ここでは、Interstage シングル・サインオンの移行について、以下を説明します。
変更点
Interstage Application Server V10.0での変更内容
障害修正に伴うHTTP Keep-Alive機能の動作変更
Interstage Application Server V10.0から、認証サーバが使用しているWebサーバのHTTP Keep-Alive機能の動作が、以下のように変わります。
バージョン | 動作 |
|---|---|
V9.x以前 | 認証処理の通信内容に応じて、認証サーバでHTTP Keep-Alive機能の有効/無効を切り替えます。 |
V10以降 | 常にWebサーバのHTTP Keep-Alive機能の設定に従います。 |
認証失敗回数に関する証明書認証の機能追加
Interstage Application Server V10.0から、証明書認証による認証成功時の動作が、以下のように変わります。
バージョン | 動作 |
|---|---|
V9.x以前 | ユーザ名/パスワードによる認証失敗回数が変化しない。 |
V10以降 | ユーザ名/パスワードによる認証失敗回数が1以上の場合、認証失敗回数を0にリセットする。 |
ユーザ名/パスワードによる認証失敗回数の詳細については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“リポジトリサーバの構築”-“SSOリポジトリへのユーザ情報、ロール定義の登録”-“ユーザ情報のエントリ”を参照してください。
なお、リポジトリサーバをV9.x以前からV10以降に移行した場合は、V9.x以前の動作となります。これをV10以降の動作に変更したい場合は、リポジトリサーバの環境定義ファイルに、以下の定義項目を追加する必要があります。
C:\Interstage\F3FMsso\ssoatcsv\conf\ssoatcsv.conf
/etc/opt/FJSVssosv/conf/ssoatcsv.conf
以下の定義項目が追加できます。
証明書認証による認証成功時に、ユーザ名/パスワードによる認証失敗回数を0にリセットします。
ポイント
「reset-failure-count-when-cert-auth」に誤った値を設定した場合は、システムのログにsso01024を出力し、“NO”が設定されたものとみなします。
Active Directoryの強暗号化対応
Interstage Application Server V10.0から、統合Windows認証で使用する暗号方式として、DES-CBC-CRC以外の暗号方式が使用可能になりました。統合Windows認証で使用可能な暗号方式については、「シングル・サインオン運用ガイド」の「概要」-「認証」-「統合Windows認証」を参照してください。
ただし、V9.xからV10.0に移行した場合は、統合Windows認証で使用する暗号方式がDES-CBC-CRCになっています。そのため、以下の場合は、統合Windows認証アプリケーションの再配備を行ってください。
Windows 7で統合Windows認証を行う場合
暗号化方式をDES-CBC-CRC以外に変更する場合
統合Windows認証アプリケーションの再配備は、以下の手順で行ってください。
認証サーバ、および統合Windows認証アプリケーションを停止します。
認証サーバ、および統合Windows認証アプリケーションの停止方法については、「シングル・サインオン運用ガイド」の「運用・保守」-「シングル・サインオンの停止」-「認証サーバの停止」を参照してください。
統合Windows認証アプリケーションを削除します。
統合Windows認証アプリケーションの削除については、「シングル・サインオン運用ガイド」の「Active Directoryと連携するための設定」-「シングル・サインオンの削除」-「認証サーバの削除」の「統合Windows認証アプリケーションの削除」を参照してください。
統合Windows認証を行うための設定を行います。
統合Windows認証を行うための設定については、「シングル・サインオン運用ガイド」の「Active Directoryと連携するための設定」-「ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する」-「統合Windows認証を行うための設定」を参照してください。
統合Windows認証を行うための設定を行う際は、以下の点に注意してください。
「Active Directoryの設定」の手順において、ユーザーの新規作成は不要です。
統合Windows認証で使用する暗号方式にはDES-CBC-CRC以外の暗号方式を使用してください。
認証サーバ、および統合Windows認証アプリケーションを起動します。
認証サーバ、および統合Windows認証アプリケーションの起動方法については、「シングル・サインオン運用ガイド」の「運用・保守」-「シングル・サインオンの起動」-「認証サーバの起動」を参照してください。
Microsoft(R) Internet Information Services 5.0のサポート停止
Interstage Application Server V10.0から、Microsoft(R) Internet Information Services 5.0が未サポートとなりました。Microsoft(R) Internet Information Services 5.0を使用している場合は、他のWebサーバへ移行してください。
Interstage Application Server V9.1での変更内容
Active Directoryとの連携
Interstage Application Server V9.1から、ユーザ情報を管理するディレクトリサービスとしてActive Directoryを使用することができます。旧バージョン・レベルから移行してActive Directoryを使用する場合は、「旧バージョン・レベルからのサーバ環境の移行」を行った後、Active Directoryと連携するための変更を行ってください。
Active Directoryと連携するための変更については、「シングル・サインオン運用ガイド」の「旧バージョンの環境定義と機能について」-「ディレクトリサービスにActive Directoryを使用するシステムへの移行について」を参照してください。
また、Active Directoryとの連携については、「シングル・サインオン運用ガイド」の「概要」-「Active Directoryとの連携」を参照してください。
ユーザ情報通知の強化
Interstage Application Server V9.1から、Webアプリケーションへのユーザ情報の通知方法を変更しました。Interstage Application Server V5.1から移行した場合、拡張ユーザ情報の通知方法が以下のように異なります。
環境 | 属性値のURLエンコード | バイナリーデータの通知 | 複数の属性値の通知 |
|---|---|---|---|
V5.1 | なし | 可 (サイズ制限あり) | 不可 |
V9.1 (セション管理を行わない) | なし | 可 (サイズ制限あり) | 不可 |
V9.1 (セション管理を行う) | あり | 可 | 可 (区切り文字はカンマ(,)) |
業務サーバの環境定義ファイルに以下の定義項目を追加することで、拡張ユーザ情報の通知方法を変更することができます。
C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf
/etc/opt/FJSVssoaz/conf/ssoatzag.conf
以下の定義項目が追加できます。
V5.1の通知方法で通知します。
V9.1 (セション管理を行う)の通知方法で通知します。
ポイント
「credential-extra-info-compatibility」を省略した場合、または誤った定義を追加した場合は、セション管理の運用によって以下のように動作します。
セション管理を行う場合
V9.1 (セション管理を行う)の通知方法で通知します。
セション管理を行わない場合
V5.1の通知方法で通知します。
セションの管理を行うシステムにおける証明書認証
Interstage Application Server V9.1からセションの管理を行うシステムで証明書認証ができます。旧バージョン・レベルから移行してセションの管理を行う場合は、「旧バージョン・レベルからのサーバ環境の移行」を行った後、セションの管理を行うシステムで証明書認証を行うための設定を行ってください。
セションの管理を行うシステムで証明書認証を行うための設定については、「シングル・サインオン運用ガイド」の「セションの管理を行うシステムで証明書認証を行うための設定」を参照してください。
IPv6環境における運用
Interstage Application Server V9.1からIPv6環境で運用することができます。IPv6環境で運用する場合は、「使用上の注意」の「注意事項」-「Interstage シングル・サインオンの注意事項」-「バージョン・エディション混在でシングル・サインオンシステムを構築する場合の注意事項」を参照し、使用できるバージョン、エディションを確認してください。
Interstage Application Server V9.0での変更内容
リポジトリサーバ(更新系)の負荷分散
Interstage Application Server V9.0から、リポジトリサーバ(更新系)を複数配置することで、認証やセション評価などの要求に対して負荷分散を行うことができます。旧バージョン・レベルから移行してリポジトリサーバ(更新系)による負荷分散を行う場合は、「旧バージョン・レベルからのサーバ環境の移行」を行った後、リポジトリサーバ(更新系)の負荷分散を行うための変更を行ってください。
リポジトリサーバ(更新系)の負荷分散を行うための変更については、「シングル・サインオン運用ガイド」の「旧バージョンの環境定義と機能について」-「リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について」を参照してください。
また、Interstage シングル・サインオンにおけるリポジトリサーバ(更新系)の負荷分散については、「シングル・サインオン運用ガイド」の「概要」-「高性能・高信頼性システム」-「負荷分散」を参照してください。
また、Interstage Application Server V9.0から、リポジトリサーバ(更新系)の負荷分散を行うための情報をSSOリポジトリに書き込むために、旧バージョンと比較して、若干の認証性能の低下が発生します。
旧バージョン・レベルから移行した後に、リポジトリサーバ(更新系)の負荷分散を行わない場合には、リポジトリサーバの環境定義ファイルに以下の定義項目を追加することで、性能低下を発生させないようにすることができます。
C:\Interstage\F3FMsso\ssoatcsv\conf\ssoatcsv.conf
/etc/opt/FJSVssosv/conf/ssoatcsv.conf
以下の定義項目が追加できます。
リポジトリサーバ(更新系)の負荷分散を行いません。
ポイント
「load-balancing-for-update-repository」に誤った値を設定した場合は、システムのログにsso01024を出力し、“YES”が設定されたものとみなします。
「load-balancing-for-update-repository=NO」を追加した場合、リポジトリサーバ(更新系)の負荷分散を行いません。リポジトリサーバ(更新系)の負荷分散を行う場合には、定義しないでください。
環境変数によるユーザ情報の通知
Interstage Application Server V9.0から、WebサーバにInterstage HTTP Serverを使用している場合、以下のInterstage シングル・サインオンの認証機能で認証された利用者のユーザ情報が環境変数に通知されるようになります。
ユーザ情報 | 環境変数名 |
|---|---|
認証方式 | AUTH_TYPE |
利用者のユーザID | REMOTE_USER |
業務サーバの環境定義ファイルに以下の定義項目を追加することで、ユーザ情報の通知方法を変更することができます。
C:\Interstage\F3FMsso\ssoatzag\conf\ssoatzag.conf
/etc/opt/FJSVssoaz/conf/ssoatzag.conf
以下の定義項目が追加できます。
認証方式に関係なく、AUTH_TYPEに「文字列」で指定された値を通知します。
「SSO_AUTH」を通知する場合は、以下のように定義します。
header-auth-type-default=SSO_AUTH
AUTH_TYPEに認証方式を通知しません。
REMOTE_USERに利用者のユーザIDを通知しません。
ポイント
以下の定義項目に誤った値を設定した場合は、システムのログにsso03006を出力し、“YES”が設定されたものとみなします。
set-http-header-auth-type
set-http-header-uid
「set-http-header-uid=NO」を追加した場合、監査証跡に利用者のユーザIDが記録されません。監査証跡機能を使用する場合は、定義しないでください。
header-auth-type-defaultに以下の文字列を指定した場合、旧バージョン環境においてアプリケーションが取得できる文字列と同じ値が、AUTH_TYPEに通知されることになります。アプリケーションにおいて問題がないか十分に確認してください。
Basic
Digest
BASIC
DIGEST
FORM
CLIENT_CERT
Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能の使用
Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能を使用して、Interstage シングル・サインオンのサーバを追加することができます。また、Interstage HTTP Serverのバーチャルホスト機能を使用して、業務サーバを追加することができます。
Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストに各サーバを作成する場合は、「シングル・サインオン運用ガイド」の「環境構築(SSO管理者編)」、または「環境構築(業務サーバ管理者編)」を参照してください。
ログイン構成ファイルの変更
Interstage Application Server V9.0から、Interstage HTTP Serverの複数Webサーバ機能、およびバーチャルホスト機能が使用できます。Interstage HTTP Serverの複数のWebサーバ、またはバーチャルホストを使用した環境でInterstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用する場合は、「旧バージョン・レベルからのサーバ環境の移行」を行ってください。その後、ログイン構成ファイルのモジュールオプションに「serverport」を使用している場合は、「business-system-name」に変更してください。
ログイン構成ファイルについては、「シングル・サインオン運用ガイド」の「アプリケーションの開発」-「Javaアプリケーションの開発」-「アプリケーション実行環境の設定」-「ログイン構成ファイルの作成」を参照してください。
コマンドの変更
Interstage Application Server 8.0以前で提供していた以下のコマンドの扱いが変更されました。変更点を以下に示します。
各コマンドの詳細については、「リファレンスマニュアル(コマンド編)」を参照してください。
コマンド | 変更点 |
|---|---|
ssocloneac |
|
ssocloneaz |
|
ssosetsvc |
|
ssounsetsvc |
Interstage Application Server 8.0での変更内容
セションの管理
Interstage Application Server 8.0からセションの管理を行うことができます。旧バージョン・レベルから移行してセションの管理を行う場合は、「旧バージョン・レベルからのサーバ環境の移行」を行った後、セションの管理を行うための変更を行ってください。
セションの管理を行うための変更については、「シングル・サインオン運用ガイド」の「旧バージョンの環境定義と機能について」-「セションの管理を行う運用への移行について」を参照してください。
また、Interstage シングル・サインオンにおけるセションの管理については、「シングル・サインオン運用ガイド」の「概要」-「認証」を参照してください。
Interstage Application Server V7.0、およびInterstage Application Server Standard Edition、Enterprise Edition V6.0での変更内容
Interstage管理コンソール
Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降では、Interstage管理コンソールを使用して環境を設定します。Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1の環境定義の項目とInterstage管理コンソールによる設定の対応については「シングル・サインオン運用ガイド」の「旧バージョンの環境定義と機能について」を参照してください。
旧バージョン・レベルからのサーバ環境の移行
Interstage シングル・サインオンのシステムは以下のサーバから構成されます。ここでは、それぞれのサーバの移行方法について説明します。
リポジトリサーバ
認証サーバ
業務サーバ
1台のマシンに複数のサーバ(リポジトリサーバと認証サーバなど)を構築して運用している場合、各サーバは同時に移行してください。Interstage シングル・サインオンの各製品における1台のマシンに構築可能なサーバの組み合わせは以下になります。
製品 | 1台のマシンに構築可能なサーバの組み合わせ |
|---|---|
Interstage Web Server |
|
Interstage Application Server Standard-J Edition |
|
また、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して運用している場合、移行後の環境にて以下のいずれかの運用を行うと、リポジトリサーバ(参照系)は使用されなくなります。リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散している場合は、リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムへ移行することを推奨します。
統合Windows認証だけで認証を行う場合
以下をすべて満たす環境で、認証サーバ間連携を行う場合
保護リソースは、相手シングル・サインオンシステムにだけ定義されていること。
自シングル・サインオンシステムの認証基盤に直接アクセスして認証を行わないこと。
リポジトリサーバ(更新系)を複数台設置して負荷分散を行うシステムについては、「シングル・サインオン運用ガイド」の「概要」-「高性能・高信頼性システム」-「負荷分散」を参照してください。
リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行方法については、「シングル・サインオン運用ガイド」の「旧バージョンの環境定義と機能について」-「リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について」を参照してください。
Interstage Application Server Standard Edition、Enterprise Edition V6.0、およびInterstage Application Server V7.0以降からのサーバの移行
以下の製品からのサーバの移行方法を説明します。
Interstage Application Server V9.0以降
Interstage Application Server V7.0/8.0
Interstage Application Server Standard Edition V6.0
Interstage Application Server Enterprise Edition V6.0
シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。
Interstage Application Server Plus、Web-J Edition V6.0、およびInterstage Application Server V5.1からのサーバの移行
以下の製品からのサーバの移行方法を説明します。
Interstage Application Server Plus V6.0
Interstage Application Server Web-J Edition V6.0
Interstage Application Server V5.1
シングル・サインオンのシステムを構成するサーバの移行手順については以下を参照してください。
5.12.4 Interstage Application Server Plus V6.0からのリポジトリサーバの移行
5.12.6 Interstage Application Server Plus V6.0からのリポジトリサーバ、および認証サーバの移行
5.12.7 Interstage Application Server Plus、Web-J Edition V6.0からの業務サーバの移行
5.12.8 Interstage Application Server V5.1からのサーバの移行
ポイント
移行前の製品で提供されていたシングル・サインオンのリポジトリサーバ、認証サーバおよび業務サーバを高速化する設定については、移行する必要はありません。
Interstage Application Server V5.1からの移行において、各サーバの環境定義ファイルのアクセスログ出力先ファイル名にUTF形式で257バイト以上のファイル名を指定している場合には、UTF形式で256バイト以下のファイル名に変更する必要があります。
Javaアプリケーションの移行
Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションの移行手順については以下を参照してください。
