以下の手順で、認証サーバの環境を構築します。
[Interstage 管理コンソール]を起動します。
起動方法は、“[Interstage 管理コンソール]の起動方法”を参照してください。
[Interstage 管理コンソール]画面で、[システム]-[セキュリティ]-[シングル・サインオン]-[認証基盤]-[認証基盤の構築]タブを選択します。
[Interstage 管理コンソール]画面で[リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[次へ]ボタンを選択します。
[Interstage 管理コンソール]画面で共通ユーザー情報格納先ディレクトリサービスを選択し、[次へ]ボタンを選択します。
Interstage ディレクトリサービスを利用する場合
[Interstage ディレクトリサービス]を選択します。
Active Directoryを利用する場合
[Active Directory]を選択し、[シングル・サインオンの拡張スキーマを使用する]のチェックを選択します。
ポイント
Active Directoryを利用し、Active Directory上にすでに存在するユーザー、またはユーザー管理コマンド以外で追加したユーザーを利用して認証を行う場合、以下の属性を設定してください。
属性名 | 属性値 |
|---|---|
ssoAuthType | basicAuth |
ssoCredentialTTL | 0 |
ssoFailureCount | 0 |
ssoUserStatus | good |
以下の項目を設定します。
[認証基盤のURL]
業務システムからのアクセスを受け付けるための、認証基盤のURLが表示されます。
FQDN(ホスト名+ドメイン名)は255バイト以内で指定します。
指定可能な文字は以下のとおりです。
半角英数字
記号(「.」「-」)
ただし、これらの記号は文字列の先頭と末尾には指定できません。
IPv6形式の入力はできません。
ポート番号には1から65535までの数値が指定できます。
[リポジトリサーバ(更新系)のURL]
認証サーバに公開する、リポジトリサーバ(更新系)のホスト名(FQDNを含む)、およびポート番号を指定してください。本項目は必ず指定してください。
ホスト名
1から255バイトまでの以下の文字が指定できます。IPv6形式の入力はできません。
・半角の英数字
・記号(「.」「-」)
これらの記号は文字列の先頭と末尾には指定できません。
ポート番号
“1”から“65535”までの数値が指定できます。デフォルト値は“10550”です。
[使用するWebサーバ]
リポジトリサーバ、および認証サーバで使用するWebサーバを選択してください。[使用するWebサーバ]は必ず選択してください。シングル・サインオンのサーバが作成されているWebサーバ名は、選択肢として表示されません。
Webサーバ名を選択すると、選択したWebサーバのホスト情報、およびSSLの使用状態が表示されます。
リポジトリサーバ(更新系)のポート番号を指定してください。ポート番号は必ず指定してください。
“1”から“65535”までの数値が指定でき、デフォルト値は“10550”です。
認証サーバは、選択したWebサーバのメインホストに作成されます。
リポジトリサーバは、選択したWebサーバの、指定したポート番号を使用するバーチャルホスト(_default_:ポート番号)に作成されます。
[Active Directoryの設定]
Systemwalker認証リポジトリにActive Directoryを使用する場合は、以下のActive Directoryの接続情報を指定してください。
ユーザー情報の登録先にActive Directoryを使用する場合、[Active Directoryの設定]は必ず指定してください。
ディレクトリサービスのURL
Active Directoryのスキーム、ホスト名(FQDNを含む)、およびポート番号を指定してください。
ホスト名は255バイト以内で指定します。
指定可能な文字は以下のとおりです。
・半角英数字
・記号(「.」「-」)
ただし、これらの記号は文字列の先頭と末尾には指定できません。
IPv6形式の入力はできません。
ポート番号には“1”から“65535”までの数値が指定でき、デフォルト値は“636”です。
ポイント
Systemwalkerシングル・サインオンサーバとActive Directory間でLDAPS通信をする場合は、SSL通信環境設定が必要です。
接続用DN
Active DirectoryのユーザーのDistinguished Nameを指定してください。
1バイトから576バイトまでの文字列が指定できます。
指定するユーザーには、以下の権限が必要です。
必要な権限 | |
|---|---|
シングル・サインオンの拡張スキーマを使用しない場合 | シングル・サインオンで使用する、すべてのユーザー情報に対する参照権限 |
シングル・サインオンの拡張スキーマを使用する場合 | シングル・サインオンで使用する、すべてのユーザー情報に対する参照、および更新権限 |
例)
接続用DNをAdministratorとした場合
Administratorは、Usersコンテナに存在しているため、接続用DNは以下のように指定します。
CN=Administrator,CN=Users,DC=fujitsu,DC=com |
接続用DNのパスワード
接続用DNに指定したDistinguished Nameのユーザーのパスワードを、128バイト以内で指定してください。
指定可能な文字は以下のとおりです。
・半角英数字
・記号
・空白
SSL定義
ディレクトリサービスのURLのスキームにldapsを選択した場合は、SSL通信に使用するSSL定義を選択してください。
ユーザー情報の登録先エントリ
ユーザー情報格納先ディレクトリを指定してください。ユーザー情報の登録先エントリは必ず指定してください。
1バイトから576バイトまでの文字列が指定できます。
[認証サーバ詳細設定]の[表示]を選択します。
以下の項目を設定し、[セッション管理詳細設定]の[表示]を選択します。
[業務システムとの通信設定]の[HTTP通信]
Systemwalker製品のWebコンソールへアクセスする通信方式に合わせて、HTTP、またはHTTPSのどちらかを選択します。
なお、Systemwalker製品のHTTP通信方式の初期値は“HTTP”です。
[認証方式の設定]の[認証方式]
[パスワード認証/証明書認証]に設定します。
[パスワード認証]の[ユーザーID/パスワードの入力画面]
[フォーム認証ページ]に設定します。
以下の項目を設定し、[作成]ボタンを選択します。
[セッション管理の設定]の[セッション管理の運用]
[運用を行わない]に設定します。以下の確認画面が表示されますので、確認後[OK]ボタンを選択します。
[Interstage 管理コンソール]で、[システム]-[セキュリティ]-[シングル・サインオン]-[認証基盤]-[リポジトリサーバ]-[保護リソース]-[新規作成]タブを選択します。
[サイト定義]の[FQDN、ポート番号]を設定し、[作成]ボタンを選択します。
Systemwalkerの公開URLのプロトコル(スキーム)を除いた部分を指定してください。
FQDN、ポート番号は、必ず指定してください。
FQDN(ホスト名+ドメイン名)は255バイト以内で指定します。
指定可能な文字は以下のとおりです。
半角英数字
記号(「.」「-」)
ただし、これらの記号は文字列の先頭と末尾には指定できません。
IPv6形式の入力はできません。
ポート番号には“1”から“65535”までの数値が指定できます。
デフォルト値は“443”です。
例)
Systemwalkerの公開URLが“https://www.fujitsu.com:443”の場合は、以下の値を指定します。
FQDN : “www.fujitsu.com”
ポート番号 : “443”
[Interstage 管理コンソール]で、[システム]-[セキュリティ]-[シングル・サインオン]-[認証基盤]-[リポジトリサーバ]-[保護リソース]-[FQDN:ポート番号]-[保護パス]-[新規作成]タブを選択します。
[パス定義]の[パス]を設定します。
認可の対象とするパスを指定してください。[パス]は必ず指定してください。
1バイトから256バイトまでの文字列が指定できます。
なお、Systemwalker製品の公開URLは、以下のとおりです。
Systemwalker製品 | 公開URL |
|---|---|
Systemwalker Centric Manager | /Systemwalker/ |
Systemwalker Operation Manager | /Systemwalker-omgr/sso/ |
Systemwalker Service Quality Coordinator | /SSQC/ |
ポイント
文字数について
Unicode(UTF-8)を使用しているため、半角の英数字は1文字を1バイト、半角の英数字以外は1文字を最大4バイトとして計算してください。
ポイント
Systemwalker製品がWindows版の場合
長いファイル名から自動的に生成される8.3形式のファイル名をURLのパスに指定することはできません。
URLのパスに指定するフォルダ名/ファイル名の最後に“.”(ピリオド)を付けることはできません。
注意
パスの指定について
パスは“/”から始まる文字列でなければなりません。
ディレクトリを指定する場合は、文字列の末尾に“/”を付けてください。
サイト定義全体を認可の対象とする場合は、パスに“/”を指定してください。
“//”、“/./”、“/../”を含む文字列を指定できません。
“/.”、“/..”で終わる文字列を指定できません。
空白で終わる文字列を指定できません。
パスに日本語を含む文字列を指定できません。
パスには、Systemwalkerの公開URL以降のパスを指定してください。
例)
業務システムの公開URLが“https://www.fujitsu.com:443”のサイト定義に、パス“/admin/”を追加した場合は、“https://www.fujitsu.com:443/admin/”配下が保護対象となります。
[作成]ボタンを選択します。
[Interstage 管理コンソール]画面で、[システム]-[セキュリティ]-[シングル・サインオン]-[認証基盤]-[業務システム構築ファイル]タブを選択します。
[業務システムの情報]の[公開URL]を設定します。
Systemwalkerの公開URLのプロトコル(スキーム)、およびサイト定義を選択してください。
[公開URL]は必ず設定してください。
[ファイルに設定するパスワード]を設定します。
[パスワード]
業務システム構築ファイルを暗号化するパスワードを指定してください。
[パスワード]は必ず指定してください。
[パスワード(再入力)]
パスワードを再入力してください。
[パスワード(再入力)]は必ず指定してください。
[認証基盤の情報]の[リポジトリサーバのURL]を設定します。
リポジトリサーバのURLのFQDN(ホスト名+ドメイン名)とポート番号を指定してください。
[リポジトリサーバのURL]は必ず指定してください。
FQDN(ホスト名+ドメイン名)は、255バイト以内で指定してください。
指定可能な文字は以下のとおりです。
半角英数字
記号(「.」「-」)
ただし、これらの記号は文字列の先頭と末尾には指定できません。
IPv6形式の入力はできません。ポート番号には“1”から“65535”までの数値が指定できます。
[ダウンロード]ボタンを選択し、業務システム構築ファイルをダウンロードします。ダウンロードした業務システム構築ファイルは、Systemwalker製品のWebコンソールが導入されている、以下のSystemwalker製品の任意の場所にコピーしてください。
コピーした業務システム構築ファイルは、“Systemwalkerシングル・サインオンエージェントを設定する”で利用します。
Systemwalker製品 | インストール種別 |
|---|---|
Systemwalker Centric Manager | 運用管理サーバ |
Systemwalker Operation Manager | サーバ |
Systemwalker Service Quality Coordinator | 運用管理クライアント |
Interstageデフォルトのログイン画面をSystemwalker用のログイン画面に変更します。
注意
Systemwalkerシングル・サインオン機能を導入していない業務システムで、すでにシングル・サインオン環境を構築している場合は、本設定は行わないでください。
以下の各Systemwalker製品に格納されているファイルを、Systemwalkerシングル・サインオンサーバをインストールしたサーバ、またはInterstage Application Serverをインストールしたサーバにコピーすることで、ログイン画面を変更します。
Systemwalker製品 | インストール種別 |
|---|---|
Systemwalker Centric Manager | 運用管理サーバ |
Systemwalker Operation Manager | サーバ |
Systemwalker Service Quality Coordinator | 運用管理クライアント |
以下の手順でファイルをコピーしてください。
以下のコピー元1に格納されているすべてのファイルを、コピー先1にコピーしてください。
【コピー元1】
各Systemwalker製品の以下の格納先
OS | 格納先 |
|---|---|
Windows | %F4AM_INSTALL_PATH%\F4AMidmg\sample\SSO\AuthServer\template |
UNIX | /opt/FJSVswaic/sample/SSO/AuthServer/template |
【コピー先1】
Systemwalkerシングル・サインオンサーバをインストールしたサーバ、またはInterstage Application Serverをインストールしたサーバの以下の格納先
OS | 格納先 |
|---|---|
Windows | Interstageインストールディレクトリ\F3FMsso\ssoatcag\pub\template |
UNIX | /etc/opt/FJSVssoac/pub/template/ |
以下のコピー元2に格納されているすべてのファイルを、コピー先2にコピーしてください。
【コピー元2】
各Systemwalker製品の以下の格納先
OS | 格納先 |
|---|---|
Windows | %F4AM_INSTALL_PATH%\F4AMidmg\sample\SSO\AuthServer\htdocs |
UNIX | /opt/FJSVswaic/sample/SSO/AuthServer/htdocs |
【コピー先2】
Systemwalkerシングル・サインオンサーバをインストールしたサーバ、またはInterstage Application Serverをインストールしたサーバの以下の格納先
OS | 格納先 |
|---|---|
Windows | Interstageインストールディレクトリ\F3FMihs\servers\認証サーバ用Webサーバ名(注)\htdocs |
UNIX | /var/opt/FJSVihs/servers/認証サーバ用Webサーバ名(注)/htdocs |
注)
認証サーバ用Webサーバ名は、“認証サーバに使用するWebサーバの環境構築”の手順3で入力したWebサーバ名です。
[Interstage 管理コンソール]で、[システム]-[サービス]-[Webサーバ]を選択します。
認証サーバ用のWebサーバを選択し、[起動]ボタンを選択します。
起動に成功すると以下のメッセージがInterstage 管理コンソールに表示されます。
[日時] ・・・ Webサーバ名: 認証サーバ用のWebサーバ名 |
起動に失敗した場合は、表示されるメッセージに従い対処を行ってください。
Windows版の場合は、Systemwalker認証リポジトリと認証サーバに使用するWebサーバのサービス依存関係を設定します。
以下のコマンドを実行してサービスの依存関係を設定してください。
ssosetsvc Systemwalker認証リポジトリ名 認証サーバに使用するWebサーバ名 |
Systemwalker認証リポジトリ名は、“Systemwalker認証リポジトリの環境構築”の“Interstage ディレクトリサービスを利用する場合”の手順3で設定した[リポジトリ名]を指定してください。
認証サーバに使用するWebサーバ名は、“認証サーバに使用するWebサーバの環境構築”の手順3で設定した[Webサーバ名]を指定してください。
【コマンド格納先】
OS | 格納先 |
|---|---|
Windows | Interstageインストール先ディレクトリ\bin |
