リポジトリサーバと認証サーバを1台のマシンに構築し、増設する場合は、利用する機能によってロードバランサの設定が異なります。運用にあわせてロードバランサを設定してください。
また、Interstage管理コンソールにて[リポジトリサーバ(更新系)のURL]が正しく設定されているか確認してください。
【セションの管理を行う場合】
運用形態 | 認証サーバ間連携 | ||
統合Windows認証 | ユーザ情報を登録するディレクトリサービス | 行わない | 行う |
行わない | Interstage ディレクトリサービス | ||
Active Directory | |||
行う | Interstage ディレクトリサービス | ||
Active Directory | |||
【セションの管理を行わない場合】
運用形態 | 認証サーバ間連携 | ||
統合Windows認証 | ユーザ情報を登録するディレクトリサービス | 行わない | 行う |
行わない | Interstage ディレクトリサービス | ― (注) | |
Active Directory | ― (注) | ||
行う | Interstage ディレクトリサービス | ||
Active Directory | |||
注)以降に記載されている特別な設定を行う必要はありません。
設定1
■セションの一意性の保証機能(セッション維持機能)
設定項目 | 設定値 |
保証方式 | Cookie、またはURL埋め込みパラメタ(その他)によりセションを識別する |
保証時間 | アイドル監視時間(注1)より大きい値 |
キーワード | fj-is-sso-disperse= |
■故障監視機能
以下のどちらか一方の方法で、故障監視機能を設定してください。
Systemwalker等の監視機構により、ロードバランサの故障検出を監視し、故障が検出された場合には、故障となったリポジトリサーバを再起動するように設定してください。
ロードバランサの故障を監視する間隔に、アイドル監視時間(注1)より大きい値を設定してください。
設定2
■セションの一意性の保証機能(セッション維持機能)
設定項目 | 設定値 |
保証方式 | Cookie、またはURL埋め込みパラメタ(ServletAPI2.2)によりセションを識別する |
保証時間 | 統合Windows認証アプリケーションのセションタイムアウト時間(session-timeout)(注2)(注4)より大きい値 |
設定3
■セションの一意性の保証機能(セッション維持機能)
設定項目 | 設定値 |
保証方式 | Cookie、またはURL埋め込みパラメタ(ServletAPI2.2)によりセションを識別する |
保証時間 | 認証サーバ間連携サービスのセションタイムアウト時間(session-timeout)(注3)(注4)より大きい値 |
設定4
■セションの一意性の保証機能(セッション維持機能)
設定項目 | 設定値 |
保証方式 | Cookie、またはURL埋め込みパラメタ(ServletAPI2.2)によりセションを識別する |
保証時間 | 統合Windows認証アプリケーション、または認証サーバ間連携サービスのセションタイムアウト時間(session-timeout)(注2)(注3)(注4)より大きい値 |
設定5
■分散方法
認証基盤のURLへのアクセスが、すべてのリポジトリサーバに分散されるように設定してください。
設定項目 | 設定値 |
分散方式 | ラウンドロビン以外の方式 |
■セションの一意性の保証機能(セッション維持機能)
設定項目 | 設定値 |
保証方式 | Cookie、またはURL埋め込みパラメタ(その他)によりセションを識別する |
保証時間 | アイドル監視時間(注1)より大きい値 |
キーワード | fj-is-sso-disperse= |
■故障監視機能
以下のどちらか一方の方法で、故障監視機能を設定してください。
Systemwalker等の監視機構により、ロードバランサの故障検出を監視し、故障が検出された場合には、故障となったリポジトリサーバを再起動するように設定してください。
ロードバランサの故障を監視する間隔に、アイドル監視時間(注1)より大きい値を設定してください。
確認1
Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]にロードバランサに設定したリポジトリサーバのホスト名が設定されているか確認してください。
ロードバランサに設定したリポジトリサーバのホスト名以外が設定されている場合は、以下の手順でリポジトリサーバ、および認証サーバの[リポジトリサーバ(更新系)のURL]の設定を変更してください。
【リポジトリサーバ】
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]をロードバランサに設定したリポジトリサーバのホスト名に変更してください。
リポジトリサーバの負荷分散を行っている場合は、すべてのリポジトリサーバで実施してください。
【認証サーバ】
以下の手順で作業を行ってください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブをクリックし、認証基盤構築ファイルをダウンロードします。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブより認証サーバの環境設定内容を確認しておきます。後で同じ設定の認証サーバを再構築する際に必要です。
認証サーバをいったん削除します。
認証サーバを作成するWebサーバ(Interstage HTTP Server)を選定します。
認証サーバを作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成します。
認証サーバでSSL通信を行う場合は、手順4.で選定、または作成したWebサーバに運用に合わせてSSLの設定を行ってください。
手順1でダウンロードした認証基盤構築ファイルを使用し、認証サーバを構築します。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、手順2で確認しておいた認証サーバの環境設定内容を設定します。
[詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]の[リポジトリサーバ(更新系)のURL]にロードバランサに設定したリポジトリサーバのホスト名が設定されていることを確認してください。
認証サーバの負荷分散を行っている場合は、上記変更を行った認証サーバの環境をssobackupコマンドにて移出し、残りの認証サーバにssorestoreコマンドにて環境を移入してください。
運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。
設置済のリポジトリサーバのホスト名をロードバランサに設定し、リポジトリサーバ(更新系)のURLを変更しないようにしてください。(注5)
設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。(注6)
確認2
Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]に“localhost”が設定されているか確認してください。
“localhost”以外が設定されている場合は、以下の手順でリポジトリサーバ、および認証サーバの[リポジトリサーバ(更新系)のURL]の設定を変更してください。
【リポジトリサーバ】
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]を“localhost”に変更してください。
リポジトリサーバの負荷分散を行っている場合は、すべてのリポジトリサーバで実施してください。
【認証サーバ】
以下の手順で作業を行ってください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブをクリックし、認証基盤構築ファイルをダウンロードします。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブより認証サーバの環境設定内容を確認しておきます。後で同じ設定の認証サーバを再構築する際に必要です。
認証サーバをいったん削除します。
認証サーバを作成するWebサーバ(Interstage HTTP Server)を選定します。
認証サーバを作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成します。
認証サーバでSSL通信を行う場合は、手順4.で選定、または作成したWebサーバに運用に合わせてSSLの設定を行ってください。
手順1でダウンロードした認証基盤構築ファイルを使用し、認証サーバを構築します。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、手順2で確認しておいた認証サーバの環境設定内容を設定します。
[詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]の[リポジトリサーバ(更新系)のURL]に“localhost”が設定されていることを確認してください。
認証サーバの負荷分散を行っている場合は、上記変更を行った認証サーバの環境をssobackupコマンドにて移出し、残りの認証サーバにssorestoreコマンドにて環境を移入してください。
運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。
設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。(注6)
注1)アイドル監視時間については、リポジトリサーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル監視時間]より確認してください。
注2)セションタイムアウト時間は、以下に格納されている統合Windows認証アプリケーションの環境定義ファイルで設定します。セションタイムアウト時間のデフォルト値は1分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変更してください。
C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\web.xml
/etc/opt/FJSVssoac/webapps/winauth/WEB-INF/web.xml
注3)セションタイムアウト時間は、以下に格納されている認証サーバ間連携サービスの環境定義ファイルで設定します。セションタイムアウト時間のデフォルト値は10分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変更してください。
C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\web.xml
/etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/web.xml
注4)セションタイムアウト時間については、“J2EE ユーザーズガイド”の“Webアプリケーションの開発”-“Webアプリケーション環境定義ファイル(deployment descriptor)”を参照してください。
注5)リポジトリサーバ(更新系)のURLについては、“1.7.3 リポジトリサーバのURLについて”を参照してください。
注6)認証基盤のURLについては、“1.7.1 認証基盤のURLについて”を参照してください。
使用するロードバランサの設定に、一意性保証のキーワード重複チェックを行わない設定がある場合は、チェックを行わない設定にしてください。
ロードバランサを設置し、セションの一意性の保証機能(セッション維持機能)を使用する場合は、WebサーバのHTTP Keep-Alive機能を無効にしてください。HTTP Keep-Alive機能の設定は、Intestage 管理コンソールの[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[詳細設定]の[HTTP Keep-Alive機能の使用]で行ってください。
