証明書]>[サイト証明書]画面で参照できます。 |
プロトコルバージョン | “SSL 3.0”および“TLS 1.0”を選択します。 |
クライアント認証 | “しない”を選択します。 |
暗号化方法 | Interstage管理コンソールのヘルプを参照し、必要に応じて変更します。 |
認証局証明書のニックネーム | Interstage管理コンソールのヘルプを参照し、必要に応じて変更します。 |
Interstage シングル・サインオンのセットアップについて説明します。
注意
注意
すでにInterstage シングル・サインオンのセットアップが完了している場合、本作業を行う必要はありません。
Interstage管理コンソールを使用して、管理サーバ用のWebサーバ(Interstage HTTP Server)を作成します。
注意
すでに管理サーバ用のWebサーバを構築している場合、本作業を行う必要はありません。通常は、製品のインストール時に自動的に作成されます。
Interstage管理コンソールを使用して、管理サーバ用のWebサーバ(Interstage HTTP Server)を作成します。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順は以下のとおりです。
Webブラウザを起動します。
Interstage管理コンソールのURLを指定します。
以下にURLの形式を示します。
(SSL暗号化通信を使用しない場合)
http://[ホスト名]:[ポート番号]/IsAdmin/
(SSL暗号化通信を使用する場合)
https://[ホスト名]:[ポート番号]/IsAdmin/
Interstage管理コンソールにログインします。
管理サーバ用のWebサーバ(Interstage HTTP Server)を作成します。
[システム]>[サービス]>[Webサーバ]>[新規作成]タブを選択し、Interstage HTTP Serverの環境設定を行います。
以下の項目を設定します。
設定項目 | 設定値 |
|---|---|
Webサーバ名 | “FJapache”を設定します。 |
ポート番号 | “80”を設定します。 |
作成したWebサーバ名を選択し、環境設定タブを開き、[詳細設定]>[表示]をクリックして、以下のように環境設定を変更後、[適用]ボタンをクリックしてください。
設定項目 | 設定値 |
|---|---|
SSLの使用 | “使用しない”を選択します。 |
Interstage シングル・サインオンのセットアップコマンド(以降、ssoclsetupコマンドと記述します)を使用して、Interstage シングル・サインオンのセットアップを行います。
ssoclsetupコマンドを実行することで、Interstage シングル・サインオンに必要な以下のサーバが構築されます。
リポジトリサーバ(更新系)
認証サーバ
業務サーバ
ssoclsetupコマンドで設定される情報は以下のとおりです。
公開ディレクトリ | ou=interstage,o=fujitsu,dc=com |
管理者用DN | cn=manager,ou=interstage,o=fujitsu,dc=com |
認証用Webサーバ名 | SSOauth |
認証サーバポート番号 | 10443 |
アイドル監視時間 | 30分 |
再認証間隔 | 480分 |
利用者のロック | 連続失敗回数:6回 |
ロックの解除 | 自動解除時間:30分 |
業務サーバ名 | FJapache |
業務サーバのポート番号 | 80 |
注意
ssoclsetupコマンドの実行には、以下の情報が必要です。
サーバのFQDN
SSL定義
SSL定義には、“3.1.3.1.4 SSL通信を行うための設定”で作成したSSL定義を指定してください。ssoclsetupコマンドの詳細については、“Systemwalker Runbook Automation リファレンスガイド”の、“ SSO環境構築コマンド”を参照してください。
作成手順
ssoclsetupコマンドを実行します。
【Windows】
[Systemwalker Runbook Automation 管理サーバのインストールディレクトリ]\sso\bin\ssoclsetup サーバのFQDN SSL定義 [-rn リポジトリ名] [-lp ポート番号]
【Linux】
/opt/FJSVswrbam/sso/bin/ssoclsetup サーバのFQDN SSL定義 [-rn リポジトリ名] [-lp ポート番号]
SSOリポジトリの管理者DNのパスワードを入力します。
ssoclsetupコマンドの詳細は、“Systemwalker Runbook Automation リファレンスガイド”の“ssoclsetup(Interstage シングル・サインオンのセットアップコマンド)”を参照してください。
ssoclsetupコマンドを実行することで、シングル・サインオンに必要な以下のサーバが構築されます。
リポジトリサーバ(更新系)
認証サーバ
業務サーバ
実行例
以下の設定値を使って、コマンドの実行例を示します。
・サーバのFQDN:ssoserver.example.com ・SSL定義名:AuthSSL ・リポジトリ名:rep001 ・リポジトリのポート番号:389
サーバのFQDNおよびSSL定義名は、必要に応じて変更してください。
Systemwalker Runbook Automationでは、以下のフォルダにコマンドが格納されています。
[Systemwalker Runbook Automation 管理サーバのインストールディレクトリ]\sso\bin
ssoclsetup ssoserver.example.com AuthSSL Please input SSO Repository administrator DN password Password: Retype: IREP: 情報: irep10815: パスワードファイルを作成しました。 file=C:\INTERS~3\F3FMsso\ssoatcsv\conf\tmp_passwdfile ...定義情報を確認しています。 (1/4) ...リポジトリを初期化しています。 (2/4) ...公開ディレクトリを作成しています。 (3/4) ...リポジトリ管理情報を更新しています。(4/4) IREP: 情報: irep70001: リポジトリを作成しました。 [rep001] IHS: 情報: ihs01000: コマンドが正常に終了しました。 IHS: 情報: ihs01000: コマンドが正常に終了しました。 IHS: 情報: ihs01000: コマンドが正常に終了しました。 IREP: 情報: irep70000: リポジトリの環境設定を更新しました。 [rep001] IHS: 情報: ihs01000: コマンドが正常に終了しました。
以下の設定値を使って、コマンドの実行例を示します。
・サーバのFQDN:ssoserver.example.com ・SSL定義名:AuthSSL ・リポジトリ名:rep001 ・リポジトリのポート番号:389
サーバのFQDNおよびSSL定義名は、必要に応じて変更してください。
実行例では、Bourneシェルを使用しています。
# /opt/FJSVswrbam/sso/bin/ssoclsetup ssoserver.example.com AuthSSL Please input SSO Repository administrator DN password Password: Retype: UX:IREP: INFO: irep10815: Password file was created. file=/etc/opt/FJSVssosv/conf/tmp_passwdfile checking the repository configuration... (1/4) initializing the repository... (2/4) creating the public directory. (3/4) updating the repository management list... (4/4) UX:IREP: INFO: irep70001: Repository environment configured. [rep001] UX:IREP: INFO: irep10000: Repository started. [rep001] UX:IHS: INFO: ihs01000: The command terminated normally. UX:IHS: INFO: ihs01000: The command terminated normally. UX:IHS: INFO: ihs01000: The command terminated normally. UX:IREP: INFO: irep70000: Repository environment setup updated. [rep001] UX:IREP: INFO: irep10000: Repository started. [rep001] UX:IHS: INFO: ihs01000: The command terminated normally.
既存のInterstage シングル・サインオンへの情報設定について説明します。
既存のInterstage シングル・サインオンへロールを追加設定します。
作成手順
既存のInterstage シングル・サインオンのSSOリポジトリに設定した公開ディレクトリの値を確認します。
公開ディレクトリは、[システム]>[サービス]>[リポジトリ]を開き、SSOリポジトリを設定したリポジトリ名をクリックし、[簡易設定]の[公開ディレクトリ]に設定した値で確認できます。
ロールを定義したLDIFファイルを確認します。
ロールを定義したLDIFファイルが以下に格納されていることを確認します。
【Windows】
[Systemwalker Runbook Automation 管理サーバのインストールディレクトリ]\sso\ldif\cloud_role.ldif
【Linux】
/opt/FJSVswrbam/sso/ldif/cloud_role.ldif
ロールを定義したLDIFファイルを別のフォルダにコピーし、コピーしたファイルを開きます。
ファイル内に以下の文字列が設定されていることを確認してください。
$PUBLIC_DIR$
%PUBLIC_DIR%
注意
2.で示したLDIFファイルはマスターファイルとなりますので、必ずコピーを行ってください。
3.で確認した文字列を1.で確認した公開ディレクトリの値に変更します。
ldapmodifyコマンドに4.で変更したファイルを指定し、既存のInterstage シングル・サインオンへロールを追加します。
ldapmodifyコマンドの詳細については、“Interstage Application Server/Interstage Web Serverリファレンスマニュアル(コマンド編)”を参照してください。
Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] >[ロール情報の更新]タブの[更新]ボタンをクリックしてください。
設定例
以下の環境を例に、LDIFファイルの設定例を示します。
・公開ディレクトリ: ou=interstage,o=fujitsu,dc=com
#Systemwalker Software Configuration Manager V14g Role dn: cn=CFMGSystemAdmin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: CFMGSystemAdmin dn: cn=CFMGSystemUser,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: CFMGSystemUser #Systemwalker Service Catalog Manager V14g Role dn: cn=CTMGProviderAdmin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: CTMGProviderAdmin dn: cn=sop_contractor,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: sop_contractor dn: cn=sop_resource_manager,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: sop_resource_manager dn: cn=sop_delegated_manager,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: sop_delegated_manager dn: cn=sop_restricted_user,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com objectClass: ssoRole objectClass: top cn: sop_restricted_user
実行例
以下の設定値を使って、コマンドの実行例を示します。
・SSOリポジトリのFQDN:existing_ssoserver.example.com ・SSOリポジトリのポート番号:389 ・SSOリポジトリの管理者DN:cn=manager,ou=interstage,o=fujitsu,dc=com ・SSOリポジトリの管理者DNのパスワード:admin
[Interstage Application Serverのインストールディレクトリ]\bin\ldapmodify -H ldap://existing_ssoserver.example.com:389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -w admin -a -f コピー先フォルダ\cloud_role.ldif
以下の設定値を使って、コマンドの実行例を示します。
・SSOリポジトリのFQDN:existing_ssoserver.example.com ・SSOリポジトリのポート番号:389 ・SSOリポジトリの管理者DN:cn=manager,ou=interstage,o=fujitsu,dc=com ・SSOリポジトリの管理者DNのパスワード:admin
# /opt/FJSVirepc/bin/ldapmodify -H ldap://existing_ssoserver.example.com:389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -w admin -a -f コピー先フォルダ/cloud_role.ldif
コマンドを実行した後、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] >[ロール情報の更新]タブの[更新]ボタンをクリックしてください。
既存のInterstage シングル・サインオンを利用する場合、リポジトリサーバの環境設定を行う必要があります。
リポジトリサーバの登録は、Interstage管理コンソールを使用して以下の手順で行います。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリ]をクリックし、[環境設定]タブを選択します。
[リポジトリサーバの詳細設定]の[表示]をクリックし、[業務システムに関する情報]の[拡張ユーザ情報]に”o”を設定します。
[適用]ボタンをクリックします。
認証サーバを再起動します。
[システム]>[サービス]>[Webサーバ] >[SSOauth]をクリックして、[状態]タブを選択します。
Webサーバ(SSOauth)の状態が起動の場合:[停止]ボタンをクリックした後、[起動]ボタンをクリックします。
Webサーバ(SSOauth)の状態が停止の場合:[起動]ボタンをクリックします。
既存認証基盤を利用する場合、管理サーバを認証基盤へ登録する必要があります。
管理サーバの登録は、Interstage管理コンソールを使用して、以下の手順で行います。
管理サーバのサイト定義の登録
保護パスの登録
業務システム構築ファイルの作成
Interstage シングル・サインオンの業務サーバの追加
コンテンツキャッシュの抑止
注意
管理サーバの登録に、ssoclsetupコマンドを使用することはできません。
管理サーバのサイト定義の登録
Interstage管理コンソールを使用して、以下の手順で、管理サーバの公開URLを設定します。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順については、“3.1.3.2.1 管理サーバ用のWebサーバの作成”を参照してください。
管理サーバの公開URLを設定します。
[システム]>[セキュリティ]>[シングル・サインオン]>[認証基盤]>[リポジトリサーバ]>[保護リソース]>[新規作成タブ]を開きます。
[サイト定義]>[FQDN、ポート番号]に、管理サーバのFQDNとポート番号(80)を入力して、[作成]ボタンをクリックしてください。
保護パスの登録
Interstage管理コンソールを使用して、以下の手順で、保護パスを登録します。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順については、“3.1.3.2.1 管理サーバ用のWebサーバの作成”を参照してください。
保護パスを登録します。
[システム]> [セキュリティ]>[シングル・サインオン]>[認証基盤]>[リポジトリサーバ]>[保護リソース]>[管理サーバのFQDN:80]>[保護パス]>[新規作成]タブを選択します。
パス定義およびパスに設定するロール/ロールセットを以下のように設定して、保護バスの新規作成を行ってください。
パス定義 | ロール/ロールセット | |
|---|---|---|
保護パス | 拡張ユーザ情報の通知 | |
/console/Default/ | - | - |
/managerview/ | o にチェック | CFMGSystemAdmin |
/myportal/ | o にチェック | sop_contractor |
/op_portal/ | - | CTMGProviderAdmin |
/ibpmm/dashboard/ | - | CTMGProviderAdmin |
/CTMGApproverSelection/ | - | sop_contractor |
/CMDBConsole/ | - | - |
業務システム構築ファイルの作成
Interstage管理コンソールを使用して、以下の手順で、業務システム構築ファイルの作成を行います。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順については、“3.1.3.2.1 管理サーバ用のWebサーバの作成”を参照してください。
業務システム構築ファイルの作成を行います。
[システム]>[セキュリティ]>[シングル・サインオン]>[認証基盤]>[業務システム構築ファイル]タブを選択します。
[業務システムの情報]を以下のように設定し、パスワード(6文字以上)を入力後、[ダウンロード]をクリックしてください。
設定項目 | 設定値 |
|---|---|
公開URL | http://管理サーバのFQDN:80 |
Interstage Portalworksとの連携 | 連携しない |
ダウンロードしたファイルを保存してください。
管理サーバの登録
Interstage管理コンソールを使用して、以下の手順で、管理サーバへInterstage シングル・サインオンの業務サーバを追加します。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順については、“3.1.3.2.1 管理サーバ用のWebサーバの作成”を参照してください。
業務システム構築ファイルおよびパスワードを設定します。
[システム]>[セキュリティ]>[シングル・サインオン]>[業務システム]>[業務サーバの追加]タブを選択してください。
“業務システム構築ファイルの作成”でダウンロードした業務システム構築ファイルおよびパスワードを、[業務システム構築ファイル]および[ファイルのパスワード]に設定して、[次へ]をクリックしてください。
管理サーバへInterstage シングル・サインオンの業務サーバを追加します。
簡易設定で以下の値を設定し、[追加]ボタンをクリックしてください。
設定項目 | 設定値 |
|---|---|
業務システム名 | Business001 |
使用するWebサーバのWebサーバ名 | FJapache |
使用するWebサーバのホスト | メインホスト:80 |
アクセス制御情報の更新 | 業務サーバの起動時に行う |
シングル・サインオンJavaAPIの使用 | 使用する |
環境設定を変更します。
[システム]>[セキュリティ]>[シングル・サインオン]>[業務システム]>[業務システム名]をクリックしてください。[業務システム名]は、手順3.で指定した業務システム名になります。
環境設定タブを開き、[詳細設定]>[表示]をクリックして,以下のように環境設定を変更してください。
設定項目 | 設定値 |
|---|---|
クライアントのIPアドレスのチェック | チェックしない |
ユーザ情報の通知 | 通知する |
サインオフURLの通知 | 通知する |
設定した値を反映します。
上記の設定が完了したら、[適用]ボタンをクリックしてください。
コンテンツキャッシュの抑止
Webブラウザのキャッシュの設定を以下の手順で有効にします。
Interstage管理コンソールを起動します。
Interstage管理コンソールの起動手順については、“3.1.3.2.1 管理サーバ用のWebサーバの作成”を参照してください。
Webサーバを停止します。
Interstage管理コンソールを用いて、[システム]>[サービス]>[Webサーバ]>[FJapache]を選択し、[FJapache:状態]を表示して[停止]ボタンをクリックします。
業務サーバの環境定義ファイルを更新します。
エディタを利用して、業務サーバの環境定義ファイルを更新します。
業務サーバの環境定義ファイルの格納場所とファイル名は以下のとおりです。
【Windows】
[Interstage Application Serverのインストールディレクトリ]\F3FMsso\ssoatzag\conf\ssoatzag.conf
【Linux】
/etc/opt/FJSVssoaz/conf/ssoatzag.conf
上記ファイルを以下のように編集します。
「business-system-name = <“3.1.3.3.3 管理サーバの登録”で指定した業務システム名>」の次の行に「http-cache-cntl=NO」を追加します。
業務システム名をBusiness001にした場合の実行例を記述します。
ServerPort=80
~ 中略 ~
business-system-name=Business001
http-cache-cntl=NOWebサーバを起動します。
[システム]>[サービス]>[Webサーバ]>[FJapache]を選択し、[FJapache:状態]を表示し[起動]ボタンをクリックします。