ssoimpmeta  －  他社連携情報の移入

ssoimpmeta -f MetaDataFile -n SystemName {-a ImpCertNickname | -c ExistCertNickname} [-p password] [-b] [-s]

他社のシングル・サインオンシステムのメタデータを、相手シングル・サインオンシステムの情報として取り込みます。メタデータのサポート範囲については、“シングル・サインオン運用ガイド”の“他社のシングル・サインオンシステムとの連携”－“SAML V2.0のサポート範囲”－“メタデータ”を参照してください。

以下に、ssoimpmetaコマンドのオプションと引数を説明します。

-f MetaDataFile

移入するメタデータのファイル名を絶対パスで指定します。
パスは、以下の形式で指定してください。

• ファイル名には、以下の文字が指定できます。ただし、ファイル名の末尾にピリオド(.)は指定できません。

  カテゴリ	文字
  半角英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
  半角数字	0123456789
  半角記号	._-

• ファイル名は、以下の長さを超えない範囲で指定してください。
  
  255文字(半角・全角を区別せず1文字としてカウント)
  
  255バイト

• パスは、以下の長さを超えない範囲で指定してください。
  
  259文字(半角・全角を区別せず1文字としてカウント)
  
  1023バイト

• パスの区切り文字は連続して指定できません。

• 
  DOSデバイス名は指定できません。

• 
  引用符(')を含むディレクトリは指定できません。

-n SystemName

相手シングル・サインオンシステムを識別する名前を指定します。
指定可能文字から1～32文字で指定してください。また、ニックネームに指定する英字は大文字と小文字で区別されます。指定可能文字については、以下を参照してください。

カテゴリ	文字
半角英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
半角数字	0123456789
半角記号	-_()[]

指定した相手シングル・サインオンシステムと同名のシングル・サインオンシステム名が既に存在した場合は、移入できません。

-a ImpCertNickname

メタデータに含まれる署名検証用証明書をInterstage証明書環境に登録する場合のニックネームを指定します。
本オプションは、-cオプションと同時に指定することはできません。
ニックネームは、Interstage証明書環境に登録可能なニックネームを指定してください。英数字を先頭にし、指定可能文字から1～32文字で指定してください。また、ニックネームに指定する英字は大文字と小文字は区別されません。指定可能文字については、以下を参照してください。

カテゴリ	文字
半角英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
半角数字	0123456789
半角記号	-_()[]

指定したニックネームの証明書が既に存在した場合は、証明書の登録はできません。

-c ExistCertNickname

メタデータに含まれる署名検証用証明書を使用せず、Interstage証明書環境に登録されている証明書を署名検証用証明書として使用する場合のニックネームを指定します。
本オプションは、-aオプションと同時に指定することはできません。
ニックネームは、英数字を先頭にし、指定可能文字から1～32文字で指定してください。また、ニックネームに指定する英字は大文字と小文字は区別されません。指定可能文字については、以下を参照してください。

カテゴリ	文字
半角英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
半角数字	0123456789
半角記号	-_()[]

-p password

Interstage証明書環境にアクセスするためのパスワードを指定します。
本オプションを省略した場合は、パスワードの入力を求められます。
本オプションを指定する場合は、パスワードを覗き見られないように十分注意してください。

-b

Web Browser SSOプロファイルで、SP先行型のRedirect->Artifact Bindingを使用する場合に本オプションを指定します。本オプションを省略した場合は、SP先行型のRedirect->POST Bindingを使用します。

-s

対話による選択操作を行わない場合に本オプションを指定します。
メタデータ内に同一要素が複数存在した場合、優先順位に従って自動的に選択されます。自動選択される要素と優先順位は以下の通りです。

• ArtifactResolutionService

  Binding属性が“urn:oasis:names:tc:SAML:2.0:bindings:SOAP”のものが選択されます。
  上記の値が複数存在した場合はisDefault属性の値に応じて以下の順で選択されます。

  1. “true”の最初のもの

  2. “false”、または指定なしの最初のもの

• NameIDFormat

  以下の順で選択されます。

  1. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  2. urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  3. urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

• SingleSignOnService

  Binding属性が“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”のものが選択されます。

• SingleLogoutService

  Binding属性が“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”のものが選択されます。

  
  

本コマンドの実行時、以下のメッセージが表示される場合があります。各メッセージの表示内容については、使用例を参照してください。

• -pオプションを指定しなかった場合、Interstage証明書環境のパスワードの入力を要求するメッセージが表示されます。

• -sオプションを指定しなかった場合、以下の要素の選択を促すメッセージが表示される場合があります。

  • ArtifactResolutionService

  • NameIDFormat

  すべての要素の選択後、選択結果と移入の開始を確認するメッセージが表示されます。移入を開始する場合は“yes”を、中止する場合は“no”を入力してください。
  “yes”または“no”以外を入力した場合は、“no”を入力した場合の動作となります。

• 本コマンドは管理者権限で実行してください。

• 本コマンドは認証サーバで実行してください。

• 本コマンドを実行する前に、認証サーバの資源ファイル、およびInterstage証明書環境資源をバックアップしてください。認証サーバの資源ファイル、およびInterstage証明書環境資源のバックアップについては、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)”を参照してください。

• 本コマンドを実行する前に、認証サーバ間連携サービスの設定を行っておく必要があります。認証サーバ間連携サービスの設定については、“他社のシングル・サインオンシステムとの連携”－“導入”を参照してください。

• において本コマンドを実行する場合は、環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

• 本コマンド実行後は、必ず認証サーバ、および認証サーバ間連携サービスを再起動してください。

• 認証局証明書、中間認証局証明書がある場合は、事前にInterstage証明書環境に登録しておいてください。

• メタデータ内の証明書と同じ証明書が既にInterstage証明書環境に登録されている場合は、異なるニックネームを指定しても登録できません。その場合は、-cオプションを指定してInterstage証明書環境の証明書をそのまま使用するか、その証明書をInterstage証明書環境から削除してから移入してください。

• メタデータに複数のエンティティ情報を表すEntitiesDescriptor属性が含まれていた場合は、移入できません。

• 本コマンドは、複数同時に実行しないでください。

• 本コマンドは、ssodelfsvコマンドと同時に実行しないでください。

• 本コマンドは、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]を表示している状態で実行しないでください。

• 本コマンドを実行するためには、以下のパッケージがインストールされている必要があります。
  
  認証サーバ

  
  FJSVssoac、FJSVssofs、FJSVssocm、FJSVfsvl

コマンドの入力

相手シングル・サインオンシステム名に“IDP”、メタデータに含まれる証明書のニックネームに“IDPCERT”を指定して、“C:\tmp\idpmeta.xml”のメタデータを移入します。

ssoimpmeta -f c:\tmp\idpmeta.xml -n IDP -a IDPCERT

相手シングル・サインオンシステム名に“IDP”、メタデータに含まれる証明書のニックネームに“IDPCERT”を指定して、“/tmp/idpmeta.xml”のメタデータを移入します。

JAVA_HOME=/opt/FJSVawjbk/jdk6;export JAVA_HOME /opt/FJSVssofs/bin/ssoimpmeta -f /tmp/idpmeta.xml -n IDP -a IDPCERT

表示メッセージと対話入力

メタデータ内にArtifactResolutionService要素、およびNameIDFormat要素がそれぞれ複数存在した場合、以下の形式で表示されます。

Password: (注1) <ArtifactResolutionService>   1. [Binding] urn:oasis:names:tc:SAML:2.0:bindings:SOAP       [Location] https://idp.fujitsu.com/SAML/Artifact       [index] 2   2. [Binding] urn:oasis:names:tc:SAML:2.0:bindings:SOAP       [Location] https://idp.fujitsu.com/SAML2/Artifact       [index] 4 Select ArtifactResolutionService element.[1,2,q] : (注2) <NameIDFormat>   1. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified   2. urn:oasis:names:tc:SAML:2.0:nameid-format:transient   3. urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Select NameIDFormat element.[1,2,3,q] : (注2) Selected element : <ArtifactResolutionService>   [Binding] urn:oasis:names:tc:SAML:2.0:bindings:SOAP   [Location] https://idp.fujitsu.com/SAML/Artifact   [index] 2 <NameIDFormat>   urn:oasis:names:tc:SAML:2.0:nameid-format:transient Do you want to proceed with the import ?(yes/no)(注3) yes SCS: 情報: scs0104: 証明書を登録しました。 証明書がキーストアに追加されました。

注1)Interstage証明書環境のパスワードを指定します。-pオプションを指定した場合は表示されません。

注2)選択する番号を指定します。処理を中止する場合は、“q”を指定します。

注3)移入を開始する場合は、“yes”を指定します。中止する場合は、“no”を指定します。