認証基盤では、認証に必要な利用者の情報を保持し、利用者に対してユーザID／パスワード、または証明書の提示を要求して、利用者の認証を行います。
  認証基盤は、認証サーバ、リポジトリサーバ、およびSSOリポジトリで構成されています。

  認証基盤へのアクセスは、SSL通信となります。詳細は、“1.7.1 認証基盤のURLについて”を参照してください。

  利用者にユーザID／パスワード、または証明書の提示を要求して、利用者の認証を行うサーバです。
  利用者により提示されたユーザID／パスワード、または証明書をもとに、あらかじめリポジトリサーバに設定されたユーザ情報との比較を行うことにより、シングル・サインオンシステムを利用可能かどうかの判定を行います。

  認証サーバは、以下の製品で提供されています。

• Interstage Application Server Enterprise Edition

• Interstage Application Server Standard-J Edition

  リポジトリサーバは、ユーザIDやパスワードといった利用者の認証に必要な情報と、業務システムの公開URLのパスに対するアクセスを認可するための情報を管理するサーバです。
  認証サーバからの要求に応じて、SSOリポジトリから認証に必要な利用者の情報を取り出します。取り出した情報は認証サーバに通知します。

  リポジトリサーバには、リポジトリサーバ(更新系)と、リポジトリサーバ(参照系)があります。

  リポジトリサーバ(更新系)の前にロードバランサを配置し、リポジトリサーバ(更新系)を増設することで認証サーバからの要求を分散したり、可用性の向上を図ることができます。
  また、リポジトリサーバ(参照系)は、ロードバランサを配置することなく可用性の向上を図る場合に設置します。認証サーバが認証依頼を試みたリポジトリサーバ(参照系)がダウンしていた場合、自動的に認証依頼先のリポジトリサーバ(参照系)を切り替え、クライアントからの認証要求に応答することができます。

  リポジトリサーバは、以下の製品で提供されています。

• Interstage Application Server Enterprise Edition

• Interstage Application Server Standard-J Edition

  SSOリポジトリは、システムを利用する利用者の情報や、各業務サーバにおけるリソース情報を一元管理するディレクトリです。

  SSOリポジトリには、Interstage ディレクトリサービスを使用します。Interstage ディレクトリサービスについては、Interstage ディレクトリサービスが提供されている製品の“ディレクトリサービス運用ガイド”を参照してください。

  また、利用者の情報を格納するディレクトリサービスとして、Active Directoryを利用することも可能です。詳細については、“1.8 Active Directoryとの連携”を参照してください。

  Interstage ディレクトリサービスは、以下の製品で提供されています。

• Interstage Application Server Enterprise Edition

• Interstage Application Server Standard-J Edition

  認証基盤の基本構成を以下に示します。
  負荷分散や可用性の向上などシステム規模に合わせて、6つの構成パターンがあります。

1．認証サーバとリポジトリサーバをそれぞれ1台のマシンに構築する場合
(中規模システム)

  業務システムの利用者数や同時アクセス数が少ない場合に適しています。
  業務システムの利用者数の増加により同時アクセス数が増加した場合は、認証サーバを増設して、次項のシステムに移行することができます。

2．認証サーバを複数のマシンに、リポジトリサーバを1台のマシンに構築する場合
(中規模システム：認証サーバの負荷分散)

  中規模システムで、業務システムの利用者数や同時アクセス数が多い場合に適しています。
  認証サーバの前にロードバランサを配置して、認証サーバを複数台設置することにより、負荷を分散するシステム構成です。
  認証サーバを3台以上設置することもできます。

3.認証サーバを複数のマシンに構築し、リポジトリサーバ(更新系)を増設する場合
(大規模システム：リポジトリサーバ(更新系)の負荷分散)

  業務システムの利用者数や同時アクセス数が多く、リポジトリサーバ(更新系)の増設によるシステム拡張を行いたい場合のシステム構成です。
  認証サーバとリポジトリサーバ(更新系)の間にロードバランサを配置して、リポジトリサーバ(更新系)を複数台設置することにより、認証サーバからの認証やセション評価などの要求に対してリポジトリサーバ(更新系)の負荷を分散します。
  認証サーバ、およびリポジトリサーバを3台以上設置することもできます。
  なお、このシステム構成の場合、データベースにRDBを使用した、データベースを共用するSSOリポジトリが必要です。

4．認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合
(大規模システム)

  中規模システムに加え、リポジトリサーバを更新系と参照系と用途に応じて使い分けて、認証処理におけるリポジトリサーバの負荷を分散するシステム構成です。
  認証サーバの前にロードバランサを配置して、認証サーバを複数台設置することにより、認証サーバの負荷を分散すると同時に、リポジトリサーバを複数台設置し、認証処理におけるリポジトリサーバの負荷を分散します。
  また、1台の認証サーバに複数のリポジトリサーバ(参照系)を設定することにより、リポジトリサーバ(参照系)の１台が停止(サーバダウン)してしまった場合でも、ほかのリポジトリサーバ(参照系)へ切り替えることにより、システムを停止せずに運用を継続することができます。リポジトリサーバ(更新系)をリポジトリサーバ(参照系)として運用することも可能です。リポジトリサーバ(更新系)が停止(サーバダウン)してしまった場合、システムは停止します。
  更新系と参照系のリポジトリサーバのSSOリポジトリに格納された情報は、リポジトリのレプリケーションという機能を使用し、常に同じ状態にする必要があります。
  リポジトリサーバ(参照系)を2台以上設置することもできます。

5．リポジトリサーバと認証サーバを1台のマシンに構築し、増設する場合
(大規模システム)

  1台のマシンに認証基盤(リポジトリサーバと認証サーバ)を構築し、複数台設置することで、リポジトリサーバ、および認証サーバの負荷を分散するシステムです。業務システムの利用者数や同時アクセス数が多い大規模システムに適しています。
  認証基盤(リポジトリサーバと認証サーバ)の前にロードバランサを配置して、リポジトリサーバ、および認証サーバを3台以上設置することもできます。
  なお、このシステム構成の場合、データベースにRDBを使用した、データベースを共用するSSOリポジトリが必要です。

6．リポジトリサーバと認証サーバを1台のマシンに構築する場合
(小規模システム)

  1台のマシンに認証基盤(リポジトリサーバと認証サーバ)を構築します。業務システムの利用者数や同時アクセス数が少ない小規模システムに適しています。