Interstage Application Server - Fujitsusoftware.fujitsu.com/jp/manual/manualfiles/M090097/...付録E ロードバランサの設定 ... RHEL-AS4(IPF) Red Hat Enterprise Linux AS (v.4

B1WN-9401-06Z0(00)2009年08月

Windows/Solaris/Linux

Interstage Application Server

シングル・サインオン運用ガイド

まえがき

本書の目的

本書は、“Interstage Application Server シングル・サインオン運用ガイド”です。

本書は、Interstage シングル・サインオンの運用を行うために必要な環境設定、運用手順について説明しています。

前提知識

本書を読む場合、以下の知識が必要です。

・使用するOSに関する基本的な知識

・インターネットに関する基本的な知識

・ SSLに関する基本的な知識

・ Apacheに関する基本的な知識

・ Webサーバに関する基本的な知識

・ LDAP、X.500に関する基本的な知識

・ Javaアプリケーションを開発する場合、JAASを使用したJavaアプリケーション開発に関する基本的な知識

・ Active Directoryと連携する場合、Active Directoryに関する基本的な知識

本書の構成

本書は以下の構成になっています。

第1章概要

Interstage シングル・サインオンの概要やシステム構成などの概念と機能について説明します。

第2章環境構築(SSO管理者編) Interstage シングル・サインオンの認証基盤の環境構築について説明します。

第3章環境構築(業務サーバ管理者編) Interstage シングル・サインオンの業務システムの環境構築について説明します。

第4章運用・保守

Interstage シングル・サインオンの運用・保守について説明します。

第5章シングル・サインオンのカスタマイズ

Interstage シングル・サインオンのカスタマイズについて説明します。

第6章アプリケーションの開発

Interstage シングル・サインオンが提供するアプリケーションインタフェース、およびアプリケーションの開発方法について説明します。

第7章認証サーバ間連携

Interstage シングル・サインオンの認証サーバ間連携機能について説明します。

付録A 旧バージョンの環境定義と機能について

Interstage シングル・サインオンの旧バージョンで使用していた環境定義と機能について、本バージョンとの違いや注意事項について

説明します。

付録B ユーザプログラムの記述例

Interstage シングル・サインオンでSSOリポジトリを操作する際に必要となるユーザプログラムのサンプルプログラムについて説明しま

す。

付録C SSOリポジトリに登録するエントリの属性

Interstage シングル・サインオンの認証、および認可に必要となるSSOリポジトリに登録するユーザ情報、ロール定義、保護リソースに

ついて説明します。

付録D SSL通信で運用するための準備

SLL通信で運用を行う際に必要な準備作業について説明します。

- i -

付録E ロードバランサの設定

負荷分散を行う際に必要なロードバランサの設定について説明します。

付録F Active Directoryと連携するための設定

Active Directoryと連携する際に必要な設定について説明します。

付録G Symfoware資源見積もりシートの利用

Symfoware資源見積もりシートに設定するInterstage シングル・サインオン固有の値について説明します。

付録H 他社のシングル・サインオンシステムとの連携

Interstage シングル・サインオンの他社連携機能について説明します。

付録I セションの管理を行うシステムで証明書認証を行うための設定

セションの管理を行うシステムで証明書認証を行うために必要な環境定義について説明します。

付録J コンテンツのキャッシュの抑止

Webブラウザのキャッシュを抑止しないために必要な環境定義について説明します。

付録K 認証サーバへの保護リソースの設定

保護リソースの情報を認証サーバに設定するために必要な環境定義について説明します。

製品の表記について

本マニュアルでの以下の表記については、それぞれの基本ソフトウェアに対応した製品を示しています。

表記説明

RHEL-AS4(IPF) Red Hat Enterprise Linux AS (v.4 for Itanium)を前提基本ソフトウェアとしたInterstageApplication Server

RHEL5(IPF) Red Hat Enterprise Linux 5 (for Intel Itanium)を前提基本ソフトウェアとしたInterstageApplication Server

輸出許可

本ドキュメントを非居住者に提供する場合には、経済産業大臣の許可が必要となる場合がありますので、ご注意ください。

著作権

Copyright 2009 FUJITSU LIMITED

2009年8月第6版

2008年6月第5版

2007年8月第4版

2007年7月第3版

2007年5月第2版

2007年4月初版

- ii -

目　次

第1章概要................................................................................................................................................................................11.1 シングル・サインオンとは.....................................................................................................................................................................1

1.1.1 従来のシステムが抱える問題......................................................................................................................................................11.1.2 シングル・サインオンの効果.........................................................................................................................................................21.1.3 実装方式......................................................................................................................................................................................3

1.2 システムの基本構成............................................................................................................................................................................31.2.1 認証基盤......................................................................................................................................................................................41.2.2 業務システム................................................................................................................................................................................91.2.3 クライアント..................................................................................................................................................................................10

1.3 管理者...............................................................................................................................................................................................111.4 認証...................................................................................................................................................................................................11

1.4.1 パスワード認証と証明書認証....................................................................................................................................................121.4.2 統合Windows認証.....................................................................................................................................................................171.4.3 認証方式の組合わせ.................................................................................................................................................................191.4.4 ICカードを使用した証明書認証................................................................................................................................................201.4.5 証明書選択画面について.........................................................................................................................................................241.4.6 ユーザ情報.................................................................................................................................................................................251.4.7 認証情報....................................................................................................................................................................................261.4.8 マルチドメインにおける認証......................................................................................................................................................261.4.9 セションの管理...........................................................................................................................................................................261.4.10 セションの無効.........................................................................................................................................................................281.4.11 認証の制限...............................................................................................................................................................................331.4.12 サインオフ.................................................................................................................................................................................36

1.5 認可...................................................................................................................................................................................................411.5.1 ロールと利用者、リソースの関係...............................................................................................................................................411.5.2 ロールによる認可に必要な情報................................................................................................................................................411.5.3 ユーザ情報とアクセス制御情報の集中管理.............................................................................................................................431.5.4 アクセス制御情報の更新...........................................................................................................................................................441.5.5 Webアプリケーションとの連携....................................................................................................................................................45

1.6 高性能・高信頼性システム...............................................................................................................................................................461.6.1 負荷分散....................................................................................................................................................................................461.6.2 可用性の向上.............................................................................................................................................................................491.6.3 SSLアクセラレータとの連携.......................................................................................................................................................501.6.4 Interstage Security Directorとの連携.........................................................................................................................................52

1.7 URLの決定........................................................................................................................................................................................591.7.1 認証基盤のURLについて.........................................................................................................................................................591.7.2 業務システムの公開URLについて...........................................................................................................................................631.7.3 リポジトリサーバのURLについて...............................................................................................................................................651.7.4 業務システムが参照する認証サーバのURLについて.............................................................................................................68

1.8 Active Directoryとの連携..................................................................................................................................................................701.9 認証サーバ間の連携........................................................................................................................................................................72

第2章環境構築(SSO管理者編)...............................................................................................................................................732.1 環境構築の流れ................................................................................................................................................................................73

2.1.1 システム別環境構築の流れ.......................................................................................................................................................742.1.2 認証基盤構築補助シートの利用...............................................................................................................................................76

2.2 環境構築のための準備....................................................................................................................................................................772.2.1 SSOリポジトリの設計...................................................................................................................................................................772.2.2 ユーザプログラムの準備............................................................................................................................................................792.2.3 Webブラウザに表示するメッセージの準備...............................................................................................................................80

2.3 リポジトリサーバの構築.....................................................................................................................................................................802.3.1 SSOリポジトリの作成...................................................................................................................................................................822.3.2 SSOリポジトリへのユーザ情報、ロール定義の登録..................................................................................................................84

2.3.2.1 データベースからSSOリポジトリへのユーザ情報の移入...................................................................................................842.3.2.2 CSVデータファイルを使用する場合...................................................................................................................................86

- iii -

2.3.2.3 LDIFファイルを使用する場合.............................................................................................................................................922.3.2.4 ロール定義のエントリ...........................................................................................................................................................962.3.2.5 ユーザ情報のエントリ........................................................................................................................................................101

2.3.3 リポジトリサーバ(1台、または更新系)の構築..........................................................................................................................1092.3.4 負荷分散のためのリポジトリサーバ(更新系)の追加...............................................................................................................1102.3.5 SSOリポジトリ(マスタ)のSSL通信環境の構築.........................................................................................................................1112.3.6 リポジトリサーバ(参照系)の追加..............................................................................................................................................112

2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ.................................................................................................1122.3.6.2 SSOリポジトリ(スレーブ)のSSL通信環境の構築..............................................................................................................1132.3.6.3 リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成............................................................................................1142.3.6.4 リポジトリサーバ(参照系)へのSSOリポジトリのリストア.....................................................................................................1162.3.6.5 リストアしたリポジトリサーバ(参照系)のSSOリポジトリの設定変更...................................................................................1172.3.6.6 リポジトリサーバ(参照系)を追加する場合の構築............................................................................................................1172.3.6.7 リポジトリサーバ(更新系)のSSOリポジトリの設定変更.....................................................................................................118

2.4 認証サーバの構築..........................................................................................................................................................................1192.4.1 SSL通信環境の構築................................................................................................................................................................119

2.4.1.1 SSL通信を行うための準備...............................................................................................................................................1192.4.1.2 SSL通信を行うための設定...............................................................................................................................................1202.4.1.3 証明書の有効性確認を行うための準備...........................................................................................................................1202.4.1.4 SSL通信をSSLアクセラレータで行う場合の設定............................................................................................................1212.4.1.5 Interstage Security Directorを使用して運用する場合の設定..........................................................................................121

2.4.2 認証サーバを１台構築する......................................................................................................................................................1212.4.3 負荷分散のため認証サーバを追加する.................................................................................................................................1222.4.4 認証サーバにリポジトリサーバ(参照系)の情報を設定する....................................................................................................124

2.5 リポジトリサーバと認証サーバの構築.............................................................................................................................................1242.5.1 リポジトリサーバと認証サーバを１台のマシンに構築する......................................................................................................1242.5.2 負荷分散のためリポジトリサーバと認証サーバを１台のマシンに追加する...........................................................................125

2.6 業務システムの登録........................................................................................................................................................................1262.6.1 業務システムの登録の流れ.....................................................................................................................................................1272.6.2 業務サーバ管理者より入手すべき情報..................................................................................................................................1272.6.3 保護リソースなどの登録...........................................................................................................................................................128

2.6.3.1 業務システムのサイト定義の登録.....................................................................................................................................1282.6.3.2 保護パスの登録................................................................................................................................................................128

2.6.4 業務システムの構築に必要な準備.........................................................................................................................................1292.7 より安全に利用するために..............................................................................................................................................................129

2.7.1 ファイアウォールを利用する方法............................................................................................................................................130

第3章環境構築(業務サーバ管理者編)..................................................................................................................................1313.1 環境構築の流れ..............................................................................................................................................................................131

3.1.1 ケース別環境構築の流れ........................................................................................................................................................1323.1.2 業務システム構築補助シートの利用.......................................................................................................................................133

3.2 業務システムの設計........................................................................................................................................................................1333.2.1 Webブラウザに表示するメッセージの準備.............................................................................................................................1333.2.2 業務システムの追加依頼.........................................................................................................................................................1333.2.3 サインオフするためのWebページの編集................................................................................................................................1343.2.4 コンテンツ作成時の注意事項..................................................................................................................................................134

3.2.4.1 フレームページ使用時の注意..........................................................................................................................................1343.2.4.2 POSTメソッド使用時の注意..............................................................................................................................................135

3.3 業務サーバの追加..........................................................................................................................................................................1353.3.1 業務サーバを1台追加する......................................................................................................................................................1353.3.2 負荷分散のため業務サーバを追加する.................................................................................................................................139

3.4 Webサーバへの組み込み..............................................................................................................................................................1403.4.1 Interstage HTTP Server への組み込み...................................................................................................................................1403.4.2 Sun Java System Web Server 6.0,6.1への組み込み................................................................................................................1403.4.3 Microsoft(R) Internet Information Services 5.0 への組み込み..............................................................................................1423.4.4 Microsoft(R) Internet Information Services 6.0 への組み込み..............................................................................................1493.4.5 Microsoft(R) Internet Information Services 7.0 への組み込み..............................................................................................161

- iv -

3.5 業務サーバで使用するWebサーバの運用資源へのアクセス権限の設定...................................................................................176

第4章運用・保守...................................................................................................................................................................1784.1 シングル・サインオンの起動............................................................................................................................................................178

4.1.1 リポジトリサーバの起動............................................................................................................................................................1784.1.2 認証サーバの起動...................................................................................................................................................................1784.1.3 業務サーバの起動...................................................................................................................................................................179

4.2 シングル・サインオンの停止............................................................................................................................................................1804.2.1 リポジトリサーバの停止............................................................................................................................................................1804.2.2 認証サーバの停止...................................................................................................................................................................1814.2.3 業務サーバの停止...................................................................................................................................................................181

4.3 環境設定の変更..............................................................................................................................................................................1824.3.1 リポジトリサーバ、認証サーバ、業務サーバの環境設定の変更............................................................................................1824.3.2 Webサーバの実効ユーザを変更する場合の注意事項.........................................................................................................1834.3.3 Webサーバの実効グループを変更する場合の注意事項......................................................................................................183

4.4 シングル・サインオンの削除............................................................................................................................................................1844.4.1 リポジトリサーバの削除............................................................................................................................................................1844.4.2 認証サーバの削除...................................................................................................................................................................1844.4.3 業務サーバの削除...................................................................................................................................................................185

4.5 利用者に関する操作......................................................................................................................................................................1854.5.1 利用者の追加...........................................................................................................................................................................1854.5.2 利用者の削除...........................................................................................................................................................................1864.5.3 利用者のロールの変更、追加.................................................................................................................................................1864.5.4 利用者のパスワードの変更......................................................................................................................................................1864.5.5 利用者のパスワードの忘却......................................................................................................................................................1864.5.6 利用者のロック..........................................................................................................................................................................1864.5.7 ロックアウトの解除....................................................................................................................................................................1864.5.8 利用者のロック状態の確認......................................................................................................................................................1874.5.9 利用者の有効期間の確認、変更............................................................................................................................................1874.5.10 強制サインオン.......................................................................................................................................................................1874.5.11 強制サインオフ.......................................................................................................................................................................1884.5.12 前回サインオン日時の確認...................................................................................................................................................189

4.6 認可に関する操作..........................................................................................................................................................................1904.6.1 ロール定義の変更、追加.........................................................................................................................................................1904.6.2 保護リソースの変更..................................................................................................................................................................191

4.7 アクセスログによる保守...................................................................................................................................................................1924.8 セション管理ログによる保守...........................................................................................................................................................1924.9 大規模システムで運用する場合の注意事項.................................................................................................................................192

第5章シングル・サインオンのカスタマイズ..............................................................................................................................1945.1 Webブラウザに表示するメッセージのカスタマイズ........................................................................................................................194

5.1.1 カスタマイズできるメッセージ...................................................................................................................................................1945.1.2 メッセージのカスタマイズ方法.................................................................................................................................................2025.1.3 認証用フォームタグの仕様......................................................................................................................................................2055.1.4 強制サインオン問い合わせページ用フォームタグの仕様.....................................................................................................2065.1.5 サインオフ問い合わせページ用フォームタグの仕様.............................................................................................................2075.1.6 同時認証確認画面用タグの仕様............................................................................................................................................2075.1.7 未認証画面用タグの仕様........................................................................................................................................................2095.1.8 統合Windows認証時に表示されるメッセージ用のタグの仕様..............................................................................................2105.1.9 メッセージファイルのアクセス権限の設定...............................................................................................................................211

5.2 サインオフするためのWebページのカスタマイズ..........................................................................................................................2135.2.1 Webページのカスタマイズ方法...............................................................................................................................................213

5.3 SSOリポジトリとのサービス連携......................................................................................................................................................215

第6章アプリケーションの開発................................................................................................................................................2176.1 Javaアプリケーションの開発............................................................................................................................................................217

6.1.1 プログラム開発の流れ..............................................................................................................................................................2176.1.2 プログラムの開発......................................................................................................................................................................219

- v -

6.1.2.1 CallbackHandlerのインスタンス化.....................................................................................................................................2206.1.2.2 LoginContextのインスタンス化..........................................................................................................................................2216.1.2.3 LoginContextのloginメソッドの呼び出し...........................................................................................................................2216.1.2.4 ユーザ情報の取得............................................................................................................................................................221

6.1.3 アプリケーション実行環境の設定............................................................................................................................................2226.1.3.1 環境変数の設定................................................................................................................................................................2226.1.3.2 ログイン構成ファイルの作成.............................................................................................................................................2236.1.3.3 運用資源のアクセス権限の設定......................................................................................................................................2246.1.3.4 保護リソースの登録...........................................................................................................................................................2256.1.3.5 JavaAPIの使用の設定......................................................................................................................................................2256.1.3.6 例外と対処方法.................................................................................................................................................................225

6.1.4 アプリケーションの実行............................................................................................................................................................2256.1.5 サンプルコード.........................................................................................................................................................................226

6.1.5.1 サーブレットアプリケーション............................................................................................................................................2266.2 環境変数によるユーザ情報の通知の設定....................................................................................................................................2306.3 環境変数によるサインオフURLの通知の設定..............................................................................................................................233

第7章認証サーバ間連携.......................................................................................................................................................2347.1 概要.................................................................................................................................................................................................234

7.1.1 認証サーバ間連携とは............................................................................................................................................................2347.1.2 システム構成............................................................................................................................................................................2367.1.3 認証を行うシステム...................................................................................................................................................................2387.1.4 ユーザ情報のカスタマイズ.......................................................................................................................................................2387.1.5 セションの管理.........................................................................................................................................................................240

7.2 導入.................................................................................................................................................................................................2427.2.1 導入するための準備................................................................................................................................................................242

7.2.1.1 認証サーバ間連携を行うシステムの設計........................................................................................................................2427.2.1.2 相手シングル・サインオンシステムと連携するための準備..............................................................................................242

7.2.2 導入手順..................................................................................................................................................................................2437.2.2.1 認証サーバ間連携の運用許可........................................................................................................................................2467.2.2.2 認証サーバ間連携サービスの配備.................................................................................................................................2477.2.2.3 認証サーバ間連携の設定................................................................................................................................................248

7.3 運用・保守.......................................................................................................................................................................................2487.3.1 認証サーバ間連携サービスの起動・停止・削除....................................................................................................................2487.3.2 相手シングル・サインオンシステムの追加、変更、削除.........................................................................................................2497.3.3 強制サインオフ.........................................................................................................................................................................2507.3.4 認証サーバ間連携ログの管理................................................................................................................................................2527.3.5 ワークユニットの起動ユーザを変更する場合の注意事項......................................................................................................2527.3.6 認証を行うシステムの設定.......................................................................................................................................................252

7.4 カスタマイズ.....................................................................................................................................................................................2567.4.1 ユーザ情報のカスタマイズ.......................................................................................................................................................256

7.4.1.1 ユーザ情報カスタマイズ定義ファイルに記述した変換ルールによるカスタマイズ.........................................................2567.4.1.2 カスタマイズモジュールによるカスタマイズ......................................................................................................................267

7.4.2 Webブラウザに表示するメッセージのカスタマイズ.................................................................................................................2717.4.2.1 カスタマイズできるメッセージ............................................................................................................................................2717.4.2.2 メッセージのカスタマイズ方法..........................................................................................................................................2737.4.2.3 認証を行うシステムの設定画面用タグの仕様.................................................................................................................2757.4.2.4 認証を行うシステムの解除画面用タグの仕様.................................................................................................................2767.4.2.5 同時処理確認画面用タグの仕様.....................................................................................................................................2767.4.2.6 認証を行うシステムの設定および確認待ち画面用タグの仕様.......................................................................................2787.4.2.7 システム名表示用文字列の仕様......................................................................................................................................2797.4.2.8 メッセージファイルのアクセス権限の設定........................................................................................................................282

付録A 旧バージョンの環境定義と機能について......................................................................................................................283A.1 旧バージョンの環境定義の扱い....................................................................................................................................................283A.2 リポジトリサーバの環境定義...........................................................................................................................................................283

A.2.1 基本設定..................................................................................................................................................................................283A.2.2 詳細設定..................................................................................................................................................................................284

- vi -

A.3 認証サーバの環境定義.................................................................................................................................................................284A.3.1 基本設定..................................................................................................................................................................................284A.3.2 詳細設定..................................................................................................................................................................................285

A.4 業務サーバの環境定義.................................................................................................................................................................285A.4.1 基本設定..................................................................................................................................................................................286A.4.2 詳細設定..................................................................................................................................................................................286

A.5 旧バージョンのコマンドの扱い.......................................................................................................................................................286A.6 Javaアプリケーションに関連する機能について.............................................................................................................................287A.7 サービスIDファイルについて.........................................................................................................................................................288A.8 旧バージョンが混在したシステムの構築について........................................................................................................................288A.9 メッセージの改善について.............................................................................................................................................................288A.10 セションの管理を行う運用への移行について.............................................................................................................................317A.11 リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について...................................................................................323A.12 ディレクトリサービスにActive Directoryを使用するシステムへの移行について........................................................................324

付録B ユーザプログラムの記述例..........................................................................................................................................328B.1 ロール定義をSSOリポジトリに登録する.........................................................................................................................................329B.2 ユーザ情報をSSOリポジトリに登録する.........................................................................................................................................330B.3 ユーザ情報をSSOリポジトリから削除する......................................................................................................................................332B.4 利用者のロールを追加する...........................................................................................................................................................333B.5 利用者のロールを削除する...........................................................................................................................................................334B.6 利用者のロック状態を表示する.....................................................................................................................................................335B.7 利用者をロックする.........................................................................................................................................................................336B.8 利用者の有効期間を表示する......................................................................................................................................................336B.9 利用者の有効期間を変更する......................................................................................................................................................337B.10 利用者のパスワードを変更する...................................................................................................................................................338

付録C SSOリポジトリに登録するエントリの属性.....................................................................................................................340C.1 ユーザ情報.....................................................................................................................................................................................340C.2 ロール定義......................................................................................................................................................................................343C.3 保護リソース....................................................................................................................................................................................344

C.3.1 サイト定義.................................................................................................................................................................................344C.3.2 パス定義...................................................................................................................................................................................344

付録D SSL通信で運用するための準備..................................................................................................................................346D.1 リポジトリサーバのSSL通信環境の構築........................................................................................................................................346D.2 リポジトリサーバをSSL通信で運用するための変更手順..............................................................................................................346D.3 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成.....................................................................348D.4 SSL通信に使用する証明書の登録...............................................................................................................................................350D.5 Interstage証明書環境の作成.........................................................................................................................................................351D.6 CRL発行局の証明書の登録.........................................................................................................................................................351D.7 CRLの登録.....................................................................................................................................................................................352

付録E ロードバランサの設定..................................................................................................................................................354E.1 リポジトリサーバ(更新系)の負荷分散............................................................................................................................................354E.2 認証サーバの負荷分散.................................................................................................................................................................354E.3 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散.............................................................................................356

付録F Active Directoryと連携するための設定........................................................................................................................361F.1 ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する.................................................................................361

F.1.1 シングル・サインオンの拡張スキーマの設定..........................................................................................................................361F.1.2 Active Directoryのユーザ情報の設定....................................................................................................................................362F.1.3 SSOリポジトリの設定(ロール定義の関連付け).......................................................................................................................366F.1.4 SSL通信環境の構築................................................................................................................................................................378F.1.5 リポジトリサーバの構築............................................................................................................................................................379F.1.6 統合Windows認証を行うための設定......................................................................................................................................380

F.2 ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する...........................................................389F.2.1 SSOリポジトリの設定(ユーザ情報の関連付け).......................................................................................................................389

- vii -

付録G Symfoware資源見積もりシートの利用.........................................................................................................................391

付録H 他社のシングル・サインオンシステムとの連携..............................................................................................................393

付録I セションの管理を行うシステムで証明書認証を行うための設定.......................................................................................397

付録J コンテンツのキャッシュの抑止.......................................................................................................................................399

付録K 認証サーバへの保護リソースの設定............................................................................................................................401

索引......................................................................................................................................................................................405

- viii -

第1章概要

本章では、Interstage シングル・サインオンの概要と機能について説明します。

1.1 シングル・サインオンとは

企業情報システムでは、複数のWebサーバが存在しています。通常は、これらのWebサーバで、個々にIDやパスワードを入力しなけ

ればなりません。

シングル・サインオンとは、1度のサインオン(認証)で複数のWebサーバへのアクセスを可能(認可)とする機能です。

Interstage シングル・サインオンは、企業システムを構成する複数のWebサーバに対し、シングル・サインオン機能によって認証・認可

の基盤を提供します。

認証

システムを利用する人の正当性を判定し、本人であることを確認することです。

認可

利用者がアクセスを要求している資源に対して、その利用者がアクセスすることが認められていることを確認することです。たとえばWebサーバで公開するHTML文書、画像データ、音声データ、またはWebサーバで動作するCGIアプリケーションなどの資源へのアクセス

要求に対して、その利用者がそれらの資源へのアクセスを認められているのかを確認します。

1.1.1 従来のシステムが抱える問題

企業情報システムは、インターネット技術を基盤とするアプリケーションサーバ上に構築されたシステムでなければ、変化する市場に

対応しきれず、企業としての成長はあり得ないといわれています。オールインワン型の情報システムではなく、個々のニーズや目的に応じた

Webサーバを構築、運用することで、変化に柔軟に対応できるシステムが実現されています。

しかし、このように複数のWebサーバで構成された企業情報システムには大きな問題が存在します。

企業情報システムでは、セキュリティ上、利用者の認証が不可欠ですが、従来のシステムでは、個々のWebサーバで認証機能を持

つ必要がありました。このため、利用者にとっても、システム管理者にとっても、次のような問題が生じています。

- 1 -

利用者の利便性の低下

各システムが個々に認証機能を持っているため、利用者はそれぞれのシステムを利用するたびに認証を受ける必要があります。利

用者の情報(ユーザID／パスワード)も個々のシステムごとに管理されているため、利用者は利用するシステムごとにユーザID／パス

ワードを入力して認証を受ける必要があります。また、それらを記憶したり、管理する必要があり、利用者の利便性を大きく低下させま

す。

運用コストの増加

人事異動などによる利用者の追加／変更／削除のたびに、各システムの管理者は利用者の情報やアクセス制御情報を保守する必

要があり、管理のためのコストと時間は膨大なものになります。

開発コストの増加

個々のシステムごとにセキュリティ機能を開発することにより、開発期間、開発コストの増加につながります。

セキュリティレベルの低下

複数のシステムで構成された情報システムでは、全体としてのセキュリティレベルは、構成する個々のシステムの中で、も低いセキュ

リティレベルと同等になります。そのため、あるシステムが新のセキュリティアーキテクチャにもとづいた高度なセキュリティを実現して

も、すべてのシステムが同等のセキュリティレベルを持たないと、効果がありません。

1.1.2 シングル・サインオンの効果

Interstage シングル・サインオンを導入することによって、従来のシステムが抱える問題を解決することができます。

利用者の利便性の向上

利用者は1つのユーザID／パスワードで、様々なWebシステムを安心して利用することができます。

運用コストの削減

人事異動などによる利用者の追加／変更／削除に対するシステムの管理／保守を一元化することが可能となり、それらに要するコス

トを削減できます。

開発コストの削減

セキュリティ機能のための開発をシステムごとに実施する必要がなくなり、開発のコストを削減できます。

高度なセキュリティレベルの実現

一元的にセキュリティレベルを向上させることができるため、新のセキュリティアーキテクチャに迅速に対応することができます。

- 2 -

1.1.3 実装方式

Interstage シングル・サインオンでは、シングル・サインオンを実現するために、エージェント方式という実装方式を採用しています。

エージェント方式とは、各業務サーバにエージェントを配置し、そこで利用者の認証の必要性を判断します。認証が必要な場合に

は、認証サーバに認証を依頼します。エージェント方式の採用により、シングル・サインオン導入前のネットワーク構成をそのまま維持

できます。

1.2 システムの基本構成

Interstage シングル・サインオンのシステムは、認証基盤、業務システム、およびクライアントより構成されています。認証基盤には認証

サーバ、リポジトリサーバ、およびSSOリポジトリが、業務システムには業務サーバが配置されています。

Interstage シングル・サインオンの基本的なシステム構成図は以下のとおりです。

- 3 -

利用者は、クライアントからWebブラウザなどを使用してシステムを利用します。

利用者がシステムを利用する方法として、以下の二つがあります。

・ Webブラウザで認証基盤のURLを指定する

業務システムへのアクセスに先立ち、Webブラウザで認証基盤のURLにアクセスすることにより利用者の認証を行います。認証に

成功した場合に、以降の業務システムへのアクセスが可能となります。

・ Webブラウザで業務システムの公開URLを指定する

利用者は認証基盤を意識することなく、Webブラウザで業務システムへアクセスを行います。

利用者が認証を行っていない状態で業務システムにアクセスした場合には、Webブラウザは認証基盤のURLに自動的に導かれ、

利用者の認証が要求されます。認証に成功した場合に、Webブラウザは初に指定されたURLに自動的に導かれます。

1.2.1 認証基盤

認証基盤では、認証に必要な利用者の情報を保持し、利用者に対してユーザID／パスワード、または証明書の提示を要求して、利

用者の認証を行います。

認証基盤は、認証サーバ、リポジトリサーバ、およびSSOリポジトリで構成されています。

認証基盤へのアクセスは、SSL通信となります。詳細は、“1.7.1 認証基盤のURLについて”を参照してください。

認証サーバ

利用者にユーザID／パスワード、または証明書の提示を要求して、利用者の認証を行うサーバです。

利用者により提示されたユーザID／パスワード、または証明書をもとに、あらかじめリポジトリサーバに設定されたユーザ情報との比

較を行うことにより、シングル・サインオンシステムを利用可能かどうかの判定を行います。

認証サーバは、以下の製品で提供されています。

- 4 -

・ Interstage Application Server Enterprise Edition

・ Interstage Application Server Standard-J Edition

リポジトリサーバ

リポジトリサーバは、ユーザIDやパスワードといった利用者の認証に必要な情報と、業務システムの公開URLのパスに対するアクセス

を認可するための情報を管理するサーバです。

認証サーバからの要求に応じて、SSOリポジトリから認証に必要な利用者の情報を取り出します。取り出した情報は認証サーバに通

知します。

リポジトリサーバには、リポジトリサーバ(更新系)と、リポジトリサーバ(参照系)があります。

リポジトリサーバ(更新系)の前にロードバランサを配置し、リポジトリサーバ(更新系)を増設することで認証サーバからの要求を分散し

たり、可用性の向上を図ることができます。

また、リポジトリサーバ(参照系)は、ロードバランサを配置することなく可用性の向上を図る場合に設置します。認証サーバが認証依

頼を試みたリポジトリサーバ(参照系)がダウンしていた場合、自動的に認証依頼先のリポジトリサーバ(参照系)を切り替え、クライアント

からの認証要求に応答することができます。

リポジトリサーバは、以下の製品で提供されています。

・ Windows Server 2003 for Itanium-based Systems/RHEL-AS4(IPF)/RHEL5(IPF)の場合

－ Interstage Application Server Enterprise Edition

・上記以外のオペレーティングシステムの場合


－ Interstage Application Server Standard-J Edition

SSOリポジトリ

SSOリポジトリは、システムを利用する利用者の情報や、各業務サーバにおけるリソース情報を一元管理するディレクトリです。

SSOリポジトリには、Interstage ディレクトリサービスを使用します。Interstage ディレクトリサービスについては、Interstage ディレクトリサー

ビスが提供されている製品の“ディレクトリサービス運用ガイド”を参照してください。

また、利用者の情報を格納するディレクトリサービスとして、Active Directoryを利用することも可能です。詳細については、“1.8 ActiveDirectoryとの連携”を参照してください。

Interstage ディレクトリサービスは、以下の製品で提供されています。

・ Windows Server 2003 for Itanium-based Systems/RHEL-AS4(IPF)/RHEL5(IPF)の場合


・上記以外のオペレーティングシステムの場合


－ Interstage Application Server Standard-J Edition

認証基盤の基本構成

認証基盤の基本構成を以下に示します。

負荷分散や可用性の向上などシステム規模に合わせて、6つの構成パターンがあります。

1．認証サーバとリポジトリサーバをそれぞれ1台のマシンに構築する場合

(中規模システム)

- 5 -

業務システムの利用者数や同時アクセス数が少ない場合に適しています。

業務システムの利用者数の増加により同時アクセス数が増加した場合は、認証サーバを増設して、次項のシステムに移行することが

できます。

2．認証サーバを複数のマシンに、リポジトリサーバを1台のマシンに構築する場合

(中規模システム：認証サーバの負荷分散)

中規模システムで、業務システムの利用者数や同時アクセス数が多い場合に適しています。

認証サーバの前にロードバランサを配置して、認証サーバを複数台設置することにより、負荷を分散するシステム構成です。

認証サーバを3台以上設置することもできます。

3.認証サーバを複数のマシンに構築し、リポジトリサーバ(更新系)を増設する場合

(大規模システム：リポジトリサーバ(更新系)の負荷分散)

業務システムの利用者数や同時アクセス数が多く、リポジトリサーバ(更新系)の増設によるシステム拡張を行いたい場合のシステム構

成です。

認証サーバとリポジトリサーバ(更新系)の間にロードバランサを配置して、リポジトリサーバ(更新系)を複数台設置することにより、認証

サーバからの認証やセション評価などの要求に対してリポジトリサーバ(更新系)の負荷を分散します。

認証サーバ、およびリポジトリサーバを3台以上設置することもできます。

なお、このシステム構成の場合、データベースにRDBを使用した、データベースを共用するSSOリポジトリが必要です。

- 6 -

4．認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合

(大規模システム)

中規模システムに加え、リポジトリサーバを更新系と参照系と用途に応じて使い分けて、認証処理におけるリポジトリサーバの負荷を

分散するシステム構成です。

認証サーバの前にロードバランサを配置して、認証サーバを複数台設置することにより、認証サーバの負荷を分散すると同時に、リ

ポジトリサーバを複数台設置し、認証処理におけるリポジトリサーバの負荷を分散します。

また、1台の認証サーバに複数のリポジトリサーバ(参照系)を設定することにより、リポジトリサーバ(参照系)の１台が停止(サーバダウ

ン)してしまった場合でも、ほかのリポジトリサーバ(参照系)へ切り替えることにより、システムを停止せずに運用を継続することができま

す。リポジトリサーバ(更新系)をリポジトリサーバ(参照系)として運用することも可能です。リポジトリサーバ(更新系)が停止(サーバダウ

ン)してしまった場合、システムは停止します。

更新系と参照系のリポジトリサーバのSSOリポジトリに格納された情報は、リポジトリのレプリケーションという機能を使用し、常に同じ状

態にする必要があります。

リポジトリサーバ(参照系)を2台以上設置することもできます。

- 7 -

5．リポジトリサーバと認証サーバを1台のマシンに構築し、増設する場合

(大規模システム)

1台のマシンに認証基盤(リポジトリサーバと認証サーバ)を構築し、複数台設置することで、リポジトリサーバ、および認証サーバの負

荷を分散するシステムです。業務システムの利用者数や同時アクセス数が多い大規模システムに適しています。

認証基盤(リポジトリサーバと認証サーバ)の前にロードバランサを配置して、リポジトリサーバ、および認証サーバを3台以上設置する

こともできます。

なお、このシステム構成の場合、データベースにRDBを使用した、データベースを共用するSSOリポジトリが必要です。

6．リポジトリサーバと認証サーバを1台のマシンに構築する場合

(小規模システム)

1台のマシンに認証基盤(リポジトリサーバと認証サーバ)を構築します。業務システムの利用者数や同時アクセス数が少ない小規模

システムに適しています。

- 8 -

1.2.2 業務システム

利用者に対してWebベースのサービスなどを提供するシステムです。

業務システムは、業務サーバ、および業務サーバで運用しているWebシステムで構成されています。

業務サーバ

業務サーバは、利用者から業務システムへのアクセスを要求されると認証基盤に利用者の認証を依頼します。また、認証を終えた利

用者に対してアクセス対象のサービスの使用を認可します。

シングル・サインオンの業務システムへ追加が可能な業務サーバは、以下のWebサーバ上で動作している必要があります。

・ Interstage HTTP Server

・ Microsoft(R) Internet Information Services 5.0,6.0,7.0


・ Sun Java System Web Server 6.0,6.1


業務サーバとして利用することができるWebサーバの詳細については、“業務サーバを組み込むWebサーバ”を参照してください。

業務システムの基本構成

業務システムには以下の2つの構成パターンがあります。

1．業務サーバを1台のマシンに構築する場合

業務サーバを1台のマシンに構築します。

- 9 -

2．業務サーバを複数のマシンに構築する場合

業務サーバの前にロードバランサを配置して、業務サーバを複数台設置することにより、負荷を分散するシステム構成です。

業務サーバを3台以上設置することもできます。

1.2.3 クライアント

Interstage シングル・サインオンでは、利用者はクライアントからWebブラウザを使用して業務システムを利用します。

Webブラウザのサポート範囲

クライアントで使用できるWebブラウザを以下に示します。

Webブラウザバージョン・レベル

Microsoft(R) Internet Explorer 5.01、5.5、6.0、7.0、8.0

Webブラウザの設定について

・ cookieを受け付けるように設定してください。

・ Javaスクリプトを有効にしてください。

・プロキシサーバを使用する場合には、認証サーバと業務サーバのどちらに対してもプロキシを経由するように設定してください。

- 10 -

・ SSL3.0、およびTLS 1.0を使用するように設定してください。

・統合Windows認証を行う場合は、統合Windows認証を使用するように設定してください。

認証局証明書のWebブラウザへの登録について

認証基盤との通信にSSLを使用するために必要なサイト証明書を発行した認証局の証明書をWebブラウザに登録してください。認証

局証明書のWebブラウザへの登録については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”－“証明書

を利用するための設定”を参照してください。

セキュリティパッチの適用

Webブラウザの不具合によりcookieが盗まれるなどの攻撃を受ける危険性があります。このような不具合が発見されると、Webブラウザ

の開発元からセキュリティパッチが公開されます。利用者には、常に新のセキュリティパッチを適用したWebブラウザを使用するよう

指導してください。

プロキシについて

ロードバランサを使用して負荷分散している場合、ロードバランサの設定によってはクライアントが経由するプロキシが、アクセスごと

に異なる場合があります。認証サーバ、業務サーバでは、プロキシのアドレスがクライアントのアドレスとして認識されるため、認証サー

バにアクセスするときと業務サーバにアクセスするときでクライアントのアドレスが異なってしまい、シングル・サインオンを正しく使用で

きません。同じクライアントからのアクセスが同じプロキシを使用するようにロードバランサを設定してください。

たとえば、IPCOMの場合には“ノード単位の分散”に設定することで、同じクライアントからの要求に対しては同じサーバに接続するよ

うになります。

複数ウィンドウによる利用について

Interstage シングル・サインオンを複数のウィンドウで利用する場合、使用するWebブラウザの種類、またはウィンドウの開き方により、

新しく開いたウィンドウに認証情報が引き継がれる場合と、引き継がれない場合があります。

認証情報が引き継がれる場合は、同一利用者としてWebブラウザを使用できます。認証情報が引き継がれない場合は、異なる利用

者としてWebブラウザを使用できます。

Microsoft(R) Internet Explorerを使用して基本認証を行う場合

パスワード認証時に表示される、基本認証ダイアログにキャンセルで応答した場合には、連続した操作によって続けて表示される基

本認証ダイアログに、正しいユーザID／パスワードを入力しても認証に失敗する場合があります。

この場合には、続けて表示される基本認証ダイアログに再度、正しいユーザID／パスワードを入力して認証を行ってください。

1.3 管理者

Interstage シングル・サインオンを運用するためには、SSO(シングル・サインオン)管理者が認証基盤を管理するだけではなく、シング

ル・サインオンと連携する業務サーバの管理者と連携をとる必要があります。

SSO管理者

認証基盤の管理を行います。

業務サーバ管理者から得た情報をもとに、SSOリポジトリへの利用者の登録、削除、または登録されているユーザ情報の変更を行い

ます。また、認証基盤への業務システムの登録も行います。

業務サーバ管理者

業務システムの管理を行います。

業務サーバで保護する資源や、その資源にアクセスできる利用者の条件などの方針を決定し、認証基盤に業務システムを登録する

ための情報をSSO管理者に提供します。詳細は“3.2 業務システムの設計”を参照してください。

1.4 認証

認証とは、システムを利用しようとしている人の正当性を確認することです。

Interstage シングル・サインオンが提供する認証機能について説明します。

- 11 -

Interstage シングル・サインオンでは、以下の認証方式で利用者を認証することができます。

「パスワード認証」、「フォーム認証」、「基本認証」、および「証明書認証」については、“1.4.1 パスワード認証と証明書認証”を参照し

てください。

「パスワード認証、または証明書認証」、および「パスワード認証、かつ証明書認証」については、“1.4.3 認証方式の組合わせ”を参照

してください。

「統合Windows認証」については、“1.4.2 統合Windows認証”を参照してください。

セションの管理を行わないシステムにおいてのみ、以下の認証が可能です。

・基本認証

・ ICカードを使用しない証明書認証

1.4.1 パスワード認証と証明書認証

Interstage シングル・サインオンでは、次の2つの認証方式で利用者を認証することができます。これらの認証方式を組み合わせて運

用することも可能です。

・パスワード認証

・ ICカードを使用した証明書認証(注)

注)セションの管理を行わないシステムにおいては、ICカードを使用しない証明書認証も可能です。

なお、アクセスを制御するリソースに対して利用者ごとに認証方式を設定することができます。

利用者ごとの認証方式は、リポジトリサーバのSSOリポジトリで管理する“2.3.2.5 ユーザ情報のエントリ”の“ssoAuthType”の設定によ

り切り替わります。

また、認証には再認証の間隔を設定することが可能です。再認証の間隔が設定されている場合、利用者は認証後から一定時間を経

過すると再度、認証を求められます。この機能により、認証後に長時間離席した場合の第三者によるWebシステムの不正利用を防止

することができます。

- 12 -

パスワード認証

利用者をユーザID／パスワードにより認証する方式で、利用者が使用するコンピュータが不特定な場合に簡単に認証が行えます。

しかし、パスワード認証は簡単に認証が行える反面、パスワードが盗まれ、本人に成りすまされるという危険性があります。パスワード

の管理には十分注意してください。

Interstage シングル・サインオンではパスワード認証を運用するにあたり、利用者がユーザID／パスワードを入力する画面として、フォー

ム認証ページを使用します。

ユーザID／パスワードの入力画面

(注1)説明以降の説明における表記

フォーム認証ページ認証用のフォームが埋め込まれたWebページフォーム認証

基本認証ダイアログ Webブラウザ標準の認証画面基本認証

注1)セションの管理を行わないシステムにおいてのみ、ユーザID／パスワードを入力する画面として基本認証ダイアログを使用する

ことができます。ユーザID／パスワードの入力画面については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サ

インオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの

入力画面]で設定できます。

利用者が業務システムにアクセスすると、フォーム認証の場合にはフォーム認証ページが、基本認証の場合には基本認証ダイアロ

グが表示され、ユーザID／パスワードの入力を促されます。ユーザID／パスワードはSSOリポジトリにユーザ情報としてあらかじめ登録

されている必要があり、それに一致するものを提示した利用者だけが認証に成功します。

また、フォーム認証の場合には、利用者はWebブラウザを使用して直接認証基盤のURLにアクセスし、認証を行います。

その後、利用者は業務システムにアクセスすることが可能となります。

認証基盤に直接アクセスして認証を行う場合は、以下のURLにアクセスするように利用者に指導してください。

認証基盤のURL/ssoatcag (注2)(注3)

以降の説明では、上記のURLを“フォーム認証ページのURL”と呼びます。

注2)認証基盤のURLのポート番号は省略可能(443)であっても必ず指定してください。

注3)業務サーバ作成後に、認証基盤のURLを確認するには、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サ

インオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]により確認してください。

認証基盤のURLが“https://authserver.fujitsu.com”の場合、フォーム認証ページのURLは以下のようになります

- 13 -

https://authserver.fujitsu.com:443/ssoatcag

誤ったURLを指定した場合、以下の現象が発生し、認証が正しく行えない場合があります。

・認証を行ったにもかかわらず、Webブラウザに「Waiting」が表示される、または、再度認証が要求されます。

・ SSL通信にてクライアント認証を使用している場合は、クライアント証明書の要求画面が複数回表示されます。

・認証時にWebブラウザに以下のメッセージなどが表示され、システムのログにsso02012が出力されます。

－ “404 Not Found”

－ “ページを表示できません”

以下に、フォーム認証ページ例と各Webブラウザが基本認証のために表示する画面を示します。

なお、利用者においては、“ユーザID”は“ユーザ名”として扱われます。

フォーム認証ページの例

フォーム認証ページはカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウザに表示するメッセージ

のカスタマイズ”を参照してください。

なお、POSTリクエストに対して認証を行う場合は、以下に示す未認証画面が表示されます。認証画面を表示するリンクをクリックする

ことで、新しいウィンドウに認証ページが表示され、認証することができます。

未認証画面はカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウザに表示するメッセージのカスタ

マイズ”を参照してください。

- 14 -

未認証画面の例

Microsoft(R) Internet Explorer 6.0の基本認証画面

- 15 -

パスワード認証が基本認証で運用されている場合、利用者はWebブラウザなどを使用して認証基盤のURLに直接アクセスすることは

できません。

証明書認証

利用者を証明書により認証する認証方式で、使用するコンピュータが特定される場合に便利です。

Interstage シングル・サインオンでは、ICカードに格納された証明書を使用して認証することができます。認証に必要な情報をICカー

ドに格納して携帯することで、第三者に不正に使用されることを防ぐことができます。

この認証方式では、提示された証明書から利用者が特定できることで認証されたとみなします。

セションの管理を行うシステムにおいて証明書認証を行う場合は、認証サーバの環境定義ファイルに証明書認証を行うことを許可す

る設定が必要です。証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設

定”を参照してください。

セションの管理を行わないシステムにおいては、利用者が使用するWebブラウザにあらかじめ証明書を登録しておくことで認証を行う

ことができます。この場合、利用者が業務システム、または認証基盤のURLにアクセスすると、Webブラウザから証明書の提示が促され

ます。

証明書認証を行うためには、SSLの環境設定でクライアント認証の設定を行う必要があります。クライアント認証の設定について

は、“2.4.1 SSL通信環境の構築”を参照してください。

証明書の情報

Interstage シングル・サインオンの証明書認証では、提示された証明書の所有者名(Subject)や所有者別名(Subject Alternative Name)エクステンションに格納されている情報を参照して認証を行います。そのため、証明書には以下の情報のどれかが格納されている必

要があります。

Interstage シングル・サインオンが参照する証明書の情報

・メールアドレス(mail)

・従業員番号(employeeNumber)

・ユーザID(uid)

・シリアル番号(serialNumber)

・ DN修飾子(dnQualifier)

・氏名(cn)

証明書の所有者名(Subject)と所有者別名(Subject Alternative Name)エクステンションに同じ属性が設定されている場合には、次の

ようになります。

・メールアドレス(mail)は、所有者別名(Subject Alternative Name)エクステンションに設定されている値が有効になります。

・メールアドレス(mail)以外は、所有者名(Subject)に設定されている値が有効になります。

証明書の所有者や所有者別名の情報は、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基

盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]で設定する[証明書認証の動作]の[認証に使用する属性]により設定できま

す。

以下に、各Webブラウザの証明書認証時に表示される証明書選択画面を示します。Webブラウザに複数の証明書が登録されている

場合は、どの証明書をWebサーバに提示するかをこの画面より選択します。

Webブラウザに登録している証明書が1つだけの場合は、証明書選択画面を表示せずに登録されている証明書を自動で使用するこ

ともできます。証明書選択画面の表示については、“1.4.5 証明書選択画面について”を参照してください。

なお、証明書をWebブラウザに登録する方法については、“セキュリティシステム運用ガイド”を参照してください。

- 16 -

Microsoft(R) Internet Explorer 6.0の証明書選択画面

Interstage シングル・サインオンでサポートする証明書

Interstage シングル・サインオンでは、Interstage証明書環境、およびSMEEコマンドによる証明書/鍵管理環境で使用可能な証明書を

サポートしています。

詳細については“セキュリティシステム運用ガイド”を参照してください。

証明書の有効性確認

証明書認証で使用する証明書は、認証サーバで有効性を確認することができます。有効性の確認は、認証サーバに登録されている

CRL(Certificate Revocation List)によって行われます。CRLは失効された証明書のリストで、CRLに記載されている証明書が提示され

た場合、認証は失敗します。

1.4.2 統合Windows認証

利用者がWindowsにログオンする際に指定するユーザID／パスワードを使用して、利用者を認証する方式で、利用者はWindowsログオンすることで、Interstage シングル・サインオンを使用することができます。

Windowsログオンした後、利用者のWebブラウザにて保護リソースにアクセスした場合、以下のような統合Windows認証時のサインオ

ン確認画面が表示されます。

統合Windows認証を行う場合は、“はい”ボタンをクリックすることで、サービスを利用することができます。

また、統合Windows認証でサインオンしない場合には、以下の画面で“いいえ”をクリックし、パスワード認証、または証明書認証で認

証する運用を行うことができます。また、統合Windows認証をキャンセルさせる運用も可能です。

- 17 -

それぞれの認証を行う場合の、利用者の操作手順を以下に示します。

【統合Windows認証をする場合】

1. 証明書選択画面で、“キャンセル”ボタンをクリックします。

2. 統合Windows認証画面で、“はい”ボタンをクリックします。

【証明書認証をする場合】

1. 証明書選択画面で、証明書認証に使用する証明書を選択します。

2. 統合Windows認証画面で、“いいえ”ボタンをクリックします。

【パスワード認証をする場合】

1. 証明書選択画面で、“キャンセル”ボタンをクリックします。

2. 統合Windows認証画面で、“いいえ”ボタンをクリックします。

3. フォーム認証画面で、ユーザIDとパスワードを入力します。

統合Windows認証を行う場合は、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サイン

オン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、[認証方式の設定]の[認証方式]を設定します。

統合Windows認証時のサインオン確認画面はカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウ

ザに表示するメッセージのカスタマイズ”を参照してください。

- 18 -

・ Microsoft(R) Windows Server(R) 2008と連携する場合、連携に必要なActive Directoryの更新プログラムを、連携するMicrosoft(R)Windows Server(R) 2008に適用する必要があります。連携に必要なActive Directoryの更新プログラムについては、“使用上の注

意”の“ソフトウェア条件”－“アプリケーション実行時に必要なソフトウェア”－“その他”を参照してください。

・クライアントで使用できるWebブラウザは、Microsoft(R) Internet Explorerのみです。Webブラウザの[ツール]－[インターネットオプ

ション]－[詳細設定]を選択し、“統合Windows認証を使用する(再起動が必要)”をチェックしてください。

・ Interstage シングル・サインオンの各サーバをActive Directoryにドメイン参加させる必要はありません。

・統合Windows認証を行う場合は、ユーザID／パスワードを入力する画面として基本認証ダイアログを使用することはできません。

・再認証の間隔の経過など、再認証が必要な場合、統合Windows認証時のサインオン確認画面が表示されます。本画面にて統合

Windows認証でサインオンするよう選択すると、再認証を行うことなくサービスを継続して利用することが可能になります。統合Windows認証を行っている場合は、利用者が離席した場合に発生する、第三者による不正利用の脅威を低減するために、スクリーンセー

バのパスワードによる保護機能を利用してアイドル監視を行うよう、利用者に指導してください。

・統合Windows認証による認証を連続して失敗しても、利用者はロックされませんが、Windowsログオン時に、パスワード誤りによる

ユーザのロックアウト制御を行うことで、利用者をロックすることが可能です。

また、以下の場合、SSO管理者がユーザプログラムを使用して利用者をロックすることが可能です。利用者をロックする方法につい

ては“B.7 利用者をロックする”を参照してください。

－ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する場合

－ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、シングル・サインオンの拡張スキーマを使用する場合

・ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する場合は、SSOリポジトリで管理しているユー

ザ情報を、Active Directoryと関連付けして管理する必要があります。両者のユーザ情報を関連付ける方法については、“F.2 ユー

ザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する”を参照してください。

ユーザ情報の関連付けについては、ID管理ツール等を使用することで確実に保証することを推奨します。

・ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、統合Windows認証でサインオンせず、パスワード認証、

または証明書認証で再度認証できる運用を行う場合は、ActiveDirectoryにシングル・サインオンのスキーマを拡張する必要があり

ます。ActiveDirectoryにシングル・サインオンのスキーマを拡張する方法については、“F.1.1 シングル・サインオンの拡張スキーマ

の設定”を参照してください。

・リポジトリサーバによる負荷分散を行う場合は、リポジトリサーバ(更新系)を複数配置するシステム構成にしてください。システム構

成の詳細については、“1.6.1 負荷分散”を参照してください。

・連携するActiveDirectoryのドメインに認証サーバが登録されている場合、ネットワークに関する設定が必要です。設定の詳細につ

いては、“使用上の注意”の“注意事項”－“Interstage シングル・サインオンの注意事項”－“統合Windows認証に関する注意事

項”を参照してください。

1.4.3 認証方式の組合わせ

Interstage シングル・サインオンでは、パスワード認証と証明書認証を組み合わせることによって、以下の認証方式で認証することが

できます。認証方式は、利用者ごとに設定することができます。

認証方式説明

パスワード認証ユーザID／パスワードによる認証方式です。フォーム認証、または基本認証のいずれかを使用

することができます。(注1)

証明書認証 SSLクライアント認証時に獲得される証明書を用いた認証方式です。証明書は、Webブラウザ

に登録するファイル形式の証明書とICカードを使用することができます。(注2)

パスワード認証または証明書認

証

パスワード認証、または証明書認証のどちらかが成功した場合に、認証されたものとする方式

です。

パスワード認証かつ証明書認証パスワード認証と証明書認証のどちらも成功した場合にだけ認証されたものとする方式です。

統合Windows認証 Windowsにログオンする際に指定するユーザID／パスワードによる認証方式です。統合Windows認証でサインオンしない場合には、パスワード認証、または証明書認証で認証することができま

す。

- 19 -

注1)基本認証は、セションの管理を行わないシステムにおいてのみ使用することができます。

注2)ICカードを使用しない証明書認証は、セションの管理を行わないシステムにおいてのみ使用することができます。

パスワード認証または証明書認証

パスワード認証または証明書認証のどちらかの認証方式において、一方の認証が成功した場合に認証が成功したとする認証方式で

す。

この認証方式は、“証明書認証”で認証を行っている利用者が、出張先のコンピュータからリソースにアクセスする場合や、ICカードを

携帯しているがICカードが利用できないコンピュータからアクセスするような場合、または、ICカードを忘れてしまった場合や、何らかの

理由で証明書が使用できない場合にパスワード認証でアクセスができるため柔軟な運用が可能です。

この認証方式では、まず証明書認証を求められます。証明書認証が成功すると、認証が成功したことになります。証明書認証に失敗

した場合、または証明書の提示がない場合は、パスワード認証が求められます。パスワード認証が成功すると、認証が成功したことに

なります。パスワード認証にも失敗すると、認証に失敗したことになります。

利用者の登録している証明書が1つだけの場合や、１つも登録していない場合は、証明書選択画面を表示せずに登録されている証

明書を使用したり、証明書選択画面を表示せずに、パスワード認証の画面を表示したりすることもできます。証明書選択画面の表示に

ついては、“1.4.5 証明書選択画面について”を参照してください。

パスワード認証かつ証明書認証

パスワード認証と証明書認証の両方の認証方式で、認証が成功した場合だけ認証が成功したとする認証方式です。より厳密な認証

を行いたい場合に適しています。

この認証方式では、まず証明書認証が求められます。証明書認証が成功すると、引き続きパスワード認証が求められます。パスワー

ド認証に成功すると、認証が成功したことになります。パスワード認証に失敗すると、認証に失敗したことになります。

Webブラウザに登録している証明書が1つだけの場合は、証明書選択画面を表示せずに登録されている証明書を使用することもで

きます。証明書選択画面の表示については、“1.4.5 証明書選択画面について”を参照してください。

1.4.4 ICカードを使用した証明書認証

Interstage シングル・サインオンは、スマートカード認証セットと連携することにより、証明書を登録したICカードを使って認証することが

できます。

ICカードは携帯できるため第三者に不正に使用されるという危険性も防ぐことができます。

以下に、ICカードによる証明書認証の操作の流れを示します。

WebブラウザにMicrosoft(R) Internet Explorerを使用した場合のICカードによる証明書認証の操作の流れを、Microsoft(R) InternetExplorer の例で説明します。なお、以下の画面遷移はクライアントにすでにICカードリーダが接続されていることを前提とします。ICカードリーダについての設定は、装置付属のマニュアルを参照してください。

また、以下に示す画面のメッセージのスマートカードとはICカードを示します。

1. ICカードリーダにICカードを挿入してください。

ICカードリーダにICカードが挿入されると、以下のメッセージが表示されます。「OK」を選択してください。

ICカードリーダにICカードが挿入されていない場合は、以下のメッセージが表示されます。

ICカードを挿入し、「OK」を選択してください。

- 20 -

2. 保護リソースにアクセスすると、以下のメッセージが表示されます。

PINを入力してください。PINは、ICカードリーダの初期準備で設定したPINです。

3. PINを入力すると、ICカードに登録されている証明書を使用して認証が行われます。

PINの入力を間違えると、以下の画面を表示し、再度PINの入力を要求します。

また、「キャンセル」を選択した場合は、以下に示す画面を表示して、要求したリソースへのアクセスがキャンセルされます。

- 21 -

- 22 -

4. 認証が正常に行われた場合、要求したリソースにアクセスすることができます。

ICカード使用時の注意事項

WebブラウザにMicrosoft(R) Internet Explorerを使用した場合は、Webブラウザにあらかじめ証明書を登録する必要があります。詳細

は、スマートカード認証セットに付属する“SMARTACCESS／PRO”のマニュアルを参照してください。

操作の途中でキャンセルを行った場合には、Webサーバへのアクセスが行われません。そのため、認証方式に「パスワード認証また

は証明書認証」が設定されている場合でもパスワード認証の要求画面が表示されません。

また、ICカードリーダにICカードが挿入されていない状態で業務サーバへのアクセスを繰返しているとアクセスに失敗することがあり

ます。業務サーバにアクセスしている間は、ICカードリーダにICカードを挿入したままにしてください。

- 23 -

ICカードを紛失した場合は、SSO管理者に連絡し、紛失したICカードによる認証要求を拒否する設定に変更するように依頼してくだ

さい。

1.4.5 証明書選択画面について

コンピュータに１つも証明書が登録されていない、または証明書を１つだけ登録している場合、証明書認証時に証明書選択画面を表

示させないことができます。

以下に証明書選択画面を表示させない方法を例示します。

なお、証明書選択画面の表示方法についてはWebブラウザのバージョンによって異なりますので、各Webブラウザのマニュアルを参

照してください。

Microsoft(R) Internet Explorer 6.0

[ツール]-[インターネットオプション]-[セキュリティ]を選択した画面からの[レベルのカスタマイズ]を選択します。

- 24 -

設定で[その他 - 既存のクライアント証明書が１つ、または存在しない場合の証明書の選択]を“有効にする”に設定します。

1.4.6 ユーザ情報

ユーザ情報はSSOリポジトリで管理されており、Interstage シングル・サインオンで管理する利用者のユーザIDやパスワード、認証方

式などを設定します。利用者ごとに以下の項目を設定できます。運用に応じて決定してください。

- 25 -

主な設定項目を以下に示します。

項目説明

認証方式以下の認証方式のどれかを設定します。

・パスワード認証

・証明書認証(注)・パスワード認証または証明書認証

・パスワード認証かつ証明書認証

ユーザID 利用者のユーザIDを設定します。

なお、利用者のユーザIDは複数設定しないでください。

パスワード利用者のパスワードを設定します。

なお、利用者のパスワードは複数設定しないでください。

証明書認証時に利用者を特定する情報証明書認証時に利用者が使用する証明書から利用者を特定できる証明書内の

情報を設定します。

証明書認証を使用しない場合、設定する必要ありません。

ロール名／ロールセット名利用者のロールやロールセットを設定します。ロールやロールセットは複数設定

できます。

ユーザ情報に設定するロール名やロールセット名には、必ずロール定義に定義

されたものを設定してください。

再認証の間隔認証後、再度認証が必要となるまでの間隔を設定します。

有効期間開始日時利用者のシングル・サインオンの利用開始日時を設定します。

有効期間満了日時利用者のシングル・サインオンの利用終了日時を設定します。

注)セションの管理を行わないシステム、および証明書認証が許可されたセションの管理を行うシステムにおいてのみ設定できます。

ロール、およびロールセットについては、“1.5.1 ロールと利用者、リソースの関係”を参照してください。

1.4.7 認証情報

利用者の認証後、利用者のユーザIDや認証方式などの情報は、Cookieを利用して業務サーバ／認証サーバ／リポジトリサーバに

認証情報として伝達されます。

1.4.8 マルチドメインにおける認証

業務システム、および認証基盤が異なるドメインで構成されている環境においてもInterstage シングル・サインオンの認証・認可が可

能です。

1.4.9 セションの管理

Interstage シングル・サインオンでは、利用者ごとの認証情報の有効な期間を管理することで、不正利用者による脅威を低減すること

ができます。

- 26 -

利用者がWebブラウザからシングル・サインオンシステムにサインオン(認証)してから業務を終えてサインオフするまでの、認証情報

が有効な期間をセションといいます。サインオフすることにより、認証情報が無効になります。

Interstage シングル・サインオンでは、利用者のセションの管理を行うために、以下の機能を提供しています

・アイドル監視

シングル・サインオンシステムに一定時間アクセスしていない利用者を自動的にサインオフした状態にすることができます。

・多重サインオンの抑止

セションの管理を行うシングル・サインオンシステムにおいて、同じユーザIDによる複数のWebブラウザからのサインオンを必ず抑

止します。

・強制サインオン

利用者が、不要なセションを無効にし、新たにサインオンしなおすことができます。

・強制サインオフ

SSO管理者が、シングル・サインオンシステムにすでにサインオンしている利用者を強制的にサインオフすることができます。

・サインオフ

利用者が、業務サーバコンテンツ上のサインオフ用のボタンやリンクを使用することでシングル・サインオンシステムからサインオフ


・前回サインオン日時の通知

利用者は、通知された前回サインオン日時の確認を行うことができます。

利用者のセションの管理を行う場合は、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ]> [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[セション管

理の設定]の[セション管理の運用]を設定します。

セションの管理を行う際には、リポジトリサーバ(更新系)上でセションの管理を行うサーバ(以降、セション管理サーバと表記)が動作し

ます。

- 27 -

・ Interstage シングル・サインオンで管理するセションは、業務システムで管理しているセションとは連携していません。

・セションの管理を行わないシステムにおいてのみ、Interstage Security DirectorのInterstage シングル・サインオン連携機能が使用

できます。

・ V7.0以前のサーバが混在したInterstage シングル・サインオンシステムではセションの管理を行うことはできません。

・セションの管理を行っていないシステムからセションの管理を行うシステムに移行する場合は、セションの管理を行うための環境設

定を変更する必要があります。変更手順については“A.10 セションの管理を行う運用への移行について”を参照してください。

・セションの管理を行っているシステムで証明書認証を行う場合は、以下の機能を実施しても、再認証を行うことなくサービスを継続

して利用することが可能になります。利用者が離席した場合に発生する、第三者による不正利用の脅威を低減するために、利用

者への運用指導を十分行ってください。

－不能となる機能

- アイドル監視

- サインオフ

- 強制サインオフ

－利用者への運用指導

- スクリーンセーバのパスワードによる保護機能を利用してアイドル監視を行ってください。

- サインオフ時には、必ずWebブラウザをクローズしてください。

- Webブラウザに証明書を登録せず、ICカードに格納された証明書を使用してください。

セションの管理を行う場合は、リポジトリサーバでSSL通信を行うことが可能です。

1.4.10 セションの無効

Interstage シングル・サインオンでは、以下の設定を行うことにより、利用者が離席した場合に発生する、第三者による不正利用の脅

威を低減することができます。

・アイドル監視

シングル・サインオンシステムに一定時間アクセスしていない利用者を、自動的にサインオフした状態にし、再認証を求めるように


・再認証の間隔

利用者がシングル・サインオンシステムにサインオンしてから一定時間が過ぎた場合に、再認証を求めるようにすることができます。

セションの管理を行う場合は、アイドル監視と再認証の間隔を合わせて設定することで、より安全な運用を行うことができます。

なお、セションの管理を行わない場合は、再認証の間隔のみ使用することができます。

アイドル監視

Interstage シングル・サインオンでは、利用者がシングル・サインオンシステムにサインオンした直後からのアイドル状態を監視してお

り、サインオンした状態のままあらかじめ設定したアイドル監視時間の間アクセスしなかった場合は、利用者の認証を自動的に無効に


複数のWebブラウザからシングル・サインオンシステムにアクセスした場合は、Webブラウザごとにアイドル状態が監視されます。

アイドル監視時間を超過しタイムアウトが発生した後にシングル・サインオンシステムにアクセスした場合は、再認証を行うことで、タイ

ムアウトが発生するまでアクセスしていた業務サーバコンテンツの使用を再開することができます。

アイドル監視の動作概要を以下に示します。

- 28 -

(1) シングル・サインオンシステムにサインオンします。

この時点から、アイドル状態が監視されます。

(2) 業務サーバAのコンテンツにアクセスします。

アイドル監視時間の範囲内に、業務サーバAのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たに

アイドル状態が監視されます。

(3) 業務サーバBのコンテンツにアクセスします。

アイドル監視時間の範囲内に、業務サーバBのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たに


(4) 業務サーバAのコンテンツにアクセスします。

アイドル監視時間の範囲内に、業務サーバAのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たに


(5) 業務サーバBのコンテンツにアクセスします。

アイドル監視時間を超過し、タイムアウトが発生しているため、利用者のWebブラウザには、セションが無効であるメッセージが表示

され、再認証をうながします。

アイドル監視時間を設定する場合は、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] >[シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監

視]の[アイドル監視時間]を設定します。

再認証の間隔

Interstage シングル・サインオンでは、シングル・サインオンシステムへのアクセスに関係なく、利用者がサインオンしてから再認証の

間隔に設定した時間が過ぎると、再認証を求めるようにすることができます。

再認証の間隔は、IPアドレスごとに監視されるため、異なるクライアントから接続した場合は、再認証の間隔に関係なく、再度認証が

- 29 -

要求されます。

再認証を行うことで、再認証が発生するまでアクセスしていた業務サーバコンテンツの使用を再開することができます。

再認証の間隔は、以下のように、利用者ごと、またはシングル・サインオンシステムごとに設定することができます。

・利用者ごとに再認証の間隔を設定する場合

SSOリポジトリに登録するユーザ情報の“ssoCredentialTTL”(再認証の間隔)を設定します。

・シングル・サインオンシステムごとに再認証の間隔を設定する場合

Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設

定]タブの[詳細設定[表示]]をクリックし、[認証後の動作]の[再認証の間隔]を設定します。

SSOリポジトリのユーザ情報の詳細については、“2.3.2.5 ユーザ情報のエントリ”を参照してください。

Interstage管理コンソールの定義の詳細については、Interstage管理コンソールのヘルプを参照してください。

・利用者ごと、およびシングル・サインオンシステムごとに再認証の間隔を設定した場合は、利用者ごとの再認証の間隔が優先され

ます。

・認証方式に“証明書認証”を使用している場合、または“パスワード認証または証明書認証”で証明書認証が成立した場合には、

再認証時にクライアント(Webブラウザ)からWebサーバに対して自動的に証明書が提示されます。このため、利用者には、再認証

を要求する画面が表示されません。なお、“認証サーバを複数のマシンに、リポジトリサーバを1台のマシンに構築する場合”や“認

証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合”には、“証明書認証”、または“パスワード認証または証明書

認証”を使用している場合であっても、利用者に再認証を要求する画面が表示されることがあります。

・再認証の間隔に設定した値より、SSOリポジトリに登録されているユーザ情報の有効期間の残り時間が短い場合は、SSOリポジトリ

に登録されているユーザ情報の有効期間が優先されます。

ユーザ情報の有効期間については、“利用者の有効期間”を参照してください。

・セションの管理を行わないシステムにおいては、第三者による不正利用の脅威を低減するため、利用者ごとの再認証の間隔、お

よびシングル・サインオンシステムごとの再認証の間隔には、“0”(再認証を行わない)を設定しないことを強く推奨します。

アイドル監視と再認証の間隔

セションの管理を行う場合、アイドル監視と再認証の間隔を合わせて設定することで、利用者が離席した場合にアイドル監視時間内

に発生する第三者による不正利用の脅威を低減し、より安全に運用することができます。

アイドル監視時間と再認証の間隔を設定する際の注意

- 30 -

不当なタイムアウトを発生させないために、以下の式が成り立つよう考慮して設定してください。

T1 + T2 < T3 < T4 < T5

・アイドル監視時間(T3)業務サーバコンテンツへの1回のアクセスに要する時間T1(利用者が業務サーバのコンテンツにアクセスしてから、応答が返ってく

るまでの時間)と、利用者が業務サーバコンテンツにアクセスしてから、次に業務サーバコンテンツにアクセスするまでの平均時間T2を考慮し、この2種類の時間の合計時間よりも“アイドル監視時間”が長くなるように設定します。

・再認証の間隔(T4)アイドル監視によるタイムアウトが発生する前に“再認証の間隔”によって再認証が発生しないように、“アイドル監視時間”より

も“再認証の間隔”が長くなるように設定します。

・業務サーバコンテンツのタイムアウト監視時間(T5)業務サーバコンテンツにタイムアウトの監視時間が設定されている場合は、業務サーバコンテンツのタイムアウトの監視時間

が、“アイドル監視時間”、および“再認証の間隔”よりも長くなるように設定してください。

アイドル監視時間と再認証の間隔を組み合わせた設定、および動作例について説明します。

アイドル監視時間(T3)を15分、再認証の間隔(T4)を30分に設定した場合。

- 31 -

(3)の時点で業務サーバコンテンツへアクセスした場合は、再認証の間隔で設定した時間(T4:30分) は超過していないが、アイドル監

視時間で設定した時間(T3:15分)は超過しているため、アイドル監視による再認証が発生します。

(5)の時点で業務サーバコンテンツへアクセスした場合は、アイドル監視時間で設定した時間(T3:15分)は超過していないため、タイム

アウトは発生しませんが、再認証の間隔で設定した時間(T4:30分)は超過しているため、再認証の間隔による再認証が発生します。

- 32 -

(4)の時点で業務サーバのコンテンツへアクセスした場合は、アイドル監視時間(T3)と再認証の間隔(T4)の両方の設定時間を超過し

ているため、再認証の間隔による再認証が発生します。

1.4.11 認証の制限

Interstage シングル・サインオンでは、以下の設定や、セションの管理を行うことで、不正なアクセスを防ぐことができます。

・利用者の有効期間

利用者のシングル・サインオンシステムにアクセスできる期間を設定することで、有効期間外の認証を無効にし、シングル・サイン

オンシステムにアクセスできないようにすることができます。

・ロックアウト

ユーザID／パスワードによる認証時に、間違ったパスワードを一定回数以上入力した場合、認証に失敗し、シングル・サインオン

システムへアクセスできないようにすることができます。

・多重サインオンの抑止

セションの管理を行うシングル・サインオンシステムにおいて、同一のユーザIDで、複数のWebブラウザからアクセスできないように

します。

利用者の有効期間

Interstage シングル・サインオンでは、利用者に有効期間を設定することができます。

たとえば、SSOリポジトリに新入社員の情報を事前に作成しておき、入社した日付で認証を有効にするように設定したり、退職予定社

員の退職日を有効期間満了日時に設定する、という運用が可能です。

これにより、SSOリポジトリのユーザ情報を削除することなく、一時的に認証を無効にしたり、有効期間を設定することができます。

利用者の有効期間は、SSOリポジトリのユーザ情報の“ssoNotBefore”(有効期間開始日時)と“ssoNotAfter”(有効期間満了日時)に設

定します。

SSOリポジトリのユーザ情報については、“2.3.2.5 ユーザ情報のエントリ”を参照してください。

ロックアウト

ロックアウトとは、利用者を不正なアクセスから保護するために認証を制限し、Interstage シングル・サインオンが管理するリソースへア

クセスできないように制御する機能です。

- 33 -

ユーザID／パスワードによる認証時に一定回数連続して正しくないパスワードが入力された場合、それ以上パスワードを試すことが

できないよう利用者をロック状態とし、シングル・サインオンシステムの利用を制限します。

また、SSO管理者が、ユーザプログラムを使用してSSOリポジトリを操作し、利用者を強制的にロックすることも可能です。利用者をロッ

クする方法については“B.7 利用者をロックする”を参照してください。

ロック状態となった利用者は、ロック状態が解除されるまで認証に失敗します。

なお、連続して認証に失敗した回数は、パスワード認証に成功した場合にリセットされます。

証明書による認証が失敗した場合、ユーザID／パスワードの入力を要求されます。「証明書認証」、「パスワード認証かつ証明書認

証」に設定された利用者は証明書による認証が失敗しているため、正しいユーザID／パスワードを入力しても認証に失敗します。この

場合、ユーザID／パスワードの要求画面で[キャンセル]を選択してください。ユーザID／パスワードの要求画面でユーザID／パスワー

ドを入力すると、正しいユーザID／パスワードを入力してもロックアウトの対象として、連続して認証に失敗した回数にカウントします。

・ロックされた利用者は、証明書認証の場合でもロック状態が解除されるまでInterstage シングル・サインオンが使用できません。

・統合Windows認証による認証を連続して失敗しても、利用者はロックされません。

ロックアウトに関する設定は、Interstage管理コンソールを使用して行います。[システム] > [セキュリティ] > [シングル・サインオン] >[認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[ロックアウト]の[利用者のロック]、および[ロックの解除]を設定してください。

ロック状態の解除は、SSO管理者がInterstage管理コンソールを使用して行います。ロック状態の解除方法については、“4.5.7 ロック

アウトの解除”を参照してください。

また、一定時間経過後に自動的にロック状態を解除する運用の場合は、一定時間経過後の初回の認証時にロック状態が解除され

ます。

パスワード認証を一定回数連続して失敗し、ロックアウトとなった場合には、メッセージをクライアントに通知します。

以下に示すメッセージは、認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知する]を指定した場合に表示されま

す。[利用者への認証失敗原因の通知]は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン]> [認証基盤] > [認証サーバ] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムとの通信の設定]で設

定します。

なお、[通知しない]を指定した場合は、「ユーザ名、またはパスワードが正しくありません。」がWebブラウザに表示されます。詳細につ

いては、“5.1.1 カスタマイズできるメッセージ”を参照してください。

- 34 -

また、ロックされている状態で認証を行った場合には、以下の画面がWebブラウザに表示されます。

- 35 -

多重サインオンの抑止

セションの管理を行うシングル・サインオンシステムにおいて、同じユーザIDによる複数のWebブラウザからのアクセス(多重サインオ

ン)を必ず抑止します。

多重サインオンを抑止することで、第三者による不正利用の脅威を低減することができます。

1.4.12 サインオフ

シングル・サインオンシステムの利用者は、認証基盤に追加されたサインオフ用のリンクを使用することで、Webブラウザを閉じること

なくシングル・サインオンシステムからサインオフし、認証を無効にすることができます。

サインオフ用の“サインオフ”ボタンを使用して利用者がサインオフする場合を例に説明します。

- 36 -

1. 業務サーバコンテンツ上に追加された、“サインオフ”ボタンをクリックします。

- 37 -

2. 以下のようなサインオフ問い合わせページが表示されます。

- 38 -

3. “はい”を選択した場合、以下のようなサインオフ完了メッセージが表示され、サインオフが完了します。

- 39 -

4. “いいえ”を選択した場合、以下のようなサインオフ取り消しメッセージが表示され、サインオフを取り消します。

ブラウザの“戻る”ボタンをクリックして業務システムに移動し、業務を継続することができます。

例で説明したように、利用者がサインオフを行う場合は、各管理者が以下の準備を行う必要があります。

・業務サーバ管理者

サインオフ用の業務サーバコンテンツの作成

業務サーバコンテンツ上にサインオフ用のリンクを準備します。

業務サーバコンテンツ上にサインオフ用のボタンやリンクを設定し、利用者がサインオフ時にサインオフのURLに対してアクセスするよう

Webページをカスタマイズします。リンクの追加方法については、“5.2 サインオフするためのWebページのカスタマイズ”を参照し

てください。

・ SSO管理者

サインオフ問い合わせページのカスタマイズ

サインオフ問い合わせページをカスタマイズすることで、運用に応じた画面を利用者に表示することができます。

同様にサインオフ完了、および取り消しメッセージについてもカスタマイズすることができます。

各メッセージについては、認証サーバに格納されている、以下のメッセージファイルを編集することでカスタマイズすることができま

す。カスタマイズ方法については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

－サインオフ問い合わせページ

- 200querysignoff_en.template (英語版メッセージ用)

- 200querysignoff_ja.template (日本語版メッセージ用)

－サインオフ完了メッセージ

- 200signoff_en.template (英語版メッセージ用)

- 200signoff_ja.template (日本語版メッセージ用)

－サインオフ取り消しメッセージ

- 403cancelsignoff_en.template (英語版メッセージ用)

- 40 -

- 403cancelsignoff_ja.template (日本語版メッセージ用)

1.5 認可

認可とは、利用者がアクセスを要求している資源に対して、その利用者がアクセスすることが認められていることを確認することで

す。

たとえばWebサーバで公開するHTML文書、画像データ、音声データ、またはWebサーバで動作するCGIアプリケーションなどの資

源へのアクセス要求に対して、その利用者がそれらの資源にアクセスを認められているのかを確認します。

Interstage シングル・サインオンでは、ロールという概念をもとに利用者のアクセスを認可します。ロールとは所属や役割を表す属性

で、各利用者が持つロールと、アクセス対象の資源に設定されているロールとの関係からアクセス可否が決定されます。これらの資源

とロールの関係を管理している情報をアクセス制御情報と呼びます。

1.5.1 ロールと利用者、リソースの関係

ロールは、現実世界の「一般従業員」や「国内営業」といった所属や役割をもとに作成し、それを各利用者の情報に割り当てます。一

方、業務サーバのWebベースのサービスで公開するHTMLやCGIなどの資源(リソース)には、それにアクセスするために必要なロール

を設定します。利用者があるリソースにアクセスするには、認証に成功したうえで、そのリソースに設定されているロールが割り当てられ

ている必要があるということになります。

上図の例では、

・経理担当には一般従業員、経理部というロールが割り当てられています。

・一般従業員というロールに対してアクセスを許可しているリソースは就業規則だけです。

・経理部というロールに対してアクセスを許可しているリソースは決裁情報だけです。

・経理担当がアクセスできるリソースは、就業規則と決裁情報ということになります。

複数のロールをロールセットにまとめて運用することもできます。上図の例では、

・営業部というロールセットは、海外営業と国内営業という複数のロールを含んでいます。

・営業情報というリソースは、海外営業にも国内営業にもアクセスを許可するので、このリソースには営業部というロールセットを設定

すればよいことになります。

・国内営業向けアプリケーションは国内営業だけにアクセスを許可したいので、このリソースには国内営業だけを割り当てます。

このように、ロールを使用することにより柔軟な認可を実現することができます。

1.5.2 ロールによる認可に必要な情報

ロールによる認可に必要な情報として、以下の情報をSSOリポジトリに登録する必要があります。

1. ロール定義

- 41 -

2. ユーザ情報

3. 保護リソース

以下に、SSOリポジトリ内の各定義の例を示します。アクセス制御情報とは、ロール定義と保護リソースの双方を合わせたものです。

ロール定義

ロール定義には、使用するロール名／ロールセット名を登録します。

ロールは、利用者が業務システムにアクセスした際の認可に使用します。業務システムを利用する各利用者の所属や役割をもとに設

計してください。「一般従業員」、「管理職」といった役職や「経理部」、「総務部」といった所属をロールとして作成する場合は、以下の

ように役職や所属に対応するロール名でSSOリポジトリに設定します。

また、組織の階層などにより複数のロールをまとめてロールセットとして作成し、リソース情報に設定することにより、組織変更時などに

柔軟に対応できます。

Interstage シングル・サインオンは、ロールにより認可を実現しています。SSOリポジトリには必ずロール定義を行ってください。ロール

定義を行わないと、リポジトリサーバが起動しません。

表1.1 ロールの例

役職／所属ロール名

一般従業員 employee

幹部社員 executives

経理部 finance department

総務部 administration department

表1.2 ロールセットの例

役職／所属ロールセット名含まれるロール

全社員 all employee、executives

- 42 -

保護リソース

業務システムで公開するHTMLやCGIなどの資源(リソース)で、利用者のアクセスに認証・認可が必要となるリソースを保護リソースと

して設定します。

保護リソースは、サイト定義とパス定義より構成されています。

サイト定義

業務システムのサイト名を定義します。サイト名は、FQDN＋ポート番号の形式です。FQDN (Fully Qualified Domain Name)とは、ドメ

インも含んだホスト名のことです。

業務システムの公開URLが“https://www.fujitsu.com:443/index.html”の場合は、“www.fujitsu.com:443”がサイト名となります。

パス定義

サイト定義で定義したサイトの、認証・認可の対象となるディレクトリ名、またはファイル名を指定します。ディレクトリ名を指定した場合

(パスの後に“/”を付加した場合)は、指定したディレクトリ配下の資源すべてが認証・認可の対象となります。

また、設定したディレクトリ／ファイルへのアクセスを許可するロール名やロールセット名を設定します。ロールやロールセットは複数

設定できます。

パス定義の設定による認証・認可の仕様は次のとおりです。

・パス定義に定義されていないディレクトリやフォルダにアクセスした場合

リソースを無条件に公開します。

・ディレクトリやフォルダだけを設定し、それに対するロールやロールセットの定義が行われていない場合

認証された利用者にだけリソースを公開します。

・ディレクトリやフォルダを設定し、それに対するロールやロールセットの定義が行われている場合

認証された利用者で、かつリソースへのアクセスが許可された利用者にだけリソースを公開します。

また、パス定義には、拡張ユーザ情報が設定できます。拡張ユーザ情報を設定することで、認証された利用者の情報をWebアプリ

ケーションに通知することができます。拡張ユーザ情報については、“1.5.5 Webアプリケーションとの連携”を参照してください。

・パス定義に設定したロール名やロールセット名がロール定義に定義されていない場合は、業務サーバにおいてアクセス制御情報

の更新を行うことができません。また、パス定義に設定するロール名やロールセット名は、必ずロール定義に定義されたものを設定


・アクセス制御の対象とする必要のないパスが保護パスに設定されている場合、業務システムの保護リソースへのアクセス時、応答

に時間がかかることがあります。アクセス制御の対象とする必要のあるパスのみ、保護パスの対象になるよう設定してください。

1.5.3 ユーザ情報とアクセス制御情報の集中管理

複数システムの利用者のユーザ情報とアクセス制御情報をSSOリポジトリで集中管理することにより管理者の負荷を軽減することが可

能です。

業務サーバＡ／Ｂ／Ｃのユーザ情報とアクセス制御情報を1台のSSOリポジトリで集中管理する場合を図示します。

- 43 -

1.5.4 アクセス制御情報の更新

業務サーバは、SSOリポジトリから取り出したアクセス制御情報を保持することで、リポジトリサーバの負荷軽減と業務サーバの高速化

を実現します。

SSOリポジトリに登録しているアクセス制御情報(ロール定義・保護リソース)を変更した場合、業務サーバが保持しているアクセス制御

情報を更新する必要があります。

業務サーバのアクセス制御情報の更新方法には、以下の方法があります。

・ Interstage管理コンソールを使用して更新する

Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] >[アクセス制御情報の更新]タブの[更新]ボタンをクリックしてアクセス制御情報を更新します。業務サーバが起動されている時でも

行うことができます。

・業務サーバ起動時に自動的に更新する

環境設定により、業務サーバ起動時に自動的に更新することができます。環境設定の確認／変更は、Interstage管理コンソール

を使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定

[表示]]をクリックし、[アクセス制御情報]の[アクセス制御情報の更新]で行います。この項目を“業務サーバの起動時に行う”に設

定している場合は、起動時の更新を行います。

業務サーバは、アクセス制御情報の更新時に、業務システム構築ファイルをダウンロードする際に指定した[認証サーバのURL]にア

クセスします。業務システム構築ファイルについては、“業務システム構築ファイルのダウンロード”を参照してください。

業務サーバ構築後に[認証サーバのURL]を確認／変更するには、Interstage管理コンソールを使用して、[システム] > [セキュリティ]> [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証サーバのURL]で行います。

また、セションの管理を行わないシステムにおいては、業務システム構築ファイルをダウンロードする際に指定した[リポジトリサーバの

URL]にアクセスします。[リポジトリサーバのURL]を確認／変更するには、Interstage管理コンソールを使用して、[システム] > [セキュリ

ティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情

報]の[リポジトリサーバのURL]で行ってください。

なお、[認証サーバのURL]、または[リポジトリサーバのURL]を変更した場合は、業務サーバを再起動してください。

- 44 -

・ SSOリポジトリのアクセス制御情報(ロール定義・保護リソース)を変更しただけでは、業務サーバの認可の動作には反映されませ

ん。業務サーバにてアクセス制御情報の更新が必要です。

なお、業務サーバの起動時にアクセス制御情報の更新を行わない設定の場合には、業務サーバを再起動してもSSOリポジトリの

変更は反映されませんのでご注意ください。

・業務サーバの起動中にアクセス制御情報の更新を行った場合は、更新後に必ず保護リソースにアクセスして、認証・認可が行わ

れることを確認してください。認証・認可が正しく行われない場合は、更新に失敗している可能性があります。

アクセス制御情報の更新に失敗した場合は、業務サーバは利用者からのすべてのアクセスに「500 Internal Server Error」が返る状

態となります。

システムのログに出力されるssoで始まるメッセージ内容を確認し対処を行った後、業務サーバを停止して再起動してください。メッ

セージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照してください。

・ Interstage管理コンソールでアクセス制御情報の更新を実行しエラーメッセージが出力された場合、業務サーバは以前のアクセス

制御情報に従って認可を行う状態のままとなっています。エラーの対処を行い正常に更新が行われるまで、必要に応じて業務サー

バを停止するなどの対処を行ってください。

1.5.5 Webアプリケーションとの連携

Webアプリケーションによって、認証を行った利用者の認証方式や認証時刻などの認証情報や、SSOリポジトリに格納されたユーザ情報

を獲得することができます。

また、認証を行った利用者のSSOリポジトリに格納された任意の情報を、拡張ユーザ情報として獲得することも可能です。

認証情報やユーザ情報は、以下の方法により獲得することができます。

・ Javaアプリケーションインタフェース

Interstage シングル・サインオンが提供するJavaアプリケーションインタフェースを使用し、クライアントから認証情報を受け取るサー

ブレットアプリケーションを開発することができます。詳細については、“6.1 Javaアプリケーションの開発”を参照してください。

・ HTTPリクエストヘッダ

ユーザ情報をHTTPリクエストヘッダに設定してアプリケーションに通知します。アプリケーションはCGIなどのWebアプリケーション

のインタフェースにより情報を取得することができます。詳細については、“6.2 環境変数によるユーザ情報の通知の設定”を参照


なお、拡張ユーザ情報は、セションの管理を行う場合だけ通知することができます。拡張ユーザ情報を使用する場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの

[リポジトリサーバ詳細設定[表示]]をクリックし、[業務システムに通知する情報]の[拡張ユーザ情報]を設定してください。

- 45 -

1.6 高性能・高信頼性システム

Interstage シングル・サインオンは、クライアント証明書の検証やSSL通信の高速化や負荷分散、可用性の向上など、高性能で高信

頼性なシステムに対応しています。

1.6.1 負荷分散

複数の利用者からの認証要求やセションの評価要求が集中すると、認証サーバ、またはリポジトリサーバの負荷が高くなります。その

場合には、認証サーバ、またはリポジトリサーバを追加することで、認証サーバ、またはリポジトリサーバの負荷を分散することができま

す。

認証サーバを複数配置し、認証サーバの負荷を分散させるシステム構成の設定例については、“認証サーバを複数のマシンに、リ

ポジトリサーバを1台のマシンに構築する場合”を参照してください。

リポジトリサーバを複数配置し、リポジトリサーバの負荷を分散させるシステム構成については、“リポジトリサーバ(更新系)を増設す

る”を参照してください。

なお、旧バージョン互換のシステム構成である、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散することも可能です。ただ

し、リポジトリサーバ(参照系)は、運用によって使用されない場合があります。

リポジトリサーバの負荷を分散する場合は、リポジトリサーバ(更新系)を増設し、リポジトリサーバ(更新系)の負荷を分散するシステム

構成で運用することを推奨します。

リポジトリサーバ(参照系)が使用されない運用については、“移行ガイド”の“Interstage運用操作、環境の移行”－“Interstage シング

ル・サインオンの移行”の“■旧バージョン・レベルからのサーバ環境の移行”を参照してください。

リポジトリサーバ(更新系)を増設する

リポジトリサーバ(更新系)を増設することで、認証サーバからの認証やセション評価などの要求に対して負荷を分散することができま

す。

上図は、認証サーバとリポジトリサーバの間にロードバランサを配置して、リポジトリサーバ(更新系)を複数台設置することにより、リポ

ジトリサーバ(更新系)の負荷を分散しているシステム構成例です。

また、以下のように、リポジトリサーバと認証サーバを1台のマシンに構築した小規模システムの前にロードバランサを配置して、リポジ

トリサーバと認証サーバを複数配置することにより、負荷分散することも可能です。

- 46 -

・ SSOリポジトリは、複数のリポジトリサーバ(更新系)からの更新が可能で、更新が即時に反映される必要があります。ディレクトリサー

ビスのデータベース共用機能を利用してSSOリポジトリを作成してください。

・複数のリポジトリサーバ(更新系)は、論理的に１つのホスト名となるようにロードバランサを設定する必要があります。

・各サーバで使用できるバージョン、エディションが異なります。システム構築時には十分注意してください。

使用できるバージョン、エディションについては、“使用上の注意”の“注意事項”－“Interstage シングル・サインオンの注意事項”

－“バージョン・エディション混在でシングル・サインオンシステムを構築する場合の注意事項”を参照してください。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散する

リポジトリサーバにおける認証処理を、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して行うことにより、リポジトリサーバ

(参照系)の認証処理に対する負荷を分散することができます。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して認証処理を行うには、Interstage管理コンソールを使用して、[システ

ム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[リポジト

リサーバとの通信の設定]および[リポジトリサーバ(参照系)との通信の設定]にリポジトリサーバ(更新系)とリポジトリサーバ(参照系)を設

定する必要があります。

Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。

- 47 -

上図は、認証サーバ、リポジトリサーバによる負荷分散を示したものです。

クライアントからの認証要求はロードバランサにより、各認証サーバに振り分けられます。

各認証サーバはリポジトリサーバ(更新系)とリポジトリサーバ(参照系)を複数指定することで、認証依頼時はリポジトリサーバ(参照系)に接続し、認証の終確認時にはリポジトリサーバ(更新系)に接続します。各認証サーバで異なるリポジトリサーバ(参照系)を指定す

ることにより、リポジトリサーバ(参照系)の負荷分散を行うことができます。

なお、リポジトリサーバ(更新系)のSSOリポジトリの情報を更新した場合は、ディレクトリサービスのレプリケーションを使用することによ

りリポジトリサーバ(参照系)のSSOリポジトリへ更新内容を自動的に反映することができます。

各認証サーバで優先して接続するリポジトリサーバ(参照系)を別々に設定することで、リポジトリサーバ(参照系)の負荷分散を行うこと

ができます。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)を配置し、リポジトリサーバ(参照系)の負荷を分散させるシステム構成の設定例に

ついては“認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合”を参照してください。

リポジトリサーバを更新系と参照系に分けた運用を行う場合は、SSOリポジトリ(マスタ)とSSOリポジトリ(スレーブ)の内容の同期を取り、

データの不整合によって不正な認証が行われてしまうことを回避してください。回避方法としては、ディレクトリサービスのレプリケーショ

ンを利用してSSOリポジトリ(マスタ)の内容をSSOリポジトリ(スレーブ)に複写する方法があります。

・更新系と参照系のリポジトリサーバは、同じエディション／バージョンのリポジトリサーバを使用してください。

・複数の認証サーバは、論理的に１つのホスト名となるようにロードバランサを設定する必要があります。

- 48 -

・認証サーバにてSSL通信を行う場合には、SSL通信で使用する証明書の所有者名を各認証サーバで同じにする必要があります。

具体的には、ロードバランサのホスト名をSSL通信で使用する証明書の所有者名とし、証明書の取得申請や登録をしてください。

証明書の申請や登録については“2.4.1.1 SSL通信を行うための準備”を参照してください。

・同じクライアントからのリクエストは、同じ認証サーバにリクエストが転送されるようにロードバランサを設定してください。

1.6.2 可用性の向上

認証サーバに複数のリポジトリサーバ(参照系)を設定することで、運用系と待機系のリポジトリサーバ(参照系)によるシステム構築が

可能です。このようなシステム構築を行うことにより、リポジトリサーバ(参照系)がダウンした場合やSSOリポジトリからエラーが通知され

た場合でも運用を継続することができます。

たとえば、認証サーバが認証依頼を試みたリポジトリサーバ(参照系)がダウンしていた場合、自動的に認証依頼先のリポジトリサーバ

(参照系)を切り替え、クライアントからの認証要求に応答することが可能です。

また、自動的に認証依頼先のリポジトリサーバ(参照系)を切り替えた時点から、認証サーバの環境設定で設定した再接続時間が経

過すると、自動的に元の認証依頼先のリポジトリサーバ(参照系)に対して接続を試みます。

- 49 -

このように、複数のリポジトリサーバ(参照系)を設置することにより、Interstage シングル・サインオンのサービスを停止することなく運用


認証サーバから複数のリポジトリサーバ(参照系)への接続順番は、Interstage管理コンソールの[システム] > [セキュリティ] > [シング

ル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]] > [リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]に設定した順番となります。

設定したリポジトリサーバ(参照系)すべてに対して順に接続を試み、接続できなかった場合は初に接続したリポジトリサーバ(参照

系)に再度接続を試みます。すべて接続できなかった時には利用者に対して認証に失敗したことを通知します。

なお、リポジトリサーバ(更新系)をリポジトリサーバ(参照系)として運用することが可能です。リポジトリサーバ(更新系)を後に接続す

るリポジトリサーバ(参照系)として[リポジトリサーバ(参照系)との通信の設定]に設定することで、リポジトリサーバ(参照系)すべてに接続

できなかった場合でも、リポジトリサーバ(更新系)に接続することができます。

・リポジトリサーバ(更新系)とリポジトリサーバ(参照系)は、同じエディション／バージョンを使用してください。

・リポジトリサーバ(更新系)を複数配置して可用性を向上させる運用が可能です。また、Interstage Application Server Enterprise Editionでは、リポジトリサーバ(更新系)をクラスタ構成とすることで可用性を向上させることができます。

・リポジトリサーバ(更新系)が何らかのトラブルにより運用を停止した場合は、リポジトリサーバ(参照系)が運用可能でも利用者の認

証は失敗します。

1.6.3 SSLアクセラレータとの連携

Interstage シングル・サインオンでは、クライアントと認証サーバ間にSSLアクセラレータを設置することにより、クライアント証明書の認証や

SSL通信を高速化することができます。

また、認証サーバとリポジトリサーバ間、またはクライアントと業務サーバ間にSSLアクセラレータを設置することにより、SSL通信を高

速化することも可能です。

クライアントと認証サーバ間にSSLアクセラレータを設置する場合は、認証サーバにSSLアクセラレータと連携するために必要な定義

を行ってください。

- 50 -

認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合は、認証サーバ、およびリポジトリサーバの設定は不要です。ま

た、クライアントと業務サーバ間にSSLアクセラレータを設置する場合は、業務サーバの設定は不要です。

クライアントと認証サーバ間にSSLアクセラレータを設置する場合はSSLアクセラレータに、以下の設定を行ってください。

クライアント認証

Interstage シングル・サインオンの運用で使用する利用者の認証方式に応じて、以下のように設定してください。設定方法につい

ては、各SSLアクセラレータのマニュアルを参照してください。

認証方式設定内容

パスワード認証クライアント認証をしないように設定してください。(注)

証明書認証クライアント認証をするように設定してください。(注)

パスワード認証かつ証明書認証

パスワード認証または証明書認証クライアント証明書の提出は要求するが、認証は行わないように設定してください。

注)クライアント証明書の提出は要求するが、認証は行わない設定も可能です。

証明書を通知

認証方式が“証明書認証”、“パスワード認証または証明書認証”、または“パスワード認証かつ証明書認証”の場合は、認証サー

バにクライアントから送信された証明書を通知するHTTPヘッダを設定してください。設定方法については、各SSLアクセラレータの

マニュアルを参照してください。

なお、設定したHTTPヘッダは、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サイ

ンオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]の[ユーザ証明書を

獲得するHTTPヘッダ名]に必ず設定してください。


動作確認済みである以下のSSLアクセラレータを使用する場合に、上記以外に必要となる設定を示します。

SSLアクセラレータ追加設定

IPCOM EX2000LBIPCOM EX2000IN

ありません。

IPCOM 300 ありません。

SSL Accelerator 7117 SSL通信時のハンドシェーク処理をキャッシュしない設定にしてください。設定方法について

は、SSL Accelerator 7117のマニュアルを参照してください。

・使用する証明書の有効期限が切れている場合、SSLアクセラレータに使用する製品によっては、Webブラウザに「500 InternalServer Error」が通知される場合があります。新しい証明書を入手しブラウザに登録してください。

・認証サーバで証明書の有効性確認を行うよう設定してください。

・クライアント認証をしない、またはクライアント認証をするように設定したSSLアクセラレータと連携する場合、利用者の認証方式を

混在させることはできません。利用者の認証方式を統一してください。

・クライアント認証をするように設定したSSLアクセラレータと連携する場合、認証要求時に必ず証明書を選択する必要があります。

証明書の送信をキャンセルした場合、SSLアクセラレータにて通信処理が切断され、以下に示す画面を表示して要求したリソース

へのアクセスがキャンセルされます。

- 51 -

1.6.4 Interstage Security Directorとの連携

Interstage Security Directorが提供するHTTPアプリケーションゲートウェイ機能と連携することにより、クライアントがインターネットから

アクセスするシングル・サインオンの運用を安全に実現することができます。

Interstage Security Directorは、アプリケーションサーバとインターネットとの間で行われるデータ通信のセキュリティ問題を解決するた

めの製品です。

Interstage シングル・サインオンは、Interstage Security Directorが提供する以下の2つの機能と連携することができます。

・ Interstage シングル・サインオン連携機能(注)

・リバース機能

注)セションの管理を行わない場合にのみ、使用することができます。

Interstage シングル・サインオン連携機能

Interstage Security Directorが提供するInterstage シングル・サインオン連携機能により、Interstage Security Directorで実施するアクセ

ス制御の認証基盤として認証サーバと連携することができます。認証サーバとの連携により、Interstage Security Directorでのロール制

御、ユーザ制御が可能になります。また、ユーザ単位での認証方式、有効時間などをInterstage シングル・サインオンのポリシーに統

一することが可能となります。

なお、Interstage シングル・サインオン連携機能によりInterstage Security Directorと連携する認証サーバにおいては、以下のように設

定を行ってください。

・小規模システムの場合

認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基

盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択後、[認証サーバ詳細設定[表示]]をクリックし、

[パスワード認証]の[ユーザID/パスワードの入力画面]で“基本認証ダイアログ”を設定してください。

・中規模、または大規模システムの場合

認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基

- 52 -

盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイル

の指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザ

ID/パスワードの入力画面]で“基本認証ダイアログ”を設定してください。

・ Interstage シングル・サインオン連携機能を使用する場合は、サービスIDファイルが必要です。Interstage Security Directorで使用

するサービスIDファイルは、認証基盤を構築したリポジトリサーバでssomksidコマンドを実行することで作成することができます。サービス

IDファイルの入手方法は“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”－“ssomksid”を参照してく

ださい。

・ Interstage シングル・サインオン連携機能については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェ

イ機能説明書(統合環境設定編)”－“Interstage シングル・サインオン連携機能”を参照してください。

リバース機能

Interstage Security Directorが提供するリバース機能により、インターネット上のクライアントから、イントラネット内へのアクセスを可能と


リバース機能を使用する場合、以下の2通りのシステムを構築することができます。

・インターネット上のクライアントとイントラネット内のクライアントからアクセス可能なシングル・サインオンのシステム

・インターネット上のクライアントだけアクセス可能なシングル・サインオンのシステム

さらに、上記の2つのシステムにおいて、Interstage Security Directorと認証サーバの間の通信方法に応じて、以下の2パターンの運用

を行うことができます。

・ Interstage Security Directorと認証サーバの間を非SSL通信で行う

・ Interstage Security Directorと認証サーバの間をSSL通信で行う

以下に、Interstage Security Directorのリバース機能を使用して構築できるシステムの設定について説明します。

・ Interstage Security Directorと認証サーバの間をSSL通信で行うことにより、よりセキュリティを強化することができます。

・ Interstage Security Directorの設定を行う前に必要な前準備については、Interstage Security Directorのマニュアルの“HTTPアプリ

ケーションゲートウェイ機能説明書(統合環境設定編)”－“管理コンソールの準備”および“SSLによるセキュリティ”を参照してくだ

さい。

１．インターネット上のクライアントとイントラネット内のクライアントからアクセス可能なシングル・サインオンのシステム

インターネット上のクライアント、およびイントラネット内のクライアントの両方からアクセスが可能であるシングル・サインオンのシステム

について説明します。

本システムで運用する場合は、以下の点に注意してください。

・インターネット上からアクセスしたクライアントに対しても、URLのパラメタの一部としてイントラネット内での業務システムのURL情報

が伝わることがあります。

・ Interstage Security Directorと認証サーバの間をSSL通信で行う場合は、インターネット上からアクセスする利用者の認証方式が限

定されます。詳細については、“【Interstage Security Directorと認証サーバの間をSSL通信で行う】”を参照してください。

【Interstage Security Directorと認証サーバの間を非SSL通信で行う】

- 53 -

本システム構成で運用を行う場合は、イントラネット内の認証サーバとクライアントの間にはSSLアクセラレータを設置してください。な

お、SSLアクセラレータのポート番号はInterstage Security Directorのポート番号と同一にしてください。

また、SSLアクセラレータを設置することにより、イントラネット内からアクセスする利用者の認証方式が限定されます。詳細について

は、“1.6.3 SSLアクセラレータとの連携”を参照してください。

SSLアクセラレータにIPCOM300など仮想IPアドレスを通信に使用する装置を使用して、本システムを構成することはできません。

Interstage Security Directorの設定

・基本設定

[PROXY]のチェックボックスをチェックし、[IPアドレス]および[ポート番号]に、Interstage Security DirectorのIPアドレスおよびポート

番号を設定してください。

・リバースWWW設定

上図のリバース設定の例を以下に示します。

業務サーバのリバース設定の要求元URLのディレクトリは、業務サーバごとに1階層のディレクトリを指定してください。例)/www1/、/www2/

要求元URL 変換制御中継先URL 備考

https://sd.fujitsu.com:443/www1/ <------> http://www.fujitsu.com:80/ 業務サーバのリバー

ス設定

https://sd.fujitsu.com:443/auth/ <------> http://auth.fujitsu.com:80/ 認証サーバのリバー

ス設定https://sd.fujitsu.com:443/auth/ <------- https://auth.fujitsu.com:443/

・リバース制御設定

－ [リバース制御を行う]のチェックボックスをチェックしてください。

－ [クライアントとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択して

ください。

－ [自サーバ名]に、Interstage Security Directorのホスト名、またはIPアドレスを設定してください。

－ [Cookie変換を行う]のチェックボックスをチェックしてください。

・ヘッダ設定

[クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定してください。

認証サーバの設定

- 54 -


－認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構

築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[使用するWebサーバ]でSSLを使用しないWebサーバ名を選択してください。


築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。



築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、 [ファイルの

指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[使用するWebサーバ]でSSLを使用しない

Webサーバ名を選択してください。


築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの

指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ

名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

業務システム構築ファイルの設定(注)

リポジトリサーバ(複数台で運用している場合は、更新系)のInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サイン

オン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証

サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについ

ては“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してください。

注)セションの管理を行わない場合、本設定は不要です。

【Interstage Security Directorと認証サーバの間をSSL通信で行う】

本システム構成で運用を行う場合は、インターネット上からアクセスする利用者の認証方式が、以下の2パターンに限定されます。な

お、利用者の認証方式として“パスワード認証または証明書認証”を使用することはできません。

・ “パスワード認証”のみを行う場合

・ “証明書認証”のみ、または“パスワード認証、かつ証明書認証”を行う場合

インターネット上からアクセスする利用者の認証方式に応じて、Interstage Security Director、および認証サーバの設定が異なります

のでご注意ください。


・基本設定



- 55 -



業務サーバのリバース設定の要求元URLのディレクトリは、業務サーバごとに1階層のディレクトリを指定してください。例)/www1/、/www2/


https://sd.fujitsu.com:443/www1/ <------> https://www.fujitsu.com:443/ 業務サーバのリバー

ス設定

https://sd.fujitsu.com:443/auth/ <------> https://auth.fujitsu.com:443/ 認証サーバのリバー

ス設定




ください。また、インターネット上のクライアントからアクセスする利用者の認証方式を、“証明書認証”のみ、または“パスワード

認証、かつ証明書認証”とする場合は、[クライアント認証を行う]のチェックボックスをチェックしてください。

－ [サーバとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してくだ

さい。



・ヘッダ設定

本システムで証明書認証を行う場合は、[クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定



インターネット上のクライアントからアクセスする利用者の認証方式に応じて以下の設定を行ってください。

・ “パスワード認証”のみを行う場合

認証サーバでSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]を“しない”に設定してください。

・ “証明書認証”のみ、または“パスワード認証、かつ証明書認証”を行う場合

認証サーバでSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]を“する(クライアント証明書が提示された場合、認証する)”に設定してくだ

さい。

なお、本システムで証明書認証を行う場合は、以下の設定を行ってください。


認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ

> [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。



> [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証

基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、InterstageSecurity Directorに設定した同一のヘッダ名を設定してください。

２．インターネット上のクライアントだけアクセス可能なシングル・サインオンのシステム

インターネット上のクライアントだけアクセスすることが可能なシングル・サインオンのシステムについて説明します。

本システムで運用する場合は、以下の点に注意してください。

・イントラネット内のクライアントから業務システムの保護リソースにアクセスすることはできません。

- 56 -

・業務システムの設計において以下の点にご注意ください。

－業務システムのURLのパス部分の1階層目はすべて、ほかの業務システムと重ならないようにしてください。

－業務システムのルートパス(“/”)はクライアントからアクセスできません。

【Interstage Security Directorと認証サーバの間を非SSL通信で行う】


・基本設定





業務システムのリバース設定では、要求元URLと中継元URLのパス部分が同一になるようにしてください。なお、業務システムのURLのディレクトリの1階層目として使用しているものをすべて指定してください。


https://sd.fujitsu.com:443/dir1/ <------> http://www.fujitsu.com:80/dir1/

業務サーバ1のリバー

ス設定

https://sd.fujitsu.com:443/dir1/ <------- https://sd.fujitsu.com:443/dir1/

https://sd.fujitsu.com:443/dir2/ <------> http://www.fujitsu.com:80/dir2/

https://sd.fujitsu.com:443/dir2/ <------- https://sd.fujitsu.com:443/dir2/

https://sd.fujitsu.com:443/dir3/ <------> http://www2.fujitsu.com:80/dir3/ 業務サーバ2のリバー

ス設定https://sd.fujitsu.com:443/dir3/ <------- https://sd.fujitsu.com:443/dir3/

https://sd.fujitsu.com:443/auth/ <------> http://auth.fujitsu.com:80/ 認証サーバのリバース

設定

https://sd.fujitsu.com:443/auth/ <------- https://sd.fujitsu.com:443/ 追加で必要なリバース

設定




ください。



- 57 -

・ヘッダ設定





築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[使用するWebサーバ]でSSLを使用しないWebサーバ名を選択してください。


築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。




指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[使用するWebサーバ]でSSLを使用しない

Webサーバ名を選択してください。



指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ

名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

業務システム構築ファイルの設定(注)

リポジトリサーバ(複数台で運用している場合は、更新系)のInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サイン

オン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証

サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについ

ては“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してください。

注)セションの管理を行わない場合、本設定は不要です。

【Interstage Security Directorと認証サーバの間をSSL通信で行う】


・基本設定





- 58 -

業務システムのリバース設定では、要求元URLと中継元URLのパス部分が同一になるようにしてください。なお、業務システムのURLのディレクトリの1階層目として使用しているものをすべて指定してください。


https://sd.fujitsu.com:443/dir1/ <------> https://www.fujitsu.com:443/dir1/ 業務サーバ1のリ

バース設定https://sd.fujitsu.com:443/dir2/ <------> https://www.fujitsu.com:443/dir2/

https://sd.fujitsu.com:443/dir3/ <------> https://www2.fujitsu.com:443/dir3/ 業務サーバ2のリ

バース設定

https://sd.fujitsu.com:443/auth/ <------> https://auth.fujitsu.com:443/ 認証サーバのリバー

ス設定

https://sd.fujitsu.com:443/ <------- https://sd.fujitsu.com:443/ 追加で必要なリバー

ス設定




ください。

－ [サーバとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してくだ

さい。



・ヘッダ設定



認証サーバのSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作

成]タブを選択し、[簡易設定]で[クライアント認証]に“しない”を設定してください。

なお、本システムで証明書認証を行う場合は、以下の設定を行ってください。



> [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。



> [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証

基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、InterstageSecurity Directorに設定した同一のヘッダ名を設定してください。

1.7 URLの決定

認証基盤のURL、業務システムの公開URL、リポジトリサーバのURL、および業務システムが参照する認証サーバのURLについて

説明します。

1.7.1 認証基盤のURLについて

認証基盤のURLは、認証サーバの前に設置したロードバランサ、SSLアクセラレータ、またはInterstage Security Directorとの組合わ

せにより決定します。

基本的には、認証サーバの前に設置した装置、製品のFQDN、およびポート番号になりますが、組み合わせる装置、製品によって異

なる場合があります。

以下にロードバランサ、IPCOM300、SSL Accelerator 7117、またはInterstage Security Directorと組み合わせた場合の例を示します。

- 59 -

ほかの装置、製品を組み合わせない場合

認証基盤のURLのFQDN、およびポート番号は、認証サーバのFQDN、およびポート番号となります。

ロードバランサを使用して認証サーバの負荷分散を行う場合

認証基盤のURLのFQDN、およびポート番号は、ロードバランサで設定した仮想IPアドレスのFQDN、およびポート番号となります。

仮想IPアドレスについては、ロードバランサのマニュアルを参照してください。

IPCOM300を使用する場合

認証基盤のURLのFQDN、およびポート番号は、IPCOM300で設定した仮想IPアドレスのFQDN、およびポート番号となります。

仮想IPアドレスについては、IPCOM300のマニュアルを参照してください。

SSL Accelerator 7117を使用する場合

認証基盤のURLのFQDNは認証サーバのFQDN、ポート番号はSSL Accelerator 7117のポート番号となります。

- 60 -

SSL Accelerator 7117とロードバランサを併用する場合

認証基盤のURLのFQDNはロードバランサで設定した仮想IPアドレスのFQDN、ポート番号はSSL Accelerator 7117のポート番号とな

ります。


Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバの間をSSL通信で行う場合

認証基盤のURLのFQDN、およびポート番号は、認証サーバのFQDN、およびポート番号(注)となります。

なお、認証基盤のURLは、クライアントからみえるURLとは異なります。

注)Interstage Security Directorと認証サーバの間でロードバランサやSSL Accelerator 7117を使用する場合は、Interstage SecurityDirectorをクライアントとみなしたときの認証基盤のURLを前述の説明より求め、そのURLのFQDN、およびポート番号を認証サーバの

FQDN、およびポート番号の代わりに使用します。

- 61 -

Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバの間を非SSL通信で行う場合

【インターネット上からのみアクセスする場合】

認証基盤のURLのFQDN、およびポート番号は、Interstage Security DirectorのFQDN、およびポート番号となります。また、認証基盤の

URLのスキームは「https」となります。

【インターネット上とイントラネット内のいずれのクライアントからもアクセス可能とする場合】

認証基盤のURLのFQDNは認証サーバのFQDN(注)、ポート番号はInterstage Security Directorのポート番号となります。また、認証

基盤のURLのスキームは「https」となります。

なお、認証基盤のURLは、クライアントからみえるURLとは異なります。

注)Interstage Security Directorと認証サーバの間でロードバランサを使用する場合は、Interstage Security Directorをクライアントとみ

なしたときの認証基盤のURLを前述の説明より求め、そのURLのFQDNを認証サーバのFQDNの代わりに使用します。

- 62 -

SSLアクセラレータにIPCOM300など仮想IPアドレスを通信に使用する装置を使用する場合には、認証基盤のURLのFQDNはSSLアクセラレータで設定したIPアドレスのFQDNとなります。

1.7.2 業務システムの公開URLについて

業務システムの公開URLは、業務サーバの前に設置したロードバランサ、SSLアクセラレータ、またはInterstage Security Directorとの組合わせにより決定します。

基本的には、業務サーバの前に設置した装置、製品のFQDN、およびポート番号になりますが、組み合わせる装置、製品によって異

なる場合があります。

以下にロードバランサ、IPCOM300、SSL Accelerator 7117、またはInterstage Security Directorと組み合わせた場合の例を示します。


業務システムの公開URLのFQDN、およびポート番号は、業務サーバのFQDN、およびポート番号となります。

ロードバランサを使用して業務サーバの負荷分散を行う場合

業務システムの公開URLのFQDN、およびポート番号は、ロードバランサで設定した仮想IPアドレスのFQDN、およびポート番号とな

ります。



業務システムの公開URLのFQDN、およびポート番号は、IPCOM300で設定した仮想IPアドレスのFQDN、およびポート番号となりま

す。


- 63 -


業務システムの公開URLのFQDNは業務サーバのFQDN、ポート番号はSSL Accelerator 7117のポート番号となります。

SSL Accelerator 7117とロードバランサを併用する場合

業務システムの公開URLのFQDNはロードバランサで設定した仮想IPアドレスのFQDN、ポート番号はSSL Accelerator 7117のポート

番号となります。


Interstage Security Directorと連携し、かつインターネット上とイントラネット内のいずれのクライアントからもアクセス可能とする場合(注1)

業務システムの公開URLのFQDN、およびポート番号は、業務サーバのFQDN、およびポート番号(注2)となります。

なお、業務システムの公開URLは、クライアントからみえるURLとは異なります。

- 64 -

注1)詳しくは“1.6.4 Interstage Security Directorとの連携”を参照してください。

注2)Interstage Security Directorと業務サーバの間でロードバランサやSSL Accelerator 7117を使用する場合は、Interstage SecurityDirectorをクライアントとみなしたときの業務システムの公開URLを前述の説明より求め、そのURLのFQDN、およびポート番号を業務

サーバのFQDN、およびポート番号の代わりに使用します。

Interstage Security Directorと連携し、かつインターネット上のクライアントだけアクセス可能とする場合(注)

業務システムの公開URLのFQDN、およびポート番号は、Interstage Security DirectorのFQDN、およびポート番号となります。

注)詳しくは“1.6.4 Interstage Security Directorとの連携”を参照してください。

SSLアクセラレータにIPCOM300など仮想IPアドレスを通信に使用する装置を使用する場合には、業務システムの公開URLのFQDNはSSLアクセラレータで設定したIPアドレスのFQDNとなります。

1.7.3 リポジトリサーバのURLについて

リポジトリサーバのURLは、リポジトリサーバの前に設置したSSLアクセラレータやロードバランサ、またはクラスタシステムとの組合わ

せにより決定します。

- 65 -

基本的には、リポジトリサーバの前に設置した装置、製品のFQDN、およびポート番号になりますが、組み合わせる装置、製品によっ

て異なる場合があります。

以下にロードバランサ、IPCOM300、またはSSL Accelerator 7117を組み合わせた場合の例を示します。また、クラスタシステムを利用

する場合についても説明します。

なお、クラスタシステムは、Interstage Application Server Enterprise Editionだけで利用することができます。クラスタシステムについて

は、Interstage Application Server Enterprise Editionの“高信頼性システム運用ガイド”を参照してください。


リポジトリサーバのFQDN、およびポート番号は、リポジトリサーバのFQDN、およびポート番号となります。

ただし、クラスタシステムを利用する場合、リポジトリサーバのFQDNはクラスタシステムにおける運用ノードと待機ノードの共通の

FQDN、ポート番号はリポジトリサーバのポート番号となります。

なお、リポジトリサーバが複数のマシンで構成されている場合は、リポジトリサーバ(更新系)のみクラスタシステムに対応しています。

【クラスタシステムを利用する場合】

ロードバランサを使用してリポジトリサーバ(更新系)の負荷分散を行う場合

リポジトリサーバのFQDN、およびポート番号は、ロードバランサで設定した仮想IPアドレスのFQDN、およびポート番号となります。

(注) 仮想IPアドレスについては、ロードバランサのマニュアルを参照してください。

- 66 -

注)ロードバランサの前にSSL Accelerator 7117を配置する場合は、リポジトリサーバのFQDNはロードバランサで設定した仮想IPアドレスの

FQDN、ポート番号はSSL Accelerator 7117のポート番号となります。


リポジトリサーバのFQDN、およびポート番号は、IPCOM300で設定した仮想IPアドレスのFQDN、およびポート番号となります。


クラスタシステムを利用する場合も同様に、リポジトリサーバのFQDN、およびポート番号は、IPCOM300で設定した仮想IPアドレスの

FQDN、およびポート番号となります。




リポジトリサーバのFQDNはリポジトリサーバのFQDN、ポート番号はSSL Accelerator 7117のポート番号となります。

- 67 -

ただし、クラスタシステムを利用する場合、リポジトリサーバのFQDNはクラスタシステムにおける運用ノードと待機ノードの共通の

FQDN、ポート番号はSSL Accelerator 7117のポート番号となります。



1.7.4 業務システムが参照する認証サーバのURLについて

業務システムが参照する認証サーバのURLは、基本的に認証基盤のURLと同じですが、以下のような構成の場合、認証基盤と異なる

URLで運用する必要があります。

Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバ間を非SSL通信で行う場合

【インターネット上からのみアクセスする場合】

- 68 -

【インターネット上とイントラネット内のいずれのクライアントからもアクセス可能とする場合】

また、以下のような構成の場合、業務サーバと認証サーバ間の通信を非SSL通信で行うため、通信性能を向上させることができます。

ただし、業務サーバと認証サーバ間の通信に対して十分なセキュリティが確保できる場合にのみ運用してください。

なお、SSLアクセラレータとロードバランサを1台の装置で使用し、認証サーバとリポジトリサーバを1台のマシンに構築して負荷分散

する構成の場合は、通信性能を向上させる運用はできません。

認証サーバがIPCOM300やSSL Accelerator 7117など、ほかの装置、製品を用いてSSL通信を行う場合

【IPCOM300を使用する場合】

- 69 -

【SSL Accelerator 7117を使用する場合】

1.8 Active Directoryとの連携

Interstage シングル・サインオンでは、ユーザ情報を管理するディレクトリサービスとしてActive Directoryが使用できます。

利用者は、Windowsログオンした後、Webブラウザから保護リソースにアクセスし、統合Windows認証することでサービスを利用する

ことができます。

- 70 -

ユーザ情報が格納されたActive Directoryにシングル・サインオンのスキーマを拡張しないで連携する場合は、ActiveDirectoryで管

理しているユーザ情報と、Interstage シングル・サインオンのロール定義を関連付けてSSOリポジトリに登録する必要があります。

Active Directoryと連携するシステムの構築手順、および両者を関連付ける方法については、“F.1 ユーザ情報を登録するディレクトリ

サービスにActive Directoryを使用する”を参照してください。

また、シングル・サインオンの拡張スキーマを使用することで、統合Windows認証でサインオンしないで、パスワード認証、または証明

書認証で再度認証することができます。

ActiveDirectoryにシングル・サインオンのスキーマを拡張する方法については、“F.1.1 シングル・サインオンの拡張スキーマの設定”

を参照してください。

統合Windows認証については、“1.4.2 統合Windows認証”を参照してください。

・リフェラル機能を使用したActive Directoryとの連携は行えません。

・ ActiveDirectoryと接続するためのユーザアカウントのパスワードは、1Byteから128Byteまでの半角の英数字、記号、および空白で

設定してください。

本パスワードは、リポジトリサーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] >[リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ]の[ActiveDirectoryの設定]で指定

します。

・シングル・サインオンの拡張スキーマを使用しない場合は、Active Directoryにユーザ情報を登録しているため、利用者に有効期

間を設定することができません。有効期間開始日時については、サービス利用開始時まで、Active Directoryで対象ユーザを無効

にする運用を行ってください。また有効期間満了日時については、Active Directoryのアカウントの期限(有効期限)機能を使用し

てください。

・シングル・サインオンの拡張スキーマを使用しない場合は、前回サインオン日時は、Active Directoryの機能によってWindowsログ

オンした時刻として確認することができます。

・ Active DirectoryをMicrosoft(R) Windows(R) 2000 Serverで使用する場合、シングル・サインオンの拡張スキーマを使用することは

できません。

- 71 -

1.9 認証サーバ間の連携

Interstage シングル・サインオンでは、複数のInterstage シングル・サインオンシステムを連携することで、互いのシステムを利用し合う

ことができます。

SSO管理者は、SSOリポジトリで管理している情報の変更が不要です。また、連携前と同様にInterstage シングル・サインオンシステムごとに

SSOリポジトリが管理でき、連携によるSSOリポジトリ情報の一元管理は不要です。

利用者は、今まで通り、利用していたシステムのユーザID／パスワードを使用して、連携しているすべてのInterstage シングル・サイン

オンシステムを利用することができます。

連携は、各Interstage シングル・サインオンシステムの認証サーバで行い、認証サーバ間連携機能によって実現することができます。

認証サーバ間連携機能の詳細については、“第7章認証サーバ間連携”を参照してください。

また、他社連携機能を使用することにより、Interstage シングル・サインオンシステムだけでなく、他社のシングル・サインオンシステム

と連携することも可能です。

他社連携機能の詳細については、“付録H 他社のシングル・サインオンシステムとの連携”を参照してください。

- 72 -

第2章環境構築(SSO管理者編) 本章では、認証基盤の環境構築の流れ、および環境構築方法について説明します。

なお、Interstage シングル・サインオンの環境構築は、Interstage管理コンソールを使用します。Interstage管理コンソールの起動につ

いては“運用ガイド(基本編)”を、Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参


また、認証基盤を構成しているSSOリポジトリの作成の詳細については、“ディレクトリサービス運用ガイド”を参照してください。

・ Interstage シングル・サインオン機能は、エディションによって、標準ではインストールされません。詳細については“インストールガ

イド”を参照してください。

・認証基盤へのアクセスは、SSL通信となります。詳細については、“1.7.1 認証基盤のURLについて”を参照し、運用に合わせた環

境構築を行ってください。

・システムを安全に構築、運用するために、必ず事前に“セキュリティシステム運用ガイド”を参照してください。

・認証基盤の環境構築を行うためには、Administrators権限が必要です。

・ Interstage Application Server Standard-J Editionの場合、以下のオペレーティングシステムでは、リポジトリサーバを構築することは

できません。

－ Windows Server 2003 for Itanium-based Systems

－ RHEL-AS4(IPF)/RHEL5(IPF)

2.1 環境構築の流れ

認証基盤の環境構築の作業は、大きく分けると以下の4つに分けられます。

・環境構築のための準備(SSOリポジトリの設計、ユーザプログラムの準備)

・リポジトリサーバの構築

・認証サーバの構築

・業務システムの登録

システム構成によって各作業における必要な手順が異なりますので、運用に合わせて環境構築を行ってください。

また、認証基盤の環境構築時に、Interstage管理コンソールに設定するサーバ間の接続情報の算出を支援する認証基盤構築補助シート

(Excelファイル)を提供しています。

認証基盤構築補助シートについては、“2.1.2 認証基盤構築補助シートの利用”を参照してください。

- 73 -

2.1.1 システム別環境構築の流れ

以下に、構築するシステムに必要な環境構築作業を示します。

システム

構成

認証サー

バとリポジ

トリサーバ

をそれぞ

れ1台で

構築する

場合

認証サー

バを複数

のマシン

に、リポジ

トリサーバ

を1台のマ

シンに構

築する場

合

認証サー

バを複数

のマシン

に構築し、

リポジトリ

サーバ(更新系)を増

設する場

合

認証サー

バとリポジ

トリサーバ

をそれぞ

れ複数の

マシンに

構築する

場合

構築済み

の認証基

盤に認証

サーバを1台追加す

る場合

構築済み

の認証基

盤にリポジ

トリサーバ

(参照系)を追加し

て複数台

で使用す

る場合

構築済み

の認証基

盤にリポジ

トリサーバ

(更新系)を追加し

て複数台

で使用す

る場合

リポジトリ

サーバと

認証サー

バを1台の

マシンに

構築する

場合

構築済み

の認証基

盤にリポジ

トリサーバ

と認証

サーバを1台のマシ

ンで追加

する場合

環境構築

の準備

環境構築

のための

準備

環境構築

のための

準備

環境構築

のための

準備

環境構築

のための

準備

環境構築

のための

準備

- 74 -

リポジトリ

サーバの

構築

SSOリポジ

トリ(マスタ)のSSL通信環境の

構築

SSOリポジ

トリ(マスタ)のSSL通信環境の

構築(注1)

SSOリポジ

トリの作成

SSOリポジ

トリの作成

SSOリポジ

トリの作成

SSOリポジ

トリの作成

SSOリポジ

トリの作成

SSOリポジ

トリへの

ユーザ情

報、ロー

ル定義の

登録

SSOリポジ

トリへの

ユーザ情

報、ロー

ル定義の

登録

SSOリポジ

トリへの

ユーザ情

報、ロー

ル定義の

登録

SSOリポジ

トリへの

ユーザ情

報、ロー

ル定義の

登録

SSOリポジ

トリへの

ユーザ情

報、ロー

ル定義の

登録

リポジトリ

サーバ(1台、または

更新系)の構築

リポジトリ


更新系)の構築

リポジトリ


更新系)の構築

リポジトリ


更新系)の構築

リポジトリ

サーバ(参照系)の追

加

リポジトリ

サーバ(参照系)の追

加

負荷分散

のためのリ

ポジトリ

サーバ(更新系)の追

加

負荷分散

のためのリ

ポジトリ

サーバ(更新系)の追

加

認証サー

バの構築

SSL通信

環境の構

築

SSL通信

環境の構

築

SSL通信

環境の構

築

SSL通信

環境の構

築

SSL通信

環境の構

築

認証サー

バを１台

構築する

認証サー

バを１台

構築する

認証サー

バを１台

構築する

認証サー

バを１台

構築する

負荷分散

のため認

証サーバ

を追加す

る

負荷分散

のため認

証サーバ

を追加す

る

負荷分散

のため認

証サーバ

を追加す

る

負荷分散

のため認

証サーバ

を追加す

る

認証サー

バにリポジ

トリサーバ

(参照系)の情報を

設定する

リポジトリ

サーバと

認証サー

バを１台の

マシンに

構築する

負荷分散

のためリポ

- 75 -

ジトリサー

バと認証

サーバを１

台のマシ

ンに追加

する

業務シス

テムの登

録

業務シス

テムの登

録

業務シス

テムの登

録

業務シス

テムの登

録

業務シス

テムの登

録

業務シス

テムの登

録

認証基盤

構築補助

シートの

利用

認証基盤

(中規模シ

ステム)構築補助

シート(注2)

認証基盤

(中規模シ


シート(注2)

認証基盤

(大規模シ


シート(注3) (注4)

認証基盤

(小規模シ


シート(注5)

注1)運用中のリポジトリサーバ(更新系)のマシンにすでにSSL通信環境が構築されている場合は、この作業は不要です。

注2)認証基盤(中規模システム)構築補助シートのファイル名は以下のとおりです。

“SSO_Auth_M.xls”、または“SSO_Auth_noSession_M.xls”注3)認証基盤(大規模システム)構築補助シートのファイル名は以下のとおりです。

“SSO_Auth_L.xls”、または“SSO_Auth_noSession_L.xls”注4)標準データベースを使用したSSOリポジトリ(マスタ)、およびSSOリポジトリ(スレーブ)を作成する際には、Interstage ディレクトリサー

ビスが提供しているディレクトリサービス環境構築シート(Excelファイル)を使用することで、Interstage管理コンソールの設定を正確に行

うことができます。ディレクトリサービス環境構築シートについては、“ディレクトリサービス運用ガイド”の“負荷分散環境(レプリケーショ

ン形態)の作成”－“標準データベースを使用する場合”を参照してください。

注5)認証基盤(小規模システム)構築補助シートのファイル名は以下のとおりです。

“SSO_Auth_S.xls”

2.1.2 認証基盤構築補助シートの利用

認証基盤の環境構築時に、Interstage管理コンソールに設定するサーバ間の接続情報の算出を支援する認証基盤構築補助シート(Excelファイル)を提供しています。必要に応じて以下の格納先より取り出して使用してください。なお、使用方法については、本シート内の

[利用手順]を参照してください。

認証基盤構築補助シートのファイル名と格納先

認証基盤構築補助シートのファイル名

・SSO_Auth_L.xls、SSO_Auth_noSession_L.xls (注1) レプリケーションを使用してリポジトリサーバを複数台のマシンに構築する場合に使用します。

・SSO_Auth_M.xls、SSO_Auth_noSession_M.xls (注2)(注3) ロードバランサを使用してリポジトリサーバ、または認証サーバを複数台のマシンに構築する場合、または認証サーバとリポジトリ

サーバをそれぞれ1台のマシンに構築する場合に使用します。

・SSO_Auth_S.xls リポジトリサーバと認証サーバを1台のマシンに構築する場合に使用します。

認証基盤構築補助シートの格納先

マニュアルCDの“ApplicationServer\tuning”フォルダ

注1)セションの管理を行う場合は、“SSO_Auth_L.xls”、行わない場合は、“SSO_Auth_noSession_L.xls”を使用してください。

注2)セションの管理を行う場合は、“SSO_Auth_M.xls”、行わない場合は、“SSO_Auth_noSession_M.xls”を使用してください。

注3)リポジトリサーバを複数台のマシンに構築する場合は、本シート内の[サーバ台数の入力]のクラスタシステムにおける“リポジトリ

サーバの共通のホスト名+ドメイン”に、リポジトリサーバの前に配置するロードバランサの情報を設定してください。

- 76 -

認証基盤構築補助シートの利用条件

認証基盤構築補助シートは、Microsoft(R) Excel 2000、Microsoft(R) Excel 2002、およびMicrosoft(R) Excel 2003に対応しており、ご

使用のコンピュータに、Microsoft(R) Excel 2000、Microsoft(R) Excel 2002、またはMicrosoft(R) Excel 2003がインストールされている

必要があります。

また、本シートは、マクロを使用しています。ご利用にあたっては、あらかじめMicrosoft(R) Excelのセキュリティレベルを設定し、マク

ロを有効にする必要があります。セキュリティレベルの設定方法の詳細については、Microsoft(R) Excelのヘルプを参照してください。

なお、Microsoft(R) Excelのセキュリティレベルを変更する場合は、変更に先立ってシステム管理者に相談してください。

例として、以下にMicrosoft(R) Excel 2002で本シートを利用するための、セキュリティレベルの設定手順を記載します。

1. Microsoft(R) Excel 2002を起動し、メニューバーから[ツール(T)] - [マクロ(M)] - [セキュリティ(S)]の順に選択します。

2. マクロのセキュリティ設定画面が表示されますので、[セキュリティレベル]タブの[中(M)]を選択します。

3. [OK]ボタンをクリックします。

4. Microsoft(R) Excelをいったん終了させ、再度起動します。

5. メニューバーの[ファイル(F)] - [開く(O)]を選択し、認証基盤構築補助シートを開きます。

6. マクロの有効化を決定するダイアログが表示されますので、[マクロを有効にする(E)]ボタンをクリックし、マクロを有効にします。

なお、本シート使用後は、必要に応じてセキュリティレベルを元に戻してください。

2.2 環境構築のための準備

環境構築を行う前に、SSOリポジトリの設計、ユーザプログラム、およびWebブラウザに表示するメッセージの準備を行います。

2.2.1 SSOリポジトリの設計

Interstage シングル・サインオンでは認証、および認可に必要となる情報をSSOリポジトリで一元管理します。ここでは、SSOリポジトリの

作成にあたり、事前に設計しておく事項について説明します。

SSOリポジトリに登録する情報の設計

SSOリポジトリには、ロール定義、ユーザ情報、保護リソースの3つの情報が登録されます。認証基盤を新規に構築する場合は、ロー

ル定義とユーザ情報を設計する必要があります。

・ロール定義

ロール定義はInterstage シングル・サインオンでの認可に必須となる情報です。組織構成や利用者の所属などをもとに設計しま

す。詳細については、“ロール定義”を参照してください。

・ユーザ情報

Interstage シングル・サインオンを利用する利用者の情報です。利用者ごとにユーザID／パスワード、関連付けるロール定義など

を設計します。詳細については、“1.4.6 ユーザ情報”を参照してください。

ロール定義とユーザ情報を設計する際は、不正なSSOリポジトリデータが作成されないよう十分注意してください。

設計時に注意すべき項目についてまとめたSSOリポジトリデータチェックシート(Excelファイル)を提供しています。ロール定義とユー

ザ情報を設計する際に以下の格納先より取り出して使用してください。

SSOリポジトリデータチェックシートのファイル名と格納先

SSOリポジトリデータチェックシートのファイル名

SSO_Data_Chk.xls

SSOリポジトリデータチェックシートの格納先


なお、ロール定義とユーザ情報は、SSOリポジトリ作成後に、SSOリポジトリに登録します。保護リソースについては、業務システムの追

加時に設計、登録します。

- 77 -

登録先エントリの設計

SSOリポジトリにロール定義、ユーザ情報、および保護リソースを登録するには、それぞれの情報を登録する登録先エントリを設計し

ておく必要があります。

登録先エントリは、SSOリポジトリを作成する際に定義します。

以下に、登録先エントリの例を示します。

管理情報登録先エントリ

ロール定義 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com

ユーザ情報 ou=User,ou=interstage,o=fujitsu,dc=com

保護リソース ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com

SSOリポジトリを作成する際に、[公開ディレクトリ]に初期値を設定した場合は、上記例に示す登録先エントリが作成されます。また、

Interstage シングル・サインオンで提供しているロール定義、ユーザ情報の登録用のサンプルは上記例の登録先エントリで作成してあ

ります。

SSOリポジトリの設計例

ロール定義

以下の登録先に役職/所属で分類した3つのロールと、そのうちの2つのロールを含んだ1つロールセットを登録する設計例です。

ロール定義登録先：ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com

役職/所属ロール/ロールセット名ロールセットに含まれるロール名

全社員 all employee、executives

幹部社員 executives －

一般従業員 employee －

総務部 administration －

ユーザ情報

以下の登録先に2人の利用者の情報を登録する設計例です。

ユーザ情報登録先：ou=User,ou=interstage,o=fujitsu,dc=com

- 78 -

項目

ユーザ情報

富士通太郎

cn=Fujitsu Tarou富士通花子

cn=Fujitsu Hanako

認証方式証明書認証証明書認証

ユーザID tarou hanako

パスワード 00123401 00123402

証明書認証時に利用者を特定する情報 [email protected] [email protected]

ロール名／ロールセット名 executives employee、administration

再認証の間隔 60分 60分

有効期間開始日時 2004年01月01日00時00分00秒 2004年01月01日00時00分00秒

有効期間満了日時 2004年12月31日00時00分00秒 2004年12月31日00時00分00秒

登録先エントリ

以下の登録先エントリに、上記ロール定義およびユーザ情報を登録する設計例です。

ロール定義登録先：ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com ユーザ情報登録先：ou=User,ou=interstage,o=fujitsu,dc=com

2.2.2 ユーザプログラムの準備

Interstage シングル・サインオンを導入するためには、以下のSSOリポジトリを操作するユーザプログラムを準備する必要があります。

・ロール定義をSSOリポジトリに登録する

・ユーザ情報をSSOリポジトリに登録する

・ユーザ情報をSSOリポジトリから削除する

・利用者のロールを追加する

・利用者のロールを削除する

・利用者のロック状態を表示する

・利用者をロックする

・利用者の有効期間を表示し、変更する

- 79 -

・利用者のパスワードを変更する

Java言語を用いたユーザプログラムの記述例を紹介しています。記述例を参考にして運用に合わせたユーザプログラムを作成してく

ださい。ユーザプログラムの記述例については“付録B ユーザプログラムの記述例”を参照してください。

なお、C言語を用いてユーザプログラムを作成することも可能です。アプリケーションの開発環境に合わせて作成してください。C言語

を用いたアプリケーションの作成方法については“ディレクトリサービス運用ガイド”の“アプリケーションの作成(C API)”を参照してくだ

さい。

SSOリポジトリを操作するユーザプログラムを作成する際には、SSOリポジトリの正しい設計のもと、不正なSSOリポジトリデータを作成

しないよう十分注意してください。

また、ユーザプログラムは、セキュリティを十分考慮し、運用に合わせた場所に配置してください。

Interstage シングル・サインオンのロール定義、およびユーザ情報のエントリ属性については、“2.3.2.4 ロール定義のエントリ”、およ

び“2.3.2.5 ユーザ情報のエントリ”を参照してください。

2.2.3 Webブラウザに表示するメッセージの準備

Interstage シングル・サインオンの運用時に表示されるWebブラウザのメッセージを準備します。

以下に示すメッセージを、運用に合わせて変更することができます。

・フォーム認証時に表示されるメッセージ

・認証時に発生するエラー要因に対するメッセージ

・統合Windows認証時に表示されるメッセージ

認可時に発生するエラー要因に対するメッセージと合わせるために、メッセージを変更する際には、業務サーバ管理者にWebブラウ

ザに表示するメッセージについて問い合わせてください。

メッセージの変更については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

2.3 リポジトリサーバの構築

認証基盤を構成するリポジトリサーバの構築を行うための構築手順を説明します。

リポジトリサーバを構築するマシンのInterstage管理コンソールを使用して、リポジトリサーバを構築します。Interstage管理コンソールの

起動については“運用ガイド(基本編)”を、Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールの

ヘルプを参照してください。

■リポジトリサーバを1台で構成する場合のリポジトリサーバの構築

リポジトリサーバを1台で構成する場合は、以下の手順で行います。

リポジトリサーバの構築

1. SSOリポジトリの作成

2. SSOリポジトリへのユーザ情報、ロール定義の登録

3. リポジトリサーバ(1台、または更新系)の構築

■リポジトリサーバを複数台で構成する場合のリポジトリサーバの構築

リポジトリサーバを複数台で構成する場合は、以下の手順で行います。

リポジトリサーバ(更新系)を増設して負荷分散する場合

リポジトリサーバ(更新系)の構築

“■リポジトリサーバを1台で構成する場合のリポジトリサーバの構築”のリポジトリサーバの構築と同じ手順です。

リポジトリサーバ(更新系)の追加

“■リポジトリサーバ(更新系)を追加する場合のリポジトリサーバの構築”と同じ手順です。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散する場合

【SSOリポジトリに標準データベースを使用する場合】

- 80 -

SSOリポジトリ(マスタ)のSSL通信環境の構築



リポジトリサーバ(参照系)の構築

“■リポジトリサーバ(参照系)を追加する場合のリポジトリサーバの構築”の【SSOリポジトリに標準データベースを使用する場合】

のリポジトリサーバ(参照系)の追加と同じ手順です。

【SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合】




リポジトリサーバ(参照系)の構築

“■リポジトリサーバ(参照系)を追加する場合のリポジトリサーバの構築”の【SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合】のリポジトリサーバ(参照系)の追加と同じ手順です。

■リポジトリサーバ(更新系)を追加する場合のリポジトリサーバの構築

運用中にリポジトリサーバ(更新系)を追加する場合は、以下の手順で行います。

負荷分散のためのリポジトリサーバ(更新系)の追加

■リポジトリサーバ(参照系)を追加する場合のリポジトリサーバの構築

運用中にリポジトリサーバ(参照系)を追加する場合は、以下の手順で行います。

【SSOリポジトリに標準データベースを使用する場合】


リポジトリサーバ(更新系)にSSOリポジトリ(マスタ)のSSL通信環境が構築されている場合は不要です。

リポジトリサーバ(参照系)の追加

1. リポジトリサーバ(更新系)のSSOリポジトリのバックアップ

2. SSOリポジトリ(スレーブ)のSSL通信環境の構築

3. リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成

4. リポジトリサーバ(参照系)へのSSOリポジトリのリストア

5. リストアしたリポジトリサーバ(参照系)のSSOリポジトリの設定変更

6. リポジトリサーバ(参照系)を追加する場合の構築

7. リポジトリサーバ(更新系)のSSOリポジトリの設定変更

【SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合】


リポジトリサーバ(参照系)の追加


2. リポジトリサーバ(参照系)を追加する場合の構築

セションの管理を行うシステムでは、リポジトリサーバをSSL通信で運用することができます。リポジトリサーバをSSL通信で運用する場

合は、リポジトリサーバで使用するWebサーバ(Interstage HTTP Server)にSSLの設定を行い、リポジトリサーバにSSL通信環境を構築


SSLの設定は、リポジトリサーバのInterstage管理コンソールを使用して、[システム] > [サービス] > [Webサーバ] > [Webサーバ名] >

- 81 -

[環境設定]タブをクリックし、[SSL]で行ってください。リポジトリサーバにSSL通信環境を構築する手順については、“D.1 リポジトリサーバの

SSL通信環境の構築”を参照してください。

2.3.1 SSOリポジトリの作成

新たに認証基盤を構築する場合には、SSOリポジトリを作成します。

リポジトリサーバ(更新系)を増設して負荷分散を行う場合は、“ディレクトリサービス運用ガイド”の“負荷分散環境の作成”を参照し、

データベースを共用するSSOリポジトリを作成してください。

なお、ユーザ情報の登録先ディレクトリサービスにActive Directoryを使用して、リポジトリサーバ(更新系)の負荷分散を行う場合は、

レプリケーション形態のSSOリポジトリを作成して運用することもできます。レプリケーション形態のSSOリポジトリについては、“ディレクト

リサービス運用ガイド”の“負荷分散環境(レプリケーション形態)の作成”を参照してください。

SSOリポジトリのデータベースにリレーショナルデータベース(RDB)を使用する場合は、“ディレクトリサービス運用ガイド”の“環境構

築”を参照し、作成してください。

リレーショナルデータベース(RDB)にSymfoware/RDBを使用し、必要な資源をSymfoware資源見積もりシートから算出する場合、見

積もり資源の設定値として入力する項目に、Interstage シングル・サインオン固有の値を指定する項目が存在します。そのため、Symfoware資源見積もりシートから必要な資源を見積もる場合は、“付録G Symfoware資源見積もりシートの利用”を参照して、適切な値を入力し

てください。

Symfoware/RDBで使用する資源の見積もりについては、“ディレクトリサービス運用ガイド”の“Symfoware/RDBの資源の見積もり”を

参照してください。

SSOリポジトリのデータベースに標準データベースを使用する場合は、リポジトリサーバを構築するマシンのInterstage管理コンソール

を使用して、以下の手順で行います。

Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

なお、SSO管理者は、Interstage管理コンソールで説明されているリポジトリ管理者としての役割も担います。

1. [システム] > [サービス] > [リポジトリ] > [新規作成]タブを選択してください。

2. 以下のように各項目を設定し、[作成]ボタンをクリックします。

なお、(注)の記述がある項目はSSOリポジトリ作成時だけ指定可能で、SSOリポジトリ作成後は変更できません。設定値には十分

注意してください。

＜簡易設定＞

－リポジトリ名(注) 作成するSSOリポジトリ名を設定します。

－管理者用DN(注) 作成するSSOリポジトリを管理する管理者のDN(識別名)をDN(識別名)形式で設定します。(例：cn=manager)

－管理者用DNのパスワード

SSO管理者用のパスワードを設定します。

－管理者用DNのパスワード(再入力) SSO管理者用のパスワードを再入力します。

－公開ディレクトリ(注) “ou=interstage,o=fujitsu,dc=com”が設定されています。必要に応じて変更してください。

－リポジトリのデータベース

“標準DB”を選択してください。

－データベース格納先(注) 以下が設定されています。必要に応じて変更してください。

“C:\Interstage\Enabler\EnablerDStores\IREP”

- 82 -

“/var/opt/FJSVena/EnablerDStores/FJSVirep”

“/var/opt/FJSVena/DStores/FJSVirep”

－キャッシュサイズ

“1000”ページが設定されています。1ページは4KBになります。必要に応じて変更してください。

＜詳細設定＞

接続設定

－通常(非SSL)ポート番号(注) 非SSL通信で使用するポート番号を指定します。

－ SSLの使用(注) “使用しない”を選択してください。

なお、ユーザアプリケーションなどがSSL通信によりSSOリポジトリにアクセスする必要がある場合には、“使用する”を選択

してください。その場合には[SSLポート番号]および[SSL定義]を指定してください。

－ SSLポート番号(注) SSL通信で使用するポート番号を指定します。

[SSLの使用]で“使用する”を選択した場合に指定してください。

－ SSL定義

SSL通信に使用するSSL定義を選択します。

[SSLの使用]で“使用する”を選択した場合に指定してください。

－コネクションアイドル時間

“900”秒が設定されています。必要に応じて変更してください。

検索設定

－検索可能大エントリ数

“500”件が設定されています。必要に応じて変更してください。

－検索タイムアウト時間


アクセスログ定義

－出力の指定

必ず“出力する”を選択してください。

－出力レベル

“クライアントのリクエスト情報を出力”、および“サーバのエラー応答を出力”を選択し、それ以外については必要に応じて

選択してください。

－格納先

必要に応じて変更してください。

－ローテーションタイプ


－サイズ


－世代管理数


3. SSOリポジトリの状態が表示されますので、内容を確認してください。

4. 作成したSSOリポジトリのチェックボックスをチェックし、[起動]ボタンをクリックして、SSOリポジトリを起動してください。

- 83 -

2.3.2 SSOリポジトリへのユーザ情報、ロール定義の登録

ユーザプログラムを使用して、SSOリポジトリにユーザ情報、およびロール定義を登録します。ユーザプログラムについては、“2.2.2ユーザプログラムの準備”を参照してください。

また、コマンドを使用してデータベース(源泉データ)からSSOリポジトリへユーザ情報を移入することもできます。コマンドを使用した

ユーザ情報の移入については、“2.3.2.1 データベースからSSOリポジトリへのユーザ情報の移入”を参照してください。

Interstage シングル・サインオンのロール定義、およびユーザ情報のエントリ属性については、“2.3.2.4 ロール定義のエントリ”、およ

び“2.3.2.5 ユーザ情報のエントリ”を参照してください。

CSVデータファイルやLDIFファイルを使用してSSOリポジトリにユーザ情報、およびロール定義を登録することもできます。

詳細については、“2.3.2.2 CSVデータファイルを使用する場合”、“2.3.2.3 LDIFファイルを使用する場合”を参照してください。

2.3.2.1 データベースからSSOリポジトリへのユーザ情報の移入

データベース(源泉データ)からSSOリポジトリへのユーザ情報の移入を行うには、ssoimportumコマンドを使用します。

使用可能なデータベースについては、“使用上の注意”の“ソフトウェア条件”－“Interstage シングル・サインオン使用時に必要なソフ

トウェア”を参照してください。

源泉データからSSOリポジトリへユーザ情報を移入するには、事前にSSOリポジトリを作成しておく必要があります。SSOリポジトリの作

成方法については、“2.3.1 SSOリポジトリの作成”を参照してください。

本項では、データベースに作成する一時的なテーブル、または表を「仮想テーブル」と呼びます。

源泉データの情報を公開するには、仮想テーブルを作成します。源泉データからユーザ情報をSSOリポジトリへ登録する際に、登録

するユーザ情報を抽出するため、接続する源泉データのテーブル名、およびカラム名を動作情報ファイルに記述します。動作情報ファ

イルは、ssoimportumコマンドのパラメタで指定します。

なお、非公開情報などが含まれる場合には、セキュリティの観点から公開するユーザ情報で仮想テーブルを作成して接続させるよう

にします。これにより、実テーブルを公開することなくユーザ情報の抽出を行うことができます。

データベース(源泉データ)からSSOリポジトリへユーザ情報を移入する手順を以下に示します。

1. 環境変数CLASSPATHの設定

2. 動作情報ファイルの作成

3. ssoimportumコマンドの実行

(1)環境変数CLASSPATHの設定

データベースへの接続にはJDBCを使用します。接続するデータベースのJDBCドライバを準備する必要があります。

ssoimportumコマンドを使用する前に使用するJDBCドライバを環境変数CLASSPATHに追加してください。

- 84 -

以下の条件で接続する場合の設定例を示します。

接続データベース Symfoware V6.0L10 JDBCドライバの格納先 C:\temp\fjsymjdbc2.jar

C:\>set CLASSPATH=%CLASSPATH%;C:\temp\fjsymjdbc2.jar


接続データベース Oracle8i JDBCドライバの格納先 C:\temp\classes12.zipおよびC:\temp\nls_charset12.zip

C:\>set CLASSPATH=%CLASSPATH%;C:\temp\classes12.zip;C:\temp\nls_charset12.zip


接続データベース Symfoware 6.0 JDBCドライバの格納先 /tmp/fjsymjdbc2.jar

# CLASSPATH=/tmp/fjsymjdbc2.jar:$CLASSPATH# export CLASSPATH


接続データベース Oracle8i JDBCドライバの格納先 /tmp/classes12.zipおよび/tmp/nls_charset12.zip

# CLASSPATH=/tmp/classes12.zip:/tmp/nls_charset12.zip:$CLASSPATH# export CLASSPATH


接続データベース Symfoware 6.0 JDBCドライバの格納先 /tmp/fjsymjdbc2.jar

# CLASSPATH=/tmp/fjsymjdbc2.jar:$CLASSPATH# export CLASSPATH


接続データベース Oracle9i 使用するJDK/JRE 1.4 JDBCドライバの格納先 /tmp/ojdbc14.jarおよび/tmp/nls_charset12.zip

# CLASSPATH=/tmp/ojdbc14.jar:/tmp/nls_charset12.zip:$CLASSPATH# export CLASSPATH

(2)動作情報ファイルの作成

ユーザ情報の抽出に必要な設定を記述した動作情報ファイルを作成します。

動作情報ファイルの作成については“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”－“ssoimportum”を


- 85 -

(3)ssoimportumコマンドの実行

(2)で作成した動作情報ファイルを指定してssoimportumコマンドを実行し、ユーザ情報の抽出、およびSSOリポジトリへのユーザ情報

の移入を行います。

ssoimportumコマンドについては“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。

2.3.2.2 CSVデータファイルを使用する場合

システム導入時などに、人事データベースで管理している大量のユーザ情報をSSOリポジトリに追加する場合は、人事データベース

から抽出したCSVデータファイルを使用して、一括してSSOリポジトリにエントリを追加することができます。また、運用開始後の人事異

動や新人社員の入社などにより、ユーザ情報の定期的な更新や追加が必要な場合は、更新が必要な差分情報だけ抽出したCSVデー

タファイルを使用して、SSOリポジトリに追加することができます。

Interstage シングル・サインオンが提供するサンプルのCSVデータファイルを例に、CSVデータファイルを使用したユーザ情報、およ

びロール定義の登録方法について説明します。

CSVデータファイルを使用してエントリを登録する手順を以下に示します。CSV形式については、“ディレクトリサービス運用ガイド”を


CSVデータファイルからのロールの登録はirepaddroleコマンド、ユーザ情報の登録はirepmodifyentコマンドを実行することにより行い

ます。コマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“ディレクトリサービス運用コマンド”を参照してください。

なお、CSVデータファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法について

は、“ディレクトリサービス運用ガイド”を参照してください。

CSVファイルにはパスワードが含まれます。CSVファイルを使用する際にはパスワードアタックへの対策を考慮し、取り扱いには十分


パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”－“Interstage シングル・サイ

ンオン”－“セキュリティ対策”を参照してください。

CSVデータファイルを使用してエントリを追加する手順を以下に示します。

1. 人事データベースからのCSV形式のデータの抽出

2. ルールファイルの作成

3. ロール定義移入コマンドの実行

4. ユーザ情報移入コマンドの実行

Interstage シングル・サインオンが提供しているサンプルファイルを以下に示します。

サンプルのファイル名と格納先

エントリ追加用CSVファイルのサンプル

sample_add.csv

ルールファイルのサンプル

・sample_rule_euc.xml EUCコードで記述されています。

・sample_rule_sjis.xml シフトJISコードで記述されています。

・sample_rule_utf8.xml UTF-8コードで記述されています。

- 86 -

サンプルの格納先

C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv

/opt/FJSVssosv/sample/Japanese/csv

(1)人事データベースからのCSV形式のデータの抽出

データベースの機能を利用して、人事データベースからユーザ情報をCSV形式のデータで抽出します。ユーザ情報として以下の情

報をデータベースから取り出します。

列項目

1列目姓名

2列目姓

3列目名

4列目ユーザID

5列目パスワード

6列目従業員番号

7列目メールアドレス

8列目ロール名

上記データに対応したCSV形式のデータは以下のようになります。

Fujitsu Tarou,Fujitsu,Tarou,tarou,tarou,100001,[email protected],Admin

Fujitsu Hanako,Fujitsu,Hanako,hanako,hanako,100002,[email protected],Admin

Fujitsu Jirou,Fujitsu,Jirou,jirou,jirou,100003,[email protected],Leader

Fujitsu Junko,Fujitsu,Junko,junko,junko,100004,[email protected],Leader

Fujitsu Saburou,Fujitsu,Saburou,saburou,saburou,100005,[email protected],General

Fujitsu Kyouko,Fujitsu,Kyouko,kyouko,kyouko,100006,[email protected],General

(2) ルールファイルの作成

CSV形式のデータをSSOリポジトリに登録するためには、CSV形式のデータとSSOリポジトリの情報を関連付ける必要があります。両

者を関連付けるためにルールファイルを作成し、マッピングルールを設定します。マッピングルールの詳細については“ディレクトリサー

ビス運用ガイド”を参照してください。

なお、Interstage シングル・サインオンの運用環境に合わせて変更できるエントリ属性については、“2.3.2.4 ロール定義のエントリ”、お

よび“2.3.2.5 ユーザ情報のエントリ”を参照してください。

■CSV形式とユーザ情報のエントリの属性との関連付け

CSV形式のデータとユーザエントリの属性を以下のように関連付けてSSOリポジトリに登録します。

列項目ユーザ情報のエントリの属性

1列目姓名 cn

2列目姓 sn

3列目名 givenName

4列目ユーザID uid

5列目パスワード userPassword

6列目従業員番号 employeeNumber

7列目メールアドレス mail

8列目ロール名 ssoRoleName

- 87 -

■CSV形式のデータ

CSV形式のデータは0列目にSSOリポジトリに対する操作を設定します。

ADD,Fujitsu Tarou,Fujitsu,Tarou,tarou,tarou,100001,[email protected],Admin

ADD,Fujitsu Hanako,Fujitsu,Hanako,hanako,hanako,100002,[email protected],Admin

ADD,Fujitsu Jirou,Fujitsu,Jirou,jirou,jirou,100003,[email protected],Leader

ADD,Fujitsu Junko,Fujitsu,Junko,junko,junko,100004,[email protected],Leader

ADD,Fujitsu Saburou,Fujitsu,Saburou,saburou,saburou,100005,[email protected],General

ADD,Fujitsu Kyouko,Fujitsu,Kyouko,kyouko,kyouko,100006,[email protected],General

■ルールファイル

上記のCSV形式のデータとユーザ情報のエントリ属性を関連付けするルールファイルは以下のようになります。このルールファイルの

例では、次の設定をしています。

ルール名

sso rule

公開ディレクトリ

ou=User,ou=interstage,o=fujitsu,dc=com

利用者を一意に特定するエントリの属性

uid

操作

ADD(追加)

CSVデータから設定する属性

cn、sn、givenName、uid、userPassword、employeeNumber、mail、ssoRoleName

固定で設定する属性

ssoAuthType、ssoCredentialTTL、ssoNotBefore

<?xml version="1.0" encoding="UTF-8" ?>



<!DOCTYPE Csv2Directory [

<!ELEMENT Rule (name, baseDn, midDn?, Rdn+, DnChange?, objectClass+, attributeSeparator?, unique*, CSV, fixed?)>

<!ELEMENT CSV (ldapop?, Attribute)>

<!ELEMENT ldapop (op?, ldapadd?, ldapdelete?, ldapmodify?)>

<!ELEMENT name (#PCDATA)>

<!ELEMENT baseDn (#PCDATA)>

<!ELEMENT Rdn (#PCDATA)>

<!ELEMENT objectClass (#PCDATA)>

<!ELEMENT attributeSeparator (#PCDATA)>

<!ELEMENT op (#PCDATA)>

<!ELEMENT ldapadd (#PCDATA)>

<!ELEMENT ldapdelete (#PCDATA)>

<!ELEMENT ldapmodify (#PCDATA)>

]>



<Csv2Directory>

<Rule>

<name>sso rule</name>

- 88 -



<baseDn>ou=User,ou=interstage,o=fujitsu,dc=com</baseDn>









<Rdn>cn</Rdn>





<DnChange>1</DnChange>



<objectClass>top</objectClass>

<objectClass>person</objectClass>

<objectClass>organizationalPerson</objectClass>

<objectClass>inetOrgPerson</objectClass>

<objectClass>ssoUser</objectClass>







<attributeSeparator>-</attributeSeparator>







<unique>uid</unique>

<CSV>



<ldapop>

<op>0</op>

<ldapadd>ADD</ldapadd>

<ldapdelete>DEL</ldapdelete>

<ldapmodify>MOD</ldapmodify>

<ldapmove>MOV</ldapmove>

</ldapop>



<Attribute>

<cn>1</cn>

<sn>2</sn>

<givenName>3</givenName>

<uid>4</uid>

<userPassword>5</userPassword>

<employeeNumber>6</employeeNumber>

<mail>7</mail>

<ssoRoleName>8</ssoRoleName>

</Attribute>

</CSV>

- 89 -



<fixed>

<ssoAuthType>basicAuthOrCertAuth</ssoAuthType>

<ssoCredentialTTL>60</ssoCredentialTTL>

<ssoNotBefore>20010101090000+0900</ssoNotBefore>

</fixed>

</Rule>

</Csv2Directory>

(3)ロール定義移入コマンドの実行

リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepaddroleコマンドを実行し、マッピングルールに

従いエントリデータを追加します。

irepaddroleコマンド実行後は、エントリ情報の取り出しなどを行い、エントリデータが正しく追加されているか確認してください。エントリ

の操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。

管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジ

トリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポー

ト番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定しています。

管理者用DN “cn=manager,ou=interstage,o=fujitsu,dc=com”

ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

C:\>irepaddrole -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv -b"ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"Enter Bind password:IREP: 情報: irep13570: エントリ cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

C:\>





ルールファイル /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml csvファイル /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

# irepaddrole -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml -i /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv -b "ou=Role,ou=SSOACI,ou=interstage,o=fujitsu,dc=com"Enter Bind password:UX:IREP: 情報: irep13570: エントリ cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

#

- 90 -

管理者用DNのパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。



(4)ユーザ情報移入コマンドの実行

リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepmodifyentコマンドを実行し、マッピングルー

ルに従いエントリデータを追加します。

irepmodifyentコマンド実行後は、エントリ情報の取り出しなどを行い、エントリデータが正しく追加されているか確認してください。エン

トリの操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。





ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

C:\>irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csvEnter Bind password:IREP: 情報: irep13570: エントリ cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

C:\>





ルールファイル /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml csvファイル /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

# irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml -i /opt/FJSVssosv/sample/Japanese/csv/sample_add.csvEnter Bind password:UX:IREP: 情報: irep13570: エントリ cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com を追加しました。

#

- 91 -




2.3.2.3 LDIFファイルを使用する場合

Interstage シングル・サインオンが提供するサンプルのLDIFファイルを例に、ユーザ情報、およびロール定義の登録方法について説

明します。LDIFファイルを使用してエントリを登録する手順を以下に示します。LDIFファイルを使用しての登録はldapmodifyコマンドを

実行することにより行います。

LDIFファイルの詳細については、“ディレクトリサービス運用ガイド”を参照してください。また、ldapmodifyコマンドの詳細について

は、“リファレンスマニュアル(コマンド編)”の“ディレクトリサービス運用コマンド”を参照してください。

なお、LDIFファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法については、“ディレク

トリサービス運用ガイド”を参照してください。

1. LDIFファイルの作成

2. ldapmodifyコマンドの実行

(1)LDIFファイルの作成

LDIFファイルに、SSOリポジトリに登録するロール定義、およびユーザ情報を設定します。サンプルのLDIFファイルに設定されている

ロール定義、およびユーザ情報を参考に、必要に応じて修正してください。

ロール定義、およびユーザ情報のエントリ属性については、“2.3.2.4 ロール定義のエントリ”、および“2.3.2.5 ユーザ情報のエントリ”を


なお、LDIFファイルの作成時は、以下の点に注意してください。

・ LDIFファイルの先頭に空白行を挿入しないようにしてください。空白行がある場合は、LDIFファイル内のすべてのエントリが登録

されません。

・各エントリ情報の間に空白行を1行挿入し、エントリ情報を区分してください。2行以上の空白行が続く場合は、以降のエントリは登

録されません。

SSOリポジトリ作成時に、[公開ディレクトリ]の初期値を変更した場合は、サンプルのLDIFファイルの太字部分を[公開ディレクトリ]に設

定したディレクトリに変更してください。

サンプルLDIFファイルのファイル名と格納先を以下に示します。

LDIFファイルのファイル名

sample.ldif

LDIFファイルの格納先

C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif

/opt/FJSVssosv/sample/Japanese/ldif

#

#

# Interstage Single Sign-on

#

# Repository(Directory) Entry sample LDIF

#

#

#******************************************************

#

# Role definition

#

#******************************************************

- 92 -

# Entry: Role: Admin

dn: cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Admin”の登録先

objectClass: ssoRole <- 必須オブジェクトクラス

objectClass: top <- 必須オブジェクトクラス

cn: Admin <- ロール名

# Entry: Role: Leader

dn: cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Leader”の登録先



cn: Leader <- ロール名

# Entry: Role: General

dn: cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“General”の登録先



cn: General <- ロール名

# Entry: RoleSet: AdminSet

dn: cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“AdminSet”の登録先

ssoRoleName: Admin <- ロールセットに設定するロール

objectClass: ssoRoleSet <- 必須オブジェクトクラス


cn: AdminSet <- ロールセット名

# Entry: RoleSet: LeaderSet

dn: cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“LeaderSet”の登録先

ssoRoleName: AdminSet <- ロールセットに設定するロールセット

ssoRoleName: Leader <- ロールセットに設定するロール



cn: LeaderSet <- ロールセット名

# Entry: RoleSet: GeneralSet

dn: cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“GeneralSet”の登録先

ssoRoleName: LeaderSet <- ロールセットに設定するロールセット

ssoRoleName: General <- ロールセットに設定するロール



cn: GeneralSet <- ロールセット名

#******************************************************

#

# User definition

#

#******************************************************

# Entry: User: tarou

dn: cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Tarou”の登録先


objectClass: person <- 必須オブジェクトクラス

objectClass: organizationalPerson <- 必須オブジェクトクラス

objectClass: inetOrgPerson <- 必須オブジェクトクラス

objectClass: ssoUser <- 必須オブジェクトクラス

uid: tarou <- パスワード認証時のユーザID

userPassword: tarou <- パスワード認証時のパスワード

mail: [email protected] <- メールアドレス

employeeNumber: 100001 <- 従業員番号

ssoRoleName: Admin <- ロール名

ssoAuthType: basicAuthOrCertAuth <- 認証方式

ssoCredentialTTL: 60 <- 再認証までの間隔

ssoNotBefore: 20010101090000+0900 <- 利用開始時間

sn: Fujitsu <- 姓

cn: Fujitsu Tarou <- 姓名

- 93 -

# Entry: User: hanako

dn: cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu hanako”の登録先






uid: hanako <- パスワード認証時のユーザID

userPassword: hanako <- パスワード認証時のパスワード



ssoRoleName: Admin <- ロール名

ssoAuthType: basicAuthOrCertAuth <- 認証方式



sn: Fujitsu <- 姓

cn: Fujitsu Hanako <- 姓名

# Entry: User: jirou

dn: cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu jirou”の登録先






uid: jirou <- パスワード認証時のユーザID

userPassword: jirou <- パスワード認証時のパスワード



ssoRoleName: Leader <- ロール名

ssoAuthType: basicAuth <- 認証方式



sn: Fujitsu <- 姓

cn: Fujitsu Jirou <- 姓名

# Entry: User: junko

dn: cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu junko”の登録先






uid: junko <- パスワード認証時のユーザID

userPassword: junko <- パスワード認証時のパスワード



ssoRoleName: Leader <- ロール名

ssoAuthType: basicAuth <- 認証方式



sn: Fujitsu <- 姓

cn: Fujitsu Junko <- 姓名

# Entry: User: saburou

dn: cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu saburou”の登録先






uid: saburou <- パスワード認証時のユーザID

- 94 -

userPassword: saburou <- パスワード認証時のパスワード



ssoRoleName: General <- ロール名

ssoAuthType: basicAuthAndCertAuth <- 認証方式



sn: Fujitsu <- 姓

cn: Fujitsu Saburou <- 姓名

# Entry: User: kyouko

dn: cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Kyouko”の登録先






uid: kyouko <- パスワード認証時のユーザID

userPassword: kyouko <- パスワード認証時のパスワード



ssoRoleName: General <- ロール名

ssoAuthType: CertAuth <- 認証方式



ssoNotAfter: 20021201085959+0900 <- 利用終了時間

sn: Fujitsu <- 姓

cn: Fujitsu Kyouko <- 姓名

(2) ldapmodifyコマンドの実行

作成したLDIFファイルを指定してldapmodifyコマンドを実行し、SSOリポジトリにユーザ情報、ロール定義を登録します。

ldapmodifyコマンド実行後は、エントリ情報の取り出しなどを行い、ユーザ情報、ロール定義が正しく登録されているか確認してくださ

い。エントリの操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。

管理者用DN、およびパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを

作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に

389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っていま

す。

LDIFファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif\sample.ldif ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com 管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com パスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

C:\> C:\Interstage\bin\ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif\sample.ldifEnter LDAP Password:adding new entry "cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com"

- 95 -

adding new entry "cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com"C:\>

管理者用DN、およびパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを

作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に

389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っていま

す

LDIFファイル /opt/FJSVssosv/sample/Japanese/ldif/sample.ldif ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com 管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com パスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

# /opt/FJSVirepc/bin/ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f /opt/FJSVssosv/sample/Japanese/ldif/sample.ldifEnter LDAP Password:adding new entry "cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com"adding new entry "cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com"#




2.3.2.4 ロール定義のエントリ

ロール定義をSSOリポジトリに登録する際のエントリについて説明します。ここで設定したロール名、およびロールセット名はユーザ情

報、および保護リソースに設定します。

各属性は運用に応じて以下のように設定してください。各属性のサイズはSSOリポジトリに依存するため、設定可能なサイズで設定で

きない場合があります。また、ロール名、およびロールセット名は一意に設定してください。

《ロール》

ロールをSSOリポジトリに登録する際のエントリについて説明します。

オブジェクトクラス

SSOリポジトリに登録されるロールは、以下のオブジェクトクラスで管理されます。ロールをSSOリポジトリに登録する際には以下のオブ

ジェクトクラスを必ず設定してください。

オブジェクトクラス説明

- 96 -

top 基本LDAPオブジェクトクラス

ssoRole SSOロール情報

属性

ロール名を上記オブジェクトクラスの属性として設定します。

ロールオブジェクトクラス属性名日本語名

ssoRole cn 名前

ssoAuthType 認証方式

今版では使用しません

ssoSessionInfo Interstage シングル・サインオンで使用する情報(注)

注)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、かつシングル・サインオンの拡張スキーマを使用しない

場合に設定が必要です。

(1)cn

説明

ロール名を設定します。

ここで設定したロール名をユーザ情報、およびロールセットのエントリの「ssoRoleName」属性に設定します。

設定可能な文字種

・英数字

・日本語

・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド

(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ

(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)

設定可能なサイズ

512バイト

設定例

Admin

注意事項

・本属性は複数設定しないでください。

・6.2 環境変数によるユーザ情報の通知の設定場合は、英数字と記号だけを設定してください。

・設定した値は、大文字・小文字の区別をしません。

・ロール名、またはロールセット名に同じ名前の定義を行えません。

(2)ssoAuthType

説明

今版では使用しません。

注意事項

・本属性は設定、および変更しないでください。

(3)ssoSessionInfo

説明

Active Directoryのロール/ロールセットに使用する属性の値を設定します。


・英数字

・日本語

・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント

- 97 -

(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス

(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォー

テーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)


512バイト

設定例

05:CN=第一営業部,CN=Users,DC=ad,DC=local

注意事項


ロールの例

《ロールセット》

ロールセットをSSOリポジトリに登録する際のエントリについて説明します。


SSOリポジトリに登録されるロールセットは、以下のオブジェクトクラスで管理されます。ロールセットをSSOリポジトリに登録する際には

以下のオブジェクトクラスを必ず設定してください。



ssoRoleSet SSOロールセット情報

属性

ロールセット名、およびロールセットに設定するロールを上記オブジェクトクラスの属性として設定します。

ロールセットオブジェクト

クラス

属性名日本語名

ssoRoleSet cn 名前

ssoRoleName ロール名

ssoSessionInfo Interstage シングル・サインオンで使用する情報(注)

注)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、かつシングル・サインオンの拡張スキーマを使用しない

場合に設定が必要です。

(1)cn

説明

ロールセット名を設定します。

ここで設定したロールセット名をユーザ情報、およびロールセットのエントリの「ssoRoleName」属性に設定します。

- 98 -


・英数字

・日本語


(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ

(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)


512バイト

設定例

AdminSet

注意事項

・本属性を複数設定しないでください。


・ロール名、またはロールセット名に同じ名前の定義を行えません。

(2)ssoRoleName

説明

ロールセットに含めるロール、またはロールセットを設定します。

ロール、またはロールセットを複数設定する場合は、「ssoRoleName」属性を複数設定します。

本属性は必ず設定してください。


・英数字

・日本語




テーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)


512バイト

設定例

Admin

注意事項


・重複するロールやロールセットは無効です。

・存在しないロールやロールセットは設定しないでください。

・定義がループしてしまうロールセットを設定した場合は、ループとなる部分は無効となります。

(3)ssoSessionInfo

説明

Active Directoryのロール/ロールセットに使用する属性の値を設定します。


・英数字

・日本語





- 99 -


512バイト

設定例

05:CN=第一営業部,CN=Users,DC=ad,DC=local

注意事項


ロールセットの例

定義がループとなり無効とみなすロールセットの例

ロールセット“LeaderSet”は、ロール“Leader”とロールセット“AdminSet”を1つで表しますが、ロールセット“AdminSet”はロー

ル“Admin”とロールセット“LeaderSet”を1つで表そうとするため、ロールセット“AdminSet”に設定したロールセット“LeaderSet”がルー

プとなります。この場合、ロールセット“AdminSet”が表していたロールセット“LeaderSet”は無効となり、終的に、ロールセッ

ト“LeaderSet”は、ロール“Leader”とロール“Admin”を1つで表したロールセットとみなします。

- 100 -

2.3.2.5 ユーザ情報のエントリ

ユーザ情報をSSOリポジトリに登録する際のエントリについて説明します。

ユーザ情報のエントリの定義には、人を対象とした一般的な定義と、プリンタなどのネットワークデバイスを対象とした特殊な定義があ

ります。各定義のエントリに設定できる各属性は運用に応じて以下のように設定してください。

なお、各属性のサイズはSSOリポジトリに依存するため、設定可能なサイズで設定できない場合があります。

一般的な定義特殊な定義

必ず設定が必要な属性・ cn

・ sn

・ cn

パスワード認証を行う場合に必ず設定が必要な属性・ uid

・ userPassword

・ uid

証明書認証を行う場合に必ず設定が必要な属性(注) ・ mail

・ employeeNumber

・ uid

・ dnQualifier

・ serialNumber

運用に応じて設定が必要な属性・ ssoAuthType

・ ssoRoleName

・ ssoCredentialTTL

・ ssoNotBefore

・ ssoNotAfter

・ ssoAuthType

・ ssoRoleName


・ ssoNotBefore

・ ssoNotAfter

設定不要な属性・ ssoUserStatus

・ ssoFailureCount

・ ssoLockTimeStamp

・ ssoSessionInfo

・ ssoUserStatus

・ ssoFailureCount


・ ssoSessionInfo

注)証明書中の所有者名の情報から利用者を一意に特定する属性にcnを使用しない場合は、いずれかを必ず設定してください。

統合Windows認証を行う場合は、ActiveDirectoryに登録されているユーザログオン名を設定する任意の属性を追加してください。詳

細については、“付録F Active Directoryと連携するための設定”を参照してください。


SSOリポジトリに登録される利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をSSOリポジトリに登録する際には以下

のオブジェクトクラスで構成されるように設定してください。

【一般的な定義の場合】

ユーザ情報オブジェクトクラス説明


person ユーザ情報

organizationalPerson

inetOrgPerson

ssoUser SSOの利用ユーザ情報

- 101 -

【特殊な定義の場合】



device プリンタなどのネットワークデバイスの情報

uidObject ユーザID情報(注)


注)セションの管理を行う場合、またはパスワード認証を行う場合に設定が必要です。

属性

利用者のユーザIDやパスワード、認証方式などは上記オブジェクトクラスの属性として設定します。Interstage シングル・サインオンで

使用する属性は以下です。


ユーザ情報オブジェ

クトクラス


person cn 名前

例)Fujitsu Tarou

sn 姓、またはラストネーム

例)Fujitsu

userPassword パスワード

例)Tarou1234

organizationalPerson SSOの運用で使用する属性はありません。 -

inetOrgPerson uid ユーザID例)tarou

employeeNumber 従業員番号

例)000001

mail 電子メールアドレス

例)[email protected]

ssoUser ssoRoleName ロール名、またはロールセット名

例)Admin


例)basicAuthOrCertAuth

ssoCredentialTTL 再認証の間隔

例)60

ssoUserStatus ユーザステータス

ssoNotBefore 有効期間開始日時

例)20030101000000+0900

ssoNotAfter 有効期間満了日時

例)20030102000000+0900

ssoFailureCount ユーザ名/パスワードによる認証失敗回数

ssoLockTimeStamp ロックアウト時間

ssoSessionInfo SSOセション情報

dnQualifier DN修飾子


- 102 -

ユーザ情報オブジェ

クトクラス


device cn 名前

例)Device10000

serialNumber シリアル番号

例)1234-1234-AB

uidObject uid ユーザID例)1234-1234-AB

ssoUser ssoRoleName ロール名、またはロールセット名

例)Admin


例)basicAuthOrCertAuth

ssoCredentialTTL 再認証の間隔

例)60

ssoUserStatus ユーザステータス

ssoNotBefore 有効期間開始日時

例)20030101000000+0900

ssoNotAfter 有効期間満了日時

例)20030102000000+0900

ssoFailureCount ユーザ名/パスワードによる認証失敗回数

ssoLockTimeStamp ロックアウト時間

ssoSessionInfo SSOセション情報

(1)cn

説明

名前として姓名を設定します。利用者のエントリを特定する名前です。

必ず設定してください。

証明書認証による運用において名前で利用者を特定する場合は、必ず一意の名前を設定してください。


・英数字


(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線

(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)

設定例

Fujitsu Tarou

注意事項


・本属性に連続してスペース( )を設定しないでください。

(2)sn

説明

姓、またはラストネームを設定します。personオブジェクトクラスの必須属性です。

一般的な定義の場合は、必ず設定してください。


・英数字

・日本語


- 103 -

(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線

(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)

設定例

Fujitsu

注意事項

設定した値は、大文字・小文字の区別をしません。

(3)userPassword

説明

利用者がパスワード認証に使用するパスワードを設定してください。


・英数字





設定例

Tarou1234

注意事項

・設定した値は、大文字・小文字の区別をします。

・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。

・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われない場合があります。

(4)uid

説明

利用者がパスワード認証に使用するユーザIDを設定してください。

必ず一意のIDを設定してください。


・英数字


(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール

(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、セミコロン(;)、カンマ(,)、ピリオド

(.)、カレット(^)、バッククォート(`)、チルダ(~)


256バイト (セションの管理を行う場合)

設定例

tarou

注意事項



・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。

・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われません。

(5)employeeNumber

説明

従業員番号など、利用者に割り当てられている番号を設定します。

証明書認証による運用において従業員番号で利用者を特定する場合は必ず一意の番号を設定してください。

- 104 -


・英数字



(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ

(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)

設定例

000001

注意事項



(6)mail

説明

電子メールアドレスを設定します。

証明書認証による運用において電子メールアドレスで利用者を特定する場合は必ず一意のアドレスを設定してください。


・英数字



(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ

(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)

設定例

[email protected]

注意事項



(7)serialNumber

説明

シリアル番号を設定します。

証明書認証による運用においてシリアル番号で利用者を特定する場合は必ず一意の番号を設定してください。


・英数字

・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン

(:)、イコール(=)、クエスチョンマーク(?)

設定例

1234-1234-AB

注意事項



(8)ssoRoleName

説明

利用者が属するロール名、またはロールセット名を設定します。

複数設定する場合は、「ssoRoleName」属性を複数設定してください。

- 105 -


・英数字

・日本語




テーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)


512バイト

設定例

Admin

注意事項

本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)が設定された場

合、本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが１つもなかった場合、その利用者は

Interstage シングル・サインオンで保護されるサイトにアクセスできなくなります。

(9)ssoAuthType

説明

利用者の認証方式を設定します。

省略した場合は、“basicAuthOrCertAuth”とみなします。

basicAuth：パスワード認証

certAuth：証明書認証

basicAuthAndCertAuth：パスワード認証かつ証明書認証

basicAuthOrCertAuth：パスワード認証または証明書認証


・basicAuth ・certAuth・basicAuthAndCertAuth・basicAuthOrCertAuth

設定例

basicAuthOrCertAuth

注意事項

設定した値は、大文字・小文字の区別をしません。

証明書認証が許可されていないセションの管理を行うシステムで“certAuth”を設定した場合、利用者の認証に失敗しま

す。“certAuth”を設定する場合は、セションの管理を行うシステムで証明書認証を行うための設定が必要です。証明書認証を行う

ための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。

(10)ssoCredentialTTL

説明

再認証の間隔を[分単位]で設定します。

“0”、および“30”～“1440”の範囲で設定してください。

“0”を設定した場合、セションの管理を行う場合は“1440”とみなし、セションの管理を行わない場合は再認証を行いません。


・数字

設定例

60

注意事項

“30”未満を設定した場合は“30”分に、“1440”を超える値を設定した場合は“1440”分(24時間)とみなします。

- 106 -

(11)ssoUserStatus

説明

利用者のアカウントのロック状態が以下の値で設定されます。

good：ロックされていない

locked：ロックされている

設定例

good

注意事項

・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“4.5.7ロックアウトの解除”を参照してください。

・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについて

は“B.7 利用者をロックする”を参照してください。

(12)ssoNotBefore

説明

利用者のシングル・サインオンを利用開始する日時を設定します。

設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。

日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合

は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。

なお、本属性はサマータイムに対応しています。

YYYY：年(西暦4桁)

MM ：月(2桁)

DD ：日(2桁)

HH ：時(24時間制2桁)

MM ：分(2桁)

SS ：秒(2桁)


・数字

設定例

20030101000000+0900

注意事項

・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。

・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定し

た日時の方が早い場合には、利用者の認証に失敗します。

・「 ssoNotBefore 」と「 ssoNotAfter 」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係な

く“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に

失敗します。

・ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、ActiveDirectoryにシングル・サインオンのスキーマを拡張

する場合、日本時間を設定する時は “ YYYYMMDDHHMMSS.0+0900 ” 、グリニッジ標準時で設定する時

は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。

(13)ssoNotAfter

説明

利用者のシングル・サインオンを利用終了する日時を設定します。

設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。

日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合

は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能とな

ります。


- 107 -


MM ：月(2桁)

DD ：日(2桁)


MM ：分(2桁)

SS ：秒(2桁)


・数字

設定例

20030102000000+0900

注意事項




・「 ssoNotBefore 」と「 ssoNotAfter 」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係な


失敗します。

・ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、ActiveDirectoryにシングル・サインオンのスキーマを拡張

する場合、日本時間を設定する時は “ YYYYMMDDHHMMSS.0+0900 ” 、グリニッジ標準時で設定する時


(14)ssoFailureCount

説明

利用者がユーザ名/パスワードによる認証に失敗した回数です。

正しいユーザ名/パスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバにより設定されます。

注意事項

本属性は設定、および変更しないでください。

(15)ssoLockTimeStamp

説明

リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ)で設定されます。

注意事項



・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSSZ”、または“YYYYMMDDHHMMSS+XXXX”という形式

で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

(16)ssoSessionInfo

説明

セションの管理を行う際に必要な内部情報が、リポジトリサーバにより設定されます。

注意事項

本属性は設定、および変更しないでください。

(17)dnQualifier

説明

DN修飾子を設定します。

証明書認証による運用においてDN修飾子で利用者を特定する場合は必ず一意の番号を設定してください。

- 108 -


・英数字

・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン

(:)、イコール(=)、クエスチョンマーク(?)

注意事項



2.3.3 リポジトリサーバ(1台、または更新系)の構築

リポジトリサーバを1台で構成する場合と、リポジトリサーバを複数台で構成する場合のリポジトリサーバ(更新系)の構築方法を説明し

ます。

リポジトリサーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義

する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

リポジトリサーバを構築するには、事前にSSOリポジトリを作成しておく必要があります。SSOリポジトリの作成方法については、“2.3.1 SSOリポジトリの作成”を参照してください。

1. リポジトリサーバを作成するWebサーバ(Interstage HTTP Server)を選定します。

リポジトリサーバを作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成します。

2. リポジトリサーバでSSL通信を行う場合は、手順1.で選定、または作成したWebサーバに、運用に合わせてSSLの設定を行ってく

ださい。SSL定義の作成については“D.1 リポジトリサーバのSSL通信環境の構築”を参照してください。

3. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブを選択してください。

4. [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択して、[次へ]ボタンをクリックしてください。

5. 作成するサーバの選択画面が表示されます。

6. [リポジトリサーバの作成]の[リポジトリサーバ(更新系)]を選択して、[次へ]ボタンをクリックしてください。

7. ユーザ情報の登録先に使用するディレクトリサービスの選択画面が表示されます。

8. ユーザ情報を登録するディレクトリサービスを選択し、[次へ]ボタンをクリックしてください。

Active Directoryを使用する場合は、[シングル・サインオンの拡張スキーマを使用する]を運用に応じてチェックしてください。

9. [簡易設定]が表示されます。

10. [認証基盤のURL]、および[リポジトリサーバ(更新系)のURL]を入力します。[使用するWebサーバ]には手順1.で選定、または作

成したWebサーバ名を、[リポジトリ名]には使用するSSOリポジトリを選択してください。

リポジトリサーバ(更新系)を増設して負荷分散する場合は、[リポジトリサーバ(更新系)のURL]に、リポジトリサーバの前に配置す

るロードバランサのURLを設定してください。

11. ユーザ情報の登録先ディレクトリサービスにActive Directoryを選択した場合は、[Active Directoryの設定]、および[ユーザ情報

の登録先エントリ]を入力します。

12. [作成]ボタンをクリックしてください。

13. リポジトリサーバの作成が行われます。作成されたサーバの一覧が表示されますので、サーバが使用するWebサーバ名、および

ポート番号を確認することができます。

14. リポジトリサーバの作成後、リポジトリサーバを起動してください。

リポジトリサーバの起動方法については、“4.1.1 リポジトリサーバの起動”を参照してください。

15. 認証サーバやリポジトリサーバ(参照系)を構築する際に必要な認証基盤構築ファイルをダウンロードしてください。

認証基盤構築ファイルのダウンロード

認証基盤構築ファイルのダウンロードは、リポジトリサーバ(更新系)を作成したマシンのInterstage管理コンソールから行って

ください。

Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブをクリックし、[パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築

ファイルをダウンロードしてください。

- 109 -

認証基盤構築ファイルは、セキュリティ上重要なファイルであり、パスワードによって暗号化されています。パスワードは、第

三者に漏洩しないように管理してください。なお、認証サーバやリポジトリサーバ(参照系)の構築後は、必ず削除してくださ

い。

リポジトリサーバを構築するマシンにおいて、以下を組み合わせた構成とすることはできません。

・運用セキュリティにて、ディレクトリサービスとの接続にSSLを使用します。

・リポジトリサーバにて、Active Directoryとの接続にSSLを使用します。

上記を組み合わせた構成とする場合は、以下の方法で代替してください。

・運用セキュリティにて、ディレクトリサービスとの接続にSSLを使用しない方法

運用セキュリティが接続するディレクトリサービスを、リポジトリサーバを構築するマシンに配置してください。SSOリポジトリと共有す

ることも可能です。

これにより、運用セキュリティがディレクトリサービスとの接続にSSLを使用しなくても、セキュリティを確保することができます。

・リポジトリサーバにて、Active Directoryとの接続にSSLを使用しない方法

IPCOMのIPSec-VPN機能などを使用して、リポジトリサーバとActive Directoryとの通信経路のセキュリティを確保してください。

これにより、リポジトリサーバがActive Directoryとの接続にSSLを使用しなくても、セキュリティを確保することができます。

2.3.4 負荷分散のためのリポジトリサーバ(更新系)の追加

ここでは、リポジトリサーバ(更新系)を増設して負荷分散を行うために、リポジトリサーバ(更新系)を追加する方法について説明しま

す。

リポジトリサーバ(更新系)の負荷分散を行う場合、すでに構築済みのリポジトリサーバ(更新系)と同一環境のリポジトリサーバ(更新系)を作成する必要があります。

以下に、ssobackupコマンドを用いて、すでにリポジトリサーバ(更新系)が構築されている移出マシンからリポジトリサーバ(更新系)の環

境を移出し、ssorestoreコマンドを用いて、リポジトリサーバ(更新系)を追加する移入マシンにリポジトリサーバ(更新系)の環境を移入す

る手順を説明します。

ssobackup、およびssorestoreの詳細については“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。

ロードバランサの設定

セションの管理を行う場合は、ロードバランサの設定が必要です。

ロードバランサの設定については、“E.1 リポジトリサーバ(更新系)の負荷分散”を参照してください。

移入マシンの準備

移出するマシンと同じディスク構成のマシンを用意します。

移出マシンの資源の取り出し

1. 移出マシンでssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに取り出します。(注1)以下の資源も合わせて移出してください。

－ Interstage HTTP Server(注1)

－ Interstage ディレクトリサービス(注2)

2. リポジトリサーバ、またはInterstage ディレクトリサービスでSSL通信を行っている場合は、Interstage証明書環境資源を移出しま

す。(注1)

3. 手順1、2で取り出した資源を、移入マシンに転送します。

転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、手順1で取り出した資源格納ファイル

の権限は変更しないでください。

- 110 -

移入マシンの環境の構築

1. 移入マシンで、ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。(注1)以下の資源も合わせて移入してください。



2. リポジトリサーバ、またはInterstage ディレクトリサービスでSSL通信を行っている場合は、移出マシンから取り出したInterstage証明書環境資源を移入します。(注1)

3. すべてのリポジトリサーバを起動します。


4. 移出マシンから取り出した資源格納ファイルを削除します。

注1)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”－“他サーバへの資源移行”


注2)ユーザ情報の登録先ディレクトリサービスにInterstage ディレクトリサービスを使用する場合は、データベース共用環境を作成す

る必要があります。データベース共用環境の作成方法については、“ディレクトリサービス運用ガイド”の“負荷分散環境の作成”を参照


・リポジトリサーバの負荷分散を行う場合、複数のリポジトリサーバのInterstage シングル・サインオンは、同一のバージョン、エディショ

ン、インストールディレクトリである必要があります。また、プラットフォームも同一のものである必要があります。

・リポジトリサーバから取り出した資源格納ファイルはセキュリティ上重要なファイルです。リポジトリサーバの構築後は必ず削除して

ください。

・旧バージョン・レベルからリポジトリサーバを移行している場合、リポジトリサーバ(更新系)の負荷分散を行わないための定義項目

が、リポジトリサーバの環境定義ファイルに追加されていないことを確認してください。詳細については、“移行ガイド”の“Interstage運用操作、環境の移行”－“Interstage シングル・サインオンの移行”を参照してください。

2.3.5 SSOリポジトリ(マスタ)のSSL通信環境の構築

レプリケーションをSSL通信で行う場合は、リポジトリサーバ(更新系)のマシンにSSOリポジトリ(マスタ)のSSL通信環境を構築する必要

があります。

SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、“ディレクトリサービス運用ガイド”の“SSL通信環境の構築”を

参照してSSL通信環境を構築してください。

SSOリポジトリに標準データベースを使用してレプリケーションを行う場合は、以下の手順でSSL通信環境を構築してください。

なお、構築済の認証基盤にリポジトリサーバ(参照系)を1台追加する場合で、運用中のリポジトリサーバ(更新系)のマシンにすでにSSL通信環境が構築されている場合は、この作業は不要です。

リポジトリサーバ(更新系)のマシンのSSOリポジトリ(マスタ)から、リポジトリサーバ(参照系)のマシンのSSOリポジトリ(スレーブ)にデータ

配信を行うため、リポジトリサーバ(参照系)のマシンがSSL通信を行うサーバとなります。

1. SSL通信の設定

1. SSL通信を行うための準備(SSLサイト証明書の取得と、Interstage証明書環境への登録)リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ

(参照系)でサイト証明書を発行する認証局の証明書もリポジトリサーバ(更新系)のマシンに登録する必要があります。

詳細については、“2.4.1.1 SSL通信を行うための準備”を参照してください。

- 111 -

2. SSL通信を行うための設定(レプリケーション用のSSL定義の作成)Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定

を行います。

- 定義名

SSL定義を識別する名前を設定してください。

- サイト証明書のニックネーム

1-1)の“SSL通信を行うための準備”で、Interstage証明書環境にSSLサイト証明書を登録した際に指定したニックネー

ムを設定してください。登録したSSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書]> [サイト証明書]画面で参照できます。

- プロトコルバージョン

“SSL 3.0”だけを選択してください。

- クライアント認証

“する(クライアント証明書が提示された場合、認証する)”を選択してください。

- 暗号化方法


- 認証局証明書のニックネーム


各項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

2. 証明書の有効性を確認する場合

上記の設定に加え、証明書認証の有効性確認を行うための準備(CRLの取得と、Interstage証明書環境への登録)を行います。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(参照

系)でサイト証明書を発行する認証局からCRLを取得し、リポジトリサーバ(更新系)のマシンに登録してください。

詳細については、“2.4.1.3 証明書の有効性確認を行うための準備”を参照してください。

レプリケーションをSSL通信で行うと、各SSOリポジトリ間の通信をSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴／改ざん

／なりすましなどの危険を回避し、情報のプライバシーを守ることができます。セキュリティ上、SSL通信で行うことを強く推奨します。

2.3.6 リポジトリサーバ(参照系)の追加

リポジトリサーバを複数台構築する場合、リポジトリサーバ(参照系)を構築します。

SSOリポジトリに標準データベースを使用したリポジトリサーバ(参照系)を構築するための作業を説明します。

SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、“ディレクトリサービス運用ガイド”の“環境構築”を参照してSSOリポジトリを作成し、“2.3.6.6 リポジトリサーバ(参照系)を追加する場合の構築”を参照してリポジトリサーバ(参照系)を構築してください。

2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ

リポジトリサーバ(参照系)に標準データベースを使用したSSOリポジトリ(スレーブ)を作成するには、リポジトリサーバ(更新系)の標準

データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップし、リポジトリサーバ(参照系)のマシンにリストアします。

ここでは、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップする方法について説

明します。

リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)のデータのバックアップは、以下の手順で行います。

1. リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)を以下の手順で停止します。

1. リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]をクリックし

ます。

- 112 -

2. [リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリのチェックボックスをチェックし、[停止]ボタンをクリックして、SSOリポ

ジトリを停止します。

2. リポジトリサーバ(更新系)のマシン上でirepbacksysコマンドに-dataonlyオプションを指定して実行し、SSOリポジトリのデータをディ

レクトリにバックアップします。irepbacksysコマンドは管理者権限で実行してください。

1. リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)を以下の手順で停止します。

1. リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]をクリックし

ます。

2. [リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリのチェックボックスをチェックし、[停止]ボタンをクリックして、SSOリポ

ジトリを停止します。

2. リポジトリサーバ(更新系)のマシン上でirepbacksysコマンドに-dataonlyオプションを指定して実行し、SSOリポジトリのデータをファ

イルにバックアップします。irepbacksysコマンドは管理者権限で実行してください。

irepbacksysコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。

バックアップ先ディレクトリ C:\WINDOWS\temp\backup SSOリポジトリ名 ssorep

バックアップ先ディレクトリには、SSOリポジトリのデータをバックアップするディレクトリを指定します。

irepbacksysコマンド実行後、C:\WINDOWS\tempフォルダ配下にbackupフォルダが作成されます。

C:\>irepbacksys -d C:\WINDOWS\temp\backup -R ssorep -dataonlyIREP: 情報: irep11000: バックアップが完了しました。 C:\WINDOWS\temp\backup [ssorep]

バックアップファイル名(拡張子は含まない) /home/user1/backup SSOリポジトリ名 ssorep

バックアップファイル名には、SSOリポジトリのデータをバックアップするファイル名を指定します。なお、拡張子を含まない形で指定し

てください。

irepbacksysコマンド実行後、/home/user1/backup.tar.gzが作成されます。

# irepbacksys -f /home/user1/backup -R ssorep -dataonlyUX:IREP: 情報: irep11000: バックアップが完了しました。 /home/user1/backup.tar.gz [ssorep]

2.3.6.2 SSOリポジトリ(スレーブ)のSSL通信環境の構築

標準データベースを使用したSSOリポジトリ間のレプリケーションをSSL通信で行う場合は、リポジトリサーバ(参照系)のマシンにSSOリ

ポジトリ(スレーブ)のSSL通信環境を構築する必要があります。

リポジトリサーバ(参照系)のマシンにすでにSSL通信環境が構築されている場合、SSL通信環境を構築する必要はありません。

SSL通信環境の構築は、以下の手順で行います。

1. SSL通信の設定

1. SSL通信を行うための準備(SSLサイト証明書の取得と、Interstage証明書環境への登録)リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ

(更新系)でサイト証明書を発行する認証局の証明書もリポジトリサーバ(参照系)のマシンに登録する必要があります。


- 113 -

2. SSL通信を行うための設定(レプリケーション用のSSL定義の作成)Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定

を行います。

- 定義名


- サイト証明書のニックネーム

1-1)の“SSL通信を行うための準備”で、Interstage証明書環境にSSLサイト証明書を登録した際に指定したニックネー

ムを設定してください。登録したSSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書]> [サイト証明書]画面で参照できます。

- プロトコルバージョン

“SSL 3.0”だけを選択してください。

- クライアント認証

“する(クライアント証明書が提示された場合、認証する)”を選択してください。

- 暗号化方法


- 認証局証明書のニックネーム




上記の設定に加え、証明書認証の有効性確認を行うための準備(CRLの取得と、Interstage証明書環境への登録)を行います。

リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(更新

系)でサイト証明書を発行する認証局からCRLを取得し、リポジトリサーバ(参照系)のマシンに登録してください。

詳細については、“2.4.1.3 証明書の有効性確認を行うための準備”を参照してください。

・レプリケーションをSSL通信で行うと、各SSOリポジトリ間の通信をSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴／改ざん

／なりすましなどの危険を回避し、情報のプライバシーを守ることができます。セキュリティ上、SSL通信で行うことを強く推奨しま

す。

・リポジトリサーバ(参照系)のマシンにSSL通信環境を構築する際には、テスト用サイト証明書を使用しないでください。

2.3.6.3 リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成

リポジトリサーバ(参照系)を構築するマシンに、レプリケーションのスレーブ運用を行う標準データベースを使用したSSOリポジトリを作

成します。リポジトリサーバ(参照系)を構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。

1. [システム] > [サービス] > [リポジトリ] > [新規作成]タブを選択してください。

2. 以下のように各項目を設定し、[作成]ボタンをクリックします。

以下の太字部分は、SSOリポジトリ(マスタ)と同じ設定にする必要があります。

(注)の記述がある項目はSSOリポジトリ作成時だけ指定可能で、SSOリポジトリ作成後は変更できません。設定値には十分注意


ほかの項目については、設定値を確認し、必要に応じて変更してください。

＜簡易設定＞

－リポジトリ名(注) リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ名前を設定します。

－管理者用DN(注) 作成するSSOリポジトリを管理する管理者のDN(識別名)をDN(識別名)形式で設定します(例：cn=manager)

－管理者用DNのパスワード

SSO管理者用のパスワードを設定します。

- 114 -

－管理者用DNのパスワード(再入力) SSO管理者用のパスワードを再入力します。

－公開ディレクトリ(注) リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

－リポジトリのデータベース(注) リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

－データベース格納先(注) リポジトリサーバ(更新系)で作成したSSOリポジトリ(マスタ)と同じ設定をします。

－キャッシュサイズ

“1000”ページが設定されています。1ページは4KBになります。必要に応じて変更してください。

＜詳細設定＞

接続設定

－通常(非SSL)ポート番号(注) 非SSL通信で使用するポート番号を指定します。

－ SSLの使用(注) “使用する”を選択します。

－ SSLポート番号(注) SSL通信で使用するポート番号を指定します。

“636”が設定されています。必要に応じて変更してください。

－ SSL定義

“2.3.6.2 SSOリポジトリ(スレーブ)のSSL通信環境の構築”で定義したレプリケーション用のSSL定義を選択します。

－コネクションアイドル時間


検索設定

－検索可能大エントリ数

“500”件が設定されています。必要に応じて変更してください。

－検索タイムアウト時間


アクセスログ定義

－出力の指定

必ず“出力する”を選択してください。

－出力レベル

“クライアントのリクエスト情報を出力”、および“サーバのエラー応答を出力”を選択し、それ以外については必要に応じて

選択してください。

－格納先


－ローテーションタイプ


－サイズ


－世代管理数


3. SSOリポジトリ(スレーブ)の状態が表示されますので、内容を確認してください。

SSOリポジトリ(マスタ)の設定を確認する場合は、リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して確

認してください。[システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でマスタ用に作成したSSOリポジトリをクリックし

てください。[簡易設定]、または[詳細設定[表示]]をクリックして、設定内容を確認してください。

- 115 -

レプリケーション運用中に、SSOリポジトリ(スレーブ)の[管理者用DNのパスワード]を変更した場合は、SSOリポジトリ(マスタ)の[レプリ

ケーション先ホスト情報]の編集が必要になります。詳細については、“ディレクトリサービス運用ガイド”を参照してください。

2.3.6.4 リポジトリサーバ(参照系)へのSSOリポジトリのリストア

リポジトリサーバ(参照系)に標準データベースを使用したSSOリポジトリ(スレーブ)を作成するには、リポジトリサーバ(更新系)の標準

データベースを使用したSSOリポジトリ(マスタ)のデータをバックアップし、リポジトリサーバ(参照系)のマシンにリストアします。

ここでは、リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)のデータをリポジトリサーバ(参照系)にリスト

アする方法について説明します。

リポジトリサーバ(更新系)のSSOリポジトリ(マスタ)のデータのリストアは、以下の手順で行います。

1. “2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ”で作成したバックアップ先ディレクトリを、リポジトリサーバ(参照

系)のマシンに転送します。

転送する場合には、第三者に盗聴などされないように注意してください。また、使用後は必ず削除してください。

2. リポジトリサーバ(参照系)のマシン上でireprestsysコマンドを-dataonlyオプションを指定して実行し、バックアップ先ディレクトリの

データをリストアします。コマンドに指定するSSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してくださ

い。

1. “2.3.6.1 リポジトリサーバ(更新系)のSSOリポジトリのバックアップ”で作成したバックアップファイルを、リポジトリサーバ(参照系)のマシンに転送します。

転送する場合には、第三者に盗聴などされないように注意してください。また、使用後は必ず削除してください。

2. リポジトリサーバ(参照系)のマシン上でireprestsysコマンドを-dataonlyオプションを指定して実行し、バックアップファイルのデー

タをリストアします。コマンドに指定するSSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。

ireprestsysコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。

バックアップ先ディレクトリ C:\WINDOWS\temp\backup SSOリポジトリ名 ssorep データベース格納先 C:\Interstage\Enabler\EnablerDStores\IREP\ssorep\data

SSOリポジトリ名は、バックアップしたSSOリポジトリの名前と同じものを指定してください。

データベースの置き換えを行うかどうかの確認メッセージが表示されますので“y”を入力してください。

C:\>ireprestsys -d C:\WINDOWS\temp\backup -R ssorep -dataonlyData already exists in database store. (C:\Interstage\Enabler\EnablerDStores\IREP\ssorep\data)Are you sure of deleting data in database store? (y/n):yIREP: 情報: irep11001: リストアが成功しました。 C:\WINDOWS\temp\backup [ssorep]

バックアップファイル名 /home/user1/backup.tar.gz SSOリポジトリ名 ssorep データベース格納先 /var/opt/FJSVena/EnablerDStores/FJSVirep/ssorep/data



- 116 -

# ireprestsys -f /home/user1/backup.tar.gz -R ssorep -dataonlyData already exists in database store. (/var/opt/FJSVena/EnablerDStores/FJSVirep/ssorep/data)Are you sure of deleting data in database store? (y/n):yUX:IREP: 情報: irep11001: リストアが成功しました。 /home/user1/backup.tar.gz [ssorep]

バックアップファイル名 /home/user1/backup.tar.gz SSOリポジトリ名 ssorep データベース格納先 /var/opt/FJSVena/DStores/FJSVirep/ssorep/data



# ireprestsys -f /home/user1/backup.tar.gz -R ssorep -dataonlyData already exists in database store. (/var/opt/FJSVena/DStores/FJSVirep/ssorep/data)Are you sure of deleting data in database store? (y/n):yUX:IREP: 情報: irep11001: リストアが成功しました。 /home/user1/backup.tar.gz [ssorep]

2.3.6.5 リストアしたリポジトリサーバ(参照系)のSSOリポジトリの設定変更

“2.3.6.4 リポジトリサーバ(参照系)へのSSOリポジトリのリストア”でリストアした標準データベースを使用したSSOリポジトリに、レプリケー

ションのスレーブ運用を行うための設定を行います。リポジトリサーバ(参照系)のマシンのInterstage管理コンソールを使用して、以下の

手順で行います。

1. [システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でスレーブ運用を行うSSOリポジトリをクリックしてください。

2. [詳細設定[表示]]をクリックし、[レプリケーション定義]の[運用形態の指定]に“スレーブで運用する”を選択します。

3. 新たに表示される[スレーブ運用定義]にリポジトリサーバ(更新系)のマシンのホスト名を設定します。

4. [適用]ボタンをクリックします。

5. 設定変更を行ったSSOリポジトリのチェックボックスをチェックし、[起動]ボタンをクリックして、SSOリポジトリを起動してください。

2.3.6.6 リポジトリサーバ(参照系)を追加する場合の構築

ここでは、リポジトリサーバ(参照系)の構築方法を説明します。リポジトリサーバを構築するマシンのInterstage管理コンソールを使用し

て、以下の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照


リポジトリサーバ(参照系)を構築するには、認証基盤構築ファイルが必要になります。認証基盤構築ファイルの生成方法について

は、“認証基盤構築ファイルのダウンロード”を参照してください。

また、リポジトリサーバ(参照系)を構築するには、事前にSSOリポジトリ(スレーブ)を作成しておく必要があります。標準データベースを

使用したSSOリポジトリ(スレーブ)の作成方法については、“2.3.6.3 リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成”を参照


1. リポジトリサーバ(参照系)を作成するWebサーバ(Interstage HTTP Server)を選定します。

リポジトリサーバ(参照系)を作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成

します。

2. リポジトリサーバ(参照系)でSSL通信を行う場合は、手順1.で選定、または作成したWebサーバにSSLの設定を行ってください。SSL定義の作成については“D.1 リポジトリサーバのSSL通信環境の構築”を参照してください。



5. 作成するサーバの選択画面が表示されます。

6. [リポジトリサーバの作成]の[リポジトリサーバ(参照系)]を選択して、[次へ]ボタンをクリックしてください。

7. [ファイルの指定]が表示されますので、リポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを[認証基盤構築

ファイル]に指定します。

- 117 -

8. 認証基盤構築ファイルに設定したパスワードを入力し、[次へ]ボタンをクリックしてください。

9. [簡易設定]が表示されますので、[使用するWebサーバ]には手順1.で選定、または作成したWebサーバ名を、[リポジトリ名]には

使用するSSOリポジトリを選択して、[作成]ボタンをクリックしてください。

10. リポジトリサーバの作成が行われます。作成されたサーバの一覧が表示されますので、サーバが使用するWebサーバ名、および

ポート番号を確認することができます。

11. リポジトリサーバの作成後、リポジトリサーバを起動してください。


12. 認証基盤構築ファイルを削除してください。

・ WebブラウザにMicrosoft(R) Internet Explorerを使用している場合には、絶対パスの長さが200バイトを超えるような認証基盤構築

ファイルは、参照ボタンを使用して指定できないことがあります。その場合には、絶対パスが短くなるように認証基盤構築ファイルを

配置してください。

・認証基盤構築ファイルはセキュリティ上重要なファイルです。リポジトリサーバ(参照系)の構築後は必ず削除してください。

2.3.6.7 リポジトリサーバ(更新系)のSSOリポジトリの設定変更

リポジトリサーバ(更新系)の標準データベースを使用したSSOリポジトリ(マスタ)に、追加したリポジトリサーバ(参照系)の標準データ

ベースを使用したSSOリポジトリ(スレーブ)の情報を設定します。

リポジトリサーバ(更新系)のマシンのInterstage管理コンソールを使用して、以下の手順で行います。

1. [システム] > [サービス] > [リポジトリ]をクリックし、[リポジトリ:状態]画面でマスタ運用を行うSSOリポジトリをクリックしてください。

2. [詳細設定[表示]]をクリックし、[レプリケーション定義]の[運用形態の指定]が“マスタで運用する”に設定されている場合は、手順

3に進んでください。

“マスタで運用する”に設定されていない場合は、“マスタで運用する”を選択します。新たに[レプリケーション先ホスト一覧]が表

示されます。

3. [追加]ボタンをクリックし、以下のように新たに表示される[レプリケーション先ホスト情報]の各項目に追加するリポジトリサーバ(参照系)のマシンの情報を設定し、[適用]ボタンをクリックします。

－ホスト名

SSOリポジトリ(スレーブ)のホスト名を設定します。

－ポート番号

SSOリポジトリ(スレーブ)で設定した[SSLポート番号]を設定します。

－ SSLの使用

“使用する”を選択します。

－クライアント証明書の提示

“提示する”、または“提示しない”を選択します。

－ SSL定義

[クライアント証明書の提示]で“提示する”を選択した場合、“2.3.5 SSOリポジトリ(マスタ)のSSL通信環境の構築”で定義し

たレプリケーション用のSSL定義を選択します。

－接続用DN SSOリポジトリ(スレーブ)で設定した管理者用DNと同じ設定をします。

－接続用パスワード

SSOリポジトリ(スレーブ)で設定した管理者用DNのパスワードと同じ設定をします。

4. 設定変更を行ったSSOリポジトリのチェックボックスをチェックし、[起動]ボタンをクリックして、SSOリポジトリを起動してください。

- 118 -

2.4 認証サーバの構築

認証基盤を構成する認証サーバの構築を行うための構築手順を説明します。Interstage管理コンソールを使用して、認証サーバを構

築します。

2.4.1 SSL通信環境の構築

認証基盤の環境構築を行う前にSSL環境の構築を行う必要があります。

SSL環境の構築の流れを以下に示します。

■認証サーバでSSL通信を行う場合

認証サーバでSSL通信を行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

1. “SSL通信を行うための準備”

2. “SSL通信を行うための設定”


上記の設定に加え、“証明書認証の有効性確認を行うための準備”を行ってください。

3. Interstage Security Directorを使用して運用する場合

上記の設定に加え、“Interstage Security Directorを使用して運用する場合の設定”を行ってください。

■SSL通信をSSLアクセラレータで行う場合

SSL通信をSSLアクセラレータで行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

1. “SSL通信をSSLアクセラレータで行う場合の設定”


上記の設定に加え、“証明書認証の有効性確認を行うための準備”をしてください。

■SSL通信をInterstage Security Directorで行う場合

Interstage Security Directorと認証サーバ間を非SSL通信で行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

1. “Interstage Security Directorを使用して運用する場合の設定”


上記の設定に加え、“証明書認証の有効性確認を行うための準備”をしてください。

2.4.1.1 SSL通信を行うための準備

各サーバでSSL通信する場合、サイト証明書を取得し、Interstage証明書環境に登録する必要があります。サイト証明書の取得、および

Interstage証明書環境への登録方法については“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照して

ください。

なお、すでにサイト証明書を取得、登録済みの場合は、登録済みのサイト証明書を使用できます。

以下に、SSL通信を行うための準備例を示します。

Interstage証明書環境のアクセス権限の設定

Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必要がありま

す。作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。

なお、Interstage証明書環境の所有グループに登録する実効ユーザは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザを使用する必要があります。

- 119 -

Interstage証明書環境のアクセス権限の設定については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”


Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請

申請情報として、識別名(国名、英数字氏名、英数字組織名、英数字組織単位名、都道府県名、市区町村名など)を指定して、SSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)を作成します。このとき同時に、Interstage証明書環境も作

成します。

証明書取得申請書(CSR)の作成にはscsmakeenvコマンドを使用します。その証明書取得申請書(CSR)を認証局に取得申請して証

明書の発行を依頼します。

証明書取得申請書(CSR)の作成については、“D.3 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作

成”を参照してください。

認証局については、“セキュリティシステム運用ガイド”を参照してください。

SSL通信に使用する証明書の登録

認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(scsenter)を使用して

Interstage証明書環境に登録します。

Interstage証明書環境への証明書の登録については、“D.4 SSL通信に使用する証明書の登録”を参照してください。

2.4.1.2 SSL通信を行うための設定

Interstage管理コンソールを使用して、SSLの定義を作成します。

SSLの定義を作成するには、[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]を行います。確認したサイト

証明書のニックネームを選択し、SSL定義を作成してください。

Interstage管理コンソールの起動については“運用ガイド(基本編)”を、Interstage管理コンソールで定義する項目の詳細については、

Interstage管理コンソールのヘルプを参照してください。

SSL環境定義の各項目については以下のように設定してください。

・定義名

SSL定義を識別する名前を設定してください。ここで設定した定義名は認証サーバ構築時に指定します。

・サイト証明書のニックネーム

“2.4.1.1 SSL通信を行うための準備”で、Interstage証明書環境にサイト証明書を登録した際に指定したニックネームを設定してく

ださい。登録したサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照で

きます。

・プロトコルバージョン

“SSL 3.0”、および“TLS 1.0”を選択してください。

・クライアント認証

証明書認証を行う場合は、“する(クライアント証明書が提示された場合、認証する)”を選択し、証明書認証を行わない場合は、“し

ない”を選択してください。

・暗号化方法

Interstage管理コンソールのヘルプを参照し、必要に応じて変更してください。

・認証局証明書のニックネーム

Interstage管理コンソールのヘルプを参照し、必要に応じて変更してください。

2.4.1.3 証明書の有効性確認を行うための準備

証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行うことができます。以下に、証明書の有効性確認

の運用を行う場合の準備について説明します。

証明書の有効性確認の運用を行わない場合、以下の準備を行う必要はありません。

■認証サーバでSSL通信を行う場合

認証サーバでSSL通信を行う場合は、以下に示す設定を行ってください。

- 120 -

1. CRL発行局の証明書の登録 (注)

2. CRLの登録

注)“2.4.1.1 SSL通信を行うための準備”で登録したサイト証明書とは異なる認証局から発行されたCRLを登録する場合に行ってくだ

さい。

■SSL通信をSSLアクセラレータで行う場合、またはSSL通信をInterstage Security Directorで行う場合

SSL通信をSSLアクセラレータ、またはInterstage Security Directorで行う場合は、以下に示す設定を行ってください。

1. Interstage証明書環境の作成 (注)

2. CRL発行局の証明書の登録

3. CRLの登録

注)Interstage証明書環境がすでに作成されている場合は、作業を行う必要はありません。

2.4.1.4 SSL通信をSSLアクセラレータで行う場合の設定

SSLアクセラレータを使用する場合は、運用に合わせてSSLアクセラレータの設定を行う必要があります。設定方法については、“1.6.3 SSLアクセラレータとの連携”を参照してください。

2.4.1.5 Interstage Security Directorを使用して運用する場合の設定

Interstage Security Directorを使用して運用する場合は、Interstage Security Directorの環境設定を行う必要があります。設定方法に

ついては、“1.6.4 Interstage Security Directorとの連携”のInterstage Security Directorの設定に関する説明を参照してください。

2.4.2 認証サーバを１台構築する

認証サーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する

項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

認証サーバを構築するには、認証基盤構築ファイルが必要になります。認証基盤構築ファイルの生成方法については、“認証基盤

構築ファイルのダウンロード”を参照してください。

1. 認証サーバを作成するWebサーバ(Interstage HTTP Server)を選定します。

認証サーバを作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバを作成します。

2. 認証サーバでSSL通信を行う場合は、手順1.で選定、または作成したWebサーバに、運用に合わせてSSLの設定を行ってくださ

い。



5. 作成するサーバの選択画面が表示されますので、[認証サーバの作成]を選択して、[次へ]ボタンをクリックしてください。

6. [ファイルの指定]が表示されますので、リポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを[認証基盤構築

ファイル]に指定します。

7. 認証基盤構築ファイルに設定したパスワードを入力し、[次へ]ボタンをクリックしてください。

8. [簡易設定]が表示されますので、[使用するWebサーバ]に、手順1.で選定、または作成したWebサーバ名を選択してください。

また、SSL通信にSSLアクセラレータ使用する場合、またはInterstage Security Directorと連携する場合は、[ユーザ証明書を獲得する

HTTPヘッダ名]にSSLアクセラレータがユーザ証明書を通知するHTTPヘッダ、またはInterstage Security Directorのヘッダ設定

で指定したユーザ証明書のヘッダ名を設定してください。

9. ユーザ情報の登録先ディレクトリサービスにInterstage ディレクトリサービスを使用して統合Windows認証を行う場合は、[認証方

式の設定]の[認証方式]に“統合Windows認証”を選択し、[統合Windows認証の設定]を設定してください。

10. リポジトリサーバを更新系と参照系に分けた運用を行う場合は、[リポジトリサーバ(参照系)のURL]を指定してください。1度に5台分の指定ができます。6台以上のリポジトリサーバ(参照系)を指定する場合は、認証サーバを作成後、[認証サーバ] > [環境設

定]タブの[詳細設定[表示]]をクリックし、[リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]より指定

- 121 -


なお、本項目には、同一のホスト名を複数指定することはできません。また、リポジトリサーバ(更新系)を指定することもできます。

11. [作成]ボタンをクリックすると、認証サーバが作成されます。作成されたサーバの一覧が表示されますので、サーバが使用するWebサーバ名、およびポート番号を確認することができます。

12. 認証サーバを起動してください。

認証サーバの起動方法については、“4.1.2 認証サーバの起動”を参照してください。


統合Windows認証を行う場合は、認証サーバを構築後、Active Directoryと連携するための準備が必要です。“付録F Active Directoryと連携するための設定”を参照し、統合Windows認証を行うための設定を行ってください。

作業が終わりましたら、統合Windows認証アプリケーションを起動してください。統合Windows認証アプリケーションの起動方法につ

いては、“統合Windows認証アプリケーションの起動”を参照してください。

・ WebブラウザにMicrosoft(R) Internet Explorerを使用している場合には、絶対パスの長さが200バイトを超えるような認証基盤構築

ファイルは、参照ボタンを使用して指定できないことがあります。その場合には、絶対パスが短くなるように認証基盤構築ファイルを

配置してください。

・認証基盤構築ファイルはセキュリティ上重要なファイルです。認証サーバの構築後は必ず削除してください。

2.4.3 負荷分散のため認証サーバを追加する

ここでは、負荷分散のために認証サーバを追加する方法について説明します。

ロードバランサを用いて認証サーバの負荷分散を行う場合、すでに構築済の認証サーバと同一環境の認証サーバを作成する必要

があります。

以下に、ssobackupコマンドを用いて、すでに認証サーバが構築されている移出マシンから認証サーバの環境を移出し、ssorestoreコマンドを用いて、認証サーバを追加する移入マシンに認証サーバの環境を移入する手順を説明します。


ssobackupコマンドでは、Webブラウザに表示するメッセージの移出も行います。このため、認証サーバの移出を行う前に、メッセージ

のカスタマイズも行うようにしてください。Webブラウザに表示するメッセージのカスタマイズの詳細については、“5.1 Webブラウザに表

示するメッセージのカスタマイズ”を参照してください。



ロードバランサの設定については、“E.2 認証サーバの負荷分散”を参照してください。




1. 移出マシンでssobackupコマンドを-acオプションで実行し、認証サーバ資源を資源格納ファイルに取り出します。(注)以下の資源も合わせて移出してください。

－ Interstage HTTP Server(注)

2. 認証サーバでSSL通信を行っている場合は、Interstage証明書環境を移出します。(注)

- 122 -

3. 統合Windows認証、または認証サーバ間連携を行っている場合は、IJServerの資源を移出します。(注)

4. 認証サーバ間連携を行い、かつカスタマイズモジュールの動作に必要なファイルが存在する場合は、それらのファイルを取り出

します。

5. 手順1から4で取り出した資源を、移入マシンに転送します。




1. 移入マシンで、ssorestoreコマンドを実行し、認証サーバ資源を移入します。(注)以下の資源も合わせて移入してください。

－ Interstage HTTP Server(注)

2. 認証サーバでSSL通信を行っている場合は、移出マシンから取り出したInterstage証明書環境資源を移入します。(注)認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、“2.4.1.1 SSL通信を

行うための準備”を参考に、新たにサイト証明書を取得し、Interstage証明書環境へ登録します。このときに、SSL通信に使用す

る証明書の取得申請時に設定するサイト証明書のニックネームと、SSL通信に使用する証明書の登録時に設定する認証局の証

明書のニックネームは、設置済の認証サーバのマシンで設定したものと同じものを設定してください。

3. 統合Windows認証、または認証サーバ間連携を行っている場合は、移出マシンから取り出したIJServerの資源を移入します。

(注)

4. 認証サーバ間連携を行い、かつカスタマイズモジュールの動作に必要なファイルが存在する場合は、移出マシンから取り出した

それらのファイルを格納します。

5. リポジトリサーバ(参照系)を構築している場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックしてください。[リポジトリサーバ

(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]には、移出した認証サーバの環境情報が設定されていますので、

運用に合わせて変更し、[適用]ボタンをクリックしてください。

Interstage管理コンソールで定義する項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

6. 統合Windows認証を行っている場合は、すべての認証サーバにおいて統合Windows認証アプリケーションを起動します。

統合Windows認証アプリケーションの起動方法については、“統合Windows認証アプリケーションの起動”を参照してください。

7. 認証サーバ間連携を行っている場合は、すべての認証サーバにおいて認証サーバ間連携サービスを起動します。

認証サーバ間連携サービスの起動方法については、“7.3.1 認証サーバ間連携サービスの起動・停止・削除”を参照してくださ

い。

8. すべての認証サーバを起動します。



注)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”－“他サーバへの資源移行”


- 123 -

・認証サーバの負荷分散を行う場合、複数の認証サーバのInterstage シングル・サインオンは、同一のバージョン、エディション、イ

ンストールディレクトリである必要があります。また、プラットフォームも同一のものである必要があります。

・同じクライアントからのリクエストは、同じ認証サーバにリクエストが転送されるようにロードバランサを設定してください。

・認証サーバから取り出した資源格納ファイルはセキュリティ上重要なファイルです。認証サーバの構築後は必ず削除してください。

2.4.4 認証サーバにリポジトリサーバ(参照系)の情報を設定する

リポジトリサーバ(参照系)を構築した場合は、認証サーバにリポジトリサーバ(参照系)の情報を設定します。認証サーバのマシンの

Interstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。

2. [詳細設定[表示]]の[リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]に、構築したリポジトリサーバ

(参照系)のURLを設定し、[適用]ボタンをクリックしてください。

3. リポジトリサーバ(参照系)の設定後、認証サーバを起動してください。


2.5 リポジトリサーバと認証サーバの構築

認証基盤を構成するリポジトリサーバと認証サーバを1台のマシンに構築する場合の構築手順を説明します。

2.5.1 リポジトリサーバと認証サーバを１台のマシンに構築する

リポジトリサーバと認証サーバを1台のマシンに構築する場合の構築手順を説明します。Interstage管理コンソールを使用して、以下

の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してくだ

さい。

1. リポジトリサーバと認証サーバを作成するWebサーバ(Interstage HTTP Server)を選定します。

リポジトリサーバと認証サーバを作成するWebサーバがない場合は、新規にInterstage シングル・サインオン専用のWebサーバ

を作成します。

2. 認証サーバでSSL通信を行う場合は、手順1.で選定、または作成したWebサーバに、運用に合わせてSSLの設定を行ってくださ

い。


4. [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択して、[次へ]ボタンをクリックしてください。

5. ユーザ情報の登録先に使用するディレクトリサービスの選択画面が表示されます。

6. ユーザ情報を登録するディレクトリサービスを選択し、[次へ]ボタンをクリックしてください。

7. [簡易設定]が表示されますので、[認証基盤のURL]、および[リポジトリサーバ(更新系)のURL]を設定し、[使用するWebサーバ]には、手順1.で選定、または作成したWebサーバ名を、[リポジトリ名]には使用するSSOリポジトリを選択してください。

また、SSL通信にSSLアクセラレータを使用する場合、またはInterstage Security Directorと連携する場合は、[ユーザ証明書を獲

得するHTTPヘッダ名]にSSLアクセラレータがユーザ証明書を通知するHTTPヘッダ、またはInterstage Security Directorのヘッ

ダ設定で指定したユーザ証明書のヘッダ名を設定してください。

8. ユーザ情報の登録先ディレクトリサービスにActive Directoryを選択した場合は、[Active Directoryの設定]、および[ユーザ情報

の登録先エントリ]を入力します。

9. [作成]ボタンをクリックすると、リポジトリサーバ、および認証サーバの作成が行われます。作成されたサーバの一覧が表示され

ますので、サーバが使用するWebサーバ名、およびポート番号を確認することができます。

10. リポジトリサーバ、および認証サーバの作成後、リポジトリサーバを起動してください。リポジトリサーバを起動することで認証サー

バも起動されます。


- 124 -

リポジトリサーバで使用するWebサーバ(Interstage HTTP Server)のホストは、Interstage管理コンソールの[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [_default_:リポジトリサーバのポート番号]で確認できます。

2.5.2 負荷分散のためリポジトリサーバと認証サーバを１台のマシンに追加する

ここでは、負荷分散のためにリポジトリサーバと認証サーバを1台のマシンに追加する方法について説明します。

ロードバランサを用いてリポジトリサーバ、および認証サーバの負荷分散を行う場合、すでに構築済のリポジトリサーバ、および認証

サーバと同一環境のリポジトリサーバ、および認証サーバを作成する必要があります。

以下に、ssobackupコマンドを用いて、すでにリポジトリサーバ、および認証サーバが構築されている移出マシンからリポジトリサーバ、

および認証サーバの環境を移出し、ssorestoreコマンドを用いて、リポジトリサーバ、および認証サーバを追加する移入マシンにリポジ

トリサーバ、および認証サーバの環境を移入する手順を説明します。


ssobackupコマンドでは、Webブラウザに表示するメッセージの移出も行います。このため、認証サーバの移出を行う前に、メッセージ





ロードバランサの設定については、“E.3 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散”を参照してください。




1. 移出マシンでssobackupコマンドを-sv、および-acオプションを指定して実行し、リポジトリサーバ、および認証サーバ資源を資源

格納ファイルに取り出します。(注1)以下の資源も合わせて移出してください。



2. 認証サーバでSSL通信を行っている場合は、Interstage証明書環境資源を移出します。(注1)

3. 統合Windows認証、または認証サーバ間連携を行っている場合は、IJServerの資源を移出します。(注1)

4. 認証サーバ間連携を行い、かつカスタマイズモジュールの動作に必要なファイルが存在する場合は、それらのファイルを取り出

します。





1. 移入マシンで、ssorestoreコマンドを実行し、リポジトリサーバ、および認証サーバ資源を移入します。(注1)以下の資源も合わせて移入してください。


- 125 -


2. 認証サーバでSSL通信を行っている場合は、移出マシンから取り出したInterstage証明書環境資源を移入します。(注1)認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、“2.4.1.1 SSL通信を

行うための準備”を参考に、新たにサイト証明書を取得し、Interstage証明書環境へ登録します。このときに、SSL通信に使用す

る証明書の取得申請時に設定するサイト証明書のニックネームと、SSL通信に使用する証明書の登録時に設定する認証局の証

明書のニックネームは、設置済の認証サーバのマシンで設定したものと同じものを設定してください。

3. 統合Windows認証、または認証サーバ間連携を行っている場合は、移出マシンから取り出したIJServerの資源を移入します。(注1)

4. 認証サーバ間連携を行い、かつカスタマイズモジュールの動作に必要なファイルが存在する場合は、移出マシンから取り出した

それらのファイルを格納します。

5. 統合Windows認証を行っている場合は、すべての認証サーバにおいて統合Windows認証アプリケーションを起動します。

統合Windows認証アプリケーションの起動方法については、“統合Windows認証アプリケーションの起動”を参照してください。

6. 認証サーバ間連携を行っている場合は、すべての認証サーバにおいて認証サーバ間連携サービスを起動します。

認証サーバ間連携サービスの起動方法については、“7.3.1 認証サーバ間連携サービスの起動・停止・削除”を参照してくださ

い。

7. すべてのリポジトリサーバを起動します。リポジトリサーバを起動することで認証サーバも起動されます。





注2)データベース共用環境を作成する必要があります。データベース共用環境の作成方法については、“ディレクトリサービス運用

ガイド”の“負荷分散環境の作成”を参照してください。

・リポジトリサーバ、および認証サーバの負荷分散を行う場合、複数のリポジトリサーバ、および認証サーバのInterstage シングル・サ

インオンは、同一のバージョン、エディション、インストールディレクトリである必要があります。また、プラットフォームも同一のもので

ある必要があります。

・リポジトリサーバ、および認証サーバから取り出した資源格納ファイルはセキュリティ上重要なファイルです。リポジトリサーバ、およ

び認証サーバの構築後は必ず削除してください。

・ロードバランサとSSLアクセラレータを1台の装置で運用する場合、業務サーバと認証サーバ間を非SSL通信にして通信性能を向

上させることはできません。業務システム構築ファイルをダウンロードする時は、業務システムが参照する認証サーバのURLに、認

証基盤のURLを必ず指定してください。

通信性能を向上させるシステム構成については、“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してくださ

い。

2.6 業務システムの登録

SSO管理者は、業務サーバ管理者よりInterstage シングル・サインオンへの業務システムの追加依頼があった場合、業務システムの

登録を行います。

ここでは、業務システム追加時の、SSO管理者の作業について説明します。

- 126 -

2.6.1 業務システムの登録の流れ

SSO管理者は、業務サーバ管理者よりInterstage シングル・サインオンへの業務システムの追加依頼があった場合、業務システムの

登録を行います。業務サーバ管理者の作業については、“第3章環境構築(業務サーバ管理者編)”を参照してください。

以下に業務システムの登録の流れを示します。

2.6.2 業務サーバ管理者より入手すべき情報

業務サーバ管理者よりInterstage シングル・サインオンへの業務システムの追加依頼があった場合は、業務サーバ管理者より次の情

報を入手してください。

・業務システムの公開URL

・認可対象とするパス定義

・ SSL通信の使用有無

・ Interstage Portalworksとの連携の有無

・ Interstageのバージョン、エディション

また、シングル・サインオンシステムとして、非SSL通信を許可していない場合は、業務システム管理者にSSLの対応を行うよう依頼し

てください。

業務サーバの保護リソースへのアクセスは、Interstage シングル・サインオンにより制御されますが、業務サーバをSSL通信で運用しな

い場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL通信で運用することにより通信内容を暗号化

し、盗聴から守ることができます。業務サーバはSSL通信で運用することを強く推奨します。

- 127 -

2.6.3 保護リソースなどの登録

業務サーバ管理者より入手した次の情報を、SSOリポジトリに登録します。



2.6.3.1 業務システムのサイト定義の登録

業務システムのサイト定義を登録します。

リポジトリサーバ(更新系)を作成したマシンのInterstage管理コンソール上で設定を行ってください。以下の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソース]で、[新規作成]タブを選

択します。

2. [サイト定義]で[FQDN、ポート番号]を設定してください。

なお、業務サーバの前にロードバランサやSSLアクセラレータを設置して運用する場合、業務システムの公開URLにはロードバ

ランサで設定した仮想IPアドレスのホスト名や、SSLアクセラレータのポート番号を設定してください。

3. [作成]ボタンをクリックすると、[保護リソース：一覧]画面に追加したサイト定義が表示されますので、業務システムのFQDN、およ

びポート番号を確認することができます。

Interstage Security Directorと連携し、インターネット上のクライアントだけアクセス可能なシステムとする場合、複数の業務システムの公開

URLが同一となることがあるため、すでにサイト定義が登録済みの場合があります。その場合、上記手順は不要ですので“2.6.3.2 保護

パスの登録”に進んでください。詳しくは“1.6.4 Interstage Security Directorとの連携”を参照してください。

2.6.3.2 保護パスの登録

業務サーバで公開するWebコンテンツに対するアクセス制御情報を設定します。アクセス制御情報として、アクセス制御を行うパスや

アクセスを許可するロールを設定してください。また、Webアプリケーションに通知する拡張ユーザ情報をパス定義に設定してくださ

い。

リポジトリサーバ(更新系)を作成したマシンのInterstage管理コンソール上で設定を行ってください。以下の手順で行います。Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

1. Webアプリケーションに拡張ユーザ情報を通知する場合は、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] >[リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]をクリックし、[業務システムに通知する情報]の[拡張ユー

ザ情報]を設定してください。

2. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソース]を開くと、[保護リソース]ツリーの配下に定義されているサイトの一覧が表示されますので、保護パスの設定をしたいサイト定義をクリックしてください。

3. ツリーで[保護パス]をクリックするとパス定義の一覧画面が表示されますので、[新規作成]タブを選択してください。

4. アクセス制御の対象とするパスを、[パス]に設定します。ディレクトリをアクセス制御の対象とする場合は、必ずパスの後に“/”を付けてください。ファイルなどをアクセス制御の対象とする場合は、パスの後に“/”を付けないでください。

5. パス定義に拡張ユーザ情報を設定する場合は、[拡張ユーザ情報の通知]を設定してください。

6. アクセス制御の対象とするパスを設定後、そのパスにアクセスできるロール名、ロールセット名を選択してください。SSOリポジトリ

に登録したすべての利用者に対してアクセスを許可するには、ロール名、ロールセット名に何も選択しないでください。

7. [作成]ボタンをクリックすると、一覧で設定したパス、およびロール情報を確認することができます。

8. 業務サーバ管理者にアクセス制御情報の更新を行うよう依頼してください。

なお、ロールによる認可については、“1.5.2 ロールによる認可に必要な情報”を参照してください。また、認可された時に通知するユー

ザ属性については、“6.2 環境変数によるユーザ情報の通知の設定”を参照してください。

- 128 -

Interstage Security Directorと連携し、インターネット上のクライアントだけアクセス可能なシステムとする場合、複数の業務システムの公開

URLが同一となることがあるため、それらの業務システムで保護パスが重ならないように業務システムの設計を行う必要があります。

そのため、もしすでに登録済みの保護パスが業務サーバ管理者から通知された場合、保護パスが重ならないように業務システムの

設計を見直すよう、業務サーバ管理者に通知してください。

詳しくは“1.6.4 Interstage Security Directorとの連携”を参照してください。

2.6.4 業務システムの構築に必要な準備

業務サーバ管理者が業務システムを構築する際には、業務システム構築ファイルが必要です。

SSO管理者は業務システム構築ファイルを準備して、業務サーバ管理者に配布してください。

業務システム構築ファイルのダウンロード

業務システム構築ファイルのダウンロードは、リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して、以下

の手順で行います。Interstage管理コンソールで定義する項目の詳細についてはInterstage管理コンソールのヘルプを参照してくださ

い。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択します。

2. 必要事項を入力してください。

業務システムがInterstage Portalworksと連携する場合は、[Interstage Portalworksとの連携]を“連携する”にし、認証が有効となる

範囲をドメイン名で指定してください。

3. Interstage Security Directorと連携する場合や、業務サーバと認証サーバ間を非SSL通信にして通信性能を向上させるシステム

構成の場合は、業務システムが参照する認証サーバのURLが、認証基盤のURLと異なります。[詳細設定[表示]]をクリックし、

[認証基盤の情報]の[認証サーバのURL]を指定してください。

業務サーバと認証サーバ間を非SSL通信にして通信性能を向上させるシステム構成、および業務システムが参照する認証サーバの

URLについては、“1.7.4 業務システムが参照する認証サーバのURLについて”を参照してください。

4. [ダウンロード]ボタンをクリックし、Webブラウザを起動しているマシンに業務システム構築ファイルをダウンロードしてください。

5. 業務サーバ管理者に業務システム構築ファイルを配布した後に、業務システム構築ファイルを削除してください。

業務システム構築ファイルは、セキュリティ上重要なファイルであり、パスワードによって暗号化されています。パスワードは、第三者に

漏洩しないように管理し、ダウンロードした情報ファイルとともに安全な手段で渡すようにしてください。また、配布する業務システム構

築ファイルが正しいことを確認できるように、業務サーバ管理者と事前にパスワードの取り決めを行ってください。

・業務システム構築ファイルを作成する際に[Interstage Portalworksとの連携]を“連携する”に設定した業務システム構築ファイル

と、“連携しない”に設定した業務システム構築ファイルを、同一ドメイン内の業務システムで混在して使用することはできません。

・業務システム構築ファイルはセキュリティ上重要なファイルです。業務サーバ管理者に業務システム構築ファイルを配布した後は、

必ず削除してください。

2.7 より安全に利用するために

Interstage シングル・サインオンでは、各サーバ間の通信データや認証情報を暗号化していますが、次の方法でより安全な運用を行

うことができます。

・ファイアウォールを利用する方法

ファイアウォールは、ネットワーク間を流れるデータのアクセス制御を行います。

ファイアウォールを設置して、認証サーバ、リポジトリサーバを独立した安全なネットワークで構築します。これによって、Interstageシングル・サインオンを利用するアクセスを制御し、不当なアクセスに対して防御することができます。

ファイアウォールを利用する場合には、別途ファイアウォール製品(Interstage Security Directorなど)を使用してください。

- 129 -

2.7.1 ファイアウォールを利用する方法

ファイアウォールを利用する場合、認証サーバ、リポジトリサーバを独立したネットワークとして構築し、認証サーバ、リポジトリサーバ

へのアクセスはすべてファイアウォールを経由します。

ファイアウォールのフィルタリング機能によって業務サーバやクライアント以外からのアクセスはすべて遮断します。

以下に、ファイアウォールを利用したInterstage シングル・サインオンの構成例を示します。

1. ファイアウォールを設置し、認証サーバ、リポジトリサーバを独立した安全なネットワークで構成します。

2. セションの管理を行わない場合、リポジトリサーバへのアクセスは、ファイアウォールで業務サーバからだけのアクセス制御を設

定することで、不当なアクセスを防止します。

3. レプリケーションは、ファイアウォールで保護されたネットワーク内で行われるため安全です。

4. 認証サーバには、SSL通信を行うよう設定しクライアントからの通信を暗号化することで盗聴や改ざんを防止します。

なお、ファイアウォールの設置およびフィルタリング機能などの設定方法については、ファイアウォール機能を実装する製品のマニュ

アルを参照してください。

以下にファイアウォール製品に共通する一般的なフィルタリング条件の例について示します。

サービス送信元送信先処理

http(リポジトリサーバのポート番号/tcp)

業務サーバリポジトリサーバ透過

https(認証サーバのポート番号/tcp)

クライアント認証サーバ透過

domain-udp(ポート番号:53/udp) 認証サーバ DNSサーバ透過

- 130 -

第3章環境構築(業務サーバ管理者編) 本章では、業務システムの環境構築の流れ、および環境構築方法について説明します。

なお、Interstage シングル・サインオンの環境構築は、Interstage管理コンソールを使用します。Interstage管理コンソールの起動につ

いては“運用ガイド(基本編)”を、Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参


・ Interstage シングル・サインオン機能は、エディションによって、標準ではインストールされません。詳細については“インストールガ

イド”を参照してください。

・システムを安全に構築、運用するために、必ず事前に“セキュリティシステム運用ガイド”を参照してください。

・業務システムの環境構築を行うためには、Administrators権限が必要です。

3.1 環境構築の流れ

業務システムの追加を行う際の、業務サーバ管理者の作業について説明します。

SSO管理者の作業については、“2.6 業務システムの登録”を参照してください。

以下に環境構築の流れを示します。

- 131 -

業務システムの追加を行う場合は、対象WebシステムやWebサービスの構築(認証・認可以外のすべて)など、以下の作業を行ったう

えで実施してください。

・業務システムをSSL通信で運用する場合は、SSL通信を行うための設定を行ってください。

・ Webサーバのポート番号の設定を行ってください。

・ WebサービスやWebコンテンツなどの準備、および設定を行ってください。

・そのほかに、WebシステムやWebサービスを運用するうえで必要な設定があれば、合わせて行ってください。

WebシステムやWebサービスの環境構築については、Webサーバのマニュアルを参照してください。

また、業務システムの環境構築時に、Interstage管理コンソールに設定するサーバ間の接続情報の算出を支援する業務システム構築

補助シート(Excelファイル)を提供しています。

業務システム構築補助シートについては、“3.1.2 業務システム構築補助シートの利用”を参照してください。

3.1.1 ケース別環境構築の流れ

以下に、運用形態に応じた環境構築作業を示します。

システム構成業務サーバを1台のマシンに構築

する場合

業務サーバを複数のマシンに構築

する場合

構築済の業務システムに業務

サーバを１台追加する場合

業務システムの設計業務システムの設計業務システムの設計

1台目の業務サーバの

構築

業務サーバを1台追加する業務サーバを1台追加する

Webサーバへの組み込み Webサーバへの組み込み

2台目以降の業務サー

バの構築

負荷分散のため業務サーバを追

加する

負荷分散のため業務サーバを

追加する

Webサーバへの組み込み Webサーバへの組み込み

業務システム構築補助

シートの利用

業務システム構築補助シー

ト“SSO_Business.xls”業務システム構築補助シー

ト“SSO_Business.xls”

- 132 -

3.1.2 業務システム構築補助シートの利用

業務システムの環境構築時に、Interstage管理コンソールに設定するサーバ間の接続情報の算出を支援する業務システム構築補助シート

(Excelファイル)を提供しています。必要に応じて以下の格納先より取り出して使用してください。なお、使用方法については、本シート内の

[利用手順]を参照してください。

業務システム構築シートのファイル名と格納先

業務システム構築補助シートのファイル名

SSO_Business.xls

業務システム構築補助シートの格納先


業務システム構築補助シートの利用条件

業務システム構築補助シートは、Microsoft(R) Excel 2000、Microsoft(R) Excel 2002、およびMicrosoft(R) Excel 2003に対応してお

り、ご使用のコンピュータに、Microsoft(R) Excel 2000、Microsoft(R) Excel 2002、またはMicrosoft(R) Excel 2003がインストールされて

いる必要があります。

また、本シートは、マクロを使用しています。ご利用にあたっては、あらかじめMicrosoft(R) Excelのセキュリティレベルを設定し、マク

ロを有効にする必要があります。セキュリティレベルの設定方法の詳細については、Microsoft(R) Excelのヘルプを参照してください。

なお、Microsoft(R) Excelのセキュリティレベルを変更する場合は、変更に先立ってシステム管理者に相談してください。

例として、以下にMicrosoft(R) Excel 2002で本シートを利用するための、セキュリティレベルの設定手順を記載します。

1. Microsoft(R) Excel 2002を起動し、メニューバーから[ツール(T)] - [マクロ(M)] - [セキュリティ(S)]の順に選択します。

2. マクロのセキュリティ設定画面が表示されますので、[セキュリティレベル]タブの[中(M)]を選択します。


4. Microsoft(R) Excelをいったん終了させ、再度起動します。

5. メニューバーの[ファイル(F)] - [開く(O)]を選択し、業務システム構築補助シートを開きます。

6. マクロの有効化を決定するダイアログが表示されますので、[マクロを有効にする(E)]ボタンをクリックし、マクロを有効にします。

なお、本シート使用後は、必要に応じてセキュリティレベルを元に戻してください。

3.2 業務システムの設計

業務サーバの構築を行う前に必要な作業、および保護リソースに設定するコンテンツの作成に関する注意事項について説明します。

3.2.1 Webブラウザに表示するメッセージの準備

Interstage シングル・サインオンの運用時に表示されるWebブラウザのメッセージを準備します。

以下に示すメッセージを、運用に合わせて変更することができます。

・認可時に発生するエラー要因に対するメッセージ

メッセージを変更する際には、SSO管理者にWebブラウザに表示するメッセージについて問い合わせてください。

メッセージの変更については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

3.2.2 業務システムの追加依頼

業務サーバ管理者は、Interstage シングル・サインオンへの業務システムの追加にあたり、次の事項を明確にし、SSO管理者に報告

する必要があります。



・ SSL通信の使用有無

- 133 -

・ Interstage Portalworksとの連携の有無

・ Interstageのバージョン、エディション

・変更するWebブラウザに表示するメッセージ

また、業務システムがSSL対応されていない場合は、SSO管理者に非SSLによる接続が許可されているか確認する必要があります。

業務サーバの保護リソースへのアクセスは、Interstage シングル・サインオンにより制御されますが、業務サーバをSSL通信で運用しな

い場合、ネットワークから保護リソースが盗聴される危険性があります。業務サーバをSSL通信で運用することにより通信内容を暗号化

し、盗聴から守ることができます。業務サーバはSSL通信で運用することを強く推奨します。

・ Interstage シングル・サインオンでは、運用中の業務システムの公開URLを変更することはできません。変更する場合は、業務シス

テムを再構築する必要があります。

・ Interstage Security Directorと連携し、インターネット上のクライアントのみアクセス可能なシステムとする場合、業務システムのURLにおけるパス部分の1階層目はすべて、ほかの業務システムと重ならないようにしてください。また、業務システムのルートパス(“/”)はクライアントからアクセスできません。詳しくは“1.6.4 Interstage Security Directorとの連携”を参照してください。

3.2.3 サインオフするためのWebページの編集

利用者がWebブラウザを終了しないでサインオフできるように、既存の業務システムのWebページを編集します。

サインオフするためのWebページの編集方法については、“5.2 サインオフするためのWebページのカスタマイズ”を参照してくださ

い。

3.2.4 コンテンツ作成時の注意事項

保護リソースに設定するコンテンツを作成する際の注意事項について説明します。

3.2.4.1 フレームページ使用時の注意

フレームを使用したコンテンツで、フレーム内の各コンテンツを保護リソースに設定した場合、フレーム内の複数のコンテンツで認証

画面が表示される場合があります。

フレーム内の複数のコンテンツを保護リソースに設定する場合は、フレームページを保護リソースに設定してください。

以下のようなフレームを使用したコンテンツを作成し、ページ全体を保護リソースに設定する場合は、フレームページ(/frame/frame.html)を保護リソースに設定するようにしてください。

- 134 -

3.2.4.2 POSTメソッド使用時の注意

利用者の認証の有効期限が切れた状態、または認証されていない状態で、POSTメソッドを使用して保護リソースにアクセスした場

合、以下のようにHTTPリクエストヘッダのcontent-typeの値によって動作が異なります。

content-typeに「application/x-www-form-urlencoded」以外を使用する場合は、Webブラウザに表示されるメッセージを、別の保護リ

ソースにアクセスして、認証を促すメッセージにカスタマイズするなど、運用に応じて対応してください。

content-typeに「application/x-www-form-urlencoded」を使用した場合

未認証画面が表示されます。(注1) 利用者は、認証することで継続して業務サーバを利用することができます。

content-typeに「application/x-www-form-urlencoded」以外を使用した場合

利用者の認証の状態により、Webブラウザに以下のメッセージが表示されます。(注2) 利用者は、別の保護リソースにアクセスし、認証することで業務サーバを利用することができます。

・認証されていない利用者がアクセスした場合

「認証が必要です。認証を行ってからやり直してください。」

・認証の有効期限が切れている利用者がアクセスした場合

「認証の有効期限が切れています。」

注1)未認証画面については、“1.4.1 パスワード認証と証明書認証”を参照してください。

注2)Webブラウザに表示されるメッセージについては、“認可時に発生するエラー要因に対するメッセージ”を参照してください。

3.3 業務サーバの追加

業務サーバの構築手順を説明します。Interstage管理コンソールを使用して、業務サーバの追加を行います。

3.3.1 業務サーバを1台追加する

SSO管理者が業務システムの登録を完了すると、SSO管理者より業務システム構築ファイルと、そのパスワードが通知されます。

業務サーバ管理者は、業務システム構築ファイルを用いて、業務サーバを追加します。

業務サーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する

項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

Interstage証明書環境の作成

- 135 -

認証サーバとSSL通信を行うために必要なInterstage証明書環境を作成します。すでにInterstage証明書環境が作成されている場合

は、この作業は不要です。Interstage証明書環境の作成については“D.5 Interstage証明書環境の作成”を参照してください。

業務サーバの追加

1. [システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務サーバの追加]タブを選択してください。

2. [ファイルの指定]が表示されますので、[業務システム構築ファイル]、および［ファイルのパスワード］にSSO管理者から通知され

た業務システム構築ファイルとパスワードを指定して、[次へ]ボタンをクリックしてください。

3. [簡易設定]が表示されますので、必要な項目を入力します。

使用するWebサーバがInterstage HTTP Serverの場合は、[使用するWebサーバ]の[Webサーバ名]、および[ホスト]に、業務サー

バを組み込むWebサーバの情報を選択します。

4. 使用するWebサーバがInterstage HTTP Server以外の場合は[使用するWebサーバ]に[その他(Interstage HTTP Server以外)]を選択し、[ポート番号]を設定してください。

5. アクセス制御情報の更新を、業務サーバの起動時に自動で行う場合は[アクセス制御情報の更新]に[業務サーバの起動時に行

う]を選択してください。

6. シングル・サインオンJavaAPIを使用する場合は、[シングル・サインオンJavaAPIの使用]に[使用する]を選択してください。

7. [追加]ボタンをクリックしてください。

8. サーバの一覧が表示されますので、追加した業務サーバの業務システム名、ポート番号、Webサーバ名、および業務システムの公開

URLを確認することができます。

9. 以下の場合、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定

[表示]]をクリックし、[認証情報]の[クライアントのIPアドレスのチェック]を“チェックしない”に設定してください。

－クラスタ環境の場合

－プロキシサーバやIPCOMを利用している場合

－ Interstage Portalworksと連携する場合

－認証サーバ、または業務サーバをIPv4、およびIPv6通信の両方を有効にして運用する場合

10. Interstage Portalworksと連携する場合、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム

名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[Webアプリケーションとの連携]の[ユーザ情報の通知]を“通知する”に設

定してください。

11. [適用]ボタンをクリックしてください。

12. 業務システム構築ファイルを削除してください。





使用するWebサーバがInterstage HTTP Serverの場合は、[使用するWebサーバ]の[Webサーバ名]、および[ホスト]に、業務サー

バを組み込むWebサーバの情報を選択します。

4. 使用するWebサーバがInterstage HTTP Server以外の場合は[使用するWebサーバ]に[その他(Interstage HTTP Server以外)]を選択し、[ポート番号]を設定してください。

[その他(Interstage HTTP Server以外)]を選択した場合は、Webサーバの実効ユーザ名を設定します。実効ユーザ名について

は、“業務サーバのWebサーバの実効ユーザを変更する場合”を参照してください。




- 136 -



















[使用するWebサーバ]の[Webサーバ名]、および[ホスト]に、業務サーバを組み込むWebサーバの情報を選択します。


















業務サーバを組み込むWebサーバ

業務サーバを組み込むWebサーバについては、以下の点に注意してください。

- 137 -

・ 1つのシステムで複数種のWebサーバをシングル・サインオンの業務サーバとして利用することができます。

－以下のWebサーバを同時に業務サーバとして運用することができます。

- Interstage HTTP Server

- Microsoft(R) Internet Information Services

・ Microsoft(R) Internet Information Servicesを利用する場合、複数サイトでの運用には未対応です。

シングル・サインオンの業務サーバの設定は複数サイトのうちのいずれか1つのサイトのみとしてください。複数サイトに対して業務

サーバを設定した場合、Webサーバ起動後に初にアクセスのあったサイトに対してのみアクセス制御されます。

なお、Microsoft(R) Internet Information ServicesにてSSLポートを使用する場合には、TCPポート(非SSLポート)も開かれた状態と

なるため、複数サイトでの運用となります。以下のいずれかの対策を実施してください。

－ Microsoft(R) Internet Information ServicesのSSLポートは使用せず、業務サーバの前にSSLアクセラレータを配置してくださ

い。

－ Microsoft(R) Internet Information ServicesのTCPポートにアクセスできないように、業務サーバの前にファイアウォールを設置

する等の対策を行なってください。

・ 1つのシステムで複数種のWebサーバをシングル・サインオンの業務サーバとして利用することができます。複数種のWebサーバ

を利用する場合は、必ずWebサーバの実効ユーザ名を同一にしてください。Webサーバの実効ユーザ名については、“業務サーバの

Webサーバの実効ユーザを変更する場合”を参照してください。

－以下のWebサーバを同時に業務サーバとして運用することができます。

- Interstage HTTP Server

- Sun Java System Web Server

・ Sun Java System Web Serverを利用する場合、仮想サーバでの運用には未対応です。

仮想サーバに対してシングル・サインオンのアクセス制御の設定を行った場合、正しくアクセス制御されません。

・ Interstage HTTP Serverを使用し、ロードバランサなどのほかの装置、製品を組み合わせない場合は、Interstage管理コンソールで

以下のInterstage HTTP Serverの設定を確認し、業務システムの公開URLのFQDNと同じとなるように設定してください。

－ネームベースのバーチャルホストに業務サーバを組み込む場合

バーチャルホストとして使用するサーバのホスト名

－ネームベースのバーチャルホスト以外に業務サーバを組み込む場合

サーバのホスト名、またはIPアドレス

・ WebブラウザにMicrosoft(R) Internet Explorerを使用している場合には、絶対パスの長さが200バイトを超えるような業務システム構

築ファイルは、参照ボタンを使用して指定できないことがあります。その場合には、絶対パスが短くなるように業務システム構築ファ

イルを配置してください。

・業務サーバ起動時には、同一システム上に設定されているすべての業務サーバの定義に対して誤りがないかチェックします。ど

れかの定義に誤りがあった場合は、システムのログに情報を出力します。この場合、Webサーバは起動しますが、利用者からのす

べてのアクセスに「500 Internal Server Error」を返します。

・業務システム構築ファイルはセキュリティ上重要なファイルです。業務サーバの構築後は必ず削除してください。

・ Interstage シングル・サインオンでは、セキュリティを考慮し、Webブラウザでのキャッシュを抑止していますが、キャッシュを抑止す

ることでWebアプリケーションの動作に影響を与える場合があります。Webブラウザのキャッシュを抑止しない設定については、“付録

J コンテンツのキャッシュの抑止”を参照してください。

・ 1つのシステムで複数のWebサーバをシングル・サインオンの業務サーバとして利用する場合、各業務サーバのアクセスログのファ

イル名は異なるものを設定してください。同一のファイル名を設定した場合、アクセスログは正常に採取されません。

- 138 -

3.3.2 負荷分散のため業務サーバを追加する

ここでは、負荷分散のために業務サーバを追加する方法について説明します。

ロードバランサを用いて業務サーバの負荷分散を行う場合、すでに設置済の業務サーバと同一環境の業務サーバを作成する必要

があります。

以下に、ssobackupコマンドを用いて、すでに業務サーバが構築されている移出マシンから業務サーバの環境を移出し、ssorestoreコマンドを用いて、業務サーバを追加する移入マシンに業務サーバの環境を移入する手順を説明します。

ssobackup、およびssorestoreの詳細については“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してください。

ssobackupコマンドでは、Webブラウザに表示するメッセージの移出も行います。このため、業務サーバの移出を行う前に、メッセージ



負荷分散を行うための事前準備

運用中の業務システムに、新たにロードバランサを追加する際は、以下の点に注意してください。

・設置済の業務サーバのホスト名をロードバランサに設定し、業務システムの公開URLを変更しないようにしてください。業務システ

ムの公開URLについては、“1.7.2 業務システムの公開URLについて”を参照してください。


1. 移出するマシンと同じディスク構成のマシンを用意します。

2. SSO管理者から通知された業務システム構築ファイルに誤りがある場合、負荷分散のために追加する業務サーバは、すべて作

り直しとなります。このため、業務サーバの環境情報の取り出しを行う前に、移出マシンでクライアントからのアクセスが正しく認

証・認可されることを確認してください。


1. 移出マシンでssobackupコマンドを-azオプションで実行し、業務サーバ資源を資源格納ファイルに取り出します。(注1)

2. Interstage証明書環境資源を移出します。(注1)

3. 業務システムで使用しているWebサーバの資源を移出します。(注2)

4. Javaアプリケーションを開発している場合は、IJServerの資源を移出します。(注1)





1. 移出マシンから取り出したInterstage証明書環境を移入します。(注1)

2. 移出マシンとWebシステムやWebサービスの環境が同一になるように、Webサーバの資源を移入します。(注2)

3. 移入マシンで、ssorestoreコマンドを実行し、業務サーバ資源を移入します。(注1)

4. Javaアプリケーションを開発している場合は、移出マシンから取り出したIJServerの資源を移入します。(注1)


- 139 -



注2)WebサーバにInterstage HTTP Serverを使用している場合は、運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”－“他

サーバへの資源移行”を参照し、資源の移出、および移入を行ってください。

・業務サーバの負荷分散を行う場合、複数の業務サーバのInterstage シングル・サインオンは、同一のバージョン、エディション、イ

ンストールディレクトリである必要があります。また、プラットフォームも同一のものである必要があります。

・同じクライアントからのリクエストは、同じ業務サーバにリクエストが転送されるようにロードバランサを設定してください。

・ロードバランサにIPCOMを使用する場合、以下のように設定してください。

－動作モード：ブリッジ

－負荷分散の方法と接続の一意性：ノード単位の分散

・業務サーバから取り出した資源格納ファイルはセキュリティ上重要なファイルです。業務サーバの構築後は必ず削除してください。

3.4 Webサーバへの組み込み

Webサーバに業務サーバを組み込みます。

ご使用のWebサーバに合わせた手順で業務サーバを組み込み、再起動してください。Webサーバの起動方法は、“4.1.3 業務サー

バの起動”を参照してください。

１台のマシンで複数のWebサーバを使用する場合は、シングル・サインオンの業務システムとして使用するすべてのWebサーバに業

務サーバを組み込んでください。

3.4.1 Interstage HTTP Server への組み込み

Interstage HTTP Serverを使用する場合は、自動的にInterstage シングル・サインオンのモジュールがInterstage HTTP Serverに組み

込まれます。

[業務システムの公開URL]に指定したポート番号と、Interstage HTTP Serverで使用しているポート番号が一致した場合のみ自動的に

Interstage シングル・サインオンのモジュールがInterstage HTTP Serverに組み込まれます。

3.4.2 Sun Java System Web Server 6.0,6.1への組み込み

Sun Java System Web Server 6.0、またはSun Java System Web Server 6.1を使用する場合は、Sun Java System Web Serverの環境定

義ファイルを編集します。

業務サーバが動作するために必要なSun Java System Web Serverの環境定義ファイルに追加する項目について説明します。

Sun Java System Web Serverの環境定義ファイルの詳細については、Sun Java System Web Serverのマニュアルを参照してください。

環境定義ファイル名と格納先

環境定義ファイル名

magnus.conf obj.conf

環境定義ファイルの格納先

<Sun Java System Web Serverのインストールパス>/https-INSTANCE_NAME/config (注)

注)https-INSTANCE_NAMEとは、ユーザがサーバとして設定したマシン名です。マシン名がwww.fujitsu.comの場合、https-www.fujitsu.com となります。

- 140 -

magnus.confへの追加項目

(1)Init指令の追加

[Interstage シングル・サインオンライブラリの読み込み設定]

パラメタ設定値

fn "load-modules"

shlib "/opt/FJSVssoaz/lib/ssoatzipl.so"

funcs "GetFilterVersion,HttpFilterProc,sso_error,sso_postproc"

[Interstage シングル・サインオン初期化関数の設定]


fn "GetFilterVersion"

EarlyInit yes

magnus.confの編集例

以下にmagnus.confの編集例を示します。

Init fn="load-modules" shlib="/opt/FJSVssoaz/lib/ssoatzipl.so" funcs="GetFilterVersion,HttpFilterProc,sso_error,sso_postproc"Init fn="GetFilterVersion" EarlyInit=yes (注)...

注)Init指令は、magnus.confファイルの先頭行に記述してください。

obj.confへの追加項目

(1)デフォルトのオブジェクト(<Object name=default>)への指令追加

[NameTrans指令の追加]


fn "HttpFilterProc"

[Error指令の追加]


fn "sso_error"

<Object name=default>NameTrans fn="HttpFilterProc"Error fn="sso_error"...</Object>

(2)Interstage シングル・サインオンのオブジェクト(<Object ppath="/fj-is-sso">)の追加

[Objectタグの追加]

- 141 -

属性設定値

ppath "/fj-is-sso"

[Service指令の追加]


fn "sso_postproc"

<Object ppath="/fj-is-sso">Service fn="sso_postproc"</Object>

obj.confの編集例

以下にobj.confの編集例を示します。

<Object name=default>NameTrans fn="HttpFilterProc" (注)Error fn="sso_error"...</Object>

<Object ppath="/fj-is-sso">Service fn="sso_postproc"</Object>

注)NameTrans指令は、<Object name=default>の先頭に記述し、Error指令は、NameTrans指令の後に続けて記述してください。

3.4.3 Microsoft(R) Internet Information Services 5.0 への組み込み

Microsoft(R) Internet Information Servicesに業務サーバを組み込む手順を説明します。

以下に、Microsoft(R) Internet Information Services 5.0で使用しているWebサイトに業務サーバを組み込む手順を、Microsoft(R)Windows(R) 2000 Serverを例に説明します。

なお、Microsoft(R) Internet Information Services 5.0使用時は、本製品のインストール後にシステムの再起動が必要です。システムを

再起動していない場合、業務サーバのプログラムの読み込みに失敗する場合があります。

- 142 -

1. ［スタート］メニューで［プログラム］－[管理ツール］－［インターネットサービスマネージャ］を選択します。

Microsoft(R) Internet Information Servicesが起動されている場合は、停止してください。停止は、[スタート]メニューで[プログラ

ム]－[管理ツール]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択します。一覧から

[停止]を選択します。

- 143 -

2. 業務サーバを組み込むWebサイトを選択します。

以下は、“業務サーバ”というWebサイトに組み込む例です。

- 144 -

3. プロパティを選択してプロパティシートを開きます。プロパティシートの［ISAPIフィルタ］タブを選択して[追加]ボタンをクリックしま

す。

なお、すでにISAPIフィルタが設定されている場合は、手順4で業務サーバのプログラムをISAPIフィルタに追加した後、業務サー

バのプログラムが一番上に表示されるよう順番を変更してください。

4. フィルタ名を入力し、実行ファイルに業務サーバのプログラムを絶対パスで設定します。

以下の例は、フィルタ名に“業務サーバ”、実行ファイルに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”を設定して

います。

設定終了後、[OK]ボタンをクリックします。

- 145 -


[新規作成]－[仮想ディレクトリ]を選択し、仮想ディレクトリの作成ウィザード画面を表示します。

6. 仮想ディレクトリエイリアスに“fj-is-sso”を設定します。

- 146 -

7. Webサイトのコンテンツのディレクトリパスに業務サーバのlibディレクトリを指定します。

以下の例は、ディレクトリに“C:\Interstage\F3FMsso\ssoatzag\lib”を設定しています。

8. 仮想ディレクトリのアクセス許可に読み取り権と、ISAPIアプリケーションの実行権を設定します。

仮想ディレクトリの作成ウィザード画面を終了します。

- 147 -

9. 設定終了後、[OK]ボタンをクリックし、Microsoft(R) Internet Information Servicesを開始してください。開始は、[スタート]メニューで

[プログラム]－[管理ツール]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択しま

す。一覧から[開始]を選択します。

- 148 -

Microsoft(R) Internet Information Servicesのサイトの詳細については、Microsoft(R) Internet Information Servicesの“インターネット

インフォメーションサービス” の“ヘルプ（H）”を参照してください。



以下に、Microsoft(R) Internet Information Services 6.0で使用しているWebサイトに業務サーバを組み込む手順を、Microsoft(R)Windows Server(R) 2003を例に説明します。



1. ［スタート］メニューで［プログラム］－[管理ツール］－［インターネットインフォメーションサービス（IIS）マネージャ］を選択します。

Microsoft(R) Internet Information Servicesが起動されている場合は、停止してください。停止は、[スタート]メニューで[プログラ

ム]－[管理ツール]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択します。一覧から

[停止]を選択します。

- 149 -

- 150 -


以下は、“Single Sign-on”というWebサイトに組み込む例です。

3. プロパティを選択してプロパティシートを開きます。プロパティシートの［ISAPIフィルタ］タブを選択して[追加]ボタンをクリックしま

す。

- 151 -

なお、すでにISAPIフィルタが設定されている場合は、手順4で業務サーバのプログラムをISAPIフィルタに追加した後、業務サー

バのプログラムが一番上に表示されるよう順番を変更してください。

4. フィルタ名を入力し、実行可能ファイルに業務サーバのプログラムを絶対パスで設定します。

以下の例は、フィルタ名に“業務サーバ”、実行可能ファイルに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”を設定

しています。


- 152 -


[新規作成]－[仮想ディレクトリ]を選択し、仮想ディレクトリの作成ウィザード画面を表示します。

6. 仮想ディレクトリエイリアスに“fj-is-sso”を設定します。

- 153 -

7. Webサイトのコンテンツのディレクトリに業務サーバのプログラムの格納先ディレクトリを指定します。以下の例は、パスに“C:\Interstage\F3FMsso\ssoatzag\lib”を設定しています。

8. 仮想ディレクトリのアクセス許可に読み取り権と、ISAPIアプリケーションの実行権を設定します。

仮想ディレクトリの作成ウィザード画面を終了します。

- 154 -

- 155 -

9. Webサービス拡張に業務サーバのファイルを追加します。

Webサービス拡張を選択し、[新しいWebサービス拡張を追加]を選択します。

10. 拡張名を設定します。

以下の例は、拡張名に“業務サーバ”を設定しています。

- 156 -

11. [追加]ボタンをクリックすることで表示されるファイルの追加画面で、業務サーバのプログラムを絶対パスで設定します。

以下の例では、パスに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”を設定しています。


12. Webサービス拡張の状態を許可に設定します。

- 157 -

13. アプリケーションプールを選択します。

- 158 -

14. プロパティを選択してプロパティシートを開きます。プロパティシートの［リサイクル］タブを選択し、すべての項目のチェックをはず

します。

15. プロパティシートの［パフォーマンス］タブを選択し、[Webガーデン]の[ 大ワーカープロセス数]に“1”を設定します。

16. プロパティシートの［識別］タブを選択し、[アプリケーションプールID]に“Network Service”、または“Local System”を設定しま

す。

- 159 -

以下の例は、“Network Service”を設定しています。


17. 選択したセキュリティアカウントで、Interstage証明書環境のフォルダに「フルコントロール」でアクセスできるようにアクセス権限を

設定してください。

Interstage証明書環境へのアクセス権限の詳細については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築

と利用”の“Interstage証明書環境のアクセス権限の設定”を参照してください。

18. Windows Server(R) x64 Editions(32ビット互換)でInterstage Application Serverを運用する場合は、32ビットISAPIフィルタを読み

込むために、以下のコマンドを実行してください。

cscript %SystemDrive%\inetpub\AdminScripts\adsutil.vbs set w3svc/AppPools/Enable32bitAppOnWin64 1

- 160 -

19. すべての作業が終了しましたら、Microsoft(R) Internet Information Servicesを開始してください。開始は、[スタート]メニューで

[プログラム]－[管理ツール]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択しま

す。一覧から[開始]を選択します。


インフォメーションサービス”の“ヘルプ（H）”を参照してください。



以下に、Microsoft(R) Internet Information Services 7.0で使用しているWebサイトに業務サーバを組み込む手順を、Microsoft(R)Windows Server(R) 2008を例に説明します。



- 161 -

1. Webサーバに以下の役割サービスがインストールされていることを確認します。

・ISAPI拡張

・ISAPIフィルタ

- 162 -

2. [スタート]メニューで[管理ツール]－[インターネットインフォメーションサービス（IIS）マネージャ]を選択します。

Microsoft(R) Internet Information Servicesが起動されている場合は、停止してください。停止は、[スタート]メニューで[管理ツー

ル]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択します。一覧から[停止]を選

択します。

- 163 -

- 164 -

3. ホスト名を選択し、[機能ビュー]の[ISAPIおよびCGIの制限]をクリックします。

- 165 -

4. [ISAPIおよびCGIの制限]を追加します。

[ISAPIまたはCGIパス]に業務サーバのプログラムを絶対パスで設定します。

以下の例は、ISAPIまたはCGIパスに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”、説明に“業務サーバ”を設定し

ています。


- 166 -

5. 追加したISAPIを許可に変更します。

- 167 -

6. 業務サーバを組み込むサイトを選択し、[機能ビュー]の[ISAPIフィルタ]をクリックします。

以下は、“Single Sign-on”というサイトに組み込む例です。

- 168 -

7. [ISAPIフィルタ]を追加します。

[ISAPIフィルタ]に業務サーバのプログラムを絶対パスで設定します。

以下の例は、フィルタ名に“業務サーバ”、実行可能ファイルに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”を設定

しています。


- 169 -

8. 業務サーバを組み込むサイトを選択し、[機能ビュー]の[ハンドラマッピング]をクリックします。

- 170 -

9. [モジュールマップ]を追加します。

[要求パス]に“F3FMssoatziis.dll”、[モジュール]に“IsapiModule”、[実行可能ファイル]に業務サーバのプログラムの絶対パスを

設定します。

以下の例は、実行可能ファイルに“C:\Interstage\F3FMsso\ssoatzag\lib\F3FMssoatziis.dll”、名前に“業務サーバ”を設定して

います。


- 171 -

10. 業務サーバを組み込むサイトを選択します。

[仮想ディレクトリの追加]を選択し、仮想ディレクトリを追加します。

- 172 -

仮想ディレクトリエイリアスに“fj-is-sso”、[物理パス]に業務サーバのプログラムの絶対パスを設定します。

以下の例は、[物理パス]に“C:\Interstage\F3FMsso\ssoatzag\lib”を設定しています。


- 173 -

11. 使用するアプリケーションプールを選択し、[詳細設定]を選択します。

- 174 -

12. 詳細設定の[プロセスモデル]の[アイドル状態のタイムアウト]を“0”、[プロセスモデル]の[ワーカープロセスの大数]を“1”、[リサイクル]の[定期的な間隔]を“0”に設定します。

13. [プロセスモデル]のIDで選択したセキュリティアカウントで、Interstage証明書環境のフォルダに「フルコントロール」でアクセスで

きるようにアクセス権限を設定してください。

Interstage証明書環境へのアクセス権限の詳細については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築

と利用”の“Interstage証明書環境のアクセス権限の設定”を参照してください。

- 175 -

14. Windows Server(R) x64 Editions(32ビット互換)でInterstage Application Serverを運用する場合は、詳細設定の[全般]の[32 ビット

アプリケーションの有効化]を“True”に設定します。

15. すべての作業が終了しましたら、Microsoft(R) Internet Information Servicesを開始してください。開始は、[スタート]メニューで－

[管理ツール]－[サービス]を選択し、ウィンドウの[World Wide Web Publishing Service]を選択し[操作]を選択します。一覧から

[開始]を選択します。


インフォメーションサービス”の“ヘルプ（H）”を参照してください。

3.5 業務サーバで使用するWebサーバの運用資源へのアクセス権限の設定

業務サーバで使用するWebサーバは、それぞれのアクセスログの機能により、リクエストの内容を記録することができます。これらのア

クセスログには、利用者の認証・認可を制御する重要な情報が記録されています。

このため、より安全に利用するためには、業務サーバのアクセスログが漏洩しないようにアクセス権限を設定して保護してください。

以下に各Webサーバのアクセスログに対するアクセス権限の設定方法を説明します。

アクセスログ出力先フォルダを、AdministratorsグループとSYSTEMに所属するユーザに対してのみアクセスを許可してください。

フォルダに対するアクセス権限の設定には、エクスプローラを使用して、アクセス許可を変更してください。

アクセス権限の設定は、Administrator権限を持ったユーザで行ってください。

なお、以下の表は、アクセスログ出力先の例です。運用している環境によって例と異なる可能性があります。

Webサーバアクセスログ出力フォルダの例

- 176 -

Interstage HTTP Server C:\Interstage\F3FMihs\logs\

Microsoft(R) Internet InformationServices

C:\WINNT\system32\LogFiles\W3SVC1\

Microsoft(R) Internet Information Servicesの設定については、Microsoft(R) Internet Information Servicesの“インターネットインフォ

メーションサービス”の“ヘルプ（H）”の“トピックの検索（H）”を参照してください。

アクセスログ出力先ディレクトリを、所有者とグループのみアクセスを許可してください。ファイルやディレクトリに対するアクセス権限の

設定には、chmodコマンドや、chownコマンドを使用します。

アクセス権限の設定は、スーパユーザ(root)で行ってください。

Webサーバアクセスログ出力ディレクトリの例

Interstage HTTP Server /opt/FJSVihs/logs/

Sun Java System Web Server /usr/iplanet/servers/https-マシン名/logs/

アクセスログ出力先ディレクトリを、所有者とグループのみアクセスを許可してください。ファイルやディレクトリに対するアクセス権限の

設定には、chmodコマンドや、chownコマンドを使用します。


Webサーバアクセスログ出力ディレクトリの例

Interstage HTTP Server /opt/FJSVihs/logs/

- 177 -

第4章運用・保守

本章では、Interstage シングル・サインオンの起動や停止などの運用と保守について説明します。

4.1 シングル・サインオンの起動

以下に各サーバの起動方法について説明します。

・リポジトリサーバの起動

・認証サーバの起動

・業務サーバの起動

4.1.1 リポジトリサーバの起動

リポジトリサーバは、リポジトリサーバを構築したマシンのInterstage管理コンソールを使用して起動することができます。リポジトリサー

バ起動時は必ずSSOリポジトリを先に起動してください。

Interstage管理コンソールの起動については“運用ガイド(基本編)”を、Interstage管理コンソールの画面操作については、Interstage管理コンソールのヘルプを参照してください。

SSOリポジトリの起動

Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ] > [リポジトリ：状態]画面からSSOリポジトリを起動してくださ

い。

なお、SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、事前にRDBシステムを起動する必要があります。

SSOリポジトリ、およびRDBシステムの起動については、“ディレクトリサービス運用ガイド”を参照してください。

リポジトリサーバの起動

Interstage HTTP Serverを起動することによりリポジトリサーバは起動します。Interstage管理コンソールを使用して、[システム] > [サー

ビス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[起動]ボタンをクリックしてください。Webサーバ名には、リポ

ジトリサーバが組み込まれているWebサーバを選択してください。リポジトリサーバが正常に起動した場合は、システムのログに情報を

出力します。

なお、認証サーバとリポジトリサーバを1台のマシンに構築している場合は、Interstage HTTP Serverの起動により認証サーバ、リポジト

リサーバの両方が起動します。

SSOリポジトリ内に登録しているロール定義のエントリ数、およびサイト定義のエントリ数によりInterstage HTTP Serverの起動に時間が

かかる場合があります。その場合、リポジトリサーバを構築したマシンのInterstage管理コンソールに「ihs81364: タイムアウトが発生しま

した。」のメッセージが表示されます。システムのログを確認し、異常が発生していない場合には、しばらく時間を空けてから、[システ

ム] > [サービス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にてリポジトリサーバが組み込まれているWebサーバ

が起動されていることを確認してください。

Interstage HTTP Serverは、コマンドを使用するなど、別の方法で起動することも可能です。Interstage HTTP Serverの詳細な起動方法

については、“Interstage HTTP Server 運用ガイド”を参照してください。

SSOリポジトリの自動起動

SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合、システム起動時にRDBシステムは自動起動しません。RDBシステムの自動起動については、“ディレクトリサービス運用ガイド”を参照してください。

SSOリポジトリとサービス連携することで、システム起動時のサービス開始において、SSOリポジトリを起動してからリポジトリサーバ

を起動することができます。SSOリポジトリとのサービス連携については、“5.3 SSOリポジトリとのサービス連携”を参照してください。

4.1.2 認証サーバの起動

認証サーバは、認証サーバを構築したマシンのInterstage管理コンソールを使用して起動することができます。なお、認証サーバを運

用する場合には、リポジトリサーバが正常に起動している必要があります。

また、統合Windows認証を行う場合は、統合Windows認証アプリケーションの起動が必要です。

- 178 -


認証サーバの起動

Interstage HTTP Serverを起動することにより認証サーバは起動します。Interstage管理コンソールを使用して、[システム] > [サービ

ス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[起動]ボタンをクリックしてください。Webサーバ名には、認証

サーバが組み込まれているWebサーバを選択してください。認証サーバが正常に起動した場合は、システムのログに情報を出力しま

す。

なお、認証サーバとリポジトリサーバを1台のマシンに構築している場合は、Interstage HTTP Serverの起動により認証サーバ、リポジト

リサーバの両方が起動します。

Interstage HTTP Serverは、コマンドを使用するなど、別の方法で起動することも可能です。Interstage HTTP Serverの詳細な起動方法


統合Windows認証アプリケーションの起動

Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[起動]ボタンをクリックして、

統合Windows認証アプリケーションを配備したワークユニットを起動してください。

ワークユニットの起動ユーザ

ワークユニットを起動する場合、ワークユニットの起動ユーザと認証サーバが使用しているWebサーバの実効ユーザ、または実効グ

ループの権限を一致させる必要があります。

Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブ、またはGroupディレクティブの設定に合わせ、以下のい

ずれかのユーザでワークユニットを起動してください。

・ Userディレクティブに指定したユーザ

・ Groupディレクティブに指定したグループに所属するユーザ

以下のような設定でワークユニットを起動する場合は、operatorユーザがnobodyグループに所属するようにOSのユーザ権限を設


Interstage HTTP Serverの環境定義ファイル(httpd.conf)のGroupの設定ワークユニットの起動ユーザ

nobody operator

また、Webサーバの実効ユーザ、または実効グループを変更する場合の注意事項については、“4.3.2 Webサーバの実効ユーザを

変更する場合の注意事項”、または“4.3.3 Webサーバの実効グループを変更する場合の注意事項”を参照してください。

4.1.3 業務サーバの起動

業務サーバの起動方法は、業務サーバが動作するWebサーバにより異なります。以下に業務サーバとして使用しているWebサーバ

ごとの起動方法を示します。

なお、業務サーバが正常に起動した場合は、システムのログに情報を出力します。また、業務サーバを運用する場合には、リポジトリ

サーバ、認証サーバが正常に起動している必要があります。

・ Interstage HTTP Serverを使用している場合

業務サーバは、業務サーバを構築したマシンのInterstage管理コンソールを使用して起動することができます。

Interstage HTTP Serverを起動することにより業務サーバは起動します。Interstage管理コンソールを使用して、[システム] > [サー

ビス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[起動]ボタンをクリックしてください。Webサーバ名は、業

務サーバが組み込まれているWebサーバを選択してください。


Interstage HTTP Serverは、コマンドを使用するなど、別の方法で起動することも可能です。Interstage HTTP Serverの詳細な起動

方法については、“Interstage HTTP Server 運用ガイド”を参照してください。

- 179 -

・ Microsoft(R) Internet Information Services 5.0を使用している場合

Microsoft(R) Internet Information Servicesを起動することにより業務サーバは起動します。Microsoft(R) Internet InformationServicesは、「サービス」の“World Wide Web Publishing Service”の“開始”を選択することにより起動します。

Microsoft(R) Internet Information Services 5.0の詳細な起動方法については、Microsoft(R) のオンラインヘルプを参照してくださ

い。

・ Microsoft(R) Internet Information Services 6.0,7.0を使用している場合

Microsoft(R) Internet Information Servicesを起動した後、WebブラウザからWebサーバにアクセスすることにより業務サーバは起

動します。Microsoft(R) Internet Information Servicesは、「サービス」の“World Wide Web Publishing Service”の“開始”を選択す

ることにより起動します。

Microsoft(R) Internet Information Services 6.0,7.0の詳細な起動方法については、Microsoft(R)のオンラインヘルプを参照してく

ださい。

・ Sun Java System Web Serverを使用している場合

Sun Java System Web Serverを起動することにより業務サーバは起動します。Sun Java System Web Serverは、“start”シェルを実

行することにより起動します。

Sun Java System Web Serverの詳細な起動方法については、Sun Java System Web Serverのマニュアルを参照してください。

・業務サーバのアクセスログファイルの初期化に失敗した場合、業務サーバが動作するWebサーバが起動されない場合がありま

す。Webサーバが起動されない場合は、システムのログに出力されるssoで始まるメッセージ内容を確認し要因を取り除いてくださ

い。メッセージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照してください。

・業務サーバの起動時にアクセス制御情報の更新を行う設定になっている場合には、業務サーバを起動する前にリポジトリサーバ

を起動してください。アクセス制御情報の更新については、“1.5.4 アクセス制御情報の更新”を参照してください。

・業務サーバを起動後は必ず保護リソースにアクセスして、認証・認可が行われることを確認してください。認証・認可が正しく行わ

れない場合は、業務サーバの環境に誤りがある可能性があります。システムのログに出力されるメッセージ内容を確認し要因を取

り除いてください。メッセージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照してください。

4.2 シングル・サインオンの停止

以下に各サーバの停止方法について説明します。

・リポジトリサーバの停止

・認証サーバの停止

・業務サーバの停止

4.2.1 リポジトリサーバの停止

リポジトリサーバは、リポジトリサーバを構築したマシンのInterstage管理コンソールを使用して停止することができます。なお、リポジト

リサーバを停止した場合は、認証サーバ、業務サーバの運用ができなくなります。リポジトリサーバを停止する際には、十分注意してく

ださい。

また、SSOリポジトリを停止する時は、必ずリポジトリサーバを先に停止してください。


リポジトリサーバの停止

Interstage HTTP Serverを停止することによりリポジトリサーバは停止します。Interstage管理コンソールを使用して、[システム] > [サー

ビス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[停止]ボタンをクリックしてください。Webサーバ名は、リポジ

トリサーバが組み込まれているWebサーバを選択してください。リポジトリサーバが正常に停止した場合は、システムのログに情報を出

力します。

- 180 -

なお、認証サーバとリポジトリサーバを1台のマシンに構築している場合は、Interstage HTTP Serverの停止により認証サーバ、リポジト

リサーバの両方が停止します。

Interstage HTTP Serverは、コマンドを使用するなど、別の方法で停止することも可能です。Interstage HTTP Serverの詳細な停止方法


SSOリポジトリの停止

Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ] > [リポジトリ：状態]画面からSSOリポジトリを停止してくださ

い。

SSOリポジトリの詳細な停止方法については、“ディレクトリサービス運用ガイド”を参照してください。

4.2.2 認証サーバの停止

認証サーバは、認証サーバを構築したマシンのInterstage管理コンソールを使用して停止することができます。なお、認証サーバを停

止した場合は、業務サーバの運用ができなくなります。認証サーバを停止する際には、十分注意してください。

また、統合Windows認証を行っている場合は、統合Windows認証アプリケーションの停止が必要です。


認証サーバの停止

Interstage HTTP Serverを停止することにより認証サーバは停止します。Interstage管理コンソールを使用して、[システム] > [サービ

ス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[停止]ボタンをクリックしてください。Webサーバ名は、認証サー

バが組み込まれているWebサーバを選択してください。認証サーバが正常に停止した場合は、システムのログに情報を出力します。

なお、認証サーバとリポジトリサーバを1台のマシンに構築している場合は、Interstage HTTP Serverの停止により認証サーバ、リポジト

リサーバの両方が停止します。

Interstage HTTP Serverは、コマンドを使用するなど、別の方法で停止することも可能です。Interstage HTTP Serverの詳細な停止方法


統合Windows認証アプリケーションの停止

Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[停止]ボタンをクリックして、

統合Windows認証アプリケーションを配備したワークユニットを停止してください。

4.2.3 業務サーバの停止

業務サーバの停止方法は、業務サーバが動作するWebサーバにより異なります。以下に業務サーバが動作するWebサーバごとの停

止方法を示します。業務サーバが正常に停止した場合は、システムのログに情報を出力します。なお、Webサーバの停止は負荷状況

により数分かかる場合があります。

・ Interstage HTTP Serverを使用している場合

業務サーバは、業務サーバを構築したマシンのInterstage管理コンソールを使用して停止することができます。

Interstage HTTP Serverを停止することにより業務サーバを停止します。Interstage管理コンソールを使用して、[システム] > [サー

ビス] > [Webサーバ] > [Webサーバ名] > [Webサーバ名：状態]画面にて[停止]ボタンをクリックしてください。Webサーバ名は、業

務サーバが組み込まれているWebサーバを選択してください。


Interstage HTTP Serverは、コマンドを使用するなど、別の方法で停止することも可能です。Interstage HTTP Serverの詳細な停止

方法については、“Interstage HTTP Server 運用ガイド”を参照してください。

・ Microsoft(R) Internet Information Servicesを使用している場合

Microsoft(R) Internet Information Servicesを停止することにより業務サーバを停止します。Microsoft(R) Internet Information Servicesは、「サービス」の“World Wide Web Publishing Service”の“停止”を選択することにより停止します。

Microsoft(R) Internet Information Servicesの詳細な停止方法については、Microsoft(R) Internet Information Servicesのオンライ

ンヘルプを参照してください。

- 181 -

・ Sun Java System Web Serverを使用している場合

Sun Java System Web Serverを停止することにより業務サーバを停止します。Sun Java System Web Serverは、“stop”シェルを実

行することにより停止します。

Sun Java System Web Serverの詳細な停止方法については、Sun Java System Web Serverのマニュアルを参照してください。

4.3 環境設定の変更

環境構築後にリポジトリサーバ、認証サーバ、および業務サーバの動作環境を変更したい場合について説明します。

4.3.1 リポジトリサーバ、認証サーバ、業務サーバの環境設定の変更

リポジトリサーバ、認証サーバ、および業務サーバの環境設定を変更したい場合は、Interstage管理コンソールの以下のタブで行って

ください。太字になっている部分には、環境設定の変更を行いたいサーバを選択します。

SSO管理者は、以下を変更します。

・リポジトリサーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ

・認証サーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ

業務サーバ管理者は、以下を変更します。

・業務サーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ

リポジトリサーバ、認証サーバ、および業務サーバの環境設定を変更した場合は、各サーバの停止／起動を行ってください。

シングル・サインオンが提供するJavaAPIを用いたJavaアプリケーションを使用し、業務サーバの環境設定で[Webアプリケーションと

の連携]の[ユーザ情報の通知]の設定を変更した場合、その変更を有効にするためにはJavaアプリケーションを再起動する必要があり

ます。

・認証サーバで使用しているSSLの環境設定を変更した場合は、認証サーバの停止／起動を行ってください。なお、SSLの環境設

定を変更したい場合は、Interstage管理コンソールの以下のタブで行ってください。

－ [システム] > [セキュリティ] > [SSL] > [SSL定義名] > [環境設定]タブ

・リポジトリサーバ(更新系)の以下の設定を、Interstage管理コンソールで変更した場合は、リポジトリサーバの構成に合わせて対処


－ユーザ情報の登録先エントリ

－ロール定義の登録先エントリ

－保護リソースの登録先エントリ

－拡張ユーザ情報

－リポジトリサーバ(更新系)を複数台配置して負荷分散する構成の場合

負荷分散しているすべてのリポジトリサーバ(更新系)の設定を同様に変更してください。

－リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散する構成の場合

リポジトリサーバ(参照系)を作成しなおしてください。

リポジトリサーバ(参照系)の作成方法については、“2.3.6 リポジトリサーバ(参照系)の追加”を参照してください。

- 182 -

4.3.2 Webサーバの実効ユーザを変更する場合の注意事項

Webサーバの実効ユーザを変更する場合は、以下の手順にしたがって実施してください。

■リポジトリサーバのWebサーバ(Interstage HTTP Server)の実効ユーザを変更する場合

1. 変更するInterstage HTTP Serverの実効ユーザ名を、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティ

ブに設定します。

2. Webサーバの実効ユーザを変更した後、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオ

ン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[適用]ボタンをクリックします。

■認証サーバのWebサーバ(Interstage HTTP Server)の実効ユーザを変更する場合




ン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[適用]ボタンをクリックします。

■業務サーバのWebサーバの実効ユーザを変更する場合

Interstage HTTP Serverを使用する場合




ン] > [業務システム] > [業務システム名] > [環境設定]タブの[適用]ボタンをクリックします。

Sun Java System Web Serverを使用する場合

1. 変更するSun Java System Web Serverの実効ユーザ名を、Sun Java System Web Serverの定義ファイル(magnus.conf)のUser指令に設定します。


ン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[Webサーバの設定]の[使用している

Webサーバ]の[実効ユーザ名]にWebサーバの定義ファイルに設定した実効ユーザ名を設定し、[適用]ボタンをクリックします。

1台のマシンで複数の業務サーバを運用している場合は、以下のように設定してください。

・ Interstage HTTP ServerとSun Java System Web Serverの実効ユーザは同じ実効ユーザを設定してください。

たとえば、各Webサーバの定義ファイルに設定する実効ユーザとInterstage管理コンソールでの設定の関係は以下のようになります。

Webサーバ Webサーバの実効ユーザ Interstage管理コンソールでの設定

Interstage HTTP Server nobody 設定不可

(左記の値が自動的に設定されます。)

Sun Java System Web Server nobody Nobody

4.3.3 Webサーバの実効グループを変更する場合の注意事項

Webサーバの実効グループを変更する場合は、以下の手順にしたがって実施してください。

- 183 -

■認証サーバのWebサーバ(Interstage HTTP Server)の実効グループを変更する場合

1. 変更するInterstage HTTP Serverの実効グループ名を、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のGroupディレク

ティブに設定してください。

2. Webサーバの実効グループ変更後、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン]> [認証基盤] > [認証サーバ] > [環境設定]タブの[適用]ボタンをクリックします。

4.4 シングル・サインオンの削除

以下に各サーバの削除方法について説明します。

・リポジトリサーバの削除

・認証サーバの削除

・業務サーバの削除

4.4.1 リポジトリサーバの削除

以下の手順でリポジトリサーバを削除します。

なお、リポジトリサーバを削除した場合、認証サーバ、業務サーバの運用ができなくなります。リポジトリサーバを削除する際には、十

分注意してください。

リポジトリサーバ(更新系)の削除

1. リポジトリサーバ(更新系)を停止してください。

リポジトリサーバ(更新系)の停止方法については、“4.2.1 リポジトリサーバの停止”を参照してください。

2. リポジトリサーバ(更新系)を構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [認証基盤]画面の[一覧]タブより、削除するリポジトリサーバ(更新系)をチェックします。

3. [削除]ボタンをクリックします。

4. 必要に応じて、リポジトリサーバ(更新系)が使用していたSSOリポジトリの情報を削除してください。

リポジトリサーバ(参照系)の削除

1. リポジトリサーバ(参照系)を停止してください。

リポジトリサーバ(参照系)の停止方法については、“4.2.1 リポジトリサーバの停止”を参照してください。

2. リポジトリサーバ(参照系)を構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [認証基盤]画面の[一覧]タブより、削除するリポジトリサーバ(参照系)をチェックします。


4. 必要に応じて、リポジトリサーバ(参照系)が使用していたSSOリポジトリの情報を削除してください。

5. 認証サーバを構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] >[認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックしてください。

6. [リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]に、削除したリポジトリサーバ(参照系)のURLが設定されている場合は、削除したリポジトリサーバ(参照系)のURLをすべて削除し、[適用]ボタンをクリックします。

7. 認証サーバを再起動してください。

4.4.2 認証サーバの削除

以下の手順で認証サーバを削除します。

なお、認証サーバを削除した場合は、業務サーバの運用ができなくなります。認証サーバを削除する際には、十分注意してくださ

い。

また、統合Windows認証を行っている場合は、統合Windows認証アプリケーションの削除が必要です。

- 184 -

認証サーバの削除

1. 認証サーバを停止してください。

認証サーバの停止方法については、“4.2.2 認証サーバの停止”を参照してください。

2. 認証サーバを構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] >[認証基盤]画面の[一覧]タブより、削除する認証サーバをチェックします。


統合Windows認証アプリケーションの削除

Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[削除]ボタンをクリックして、

統合Windows認証アプリケーションを配備したワークユニットを削除してください。

4.4.3 業務サーバの削除

まず、業務サーバ管理者が以下の手順で業務サーバを削除します。

1. 削除する業務サーバを停止します。業務サーバの停止方法は、業務サーバを組み込んだWebサーバにより異なります。

業務サーバの停止方法については、“4.2.3 業務サーバの停止”を参照してください。

2. 業務サーバを構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] >[業務システム]画面の[一覧]タブより、削除する業務サーバの業務システム名をチェックします。


上記作業後、以下のWebサーバにて業務サーバを運用している場合は、各Webサーバへの組み込み時に設定した内容を削除し、

組み込みを解除してください。

・ Microsoft(R) Internet Information Services 5.0



・ Sun Java System Web Server 6.0,6.1

次に、SSO管理者が以下の手順で業務サーバのサイト定義を削除します。

1. リポジトリサーバ(更新系)を構築しているマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソース] > [保護リソース：一覧]画面で、削除した業務サーバのサイト定

義をチェックします。


セションの管理を行っていない場合は、認証サーバの定義ファイルに設定されている、削除された業務サーバのサイト定義、および

保護パスの情報を削除してください。

認証サーバの定義ファイルの設定については、“付録K 認証サーバへの保護リソースの設定”を参照してください。

4.5 利用者に関する操作

シングル・サインオンの利用者は、SSOリポジトリで管理されています。利用者を追加する場合は、SSOリポジトリのユーザ情報に利用

者のエントリを追加し、ユーザID／パスワード、ロール名などを設定します。

また、利用者のセションを管理することで、“なりすまし”などの不正利用者による脅威を低減することができます。

4.5.1 利用者の追加

SSOリポジトリで管理するユーザ情報に、利用者のエントリを追加する場合は、ユーザプログラムを使用して行ってください。ユーザプ

ログラムについては、“2.2.2 ユーザプログラムの準備”を参照してください。

なお、利用者のエントリを追加する際には、以下の点に注意してください。

- 185 -

・認証方式が、“証明書認証”、または“パスワード認証かつ証明書認証”の場合、利用者に証明書を配布する必要があります。

また、“パスワード認証または証明書認証”の場合、証明書認証を使用する利用者に対しても、証明書を配布する必要があります。

・利用者の追加は、即時有効です。リポジトリサーバ、認証サーバ、業務サーバを操作する必要はありません。

また、SSOリポジトリへの利用者の追加は“2.3.2 SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。

4.5.2 利用者の削除

SSOリポジトリで管理するユーザ情報から利用者のエントリを削除する場合は、ユーザプログラムを使用して行ってください。ユーザプ

ログラムについては、“2.2.2 ユーザプログラムの準備”を参照してください。

なお、利用者の削除は、即時有効となります。リポジトリサーバ、認証サーバ、業務サーバを操作する必要はありません。

4.5.3 利用者のロールの変更、追加

利用者の所属が異動になった場合、または役職が変更になった場合は、その利用者のロールを変更、または追加することによりアク

セスできるリソースを変更、追加することができます。

利用者のロールを変更、または追加する場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2ユーザプログラムの準備”を参照してください。

4.5.4 利用者のパスワードの変更

SSOリポジトリで管理されている利用者のパスワードを変更する場合は、ユーザプログラムを使用して行ってください。ユーザプログラ

ムについては、“2.2.2 ユーザプログラムの準備”を参照してください。

SSOリポジトリで管理されている利用者のパスワードを変更する際には、パスワードアタックへの対策を十分考慮してください。



4.5.5 利用者のパスワードの忘却

SSOリポジトリで管理されている利用者のパスワードを忘れてしまった場合は、新しくパスワードを設定する必要があります。新しくパス

ワードを設定する場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2 ユーザプログラムの準

備”を参照してください。

SSOリポジトリで管理されている利用者のパスワードを新しく設定する際には、パスワードアタックへの対策を十分考慮してください。



4.5.6 利用者のロック

利用者を強制的にロックする場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2 ユーザプロ

グラムの準備”を参照してください。

4.5.7 ロックアウトの解除

利用者のロックアウトを解除する場合は、以下のようにInterstage管理コンソールを使用して行います。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [利用者のロック解除]タブで、ロックアウ

トを解除したいユーザのIDを指定します。

2. [検索]ボタンをクリックすると、指定した利用者の情報が表示されます。

- 186 -

3. ユーザ情報を確認し、[適用]ボタンをクリックしてください。

なお、パスワードの忘却などによりロックアウトされている場合、新しいパスワードを設定することにより、利用者のパスワードを再設定


パスワードを再設定する場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2 ユーザプログラ

ムの準備”を参照してください。

パスワードを再設定する際には、パスワードアタックへの対策を十分考慮して行ってください。



利用者のロックアウトをInterstage管理コンソールにて解除した場合、連続失敗回数もクリアされます。

4.5.8 利用者のロック状態の確認

利用者のロック状態を確認する場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2 ユーザプ

ログラムの準備”を参照してください。

なお、ロックされている利用者のロックアウトを解除する場合は、“4.5.7 ロックアウトの解除”を参照してください。

4.5.9 利用者の有効期間の確認、変更

利用者の有効期間の確認および変更を行う場合は、ユーザプログラムを使用して行ってください。ユーザプログラムについては、“2.2.2ユーザプログラムの準備”を参照してください。

4.5.10 強制サインオン

利用者が、業務サーバコンテンツの使用中にサインオフせずにWebブラウザを閉じると、不要なセションが残ってしまい、同じユーザ

IDでサインオンすることができなくなる場合があります。

このような場合、セションが自動的に無効になるのを待ち合わせたり、SSO管理者にセションを無効にするように依頼したりすることな

く、利用者が再度同じユーザIDでサインオンしなおすことができます。この際、不要なセションは自動的に無効になります。

すでにサインオンしているユーザIDと同じユーザIDでサインオンした場合、以下のような強制サインオン問い合わせページが表示さ

れます。

- 187 -

強制サインオン問い合わせページで各ボタンをクリックした場合、以下のように動作します。

・ “はい”ボタンをクリックした場合

強制サインオンを実行します。

同じユーザIDでサインオンしているセションが無効になります。

業務サーバコンテンツに対してアクセスした場合は、利用者のWebブラウザに業務サーバコンテンツが表示されます。直接認証基

盤にアクセスした場合は、認証成功後ページが表示されます。

・ “いいえ”ボタンをクリックした場合

強制サインオンを取り消します。

利用者のWebブラウザには、サインオン取り消しメッセージが表示されます。

強制サインオン問い合わせページのメッセージについては、SSO管理者が、認証サーバに格納されている、以下のメッセージファイ

ルを編集することでカスタマイズすることができます。

・ 200queryforcedsignon_ja.template (日本語版メッセージ用)

・ 200queryforcedsignon_en.template (英語版メッセージ用)

強制サインオン問い合わせページのメッセージのカスタマイズ方法については、“5.1 Webブラウザに表示するメッセージのカスタマイ

ズ”を参照してください。

強制サインオンを行う場合は、リポジトリサーバ(更新系)のInterstage 管理コンソールを使用して[システム] > [セキュリティ] > [シング

ル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[サインオン]の[強制

サインオン]を“許可する”に設定してください。

項目の詳細、および設定方法については、Interstage管理コンソールのヘルプを参照してください。

4.5.11 強制サインオフ

利用者からの問い合わせなどから、“なりすまし”などの不正なアクセス(セション)を検出した場合、SSO管理者は、業務サーバを停止

することなく不正なセションを強制的にサインオフし、シングル・サインオンシステムから不正なアクセスを締め出すことができます。

また、特定のセションに対して強制サインオフするだけでなく、特定のユーザに対して強制サインオフすることも可能です。

- 188 -

“なりすまし”などの不正アクセスは、以下のような業務サーバ、または認証サーバのアクセスログの情報などから検出することが可能

です。

アクセスログの参照方法については、“4.7 アクセスログによる保守”を参照してください。

・シングル・サインオンシステムへのアクセスを想定しているネットワーク以外のIPアドレスからのアクセスが存在する。

・使用していないIPアドレスなどからのアクセスが存在する。

Interstage シングル・サインオンでは、不正なセションを強制サインオフするために強制サインオフコマンド“ssosignoff”を提供してい

ます。

強制サインオフコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照して

ください。

・ “なりすまし”などの不正アクセスに対し強制サインオフを行った後は、利用者にパスワードを変更するよう運用指導してください。

パスワードを変更する際には、パスワードアタックへの対策を十分考慮する必要があります。パスワードアタックへの対策について

は、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”－“Interstage シングル・サインオン”－“セキュリティ対策”を参


・リポジトリサーバ(更新系)を複数配置し、負荷分散している場合は、セションを管理しているリポジトリサーバ(更新系)にてssosignoffコマンドを実行してください。セションを管理しているリポジトリサーバ(更新系)は、以下によって確認することができます。

－業務サーバのアクセスログに出力されるServer

－セション管理ログに出力されるセションID

業務サーバのアクセスログで確認できない時は、すべてのリポジトリサーバ(更新系)にてssosignoffコマンドを実行してください。

4.5.12 前回サインオン日時の確認

利用者は以下の方法で前回サインオンした日時を確認することができます。

・認証基盤のURLにアクセスします。

すでにサインオンしている利用者がWebブラウザを使用して以下のような認証基盤のURLにアクセスすると、前回サインオン日時

の通知画面が表示されます。

認証基盤のURL/ssoatcag?fj-is-sso-request=last-signon-time (注1)(注2)


注2)業務サーバ作成後に、認証基盤のURLを確認するには、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・

サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤の

URL]により確認してください。

前回サインオン日時の通知画面については、SSO管理者が、認証サーバに格納されている、以下のメッセージファイルを編集す

ることでカスタマイズすることができます。

－ 200lastsignontime_ja.template (日本語版メッセージ用)

－ 200lastsignontime_en.template (英語版メッセージ用)

カスタマイズ方法については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

- 189 -

・業務システムの画面で確認します。

業務サーバ管理者は、取得した前回サインオン日時を業務システム上のコンテンツに埋め込むことによって、例えば、業務システ

ムの画面のある領域に常に前回サインオン日時を表示することができます。

利用者は、業務システムの画面を確認するだけで前回サインオンした日時を知ることができます。

Webアプリケーションが取得できる前回サインオン日時については、“6.2 環境変数によるユーザ情報の通知の設定”を参照してく

ださい。

4.6 認可に関する操作

ロール定義と保護リソースを変更するための操作を説明します。

4.6.1 ロール定義の変更、追加

組織変更などにより、ロール定義の変更、追加が必要になることがあります。

ロール定義の変更、追加は、以下の手順で行います。

まず、SSO管理者が以下の手順でSSOリポジトリ、およびリポジトリサーバの操作を行います。

1. SSOリポジトリのロール定義を変更、または追加します。

2. 必要に応じて、保護リソースのパス定義に設定するロールを変更、または追加します。

3. 必要に応じて、ユーザ情報のエントリに設定するロールを変更、または追加します。

4. リポジトリサーバにてロール情報を取り出し、キャッシュを更新します。

Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] >[ロール情報の更新]タブの[更新]ボタンをクリックしてください。

なお、リポジトリサーバを複数台配置して負荷分散している場合には、すべてのリポジトリサーバにて更新を行ってください。

- 190 -

5. 業務サーバ管理者にアクセス制御情報の更新を依頼します。

次に、業務サーバ管理者が業務サーバの操作を行います。(注)

1. 業務サーバにてアクセス制御情報の更新を行います。

Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名]> [アクセス制御情報の更新]タブの[更新]ボタンをクリックしてアクセス制御情報を更新します。

注)業務サーバの環境設定の[アクセス制御情報の更新]が“業務サーバの起動時に行う”に設定されている場合は、業務サーバが起

動しているときだけ、この操作が必要です。また、“必要時に手動で行う”に設定されている場合は、業務サーバ起動中／停止中にか

かわらずこの操作が必要です。

「アクセス制御情報の更新」の設定については、“1.5.4 アクセス制御情報の更新”を参照してください。

なお、SSOリポジトリのロールについては、“2.3.2.4 ロール定義のエントリ”を参照してください。

・リポジトリサーバを複数台配置して負荷分散している場合は、利用者が少ない夜間などの時間帯にロールの変更や追加を行うよ

う考慮してください。

・ SSOリポジトリのロール定義を変更し、リポジトリサーバのロール情報の更新を行っただけでは、業務サーバの認可の動作には反

映されません。リポジトリサーバのロール情報の更新を行った後に、業務サーバにてアクセス制御情報の更新を行う必要がありま

す。

・アクセス制御情報の更新を実行しエラーメッセージが出力された場合、業務サーバは以前のアクセス制御情報に従って認可を行

う状態のままとなっています。エラーの対処を行い正常に更新が行われるまで、必要に応じて業務サーバを停止するなどの対処


4.6.2 保護リソースの変更

利用者から業務サーバ内のWebアプリケーションなどのリソースへのアクセス要求が発生した場合、業務サーバは保護リソースをもと

に認証・認可の対象となるリソースかを判断します。対象と判断した場合には、認証を行いSSOリポジトリで管理しているユーザ情報と

ロールをもとに利用者がそのリソースへのアクセスが可能かの判断を行います。

保護リソースの変更は、以下の手順で行います。

まず、SSO管理者が以下の手順でSSOリポジトリの操作を行います。

1. SSOリポジトリの保護リソースを変更します。

変更方法については、“2.6.3.1 業務システムのサイト定義の登録”、および“2.6.3.2 保護パスの登録”を参照してください。

2. 業務サーバ管理者にアクセス制御情報の更新を依頼します。

次に、業務サーバ管理者が以下の手順で業務サーバの操作を行います。(注)

1. 業務サーバにてInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] >[業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタンをクリックしてアクセス制御情報を更新します。

注)業務サーバの環境設定の[アクセス制御情報の更新]が“業務サーバの起動時に行う”に設定されている場合は、業務サーバが起

動している時だけ、この操作が必要です。また、“必要時に手動で行う”に設定されている場合は、業務サーバ起動中／停止中にかか

わらずこの操作が必要です。

「アクセス制御情報の更新」の設定については、“1.5.4 アクセス制御情報の更新”を参照してください。

なお、SSOリポジトリの保護リソースについては、“保護リソース”を参照してください。

セションの管理を行っていない場合は、SSOリポジトリの保護リソースを変更した後、認証サーバの定義ファイルに設定されている、業

務サーバの保護リソースの情報を変更する必要があります。認証サーバの定義ファイルの設定については“付録K 認証サーバへの保

護リソースの設定”を参照してください。

- 191 -

・リポジトリサーバを複数台配置して負荷分散している場合は、利用者が少ない夜間などの時間帯にロールの変更や追加を行うよ

う考慮してください。

・ SSOリポジトリの保護リソース情報を変更しただけでは、業務サーバの認可の動作には反映されません。業務サーバにてアクセス

制御情報の更新が必要です。

・アクセス制御情報の更新を実行しエラーメッセージが出力された場合、業務サーバは以前のアクセス制御情報に従って認可を行

う状態のままとなっています。エラーの対処を行い正常に更新が行われるまで、必要に応じて業務サーバを停止するなどの対処


4.7 アクセスログによる保守

Interstage シングル・サインオンでは、リポジトリサーバ、認証サーバ、業務サーバのそれぞれで行った認証・認可処理を、アクセスロ

グとして記録します。アクセスログはサーバごとに記録され、認証・認可の結果のほかに、日時やアクセス元識別情報、ユーザ識別情

報などを記録し、1レコード1行のテキストファイルとして出力します。

アクセスログの詳細については、“メッセージ集”の“シングル・サインオンが出力するログメッセージ”を参照してください。

また、アクセスログ出力先ファイル名やファイルの大サイズ、ファイルの保存方法の指定は、各サーバのInterstage管理コンソールを

使用して、以下の画面にて行います。


・リポジトリサーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [アクセスログ]

・認証サーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [アクセスログ]

・業務サーバ

[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ > [アクセスログ]

4.8 セション管理ログによる保守

Interstage シングル・サインオンでは、セションの更新状況を、セション管理ログとして記録します。セション管理ログはセション管理サー

バに記録され、セション情報の更新状況を1レコード1行のテキストファイルとして出力します。

セション管理ログの詳細については、“メッセージ集”の“シングル・サインオンが出力するログメッセージ”を参照してください。

また、セション管理ログの出力先ファイル名やファイルの大サイズ、ファイルの保存方法の指定は、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、以下の画面にて行います。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [セション管理ログ]


4.9 大規模システムで運用する場合の注意事項

大規模システムで運用する場合は、以下の点に注意してください。

・リポジトリサーバ(更新系)のSSOリポジトリの情報を更新する場合は、リポジトリサーバ(参照系)のSSOリポジトリがダウンしているな

ど、何らかのトラブルにより運用を停止していないか確認してください。SSOリポジトリが停止している場合は、速やかに起動してく

ださい。

・リポジトリサーバ(参照系)が長時間ダウンした場合は、SSOリポジトリのデータの整合性を保障することができなくなる場合がありま

す。リポジトリサーバ(更新系)のシステムのログにirep15071が出力されている場合は、メッセージの内容を確認し、SSOリポジトリ

データの修復を行ってください。システムのログに出力されるメッセージの詳細については、“メッセージ集”の“メッセージ番号がirepで始まるメッセージ”を参照してください。

irep15071が出力されていない場合は、リポジトリサーバ(参照系)を復旧させることで、リポジトリサーバ(更新系)のSSOリポジトリの

- 192 -

データがリポジトリサーバ(参照系)のSSOリポジトリに反映されます。リポジトリサーバ(更新系)のSSOリポジトリのアクセスログに出力

された後の更新情報が、リポジトリサーバ(参照系)のSSOリポジトリのアクセスログに出力された時点で反映完了となります。

- 193 -

第5章シングル・サインオンのカスタマイズ

本章では、Interstage シングル・サインオンのカスタマイズについて説明します。

5.1 Webブラウザに表示するメッセージのカスタマイズ

Interstage シングル・サインオンはWebブラウザに表示するメッセージをカスタマイズする機能を提供しています。具体的には、HTML形式のメッセージファイルを編集することにより、Webブラウザに表示するメッセージを運用に応じて変更することができます。

たとえば、Webブラウザに表示するメッセージに、内容に対する問い合わせ先を表示することや、直接メールで問い合わせができるよ

うにすることもできます。また、より詳しいメッセージ内容に変更することもできます。

以下は、メッセージをカスタマイズした例です。

5.1.1 カスタマイズできるメッセージ

Interstage シングル・サインオンは、以下のメッセージをカスタマイズすることができます。

・フォーム認証時に表示されるメッセージ

・認証時に発生するエラー要因に対するメッセージ

- 194 -

・統合Windows認証時に表示されるメッセージ

・認可時に発生するエラー要因に対するメッセージ

メッセージのカスタマイズは、HTML形式のメッセージファイルを編集することにより行います。

メッセージファイルは、日本語版と英語版を用意しています。クライアントのWebブラウザに設定した言語に応じて編集するメッセージ

ファイルを選択してください。

なお、クライアントのWebブラウザの言語設定に日本語以外が設定されている場合は、英語版のメッセージが表示されます。

フォーム認証時に表示されるメッセージ

フォーム認証時に表示されるメッセージをカスタマイズすることができます。メッセージのカスタマイズは認証サーバを構築したマシン

で、認証サーバが停止した状態で行ってください。

なお、すでに、負荷分散のため認証サーバを追加している場合は、追加した認証サーバに対しても、同様に、メッセージをカスタマイ

ズしてください。追加した認証サーバに対するメッセージのカスタマイズは、移出マシンから移入マシン(追加した認証サーバ)に対し

て、メッセージをコピーするようにしてください。

メッセージファイルは、以下のディレクトリに格納しています。メッセージを編集する際は“5.1.9 メッセージファイルのアクセス権限の設

定”を参照し、メッセージファイルのアクセス権限を確認してください。

メッセージファイルの格納先

C:\Interstage\F3FMsso\ssoatcag\pub\template\

/etc/opt/FJSVssoac/pub/template/

また、誤った操作で、メッセージファイルを破壊してしまった場合などは、以下に格納されているオリジナルファイルを格納先にコピー

して使用することができます。

オリジナルファイルの格納先

C:\Interstage\F3FMsso\ssoatcag\pub\original\template\

/opt/FJSVssoac/pub/original/template/

No. メッセージを表示する要因表示するメッセージ内容メッセージファイル名

1 保護リソースにアクセスしていない状

態で、フォーム認証ページより直接

サインオンしました。

Welcome to Single Sign-on. 200auth_succeeded_en.template (*2)

シングル・サインオンへようこそ。 200auth_succeeded_ja.template (*2)

2 サインオフしました。 The sign off it did. 200signoff_en.template (*2)

サインオフしました。 200signoff_ja.template (*2)

3 前回のサインオン日時を通知しまし

た。

Last sign-on time : MM/DD/YYYYhh:mm:ss

200lastsignontime_en.template (*2)(*3)

前回サインオン日時 : YYYY年MM月

DD日 hh時mm分ss秒200lastsignontime_ja.template (*2)(*3)

4 フォーム認証を行います。 Enter your user name and password. 200auth_form_en.template (*4)

ユーザ名、およびパスワードを入力し

てください。

200auth_form_ja.template (*4)

5 ユーザ名、パスワードに誤りがありま

す。

User name or password is incorrect. 200passwderr_form_en.template (*4)

ユーザ名、またはパスワードが正しく

ありません。

200passwderr_form_ja.template (*4)

- 195 -

または、証明書に該当するユーザ情

報が見つかりません。

6 期限切れなどが原因で認証情報は

無効なため、認証操作をやり直す必


Authentication has been expired. 200authexpired_en.template (*4)

認証の有効期限が切れています。 200authexpired_ja.template (*4)

7 サインオフするかどうか確認します。 Sign-off? 200querysignoff_en.template (*2)(*5)

サインオフしますか？ 200querysignoff_ja.template (*2)(*5)

8 アイドル監視時間を超過しタイムアウ

トが発生したため、認証操作をやり

直す必要があります。

Timed out, session is unavailable. 200timedout_en.template (*4)

タイムアウトが発生したためセションは

無効です。

200timedout_ja.template (*4)

9 すでにサインオンしている状態です

が、サインオンしなおすかどうか確認

します。

This user has already signed-on. Sign-on again?

200queryforcedsignon_en.template (*2)(*6)

このユーザですでにサインオンしてい

ます。サインオンし直しますか？

200queryforcedsignon_ja.template (*2)(*6)

10 複数のページで同時に認証を行い

ました。または、認証中に別の保護リ

ソースにアクセスがありました。

Waiting for authentication fromanother window or page...If authentication is not already inprogess, click the following button tocontinue authentication processing.

200check_duplication_auth_en.template(*2)(*7)

他の画面で認証されるのを待ってい

ます。

認証中の画面が存在しない場合は、

以下のボタンをクリックして認証を継続


200check_duplication_auth_jp.template(*2)(*7)

11 認証済みの状態で、フォーム認証

ページにアクセスがありました。

User was already authenticated. 403alreadyauth_en.template (*2)

すでに認証済みです。 403alreadyauth_ja.template (*2)

12 統合Windows認証に失敗しました。 Authentication failed. 403auth_failed_en.template (*2)

認証に失敗しました。 403auth_failed_ja.template (*2)

13 証明書が提示されませんでした。

誤った証明書が提示されました。ま

たは、証明書に該当するユーザ情報

が見つかりません。(*1)

Certificate authentication is needed. 403requestcert_en.template (*2)

証明書による認証が必要です。 403requestcert_ja.template (*2)

14 指定された証明書が壊れています。

または、証明書にユーザを特定する

情報が見つかりません。

Certificate is invalid. 403certinvalid_en.template (*2)

証明書は無効です。 403certinvalid_ja.template (*2)

15 証明書の有効期限が切れています。 Certificate has expired. 403certexpired_en.template (*2)

証明書は有効期限切れです。 403certexpired_ja.template (*2)

16 指定した証明書は失効しています。 Certificate has been revoked. 403certrevoke_en.template (*2)

証明書は失効しています。 403certrevoke_ja.template (*2)

17 パスワードの再入力に規定回数失敗

したため、ロックアウトされました。(*1)User was locked out. 403locked_en.template (*2)

ユーザはロックされました。 403locked_ja.template (*2)

18 ユーザがロックアウトされた状態のた

め、Interstage シングル・サインオン

が管理しているリソースにアクセスで

きません。(*1)

User has been locked. 403alreadylocked_en.template (*2)

ユーザはロックされています。 403alreadylocked_ja.template (*2)

19 利用者の識別情報がリポジトリに重

複して登録されているため、指定さ

User is duplicated. 403notspecified_en.template (*2)

ユーザが重複して登録されています。 403notspecified_ja.template (*2)

- 196 -

れたリソースにアクセスできませんで

した。(*1)

20 有効期間開始前であるか、有効期間

が過ぎているため利用者は無効で

す。無効な利用者はInterstage シン

グル・サインオンが管理しているリソー

スにアクセスできません。(*1)

User is not available. 403notavailable_en.template (*2)

ユーザは無効です。 403notavailable_ja.template (*2)

21 SSOリポジトリにユーザ情報が見つ

かりませんでした。(*1)User has not been found. 403noentry_en.template (*2)

ユーザが見つかりませんでした。 403noentry_ja.template (*2)

22 すでにサインオンしているユーザへ

のサービスを要求されましたが、サイ

ンオンされていませんでした。

Sign-on is not done. 403notsignon_en.template (*2)

サインオンされていません。 403notsignon_ja.template (*2)

23 サインオフ問い合わせページで、サ

インオフを取り消しました。

Sign-off was canceled. 403cancelesignoff_en.template (*2)

サインオフを取り消しました。 403cancelesignoff_ja.template (*2)

24 強制サインオン問い合わせページ

で、強制サインオンを取り消しまし

た。

Sign-on was canceled. 403cancelforcedsignon_en.template (*2)

サインオンを取り消しました。 403cancelforcedsignon_ja.template (*2)

25 すでにサインオンしている状態で再

度サインオンを行いました。多重サイ

ンオンが抑止されているため、サイン

オンすることができません。

Failed to sign-on. This user has alreadysigned-on.

403session_already_exist_en.template (*2)

このユーザですでにサインオンしてい

ます。サインオンできません。

403session_already_exist_ja.template (*2)

26 サインオフに必要な情報が失われて

いるため、サインオフできませんでし

た。

Failed to Sign-off. Please close webbrowser.

403signoff_failed_en.template (*2)

サインオフできませんでした。Webブラウザを閉じてください。

403signoff_failed_ja.template (*2)

27 シングル・サインオンの運用で内部

異常が発生しました。

An internal error has occurred. 500internalerr_en.template (*2)

内部エラーが発生しました。 500internalerr_ja.template (*2)

(*1)認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知しない]を指定した場合は、メッセージ「ユーザ名、またはパ

スワードが正しくありません。」に統一されます。[利用者への認証失敗原因の通知]については、Interstage管理コンソールを使用して、

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、

[業務システムとの通信の設定]で設定します。

(*2)本メッセージファイルには、認証用のフォームタグを含めないでください。認証用のフォームタグを含めた場合、認証が正しく行わ

れない可能性があります。

(*3)本メッセージファイルには、認証サーバで前回サインオン日時が自動的に埋め込まれます。

(*4)本メッセージファイルには、あらかじめ認証用のフォームタグが含まれています。認証用のフォームタグの仕様については、“5.1.3認証用フォームタグの仕様”を参照してください。

(*5)本メッセージファイルには、あらかじめサインオフ問い合わせ用のフォームタグが含まれています。サインオフ問い合わせ用の

フォームタグの仕様については、“5.1.5 サインオフ問い合わせページ用フォームタグの仕様”を参照してください。

(*6)本メッセージファイルには、あらかじめ強制サインオン問い合わせ用のフォームタグが含まれています。強制サインオン問い合わ

せ用のフォームタグの仕様については、“5.1.4 強制サインオン問い合わせページ用フォームタグの仕様”を参照してください。

(*7)本メッセージファイルには、あらかじめ同時認証確認用のタグが含まれています。同時認証確認用のタグの仕様については、“5.1.6同時認証確認画面用タグの仕様”を参照してください。

認証時に発生するエラー要因に対するメッセージ

認証時に発生する以下に示すエラー要因に対するメッセージをカスタマイズすることができます。メッセージのカスタマイズは認証サー

バを構築したマシンで、認証サーバが停止した状態で行ってください。

- 197 -


ズしてください。追加した認証サーバに対するエラーメッセージのカスタマイズは、移出マシンから移入マシン(追加した認証サーバ)に対して、エラーメッセージをコピーするようにしてください。




C:\Interstage\F3FMsso\ssoatcag\pub\template\

/etc/opt/FJSVssoac/pub/template/




C:\Interstage\F3FMsso\ssoatcag\pub\original\template\

/opt/FJSVssoac/pub/original/template/

No. メッセージを表示するエラー要因表示するメッセージ内容メッセージファイル名

1 複数のページで同時に認証を行い

ました。または、認証中に別の保護リ

ソースにアクセスがありました。

Waiting for authentication fromanother window or page...If authentication is not already inprogess, click the following button tocontinue authentication processing.

200check_duplication_auth_en.template(*2)

他の画面で認証されるのを待ってい

ます。

認証中の画面が存在しない場合は、

以下のボタンをクリックして認証を継続


200check_duplication_auth_jp.template(*2)

2 ユーザ名、パスワードに誤りがありま

す。または、証明書に該当するユー

ザ情報が見つかりません。

User name or password is incorrect. 401passwderr_en.template

ユーザ名、またはパスワードが正しく

ありません。

401passwderr_ja.template

3 統合Windows認証に失敗しました。 Authentication failed. 403auth_failed_en.template

認証に失敗しました。 403auth_failed_ja.template

4 証明書が提示されませんでした。

誤った証明書が提示されました。ま

たは、証明書に該当するユーザ情報

が見つかりません。(*1)

Certificate authentication is needed. 403requestcert_en.template

証明書による認証が必要です。 403requestcert_ja.template

5 指定された証明書が壊れています。

または、証明書にユーザを特定する

情報が見つかりません。

Certificate is invalid. 403certinvalid_en.template

証明書は無効です。 403certinvalid_ja.template

6 証明書の有効期限が切れています。 Certificate has expired. 403certexpired_en.template

証明書は有効期限切れです。 403certexpired_ja.template

7 指定した証明書は失効しています。 Certificate has been revoked. 403certrevoke_en.template

証明書は失効しています。 403certrevoke_ja.template

8 パスワードの再入力に規定回数失敗

したため、ロックアウトされました。(*1)User was locked out. 403locked_en.template

ユーザはロックされました。 403locked_ja.template

- 198 -

9 ユーザがロックアウトされた状態のた

め、Interstage シングル・サインオン

が管理しているリソースにアクセスで

きません。(*1)

User has been locked. 403alreadylocked_en.template

ユーザはロックされています。 403alreadylocked_ja.template

10 利用者の識別情報がリポジトリに重

複して登録されているため、指定さ

れたリソースにアクセスできませんで

した。(*1)

User is duplicated. 403notspecified_en.template

ユーザが重複して登録されています。 403notspecified_ja.template

11 有効期間開始前であるか、有効期間

が過ぎているため利用者は無効で

す。無効な利用者はInterstage シン

グル・サインオンが管理しているリソー

スにアクセスできません。(*1)

User is not available. 403notavailable_en.template

ユーザは無効です。 403notavailable_ja.template

12 SSOリポジトリにユーザ情報が見つ

かりませんでした。(*1)User has not been found. 403noentry_en.template

ユーザが見つかりませんでした。 403noentry_ja.template

13 サインオフに必要な情報が失われて

いるため、サインオフできませんでし

た。

Failed to Sign-off. Please close webbrowser.

403signoff_failed_en.template

サインオフできませんでした。Webブラウザを閉じてください。

403signoff_failed_ja.template



An internal error has occurred. 500internalerr_en.template

内部エラーが発生しました。 500internalerr_ja.template

(*1)認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知しない]を指定した場合は、メッセージ「ユーザ名、またはパ

スワードが正しくありません。」に統一されます。[利用者への認証失敗原因の通知]については、Interstage管理コンソールを使用して、

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、

[業務システムとの通信の設定]で設定します。

(*2)本メッセージファイルには、あらかじめ同時認証確認用のタグが含まれています。同時認証確認用のタグの仕様については、“5.1.6同時認証確認画面用タグの仕様”を参照してください。

統合Windows認証時に表示されるメッセージ

統合Windows認証時に表示されるメッセージをカスタマイズすることができます。メッセージのカスタマイズは認証サーバを構築した

マシンで、認証サーバが停止した状態で行ってください。







C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\custom\page\

/etc/opt/FJSVssoac/webapps/winauth/custom/page/




C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\original\page\

/etc/opt/FJSVssoac/webapps/winauth/original/page/

- 199 -


1 初回認証時に統合Windows認証に

よるサインオンを行うかかどうか確認

します。

Do you want to sign on using IntegratedWindows Authentication?

200_confirm_winauth_en.html(*1)

統合Windows認証でサインオンします

か？

200_confirm_winauth_ja.html(*1)

2 アイドル監視時間を超過しタイムアウ

トが発生したため、統合Windows認証によるサインオンを行うかかどうか

確認します。

Timed out, session is unavailable.Do you want to sign on again usingIntegrated Windows Authentication?

200_confirm_timeout_en.html(*1)

タイムアウトが発生したためセションは

無効です。


か？

200_confirm_timeout_ja.html(*1)

3 認証の有効期限が切れているため、

統合Windows認証によるサインオン

を行うかかどうか確認します。

Authentication has been expired.Do you want to sign on again usingIntegrated Windows Authentication?

200_confirm_expired_en.html(*1)

認証の有効期限が切れています。


か？

200_confirm_expired_ja.html(*1)

4 統合Windows認証によるサインオン

をキャンセルしました。

Sign on using Integrated WindowsAuthentication was canceled.

200_winauth_cancel_en.html

統合Windows認証によるサインオンを

キャンセルしました。

200_winauth_cancel_ja.html

5 ブラウザが統合Windows認証を行う

設定になっていません。

User authentication is required. 401_request_winauth_en.html

ユーザ認証が必要です。 401_request_winauth_ja.html

6 統合Windows認証に失敗しました。 Integrated Windows Authenticationfailed.

403_winauth_failed_en.html

統合Windows認証に失敗しました。 403_winauth_failed_ja.html

7 認証リクエストが受け付けられませ

ん。

Invalid operation. 403_winauth_invalid_en.html

無効な操作です。 403_winauth_invalid_ja.html



An internal error has occurred. 500_internal_error_en.html(*2)

内部エラーが発生しました。 500_internal_error_ja.html(*2)

(*1)本メッセージファイルには、あらかじめ統合Windows認証時に表示されるメッセージ用のタグが含まれています。統合Windows認証時に表示されるメッセージ用のタグの仕様については、“5.1.8 統合Windows認証時に表示されるメッセージ用のタグの仕様”を参照


(*2) 本メッセージファイルは、ファイルのサイズが512バイト以上になるようにカスタマイズしてください。512バイト未満の場合、カスタ

マイズしたメッセージファイルが正常に表示されない場合があります。

認可時に発生するエラー要因に対するメッセージ

認可時に発生する以下に示すエラー要因に対するメッセージをカスタマイズすることができます。メッセージは業務サーバ単位でカ

スタマイズし、運用できます。メッセージのカスタマイズは業務サーバを構築したマシンで、業務サーバが停止した状態で行ってくださ

い。

なお、すでに、負荷分散のため業務サーバを追加している場合は、追加した業務サーバに対しても、同様に、メッセージをカスタマイ

ズしてください。追加した業務サーバに対するエラーメッセージのカスタマイズは、移出マシンから移入マシン(追加した業務サーバ)に対して、エラーメッセージをコピーするようにしてください。



- 200 -


C:\Interstage\F3FMsso\ssoatzag\pub\template\

/etc/opt/FJSVssoaz/pub/template/




C:\Interstage\F3FMsso\ssoatzag\pub\original\template\

/opt/FJSVssoaz/pub/original/template/


1 POSTリクエストに対して認証を行い

ます。

Click the link below to open theAuthentication window. Check that theauthentication server is correct, and thencomplete the authentication procedure.

200postauth_en.template (*1)

POSTリクエスト時にアイドル監視で

タイムアウトが発生しました。

POSTリクエスト時に認証の有効期限

が切れていました。

以下のリンクをクリックして認証画面を

表示し、正しい認証サーバか確認のう

え認証してください。

200postauth_ja.template (*1)

業務システムの初回アクセス時に

POSTリクエストを送信しました。

2 POSTリクエストに対する認証操作を

中断後、再度認証操作を実施しまし

た。

Authentication was successful. 200closeerr_en.template

認証に成功しました。 200closeerr_ja.template

3 アクセスに必要なロールをユーザが

保持していないため、コンテンツを公

開できません。

Access is not allowed. 403roleerr_en.template (*3)

アクセスは許可されていません。 403roleerr_ja.template (*3)

4 ブラウザがCookieを受け付けない設

定になっています。

Browser does not accept cookies. 403cookieerr_en.template (*3)

ブラウザがcookieを受け付けません。 403cookieerr_ja.template (*3)

5 期限切れなどが原因で認証情報は

無効なため、認証操作をやり直す必


Authentication has been expired. 403postdecodeerr_en.template (*3)

認証の有効期限が切れています。 403postdecodeerr_ja.template (*3)

6 認証情報がありません。 Authentication is needed. Try againafter authentication.

403postrequesterr_en.template (*3)

認証が必要です。認証を行ってからや

り直してください。

403postrequesterr_ja.template (*3)

7 認証情報が正しくありません。認証

時に認証サーバへアクセスした時の

IPアドレスと、業務サーバへアクセス

した時のIPアドレスが異なっている可

能性があります。

Authentication information is invalid. 403ipcheckerr_en.template (*3)

認証情報が正しくありません。 403ipcheckerr_ja.template (*3)

8 長いファイル名から生成される8.3形式ファイル名には対応していません。

また、“.”で終わるフォルダ名／ファ

イル名などを含むURLには対応して

いません。

Requested path is invalid form.

403patherr_en.template (*2)(*3)

要求されたパスは形式が不正です。

403patherr_ja.template (*2)(*3)

- 201 -



An internal error has occurred. 500internalerr_en.template (*3)

内部エラーが発生しました。 500internalerr_ja.template (*3)

(*1)本メッセージファイルには、あらかじめ未認証画面用のタグが含まれています。未認証画面用のタグの仕様については、“5.1.7未認証画面用タグの仕様”を参照してください。

(*2)Windows(R)の場合だけ使用するメッセージファイルです。

(*3)Microsoft(R) Internet Information Services 7.0を使用する場合、本メッセージファイルは表示されず、以下に示すMicrosoft(R)Internet Information Servicesのエラーページが表示されます。運用に応じてMicrosoft(R) Internet Information Servicesのエラーペー

ジをカスタマイズしてください。

・メッセージファイル名が403で始まるメッセージ

Microsoft(R) Internet Information Servicesの状態コード403のエラーページ

・メッセージファイル名が500で始まるメッセージ

Microsoft(R) Internet Information Servicesの状態コード500のエラーページ

5.1.2 メッセージのカスタマイズ方法

メッセージファイルのカスタマイズ方法について説明します。

1. メッセージファイルを編集します。以下の編集例を参考にしてください。

－認証用フォームタグを編集する場合には、“5.1.3 認証用フォームタグの仕様”を参照してください。

－強制サインオン問い合わせページを編集する場合には、“5.1.4 強制サインオン問い合わせページ用フォームタグの仕様”


－サインオフ問い合わせページを編集する場合には、“5.1.5 サインオフ問い合わせページ用フォームタグの仕様”を参照して

ください。

－同時認証確認画面を編集する場合には、“5.1.6 同時認証確認画面用タグの仕様”を参照してください。

－未認証画面を編集する場合には、“5.1.7 未認証画面用タグの仕様”を参照してください。

－統合Windows認証アプリケーションでエラー検出した時に表示されるメッセージを編集する場合は、“5.1.8 統合Windows認証時に表示されるメッセージ用のタグの仕様”を参照してください。

2. 編集したメッセージファイルを表示して確認します。問題なく表示することができましたら、認証サーバ、または業務サーバを起

動してください。運用開始後、編集したメッセージが表示されます。

以下に、メッセージファイルの編集例を示します。

メッセージファイル“403roleerr_ja.template”の編集例を示します。

編集前のメッセージ出力イメージ

以下は、メッセージファイル“403roleerr_ja.template”を編集しないで表示したものです。

このメッセージの編集したい箇所を確認してください。

- 202 -

編集後のメッセージファイル

403roleerr_ja.templateファイルを開いて編集します。

以下は、太字になっている部分を変更した例です。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS">

<title> 403 Forbidden </title>

</head>

<body TEXT="#000066" BGCOLOR="#FFFFCC" LINK="#660000" VLINK="#660000" ALINK="#FFCC33">

<table border="0" cellpadding="10" width="100%">

<tr><td>

<b><font size="+2">ページにアクセスするための権限がありません。</font></b>

</td></tr>

</table>

<hr size="2" noshade>

<P>

指定されたページへのアクセス権がないため、ページを公開できません。</P>

<P>以下の対処を行ってください。<BR><BR>

・社内システムの管理者に、指定されたページにアクセスするための権限が設定されているか確認してください。<BR>

アクセス権が設定されていない場合は、設定を依頼する必要があります。設定には以下の情報が必要になります。

<UL>

<LI>名前

<LI>ユーザID

<LI>メールアドレス

<LI>従業員番号

<LI>部署</UL>

このページについてのお問い合わせは<a href="mailto:[email protected]">社内システム部</a>までお願いいたし

- 203 -

ます。内線番号 xxxx-xxxx</P>

<h3 align="right">＊＊＊株式会社社内システム部</h3>

</body>

</html>

編集後のメッセージ出力イメージ

以下は、WebブラウザにMicrosoft(R) Internet Explorerを使用して、編集後のメッセージファイルを表示したものです。

任意のWebブラウザを使用して、編集したとおり表示できているか確認してください。

・エラーのメッセージを変更してしまうと、発生したエラーに対するメッセージの詳細を“メッセージ集”で確認することができなくなる

可能性があります。メッセージを変更する際は十分気をつけてください。

・サーバ側だけで有効となる特殊なHTMLタグは使用しないでください。

・メッセージファイルを削除した場合やメッセージファイルのアクセス権限がなかった場合、Interstage シングル・サインオンのシステ

ムのログが出力され、Webブラウザには編集前の英語メッセージが表示されます。メッセージファイルの削除やメッセージファイル

- 204 -

のアクセス権限の変更は行わないでください。システムのログに出力されるメッセージの詳細については、“メッセージ集”の“メッ

セージ番号がssoで始まるメッセージ”を参照してください。

・以下のメッセージファイルの「」部分には、前回サインオン日時が表示されます。「」を削除すると、前回サインオン日時が表示されなくなりますので、ご注意ください。

－ 200lastsignontime_en.template

－ 200lastsignontime_ja.template

・以下のメッセージファイルの「  」部分には、エラー詳細コードが表示されます。「 」を削除すると、エラー詳細コードが表示されなくなりますので、ご注意ください。

－ 500internalerr_en.template

－ 500internalerr_ja.template

・以下のメッセージファイルの<head>タグ中に記載されている<script>タグ内のJavaScript、および<body>タグに設定されている

JavaScriptのイベントハンドラ「onload="close_sso_window()"」部分は変更しないでください。変更すると、POSTリクエストに対する

認証が正常に行われなくなりますので、ご注意ください。

－ 200closeerr_en.template

－ 200closeerr_ja.template

・表示する画像、または他のページへのハイパーリンクなど、他のコンテンツを指定する場合には以下の点に注意してください。

－コンテンツの位置は、URLで指定するか、ルートパス(“/”)からの絶対パスで指定してください。

－コンテンツを、運用中の業務サーバから読み出す場合は、保護パス配下に格納されたファイルは指定しないでください。

－コンテンツを認証サーバと同じポート番号から読み出す場合は、対象のファイルを以下のディレクトリに格納してください。な

お、以下のディレクトリが、Webブラウザから参照できるルートパス(“/”)になります。

C:\Interstage\F3FMsso\ssoatcag\pub\docroot\

/opt/FJSVssoac/pub/docroot/

・メッセージとして表示される情報は、悪意のある人からの攻撃の足がかりとなってしまう可能性があります。メッセージを編集する際

は、表示する情報に十分注意してください。

5.1.3 認証用フォームタグの仕様

フォーム認証時に表示されるメッセージに組み込むパスワード認証用のフォームタグの仕様について以下に説明します。

メッセージファイル“200auth_form_en.template”にあらかじめ組み込まれている認証用フォームタグを示します。

太字になっている部分が必須です。

<form action="/ssoatcag" method="post" autocomplete="off">

<table border="0">

<tr>

<td nowrap align="right">user name</td>

<td><input name="fj_is_sso_user_name" type="text" maxlength="255"></td>

</tr>

<tr>

<td nowrap align="right">password</td>

<td><input name="fj_is_sso_password" type="password" maxlength="255"></td>

</tr>

<tr><td colspan="2"> </td></tr>

<tr><td colspan="2" nowrap align="center"><input type="submit" value="sign-on"> <input type="reset"

value="reset"></td></tr>

- 205 -

</table>

</form>

以下に、各タグの仕様を説明します。

フォーム定義

<form action="/ssoatcag" method="post">

・ action属性の値には、必ず“/ssoatcag”を設定してください。(注)

・ method属性の値は、必ず“post”を設定してください。

・ enctype属性は、必ず省略してください。

ユーザID

<input name="fj_is_sso_user_name" type="text">

・ユーザIDを入力させるためのテキストエリアです。必須項目です。

・ name属性の値には、必ず“fj_is_sso_user_name”を設定してください。

・ type属性の値には、必ず“text”を設定してください。

パスワード

<input name="fj_is_sso_password" type="password">

・パスワードを入力させるためのパスワード入力エリアです。必須項目です。

・ name属性の値には、必ず“fj_is_sso_password”を設定してください。

・ type属性の値には、必ず“password”を設定してください。

注)誤った値を設定した場合は、以下の現象が発生し、認証が正しく行えない場合があります。

・ Webブラウザに以下のメッセージなどが表示される場合があります。



・システムのログにsso02012、またはsso12003が出力される場合があります。

・ SSL通信にてクライアント認証を使用している場合は、クライアント証明書の要求画面が複数回表示される場合があります。

・認証が行われずに、任意のコンテンツが表示される場合があります。

5.1.4 強制サインオン問い合わせページ用フォームタグの仕様

強制サインオン問い合わせ時に表示されるメッセージに組み込まれているフォームタグの仕様について以下に説明します。

メッセージファイル“200queryforcedsignon_en.template”にあらかじめ組み込まれているフォームタグを示します。


<input name="fj_is_sso_forced_sign_on_continue" type="submit" value="yes">

<input name="fj_is_sso_forced_sign_on_cancel" type="submit" value="no">

<input name="fj_is_sso_forced_sign_on_id" type="hidden" value="">

</form>

上記の太字になっている部分は変更しないでください。

- 206 -

誤った値を設定した場合は、以下の現象が発生し、強制サインオンが正しく行えない場合があります。






5.1.5 サインオフ問い合わせページ用フォームタグの仕様

サインオフ問い合わせ時に表示されるメッセージに組み込まれているフォームタグの仕様について以下に説明します。

メッセージファイル“200querysignoff_en.template”にあらかじめ組み込まれているフォームタグを示します。


<input name="fj_is_sso_sign_off_continue" type="submit" value="yes">

<input name="fj_is_sso_sign_off_cancel" type="submit" value="no">

<input name="fj_is_sso_sign_off_id" type="hidden" value="">

</form>

上記の太字になっている部分は変更しないでください。

誤った値を設定した場合は、以下の現象が発生し、サインオフが正しく行えない場合があります。




－ “サインオンされていません。”



5.1.6 同時認証確認画面用タグの仕様

複数のページで同時に認証を行った場合や認証中に別の保護リソースにアクセスした場合に表示される同時認証確認画面に組み

込まれているタグの仕様について以下に説明します。

メッセージファイル“200check_duplication_auth_ja.template”にあらかじめ組み込まれているタグを示します。

なお、以下の例に記載されている左端の数字は、編集時に注意が必要な行がわかるように追記したものであり、実際のメッセージファ

イルには記載されていません。

1:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

2:<html lang="ja">

3:<head>

4:<meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS">

5:<title> </title>

6:<meta http-equiv="Content-Style-Type" content="text/css">

7:<meta http-equiv="Content-Script-Type" content="text/javascript">

8:<script type="text/javascript">

9:

186:</script>

187:</head>

188:<body onload="autosend()">

189:

190:

191:<layer id="layerProcessing" visibility="hidden">

192:<div id="divProcessing" style="visibility: hidden">

193:<div style="position: absolute">

194:<table border="0" cellpadding="10" width="100%">

195:<tr><td>

196:<b><font size="+2"> Waiting </font></b>

197:</td></tr>

198:</table>

199:<hr size="2" noshade>

200:<div align="center">

201:<table border="0">

202:<tr><td>

203他の画面で認証されるのを待っています。<br>

204認証中の画面が存在しない場合は、以下のボタンをクリックして認証を継続してください。<br>

205:</td></tr>

206:</table>

207:<br>

208:<form action="#">

209:<input type="button" value="継続" onClick="javascript:retry();">

210:</form>

211:</div>

212:</div>

213:</div>

214:</layer>

215:

216:

217:<layer id="layerNocookie" visibility="hidden">

218:<div id="divNocookie" style="visibility: hidden">


220:Please enable COOKIE on your browser.

221:</div>

222:</div>

223:</layer>

224:

225:<form action="/ssoatcag" name="postdata" method="{SSO_FORM_METHOD}">

226:{SSO_FORM_PARAMETER}

227:<input type="hidden" name="fj-is-sso-req-check" value="1">

228:</form>

229:

230:<form action="/ssoatcag" name="postdata_org" method="{SSO_FORM_METHOD}">

231:{SSO_FORM_PARAMETER}

232:</form>

233:

234:<noscript>

235:Please enable JavaScript on your browser.

236:</noscript>

237:

238:</body>

239:</html>

メッセージファイルを編集する際には、以下の点に注意してください。

- 208 -

・太字になっている部分は変更しないでください。

・ 12行目のretryMsgには、209目の[継続]ボタンをクリックした際に表示するメッセージを指定してください。

・ 194目から211目には、複数のページで同時に認証を行った場合、または認証中に別の保護リソースにアクセスした場合に表示さ

れるメッセージを指定してください。また、本メッセージが表示された際のタイトル(titleタグと同等)を11行目のdocTitleに指定してく

ださい。

・ 220行目には、Cookieが無効になっているWebブラウザ向けのメッセージを指定してください。

・ 235目には、JavaScriptが無効になっているWebブラウザ向けのメッセージを指定してください。

5.1.7 未認証画面用タグの仕様

POSTリクエストに対する認証を行う場合に表示される未認証画面に組み込まれているタグの仕様について以下に説明します。

メッセージファイル“200postauth_ja.template”にあらかじめ組み込まれているタグを示します。



1:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">

2:<html>

3:<head>


5:<title> POST authentication </title>

6:<script language=JavaScript>

7:";

10:var winName = "_blank";

11:var options = "width=480,height=360,menubar=no,toolbar=no,status=yes,location=yes";

12:function popup_open(){

13: if( (!winObj) || (true==winObj.closed) ){

14: winObj = window.open(target, winName, options);

15: }

16:}

17:function popup_close(){

18: if( (winObj) && (false == winObj.closed) ){

19: winObj.close();

20: }

21:}

22:function popup_check(){

23: if( (winObj) && (false==winObj.closed) ){

24: winObj.focus();

25: }

26:}

27:// -->

28:</script>

29:</head>

30:

31:<body onunload="popup_close()" onfocus="popup_check()" >

32:

33:<table border="0" cellpadding="10" width="100%">

34:<tr><td>

35:<b><font size="+2"> POST authentication </font></b>

36:</td></tr>

37:</table>

38:<hr size="2" noshade>

39:以下のリンクをクリックして認証画面を表示し、正しい認証サーバか確認のうえ認証してください。<br><br>

40:<div id="fj_is_sso" style="position: absolute"><a href="javascript:void(0)" onClick="popup_open()">認証画面表示</

- 209 -

a></div>

41:<br>

42:</body>

43:</html>



・ 4行目に記述されている<meta>タグのcharset属性に設定する文字コードは、Webコンテンツの文字コードと合わせてください。

・ 9 行目、および 32 行目に記述されている  、および は、修正、および削除しないでください。

・ 39行目に記述されているリンクで表示される認証画面のサイズなどを変更する場合には、11行目に記述されている変数optionsを修正してください。

・ 40行目に記述されている<div>、および<a>タグは認証画面を表示するために必要となりますので、<body>タグ中の以降に必ず記載してください。なお、<div>、および<a>タグの属性は修正しないでくだ

さい。

・ 39行目や40行目のように日本語を使用する場合は、<meta>タグのcharset属性に指定した文字コードで記述してください。

以下の条件に該当する場合、メッセージファイルを修正する必要があります。

・リバースプロキシと連携する。

・連携するリバースプロキシが、<script>タグ内に記述されたURLの変換を行うことができない。

修正の詳細については、“使用上の注意”の“注意事項”－“Interstage シングル・サインオンの注意事項”－“リバースプロキシとの連

携に関する注意事項”を参照してください。

5.1.8 統合Windows認証時に表示されるメッセージ用のタグの仕様

統合Windows認証時に表示されるメッセージに組み込まれているタグの仕様について以下に説明します。

統合Windows認証時に表示されるメッセージファイル共通のタグ仕様

メッセージファイルに記載されている<meta>タグの“http-equiv”属性には、“Content-Type”を必ず設定し、これと合わせて、“content”属性の属性値にメッセージファイルで使用する文字コードを必ず設定します。

<meta>タグは“charset”属性の属性値だけを修正し、以下の太字になっている部分は変更しないでください。


サインオン確認画面のタグ仕様

統合Windows認証によるサインオンの確認時に表示される以下のメッセージファイルに組み込まれているタグの仕様について説明し

ます。

・ 200_confirm_winauth_en.html、および200_confirm_winauth_jp.html

・ 200_confirm_timeout_en.html、および200_confirm_timeout_jp.html

・ 200_confirm_expired_en.html、および200_confirm_expired_jp.html

- 210 -

メッセージファイル“200_confirm_winauth_en.html”にあらかじめ組み込まれているフォームタグを示します。

以下の太字になっている部分は変更しないでください。

<form action="/winauth/SSOPreSignOn" method="post">

<input name="fj_is_sso_winauth_continue" type="submit" value="yes">

<input name="fj_is_sso_winauth_cancel" type="submit" value="no">

<input name="fj_is_sso_winauth_id" type="hidden" value="">

</form>

5.1.9 メッセージファイルのアクセス権限の設定

メッセージファイルのアクセス権限の設定方法について以下に説明します。

なお、インストール直後は、以下のアクセス権限が設定されており、設定は不要です。

アクセス権限の設定には、エクスプローラを使用して、ユーザ、グループのアクセス許可を変更してください。


アクセス権限の設定には、chmodコマンドや、chownコマンドを使用します。


フォーム認証時に出力されるメッセージファイルのアクセス権限

資源アクセス権限の設定内容

Webブラウザに表示するメッセージ

ファイル

Administrators、SYSTEMに対して、readを許可してください。



ファイル

nobodyなど、Interstage HTTP Serverの環境定義ファイル(httpd.conf)でユーザ名(User)に指

定したユーザに対して、readを許可してください。

認証時に発生するエラー要因に対するメッセージファイルのアクセス権限



ファイル



- 211 -


ファイル


定したユーザに対して、read許可してください。

統合Windows認証時に表示されるメッセージファイルのアクセス権限



ファイル




ファイル

統合Windows認証アプリケーションを配備したワークユニットの起動ユーザに対して、readを許可してください。

認可時に発生するエラー要因に対するメッセージファイルのアクセス権限

使用しているWebサーバの種類によって設定内容が異なります。

[Microsoft(R) Internet Information Services 6.0,7.0]



ファイル

Administrators、SYSTEMおよびアプリケーションプールのアプリケーションプール IDに指

定したアカウント、またはユーザに対して、readを許可してください。

Microsoft(R) Internet Information Servicesの設定については、Microsoft(R) Internet Information Servicesの“インターネットインフォ

メーションサービス”の“ヘルプ（H）”の“トピックの検索（H）”を参照してください。

[上記以外]



ファイル


使用しているWebサーバの種類によって、設定内容が異なります。

[Interstage HTTP Server]



ファイル


定した実効ユーザに対して、readを許可してください。

[Sun Java System Web Server]



ファイル

nobodyなど、Sun Java System Web Serverの定義ファイル(magnus.conf)でユーザアカウント

(User)に指定した実効ユーザに対して、readを許可してください。

- 212 -

1台のマシンで複数のWebサーバを運用している場合は、実効ユーザを以下のように設定し、実効ユーザに対して、readを許可して

ください。

・ Interstage HTTP ServerとSun Java System Web Serverの実効ユーザは同じ実効ユーザを設定してください。

なお、実効ユーザの設定については、“業務サーバのWebサーバの実効ユーザを変更する場合”を参照してください。

[Interstage HTTP Server]



ファイル


定した実効ユーザに対して、readを許可してください。

5.2 サインオフするためのWebページのカスタマイズ

既存の業務システム上のWebページを編集し、運用に応じてサインオフ用のボタンやリンクを設定することにより、利用者が自由にサ

インオフできるようになります。

以下は、業務システム上のWebページにサインオフ用のボタンを追加した例です。

利用者は、サインオフボタンをクリックすることでサインオフすることができます。

5.2.1 Webページのカスタマイズ方法

サインオフするためにWebページをカスタマイズする方法について説明します。

- 213 -

既存の業務システムのWebページ上にサインオフ用のボタンやリンク設定し、利用者がサインオフ時にサインオフのURLに対してア

クセスできるようカスタマイズします。

サインオフのURLには以下を設定してください。

認証基盤のURL/ssoatcag?fj-is-sso-request=sign-off (注1)(注2)


注2)業務サーバ作成後に、認証基盤のURLを確認するには、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サ

インオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]により確認してください。

ここではサインオフ用のボタンを設定する例について説明します。

カスタマイズしたWebページイメージ

以下の太字になっている部分を追加し、サインオフ用にボタンを設定した例です。

ここではサインオフのURLに設定する認証基盤のURLを“https://sso.fujitsu.co.jp”としています。

利用者は“サインオフ”ボタンをクリックすることでサインオフすることができます。

<html>

<head>

<meta http-equiv="content-type" content="text/html; charset=shift_jis">

<title>sso test site</title>

</head>

<body>

*** ＳＳＯサイト ***

<h2> Welcome to Single Sign-on</h2>

- 214 -

<br>

<form action="https://sso.fujitsu.co.jp:443/ssoatcag" method="GET">

<input type="hidden" name="fj-is-sso-request" value="sign-off">

<input type="submit" value="サインオフ">

</form>

</body>

</html>

5.3 SSOリポジトリとのサービス連携

Interstage シングル・サインオンのリポジトリサーバを起動するには、SSOリポジトリを事前に起動しておく必要があります。

システム起動時のサービス開始においては、SSOリポジトリを起動する前にリポジトリサーバが起動した場合、sso01041のエラーが出

力され、リポジトリサーバの起動に失敗します。

SSOリポジトリとリポジトリサーバとの間にサービスの依存関係を設定することで、SSOリポジトリを起動してからリポジトリサーバを起動

することが可能となり、システム起動時のリポジトリの自動起動が可能となります。

Interstage シングル・サインオンはサービスの依存関係を設定・解除するコマンドを提供しており、これを用いることでSSOリポジトリとリ

ポジトリサーバとの間のサービスの依存関係を設定・解除することができます。

以下に、サービスの依存関係を設定、および解除する方法を説明します。

サービスの依存関係を設定する方法

1. SSOリポジトリのリポジトリ名を確認します。

リポジトリサーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]、または[詳細設定[表示]]をクリックし、[リポジトリ]の[リポジトリ名]を確認してください。

2. ssosetsvcコマンドのオプションに、手順1で確認したリポジトリ名を指定して実行し、サービスの依存関係を設定します。

ssosetsvcコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくださ

い。

リポジトリサーバが構築されているInterstage HTTP ServerのWebサーバ“web001”とSSOリポジトリ“ssorep”とのサービスの依存関係を

設定します。

C:\>ssosetsvc ssorep web001

・クラスタサービスを使用する場合には、本コマンドを用いてサービス依存関係を設定する必要はありません。

・ SSOリポジトリのリポジトリ名を変更した場合には、必ず変更後のリポジトリ名に対してサービス依存関係を設定してください。この

際、変更前のリポジトリ名に対するサービス依存関係の解除の必要はありません。

・ SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、SSOリポジトリのサービスとRDBのサービスに依存関係を設

定する必要があります。サービスの依存関係の設定については、“ディレクトリサービス運用ガイド”の“リポジトリの運用・保守”

－“リポジトリの起動・停止”を参照してください。

サービスの依存関係を解除する方法

ssounsetsvcコマンドを用いてサービス依存関係を解除します。

ssounsetsvcコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくだ

さい。

- 215 -

リポジトリサーバが構築されているInterstage HTTP ServerのWebサーバ“web001”のサービスの依存関係を解除します。

C:\>ssounsetsvc web001

SSOリポジトリの削除やSSOリポジトリだけの停止を行う場合には依存関係を解除してください。

- 216 -

第6章アプリケーションの開発

Interstage シングル・サインオンでは、Interstage シングル・サインオンの認証サーバに対して認証を行い、Interstage シングル・サイン

オンから通知された利用者のユーザ情報を利用したアプリケーションを開発する機能を提供します。

本章では、提供するアプリケーションインタフェース、およびアプリケーションの開発方法について説明します。

以降、業務サーバの保護リソースへのアクセスが契機になってWebブラウザを使用して認証するシングル・サインオン認証について

は、SSO認証と記述します。提供するJavaアプリケーションインタフェースを利用した認証についてはJAAS認証と記述します。

なお、アプリケーションのセキュリティ対策に関しては、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”－“Interstage シングル・サインオン”－“セキュリティ対策”－“アプリケーションプログラミング”を参照してください。

■JDKインストールフォルダに関して

JDKインストールフォルダはインストール時に指定できます。以降のマニュアル記述ではJDKインストールフォルダをデフォルトのフォルダ

C:\Interstage\JDK5で説明しています。JDKインストールフォルダをインストール時に変更した場合には変更したフォルダで読み替え

てください。

■J2EE共通ディレクトリに関して

J2EE共通ディレクトリはインストール時に指定できます。以降のマニュアル記述ではJ2EE共通ディレクトリをデフォルトのディレクトリC:\Interstage\J2EE\var\deploymentで説明しています。J2EE共通ディレクトリをインストール時に変更した場合には変更したディレクトリ

で読み替えてください。

6.1 Javaアプリケーションの開発

Interstage シングル・サインオンが提供するJavaアプリケーションインタフェース(以降、シングル・サインオンJavaAPIと記述します)を利用した

Javaアプリケーションの開発方法について説明します。シングル・サインオンJavaAPIのクラスライブラリは、業務サーバ機能に含まれま

す。

提供するJavaアプリケーションインタフェースは、Java(TM) Authentication and Authorization Service (以降、JAASと記述します)フレー

ムワークを利用しています。そのため、JAASアプリケーション開発の知識が必要です。JAASを利用したJavaアプリケーション開発の詳

細については、Sun Microsystems,Inc.から提供されているJAASのドキュメントを参照してください。

Interstage シングル・サインオンはJavaアプリケーションからJAAS認証を利用するための、以下のJAASの機能を提供します。シング

ル・サインオンJavaAPIが提供するクラス(“com.fujitsu.interstage.sso”配下のパッケージに含まれるクラス)のAPI仕様についてはマニュアル

CDの“ApplicationServer\javadocs”フォルダに格納されているJavaDoc(javadocs_sso)を参照してください。

Interstage シングル・サインオンが提供するJAASの機能

実装機能説明

Callback JAAS認証に用いる情報(SSO認証済み情報)をLoginModuleへ受け渡すためのクラスです。

CallbackHandler CallbackへJAAS認証に用いる情報(SSO認証済み情報)を設定するためのクラスです。アプリケー

ション作成者が独自に実装することもできます。

LoginModule JAAS認証するためのインタフェースを実装したクラスです。

Credential JAAS認証に成功すると設定されるクレデンシャル情報を格納するためのクラスです。

Principal JAAS認証に成功すると設定されるユーザおよびロールなどの主体を表すクラスです。

シングル・サインオンJavaAPIを使用して、以下のJavaアプリケーションを開発することができます。

・クライアントから認証情報を受け取るサーブレットアプリケーション

クライアント(Webブラウザ)でSSO認証した後、サーブレットがすでに認証済みの認証情報をクライアントから受け取ります。受け取った

SSO認証済み情報でJAAS認証を行い、利用者の情報を参照するサーブレットアプリケーションを開発することができます。

6.1.1 プログラム開発の流れ

- 217 -

クライアントから認証情報を受け取るサーブレットアプリケーション

クライアント(Webブラウザ)でSSO認証した後、サーブレットアプリケーションは、クライアントから受け取ったSSO認証済み情報をCookieから取得します。Cookieの値を用いて、JAAS認証を行い、利用者に関する情報を用いるアプリケーションを構築することができます。

■処理フロー

処理フローを以下に示します。

処理フロー必要性説明

1.CallbackHandlerのインスタンス化

必須です。 JAAS認証に用いるログイン情報を設定します。SSO認証に成功すると設定されるCookieの情報を使用し

てインスタンス化します。

2.LoginContextのイン

スタンス化

必須です。 JAAS認証に用いるLoginModuleおよび、

CallbackHandlerを指定してJAAS認証の準備をしま

す。

3.LoginContextのloginメソッドの呼び出

し

必須です。 JAAS認証処理を行います。

SSO認証ですでに認証済みのため、認証サーバに

対して認証処理は実際には行いません。

4.ユーザ情報の取得認証された利用者の認証情報を取得する場合に必

要です。

利用者に関する情報(Credentialオブジェクトや、

Principalオブジェクト)を取得します。

■環境設定

実行に必要な環境設定を以下に示します。

設定項目必要性説明

環境変数の設定必須です。動作に必要な環境変数を設定します。

ログイン構成ファイルの作成必須です。 LoginContextをインスタンス化する際に指定した

エントリ名に合わせてログイン構成ファイルを作

成します。

運用資源のアクセス権限の設

定

必須です。ログイン構成ファイルに対してアクセス権限を設

定してください。セキュリティ上、アクセス権限を

必要低限に設定することを推奨します。

保護リソースの登録必須です。サーブレットを保護リソースとして登録します。

JavaAPIの使用の設定セションの管理を行う場合に必要です。 JAAS認証を使用するよう設定します。

アプリケーションの実行必須です。 JavaVMオプションの設定などを行います。

- 218 -

■JAASフレームワークを使用せずにユーザ情報を取得する方法

利用者に関する情報はJAASフレームワークを使用せずに、HTTPヘッダから文字列として取得することもできます。サーブレットアプ

リケーションがHTTPヘッダの値を取得する方法はSun Microsystems,Inc.から提供されているサーブレットのドキュメントを参照してくだ

さい。業務サーバより通知されるHTTPヘッダ名については、“6.2 環境変数によるユーザ情報の通知の設定”を参照してください。

6.1.2 プログラムの開発

シングル・サインオンJavaAPIを利用するプログラムの開発方法について説明します。シングル・サインオンJavaAPIはJAASのフレー

ムワークを利用しています。

サンプルコードSampleServlet.javaの例を用いて処理を説明します。このサンプルコードは、クライアントからすでに認証済みであるこ

とを証明する認証情報を受け取り、認証した利用者の情報を表示するサーブレットアプリケーションです。

import java.io.IOException;

import java.io.PrintWriter;

import java.io.OutputStreamWriter;

import java.security.Principal;

import java.util.Iterator;

import java.util.Map;

import java.util.Set;

import javax.security.auth.Subject;

import javax.security.auth.callback.CallbackHandler;

import javax.security.auth.login.LoginContext;

import javax.security.auth.login.LoginException;

import javax.servlet.ServletException;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.fujitsu.interstage.sso.auth.ISAuthorizationCredential;

import com.fujitsu.interstage.sso.auth.callback.ISCallbackHandler;

public class SampleServlet extends HttpServlet {

public void doGet(HttpServletRequest request, HttpServletResponse response)

throws ServletException, IOException

{

PrintWriter out = response.getWriter();

response.setContentType("text/html; charset=Shift_JIS");

Cookie cookie = null;

Cookie[] cookies = request.getCookies();

if (cookies != null){

for (int i=0; i< cookies.length;i++){

if (cookies[i].getName().equals(

ISAuthorizationCredential.COOKIE_KEY)){

cookie = cookies[i];

}

}

}

if (cookie == null ){

out.println("<html>");

out.println("<body>");

out.println("No cookie information");

out.println("</body>");

out.println("</html>");

return;

}

String credentialStr = cookie.getValue();

LoginContext context = null;

- 219 -

try{

// CallbackHandlerのインスタンス化

CallbackHandler myHandler = new ISCallbackHandler(credentialStr);

// LoginContextのインスタンス化

context = new LoginContext(

"com.fujitsu.interstage.sso",myHandler);

// LoginContextのloginメソッドの呼び出し

context.login();

}

catch(Exception ex){



out.println("Exception : " + ex.getMessage());



return;

}

// ユーザ情報の取得

Subject subject = context.getSubject();

Set principals = subject.getPrincipals();

// display principal information



out.println("<table>");

Iterator p_iterator = principals.iterator();

while (p_iterator.hasNext()) {

Principal principal = (Principal)p_iterator.next();

out.println("<tr>");

out.println("<td>" + principal.getClass().getName() + "</td>");

out.println("<td>" + principal.getName() + "</td>");

out.println("</tr>");

}

out.println("</table>");



}

}

6.1.2.1 CallbackHandlerのインスタンス化

JAASを使用するにはCallbackHandlerをインスタンス化する必要があります。シングル・サインオンJavaAPIではCallbackHandler実装

クラスを提供しています。クラス名は com.fujitsu.interstage.sso.auth.callback.ISCallbackHandlerです。認証に必要な情報は

CallbackHandlerからCallbackを介してLoginModuleへ渡されます。

ISCallbackHandlerをクライアントから取得したSSO認証済み情報でインスタンス化します。SSO認証済み情報はCookieに格納されて

います。Cookieのキー名は“fj-is-sso-credential”です。キー名は、com.fujitsu.interstage.sso.auth.ISAuthorizationCredentialクラスの

COOKIE_KEY変数に定義されています。

コードを以下に示します。

Cookie cookie = null;

Cookie[] cookies = request.getCookies();

if (cookies != null){

for (int i=0; i< cookies.length;i++){

if (cookies[i].getName().equals(

ISAuthorizationCredential.COOKIE_KEY)){

cookie = cookies[i];

}

}

}

String credentialStr = cookie.getValue();

CallbackHandler myHandler = new ISCallbackHandler(credentialStr);

- 220 -

6.1.2.2 LoginContextのインスタンス化

次に、LoginContextのインスタンス化を行います。コードを以下に示します。

LoginContext Context = new LoginContext("com.fujitsu.interstage.sso", myHandler);

LoginContextを以下の引数を指定して、インスタンス化します。

・第1引数

ログイン構成ファイルのエントリ名。

ログイン構成ファイルについては、“6.1.3.2 ログイン構成ファイルの作成”を参照してください。

・第2引数

“6.1.2.1 CallbackHandlerのインスタンス化”でインスタンス化したインスタンス。

6.1.2.3 LoginContextのloginメソッドの呼び出し

LoginContextのloginメソッドを呼び出すことで認証処理が行われます。loginメソッドではLoginException、またはそのサブクラスがス

ローされますので、そのcatch処理を行います。


try{

loginContext.login();

}

catch(FailedLoginException ex){

System.out.println("Authenticate failed");

continue;

}

6.1.2.4 ユーザ情報の取得

JAAS認証に成功した場合、復帰値のSubjectオブジェクトに対して以下のオブジェクトが関連付けられます。

・認証された利用者のユーザIDを表すPrincipalオブジェクト

・利用者が属するロール名を表すPrincipalオブジェクト

・ SSOリポジトリ内の一意の識別名を表すPrincipalオブジェクト

PrincipalオブジェクトはSubjectオブジェクトの以下のメソッドで取得することができます。

・ public Set getPrincipals();

・ public Set getPrincipals(Class c);

この2つのメソッドの違いはgetPrivateCredentialsメソッドと同様です。関連付けられるオブジェクトのクラスを以下に示します。

クラス名説明

com.fujitsu.interstage.sso.auth.ISUserPrincipal 認証された利用者のユーザIDを表します。

com.fujitsu.interstage.sso.auth.ISRolePrincipal 利用者が属するロール名を表します。利用者がロールセットに属

する場合、ロールセットに含まれるロールがそれぞれ

ISRolePrincipalのオブジェクトとして関連付けられます。このオブ

ジェクトは利用者がロールに属さない場合は設定されません。

javax.security.auth.x500.X500Principal 利用者のSSOリポジトリ内の一意の識別名(DN)を表します。

java.security.PrincipalインタフェースのgetNameメソッドを使用する

場合には以下に注意して開発してください。

・DNの区切り文字(カンマ)の直後に半角スペースが1文字挿入さ

れません。

例)getNameメソッドで返される値

CN=Fujitsu Tarou,OU=User,OU=interstage,O=fujitsu,DC=com

- 221 -


Set principals = subject.getPrincipals();

iterator = principals.iterator();

while (iterator.hasNext()) {

Principal principal = (Principal)iterator.next();

System.out.println("Principal=" + principal.getClass().getName());

System.out.println(principal.getName());

}

■通知されるユーザ情報について

業務サーバの定義を使用して認証先の認証サーバを指定する場合、ISAuthorizationCredentialオブジェクト内に保持する以下の情

報は、Interstage管理コンソールで設定する[ユーザ情報の通知]の設定を“通知する”にした場合に通知されます。

・利用者のDN

・ロール名

・認証方式

・利用者のUID

・クライアントのIPアドレス

・認証時刻

・再認証時刻

・拡張ユーザ情報

[ユーザ情報の通知]については、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務

システム] > [業務システム名] > [環境設定]タブ > [詳細設定[表示]]をクリックし、[Webアプリケーションとの連携]の[ユーザ情報の通

知]を確認してください。この設定の詳細については、Interstage管理コンソールのヘルプを参照してください。

[ユーザ情報の通知]の設定の反映には、IJServerの再起動が必要です。IJServerを再起動してください。ログイン構成については、“6.1.3.2ログイン構成ファイルの作成”を参照してください。

拡張ユーザ情報については、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基

盤] > [リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定[表示]]をクリックし、[業務システムに通知する情報]の[拡張ユー

ザ情報]を確認してください。この設定の詳細については、Interstage管理コンソールのヘルプを参照してください。

■再認証の間隔が無期限のユーザ情報の通知について

ISAuthorizationCredentialオブジェクトのgetExpirationメソッドを使用して再認証の間隔を取得できますが、再認証の間隔が無期限の

場合には、getExpirationで取得される時刻とgetAuthTimeメソッドで取得される時刻は同じ値になります。

6.1.3 アプリケーション実行環境の設定

アプリケーション運用管理者が行うアプリケーションの実行に必要な環境設定について説明します。

6.1.3.1 環境変数の設定

アプリケーションが動作するために必要な環境変数CLASSPATHに以下のパス(ディレクトリ名/ファイル名)を設定してください。

環境変数CLASSPATHの設定は、Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer] > [環境設定]タブ

を選択し、[ワークユニット]のクラスパスに設定してください。設定は以下のとおりです。

定義名設定する値

クラスパス以下のJava Archive(jar)ファイルを指定します。

・ Interstageのインストールディレクトリ\F3FMsso\ssoatzag\lib\isssomod14.jar

環境変数はシステム環境変数に設定されます。システム環境変数を変更した場合は、システムを再起動してください。

- 222 -


クラスパス以下のJava Archive(jar)ファイルを指定します。

・ /opt/FJSVssoaz/lib/isssomod14.jar

6.1.3.2 ログイン構成ファイルの作成

アプリケーション運用管理者は、アプリケーションの実行に必要なログイン構成ファイルを作成します。ログイン構成ファイルのファイ

ル名は任意で作成でき、アプリケーション実行時にシステムプロパティjava.security.auth.login.configでファイル名を指定します。ログイ

ン構成ファイルにはシングル・サインオンJavaAPIが提供するLoginModuleが設定されているログイン構成を記述します。ログイン構成

ファイルの詳細については、Sun Microsystems,Inc.から提供されているJ2SDKやJAASのドキュメントを参照してください。

ログイン構成は以下の形式で記述します。

<エントリ名> {

<LoginModuleクラス名> <フラグ> <モジュールオプション>;

};

<エントリ名>には、LoginContextのインスタンス化時に指定する名前を記述します。エントリ名を二重引用符(“)、または一重引用符

(‘)で括ることですべての記号を指定できるようになります。括らない場合には使用できる記号に制限があります。

■エントリ名に二重引用符(“)、または一重引用符(‘)で括らないでも使用できる記号

・ドルマーク($)

・ハイフン(-)

・ピリオド(.)

・アンダースコア(_)

<LoginModuleクラス名>には、シングル・サインオンJavaAPIで提供する次のLoginModuleを設定します。

・ com.fujitsu.interstage.sso.auth.module.ISCredentialLoginModule

<フラグ>には通常“required”を設定します。それ以外にも、“requisite”、“sufficient”、“optional”が使用できます。フラグの詳細につ

いては、Sun Microsystems,Inc.から提供されているJ2SDKやJAASのドキュメントを参照してください。

<モジュールオプション>は、認証先の認証基盤情報など、LoginModuleが使用する情報を空白文字で区切ったリスト形式で記述しま

す。オプション名と値は等号記号(=)で区切り、値は二重引用符(“)で括る必要があります。シングル・サインオンJavaAPIで提供する

LoginModuleが使用するオプション名はすべて英小文字で指定してください。オプション名に英大文字が使用された場合、またはオ

プション名を誤った場合は省略されたものとして動作します。LoginModule指定項目の末尾にはセミコロン(;)をつけます。

com.fujitsu.interstage.sso.auth.module.ISCredentialLoginModuleでは以下のオプションを使用してください。

オプション名説明

business-system-name

Javaアプリケーションを運用する業務サーバの業務システム名を設定します。

業務システム名は、業務サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シン

グル・サインオン] > [業務システム] > [一覧]にて確認することができます。Interstage管理コンソールの定義

詳細については、Interstage管理コンソールのヘルプを参照してください。

■ログイン構成ファイルのファイルエンコーディングについて

ログイン構成ファイルに英数字と記号以外の文字を使用する場合、ファイルエンコーディングを以下のようにしてログイン構成ファイル

のファイルを保存してください。

・ UTF-8エンコーディング形式

ログイン構成ファイルの例を以下に示します。なお、以下の例では、ログイン構成のエントリ名は“com.fujitsu.interstage.sso”を使用し

ています。

- 223 -

業務サーバの業務システム名：Business001

com.fujitsu.interstage.sso {

com.fujitsu.interstage.sso.auth.module.ISCredentialLoginModule required

business-system-name=”Business001”

;

};

6.1.3.3 運用資源のアクセス権限の設定

定義ファイルなどは、Javaアプリケーションを運用するために必要な資源であり、安全に保護されている必要があります。運用資源を

保護するためのアクセス権限の設定について説明します。

具体的なアクセス権限の設定方法を以下に説明します。

サーブレットアプリケーションで業務サーバの定義を使用して認証先の認証サーバを指定する場合

業務サーバの定義を使用するJavaアプリケーションは、Administratorsグループに所属するユーザで実行してください。

IJServerの運用ユーザに対しても、業務サーバの定義に対する読み込みができるように、IJServerの運用ユーザとInterstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに指定するユーザを一致させてください。

■IJServerの運用ユーザをnobodyにする場合、以下の手順で環境設定を行ってください。

1. ワークユニット自動起動を利用してIJServerをユーザnobodyで起動するようにしてください。

■IJServerの運用ユーザをnobody以外にする場合には、以下の手順で環境設定を行ってください。

1. useraddコマンドなどでIJServerの運用ユーザを新規作成してください。作成したユーザにはhttpd.confのUserディレクティブに指

定されているユーザのファイルアクセス権限と同等のユーザ権限を与えるようにしてください。

2. 1.で作成したユーザに次項で説明しているファイルに対するアクセス権限の設定を行ってください。

3. httpd.confのUserディレクティブに1.で作成したユーザを指定してください。(注1)

4. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名]> [環境設定]タブで[適用]ボタンをクリックしてください。(注2)

注1)Interstage HTTP Serverの環境定義ファイルの詳細については、“Interstage HTTP Server 運用ガイド”－“環境設定”－“環境定

義ファイル”を参照してください。

注2)詳細は“4.3.2 Webサーバの実効ユーザを変更する場合の注意事項”を参照してください。

ファイルに対するアクセス権限の設定

エクスプローラを使用して、ユーザやグループのアクセス許可を変更してください。アクセス権限の設定は、Administrator権限を持っ

たユーザで行ってください。


ログイン構成ファイル Javaアプリケーションを実行するユーザ(サーブレットの場合はIJServerの運用ユー

ザ)に対してだけ読み取りを許可してください。

chmodコマンドや、chownコマンドを使用します。アクセス権限の設定は、スーパユーザ(root)で行ってください。


- 224 -

ログイン構成ファイル Javaアプリケーションを実行するユーザ(サーブレットの場合はIJServerの運用ユー

ザ)に対しだけreadを許可してください。

6.1.3.4 保護リソースの登録

SSO管理者はサーブレットアプリケーションのパスを保護リソースとしてSSOリポジトリへ登録してください。その際に保護リソースを利

用可能にするロール名、またはロールセット名も併せて設定してください。詳細については“2.6.3 保護リソースなどの登録”、“2.3.2.3 LDIFファイルを使用する場合”を参照してください。

その後、登録した保護リソースの情報を業務サーバに格納します。業務サーバ管理者はInterstage管理コンソールを使用して、[シス

テム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタン

をクリックしてください。Interstage管理コンソールの定義詳細については、Interstage管理コンソールのヘルプを参照してください。アク

セス制御情報の更新については“4.6.1 ロール定義の変更、追加”、および“4.6.2 保護リソースの変更”を参照してください。

登録する保護リソース

業務サーバ名:ポート番号/サーブレットアプリケーションのパス

6.1.3.5 JavaAPIの使用の設定

セションの管理を行う場合は、業務サーバ管理者は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[シングル・サインオンJavaAPI]の[シングル・サインオンJavaAPIの使用]の設定を“使用する”に変更して[適用]ボタンをクリックしてください。

6.1.3.6 例外と対処方法

シングル・サインオンJavaAPIで例外が発生した場合は、例外オブジェクトの型、および例外オブジェクトのgetMessageメソッドで取得

できる例外の詳細メッセージから、“メッセージ集”を参照し対処を行ってください。

認証に失敗した場合の例外メッセージ

Error: Authentication failed

なお、OutOfMemoryErrorが発生した場合には、“チューニングガイド”の“JDK/JREのチューニング”－“異常発生時の原因振り分け”

－“java.lang.OutOfMemoryErrorがスローされた場合”を参照し対処を行ってください。

6.1.4 アプリケーションの実行

シングル・サインオンJavaAPIを利用するJavaアプリケーションの実行方法について説明します。

(1)システムプロパティの設定

シングル・サインオンJavaAPIを利用するJavaアプリケーションを実行する場合、JavaVM起動時に以下のシステムプロパティの設定が

必要になります。

システムプロパティについては、Interstage管理コンソールでIJServerワークユニットの環境設定にあるJavaVMオプションに設定してく

ださい。

システムプロパティ設定する値

java.security.auth.login.config ログイン構成ファイルの絶対パス名

実行するJavaアプリケーションと認証サーバの通信路の間にプロキシサーバを使用する場合、以下のシステムプロパティの設定が必

要になります。

システムプロパティ設定する値

http.nonProxyHosts プロキシサーバを経由しないサーバ名

プロキシの設定を行った場合で、プロキシサーバを経由させたくないサーバがある場合に設

- 225 -

定します。サーバを複数指定する場合は、それぞれのサーバ名を“|”で区切ります。また、ワイ

ルドカード文字“*”によるマッチングも指定できます。

https.proxyHost HTTPS通信時のプロキシサーバのサーバ名

認証サーバがSSL環境の場合に設定します。

https.proxyPort HTTPS通信時のプロキシサーバのポート番号

認証サーバがSSL環境の場合に設定します。

システムプロパティは、同一VM内で動作するすべてのアプリケーションで同じ値となります。

(2)アプリケーションの起動

シングル・サインオンJavaAPIを利用するサーブレットアプリケーションを起動する場合、Interstage管理コンソールでIJServerワークユ

ニットの設定を行う必要があります。

・ IJServerワークユニットの設定

IJServerワークユニットの設定は、Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer] > [環境設定]タブを選択し、[ワークユニット]の設定を行ってください。設定は以下のとおりです。サーブレットのJavaVMのバージョンを切り替える

ためには、Javaバージョンを変更してください。


JavaVMオプション -Djava.security.auth.login.config=ログイン構成ファイルの絶対パス名

環境によって、必要なシステムプロパティを追加してください。必要なシス

テムプロパティについては“(1)システムプロパティの設定”を参照してくだ

さい。

クラスパス isssomod14.jarの絶対パス名

サーブレットアプリケーションを動作させるためには、詳細は、“J2EE ユーザーズガイド”の“Webアプリケーションの呼び出し方法”

－“サーブレットの呼び出し”を参照してください。

■アプリケーションの再起動が必要になるケース

ログイン構成ファイルを更新した場合や、業務サーバの環境設定で[Webアプリケーションとの連携]の[ユーザ情報の通知]の設定を

更新した場合、または、業務システムを再構築した場合はアプリケーションを再起動する必要があります。アプリケーションがサーブレッ

トアプリケーションの場合は、IJServerを停止し、再起動してください。

6.1.5 サンプルコード

シングル・サインオンJavaAPIのサンプルコードの利用方法について説明します。

本サンプルを実行する前に、“第2章環境構築(SSO管理者編)”、“第3章環境構築(業務サーバ管理者編)”で構築したInterstage シングル・サインオン環境が必要です。

6.1.5.1 サーブレットアプリケーション

サンプルコードの概要

本サンプルは、クライアントからすでに認証済みであることを証明する認証情報を受け取り、認証した利用者の情報を表示するサー

ブレットアプリケーションです。本サンプルを動作させるためにはサーブレットと連携するWebサーバを業務サーバとして構築しておく

必要があります。

URL アプリケーション保護リソース登録

http(s)://業務サーバ名:ポート番号/jaassample/SampleServlet

クライアントから認証情報を受け取るサーブレットアプリ

ケーション

必要

- 226 -

サンプルコードの格納場所

サンプルコードは以下のディレクトリに格納されています。以降、サンプルディレクトリと呼びます。

Interstageのインストールディレクトリ：C:\Interstage C:\Interstage\F3FMsso\ssoatzag\sample\javaapi

/opt/FJSVssoaz/sample/javaapi

サンプルコードの実行に必要なファイルは以下のとおりです。

ファイル名説明

jaassample.war warファイル

webapp/jaassample/WEB-INF/isssojaaslogin.conf サーブレットログイン構成ファイル

webapp/jaassample/WEB-INF/web.xml Webアプリケーション環境定義ファイル(DeploymentDescriptor)

SampleServlet.java サーブレットjavaソースファイル

サンプルコードの実行手順

(1)Servletサービスの環境設定

IJServerの運用ユーザが、業務サーバの定義に対する読み込みができるように、以下の設定をしてください。

1. useraddコマンドなどでIJServerの運用ユーザを新規作成してください。

2. Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに指定されているユーザのファイルアクセス権限と

同じユーザ権限を、作成したユーザにも与えてください。

3. テキストエディタでhttpd.confのUserディレクティブに1.で作成したユーザ名を指定してください。(注1)

4. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名]> [環境設定]タブで[適用]ボタンをクリックしてください。(注2)

注1)Interstage HTTP Serverの環境定義ファイルの詳細については、“Interstage HTTP Server 運用ガイド”－“環境設定”－“環境定

義ファイル”を参照してください。

注2)詳細は“4.3.2 Webサーバの実効ユーザを変更する場合の注意事項”を参照してください。

(2)サーブレットアプリケーションの配備

Servletコンテナへサーブレットアプリケーションを配備します。配備にはInterstage管理コンソールを使用します。ここでは、IJServerワー

クユニット“IJServer”に配備する場合を例に説明します。IJServerの詳細については、“J2EE ユーザーズガイド”の“J2EEアプリケーショ

ンが運用される環境(IJServer)”を参照してください。

IJServerワークユニット“IJServer”が作成されていない場合には、“IJServer”という名前の以下のいずれかのタイプのIJServerを新規作

成してください。

・ WebアプリケーションとEJBアプリケーションを同一JavaVMで運用

・ WebアプリケーションとEJBアプリケーションを別JavaVMで運用

・ Webアプリケーションのみ運用

サーブレットアプリケーションを配備するには、以下の手順で行います。

1. Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer] > [配備]タブを選択してください。

2. 起動指定のチェックを外して、IJServerが配備完了後に自動起動しないようにしておいてください。

3. 配備設定の[配備ファイル]の[参照]ボタンをクリックして、サンプルディレクトリに格納されているjaassample.warを選択してくださ

い。

なお、Interstage管理コンソールがインストールされているマシンとコンソールを操作するWebブラウザの実行マシンが別マシンの

- 227 -

場合は、“サーバ上に格納されているファイルを配備する”ラジオボタンを選択した後、以下のようにInterstage管理コンソールが

インストールされているマシンに存在しているjaassample.warのパスを配備ファイルのテキストボックスへ直接指定してください。

Interstageのインストールディレクトリ：C:\Interstage C:\Interstage\F3FMsso\ssoatzag\sample\javaapi\jaassample.war

/opt/FJSVssoaz/sample/javaapi/jaassample.war

4. jaassample.warのパスを設定した後、[配備]ボタンをクリックして配備してください。

サンプルアプリケーションの配備されるディレクトリは、以下のディレクトリです。

Interstageのインストールディレクトリ：C:\Interstage

C:\Interstage\J2EE\var\deployment\ijserver\IJServer\apps\jaassample.war

/opt/FJSVj2ee/var/deployment/ijserver/IJServer/apps/jaassample.war

(3)IJServerワークユニットの設定

Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer] > [環境設定]タブを選択してください。[ワークユニッ

ト]の設定で、以下に示すクラスパスとJavaVMオプションを設定してください。またサーブレットが使用するJDKのバージョンを変更する

ためにはJavaバージョンのプルダウンを選択してください。設定が終わったら、[適用]ボタンをクリックして変更を反映させてください。

Interstageのインストールディレクトリ：C:\Interstage クラスパス

C:\Interstage\F3FMsso\ssoatzag\lib\isssomod14.jar

JavaVMオプション

-Djava.security.auth.login.config=C:\Interstage\J2EE\var\deployment\ijserver\IJServer\apps\jaassample.war\WEB-INF\isssojaaslogin.conf -Djavax.net.ssl.trustStore=C:\Interstage\etc\security\env\keystore\.keystore

クラスパス

/opt/FJSVssoaz/lib/isssomod14.jar

JavaVMオプション

-Djava.security.auth.login.config=/opt/FJSVj2ee/var/deployment/ijserver/IJServer/apps/jaassample.war/WEB-INF/isssojaaslogin.conf -Djavax.net.ssl.trustStore=/etc/opt/FJSVisscs/security/env/keystore/.keystore

(4)ログイン構成ファイルの編集

サーブレットアプリケーションを運用する業務サーバの業務システム名を設定してください。(2)で配備されたサーブレットアプリケー

ションに含まれているログイン構成ファイルisssojaaslogin.confのbusiness-system-nameの値をテキストエディタで編集します。

ログイン構成ファイルがデフォルトで配備されるパス名

Interstageのインストールディレクトリ：C:\Interstage

C:\Interstage\J2EE\var\deployment\ijserver\IJServer\apps\jaassample.war\WEB-INF\isssojaaslogin.conf

- 228 -

/opt/FJSVj2ee/var/deployment/ijserver/IJServer/apps/jaassample.war/WEB-INF/isssojaaslogin.conf

サーブレットアプリケーションが動作する業務サーバの業務システム名が“Business001”の場合のログイン構成ファイルの例です。

エントリ“com.fujitsu.interstage.sso”はクライアントから認証情報を受け取るサーブレットアプリケーションで使用します。

/**

* sample login config file

*/

com.fujitsu.interstage.sso{

com.fujitsu.interstage.sso.auth.module.ISCredentialLoginModule required

business-system-name=”Business001” ＜－ここを編集する

;

};

(5)証明書の登録

認証サーバのサイト証明書、およびその証明書の発行者である認証局証明書を取得し、業務サーバのInterstage証明書環境に登録

します。なお、ロードバランサを使用する場合には、サイト証明書はロードバランサのFQDNで発行したものを使用します。

(6)サーブレットアプリケーションを保護リソースとして定義する

SSO管理者は、サーブレットアプリケーションのURLを、保護リソースとしてSSOリポジトリへ登録します。

1. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] >[保護リソース]を開くと、[保護リソース]ツリーの配下に定義されているサイトの一覧が表示されますので、サンプルアプリケーショ

ンを配備した業務サーバのサイト定義をクリックしてください。

2. ツリーで[保護パス]をクリックするとパス定義の一覧画面が表示されますので、[新規作成]タブを選択してください。

3. アクセス制御の対象とするパスとして、[パス]に“/jaassample/SampleServlet”を入力します。そして、保護リソースを利用すること

ができるロール名のチェックボックスを選択してください。

4. [作成]ボタンをクリックすると、一覧に設定したパス、およびロール情報が表示されますので確認してください。

サーブレットアプリケーションのURL

http(s)://業務サーバ名:ポート番号/jaassample/SampleServlet

登録する保護リソース

業務サーバ名:ポート番号/jaassample/SampleServlet

登録する保護リソース：www.fujitsu.com:80/jaassample/SampleServlet 保護リソースを利用することができるロール名：Admin

保護リソースを登録する前に、業務サーバのサイト定義“www.fujitsu.com:80”、およびロール定義がSSOリポジトリに登録されている

必要があります。登録されていない場合は、“2.3.2.3 LDIFファイルを使用する場合”、および“2.6.3 保護リソースなどの登録”を参照し、

登録を行ってください。

(7)業務サーバのアクセス制御情報の更新

業務サーバ管理者は(6)で登録した保護リソースの情報を業務サーバに格納します。Interstage管理コンソールを使用して、[システ

ム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタンを

クリックしてください。Interstage管理コンソールの定義詳細については、Interstage管理コンソールのヘルプを参照してください。アクセ

ス制御情報の更新については“4.6.1 ロール定義の変更、追加”、および“4.6.2 保護リソースの変更”を参照してください。

- 229 -

(8)業務サーバのWebアプリケーション連携の設定の変更

業務サーバ管理者は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] >[業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[Webアプリケーションとの連携]の[ユーザ情報の通知]の設定

を“通知する”にして[適用]ボタンをクリックしてください。

(9)業務サーバのシングル・サインオンJavaAPIの設定の変更

セションの管理を行う場合、業務サーバ管理者は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サ

インオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[シングル・サインオンJavaAPI]の[シングル・サインオンJavaAPIの使用]の設定を“使用する”にして[適用]ボタンをクリックしてください。

(10)業務サーバの起動

業務サーバを起動します。Webサーバの起動については、“4.1.3 業務サーバの起動”を参照してください。

(11)Servletサービスの起動

Interstage管理コンソールを使用して、[システム] > [ワークユニット] > [IJServer] > [操作]タブを選択します。[起動]ボタンをクリックして

ワークユニットを起動させてください。

(12)Webブラウザからサーブレットアプリケーションの呼び出し

Webブラウザで業務サーバ上の以下のURLを指定します。

業務サーバが“www.fujitsu.com:80”でSSL通信している場合

https://www.fujitsu.com:80/jaassample/

業務サーバが“www.fujitsu.com:80”で非SSL通信している場合

http://www.fujitsu.com:80/jaassample/

(13)実行結果

Webブラウザに、“SSO Authentication”が表示されます。

“SSO Authentication”をクリックすると、証明書選択画面やフォーム認証ページまたは基本認証画面が表示されますので、(6)で設定

した保護リソースを利用できるロールに属するユーザの証明書を選択するか、ユーザID／パスワードを入力してください。認証に成功

すると、Webブラウザ画面に認証したユーザの認証情報が表示されます。

以下に実行例を示します。

ロール“Admin”に属する利用者“tarou”で認証が成功した場合

com.fujitsu.interstage.sso.auth.ISUserPrincipal tarou

javax.security.auth.x500.X500Principal CN=Fujitsu Tarou,OU=User,OU=interstage,O=fujitsu,DC=com

com.fujitsu.interstage.sso.auth.ISRolePrincipal Admin

Webブラウザ画面に「No cookie information」が表示される場合、業務サーバのシングル・サインオンJavaAPIの設定が変更されてい

ません。実行手順を確認し、設定を変更してください。

6.2 環境変数によるユーザ情報の通知の設定

認証に成功した利用者の情報を業務サーバで運用しているCGIなどのWebアプリケーションで利用することができます。業務サーバ

は、ユーザ情報をHTTPリクエストヘッダに付加することでWebアプリケーションへ通知しますので、Webアプリケーションはそれぞれの

- 230 -

インタフェースを通じてHTTPリクエストヘッダを参照することでユーザ情報を取得できます。たとえば、CGIならば環境変数より取得で

きます。

以下にWebアプリケーションが取得できるユーザ情報を示します。

ユーザ情報説明通知例

利用者のDN SSOリポジトリ内のユーザ情報に格納されている利用者のエ

ントリをDNで通知します。

cn=tarou,ou=interstage,o=fujitsu,dc=com

ロール名 SSOリポジトリ内のユーザ情報に格納されている利用者のエ

ントリに設定されているロール名を通知します。

ロール名が複数設定されている場合、複数のロール名をカ

ンマ(,)で区切って通知します。また、ロールセットが設定され

ている場合は、ロールセットに設定されているロール名を通

知します。

ロール名が設定されていない場合は、半角スペースを通知

します。

Admin,General,Leader

ロール名の数通知したロール名の数を通知します。 3

認証方式認証に成功した利用者の認証方式を通知します。通知する

認証方式

は、“basicAuth”、“certAuth”、“basicAuthAndCertAuth”のど

れか1つです。

なお、利用者の認証方式として“パスワード認証または証明

書認証”を設定している場合は、パスワード認証に成功する

と“basicAuth”、証明書認証に成功すると“certAuth”を通知

します。

basicAuth

利用者のユーザID パスワード認証時に利用者が提示するユーザIDを通知しま

す。

tarou

クライアントのIPアドレス認証時に使用したクライアントのIPアドレスを、IPv4、または

IPv6形式で通知します。

xxx.xxx.xxx.xxx

認証時刻利用者が認証された時刻をグリニッジ標準時

(YYYYMMDDHHMMSSZ)で通知します。

20030901151118Z

再認証時刻再認証が必要となる時刻をグリニッジ標準時


20030901154118Z

認証情報の有効範囲認証情報の有効範囲を通知します。 www.fujitsu.com

前回サインオン日時(注1) ユーザが前回サインオンした日時をグリニッジ標準時


ユーザが初めてシングル・サインオンシステムを使用した場

合は、半角スペースを通知します。

20050713000000Z

拡張ユーザ情報(注2) 認証に成功した利用者の任意のユーザ情報を通知します。 mailを通知する場合

[email protected]

注1)セションの管理を行う場合だけ通知することができます。

注2)以下の条件に該当する場合に通知されます。

・セションの管理を行う。

・ Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定] >[リポジトリサーバ詳細設定[表示]]の[業務システムに通知する情報]の[拡張ユーザ情報]に属性名を設定する。

・ Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソー

ス] > [サイト定義] > [保護パス] > [パス定義] > [設定]タブの[パス定義]の[拡張ユーザ情報の通知]で、上記で設定した属性名を

選択する。

- 231 -

ユーザ情報をWebアプリケーションに通知する場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・

サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[Webアプリケーションとの連携]の[ユーザ情報の通知]を“通知する”に設定してください。

Webアプリケーションでの利用方法

ユーザ情報は以下の環境変数名、およびHTTPリクエストヘッダで通知されます。なお、通知される値はUTF8エンコードされていま

す。

ユーザ情報環境変数名 HTTPリクエストヘッダ

利用者のDN HTTP_X_FJ_SSO_CREDENTIAL_DN X-FJ-SSO-CREDENTIAL-DN:値

ロール名 HTTP_X_FJ_SSO_CREDENTIAL_ROLELIST X-FJ-SSO-CREDENTIAL-ROLELIST:値

ロール名の数 HTTP_X_FJ_SSO_CREDENTIAL_ROLECOUNT

X-FJ-SSO-CREDENTIAL-ROLECOUNT:値

認証方式 HTTP_X_FJ_SSO_CREDENTIAL_AUTHMETHODAUTH_TYPE(注1)(注2)

X-FJ-SSO-CREDENTIAL-AUTHMETHOD:値

利用者のユーザID HTTP_X_FJ_SSO_CREDENTIAL_UIDREMOTE_USER(注1)(注2)

X-FJ-SSO-CREDENTIAL-UID:値

クライアントのIPアドレス HTTP_X_FJ_SSO_CREDENTIAL_IPADDRESS X-FJ-SSO-CREDENTIAL-IPADDRESS:値

認証時刻 HTTP_X_FJ_SSO_CREDENTIAL_FIRSTACCESS

X-FJ-SSO-CREDENTIAL-FIRSTACCESS:値

再認証時刻 HTTP_X_FJ_SSO_CREDENTIAL_EXPIRATION X-FJ-SSO-CREDENTIAL-EXPIRATION:値

認証情報の有効範囲 HTTP_X_FJ_SSO_CREDENTIAL_DOMAIN X-FJ-SSO-CREDENTIAL-DOMAIN:値

前回サインオン日時(注3)

HTTP_X_FJ_SSO_SSOLASTSIGNONTIME X-FJ-SSO-SSOLASTSIGNONTIME:値

拡張ユーザ情報(注4) HTTP_X_FJ_SSO_EXT_xxxx(注5) X-FJ-SSO-EXT-xxxx:値(注5)

注1)WebサーバにInterstage HTTP Serverを使用している場合だけ通知されます。業務サーバの環境設定を変更することにより、本

環境変数にユーザ情報を通知しないようにすることができます。詳細については、“移行ガイド”の“Interstage運用操作、環境の移行”

－“Interstage シングル・サインオンの移行”を参照してください。

注2)Interstage HTTP Serverの認証機能を併用している場合は、本環境変数にInterstage HTTP Serverの認証機能で認証された利用

者の認証方式、およびユーザIDが格納されます。

注3)セションの管理を行う場合だけ通知することができます。

注4)以下の条件に該当する場合に通知されます。

・セションの管理を行う。

・ Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定] >[リポジトリサーバ詳細設定[表示]]の[業務システムに通知する情報]の[拡張ユーザ情報]に属性名を設定する。

・ Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソー

ス] > [サイト定義] > [保護パス] > [パス定義] > [設定]タブの[パス定義]の[拡張ユーザ情報の通知]で、上記で設定した属性名を

選択する。

注5)xxxxは、[拡張ユーザ情報]に設定されている属性名の大文字となります。

[拡張ユーザ情報]に“mail”が設定されている場合

環境変数名 HTTPリクエストヘッダ

HTTP_X_FJ_SSO_EXT_MAIL X-FJ-SSO-EXT-MAIL:値

- 232 -

・セションの管理を行わない運用の場合、Webアプリケーションに通知する情報は、以下に示すサイズ内としてください。サイズを超

えた場合、利用者は認証に失敗します。

2048 バイト ≧ ( (128バイト＋DN文字列長)＋ユーザID文字列長＋8バイト×ロール数＋ロール名文字列長の和)×1.5＋利用者

が認証した時にアクセスした業務サーバURLの文字列長

※各文字列長はすべてバイト単位

・アプリケーションに通知するユーザ情報には、英数字と記号だけが利用できます。通知するユーザ情報に英数字、記号以外が含

まれる場合は、Webアプリケーションが正しい値を取得できない場合があります。

・通知される属性値は、URLエンコードされています。アプリケーション側でURLデコードしてください。

・属性値がバイナリデータの場合、URLデコード後、さらにBase64デコードすることで、バイナリデータが取得できます。

・属性値がバイナリデータ以外の場合は、URLデコードにより、UTF8の文字コードが取得できます。

・属性値が複数ある場合は、カンマ(,)で区切って通知します。カンマ(,)で分割してからURLデコードし、値を取得してください。

・拡張ユーザ情報で数10Kバイトを超えるバイナリデータ等を通知する場合、認可性能が低下する可能性があります。業務アプリ

ケーションに必要な情報だけを通知するようにしてください。

また、1台の業務サーバで複数の業務アプリケーションを運用し、業務アプリケーションごとに必要なユーザ情報が異なる場合、業

務アプリケーションごとに業務サーバを分けて運用することで、通知するユーザ情報のサイズを小さくし、認可性能を改善すること

ができます。

6.3 環境変数によるサインオフURLの通知の設定

サインオフのURLを業務サーバで運用しているCGIなどのWebアプリケーションで利用することができます。業務サーバは、サインオフの

URLをHTTPリクエストヘッダに付加することでWebアプリケーションへ通知しますので、Webアプリケーションはそれぞれのインタフェー

スを通じてHTTPリクエストヘッダを参照することでサインオフのURLを取得できます。たとえば、CGIならば環境変数より取得できます。

サインオフのURLをWebアプリケーションに通知する場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[Webアプリケーションとの

連携]の[サインオフURLの通知]を“通知する”に設定してください。

なお、サインオフのURLは、セションの管理を行う場合にのみ通知することができます。

Webアプリケーションでの利用方法

サインオフURLは以下の環境変数名、およびHTTPリクエストヘッダで通知されます。なお、通知される値はUTF8エンコードされてい

ます。

環境変数名 HTTPリクエストヘッダ通知例

HTTP_X_FJ_SSO_SIGN_OFF_URL X-FJ-SSO-SIGN-OFF-URL:値 https://authserver.fujitsu.com:443/ssoatcag?fj-is-sso-request=sign-off

- 233 -

第7章認証サーバ間連携

本章では、Interstage シングル・サインオンの認証サーバ間連携機能について説明します。

7.1 概要

認証サーバ間連携機能の概要について説明します。

7.1.1 認証サーバ間連携とは

Interstage シングル・サインオンでは、複数のInterstage シングル・サインオンシステムを連携し、以下を実現する認証サーバ間連携機

能を提供します。

・利用可能なInterstage シングル・サインオンシステム範囲の拡大

利用者に対して以下を実現します。

－既存のユーザID/パスワードを使用して、他のInterstage シングル・サインオンシステムが利用できます。

－他のInterstage シングル・サインオンシステムを利用する場合も、シングル・サインオン機能が利用できます。

・システム連携による管理負荷の軽減

管理者に対して以下を実現します。

－既存のSSOリポジトリの情報を変更する必要はありません。

－連携を行うシステム全体でユーザ情報などを一元管理する必要はなく、各Interstage シングル・サインオンシステムによる分散

管理が可能です。

－業務システムを再構築することなく、他のInterstage シングル・サインオンシステムの利用者にサービスを提供することができま

す。

例えば以下のように、同一グループ企業内のInterstage シングル・サインオンシステムに認証サーバ間連携機能を導入することによ

り、全グループ会社の業務システムをシングル・サインオンで利用することができます。

また、Interstage シングル・サインオンシステムと他社のシングル・サインオンシステムを連携することが可能です。他社のシングル・サ

インオンシステムとの連携については、“付録H 他社のシングル・サインオンシステムとの連携”を参照してください。

- 234 -

信頼関係

認証サーバ間連携では、Interstage シングル・サインオンシステム同士で1対1に信頼関係を結ぶことで連携を行います。1つのInterstageシングル・サインオンシステムは、複数のInterstage シングル・サインオンシステムと信頼関係を結ぶことができます。

Interstage シングル・サインオンシステムの信頼関係は、証明書を使用して結びます。連携時に、送信側はデジタル署名、受信側は

デジタル署名検証を行うことで、連携するInterstage シングル・サインオンシステムの正当性を確認します。

認証サーバ間連携によってInterstage シングル・サインオンシステム間の信頼関係を結ぶことで、利用者は以下のようにサービスを利

用することができます。

・ Interstage シングル・サインオンシステムAInterstage シングル・サインオンシステムB、およびCと連携しています。

Interstage シングル・サインオンシステムAの利用者の利用可能サービス

－ Interstage シングル・サインオンシステムAのサービス

－ Interstage シングル・サインオンシステムBのサービス

－ Interstage シングル・サインオンシステムCのサービス

・ Interstage シングル・サインオンシステムBInterstage シングル・サインオンシステムAと連携しています。

Interstage シングル・サインオンシステムBの利用者の利用可能サービス


－ Interstage シングル・サインオンシステムBのサービス

Interstage シングル・サインオンシステムB は、Interstage シングル・サインオンシステムCとは連携していないため、Interstage シング

ル・サインオンシステムCのサービスは利用できません。

・ Interstage シングル・サインオンシステムCInterstage シングル・サインオンシステムAと連携しています。

Interstage シングル・サインオンシステムCの利用者の利用可能サービス


－ Interstage シングル・サインオンシステムCのサービス

- 235 -

Interstage シングル・サインオンシステムC は、Interstage シングル・サインオンシステムBとは連携していないため、Interstage シング

ル・サインオンシステムBのサービスは利用できません。

また、認証サーバ間連携では、以下のように片方向にだけ信頼関係を結ぶことで、利用できるInterstage シングル・サインオンシステ

ムを限定して連携することもできます。

信頼関係の設定など、認証サーバ間連携に関する設定は、Interstage管理コンソールを使用して行います。設定方法については、“7.2.2.3認証サーバ間連携の設定”を参照してください。

7.1.2 システム構成

認証サーバ間連携を行うシステムは、複数のInterstage シングル・サインオンシステムで構成されます。

各Interstage シングル・サインオンシステムは、認証サーバ間連携を行うことで構成を変更する必要はありません。Interstage シング

ル・サインオンのシステム構成については、“1.2 システムの基本構成”を参照してください。

Interstage シングル・サインオンシステム間の連携は、各システムの認証サーバと同一マシン上で動作する認証サーバ間連携サービス

で行います。

- 236 -

・ Interstage シングル・サインオンでは、大256システムのシングル・サインオンシステムと連携することができます。

・バージョン、エディションが混在したシステムと連携する場合には注意が必要です。詳細については、“使用上の注意”の“注意事

項”－“Interstage シングル・サインオンの注意事項”－“バージョン・エディション混在でシングル・サインオンシステムを構築する場

合の注意事項”を参照してください。

・セションの管理を行わないシステムと連携する場合には注意が必要です。詳細については、“使用上の注意”の“注意事項”

－“Interstage シングル・サインオンの注意事項”－“認証サーバ間連携に関する注意事項”を参照してください。

認証サーバ間連携サービス

認証サーバ間連携サービスは、サーブレットアプリケーションとしてServletコンテナへ配備します。配備方法については、“7.2.2.2 認証サーバ間連携サービスの配備”を参照してください。

以下に、認証サーバにおける認証サーバ間連携サービスの位置付けを示します。

自シングル・サインオンシステムと相手シングル・サインオンシステム

認証サーバ間連携では、各Interstage シングル・サインオンシステム、利用者、およびSSO管理者を役割により以下のように呼びま

す。

- 237 -

自シングル・サインオンシステムを管理するSSO管理者、および業務サーバ管理者については、そのままSSO管理者、および業務

サーバ管理者と説明しています。

名称意味

自シングル・サインオンシステム SSO管理者が管理する自組織のInterstage シングル・サインオンシステム

相手シングル・サインオンシステム認証サーバ間連携を行う相手側組織のInterstage シングル・サインオンシス

テム

相手シングル・サインオンシステム管理者相手シングル・サインオンシステムのSSO管理者

自シングル・サインオンシステム利用者自シングル・サインオンシステムで認証し、サービスを利用する利用者

相手シングル・サインオンシステム利用者相手シングル・サインオンシステムで認証し、サービスを利用する利用者

7.1.3 認証を行うシステム

認証サーバ間連携を行うことにより、自シングル・サインオンシステム利用者は、自シングル・サインオンシステムのサービスだけでな

く、相手シングル・サインオンシステムのサービスもシングル・サインオンで利用できるようになります。

利用者は、認証サーバ間連携を行っているシステムを利用する場合、サービスを利用する前に、認証を行うInterstage シングル・サイ

ンオンシステムを設定してから、Interstage シングル・サインオンシステムにサインオンする必要があります。事前に認証を行うシステム

の設定を行わない場合は、サービスを利用することはできません。

また、認証を行うシステムを設定した後に、異なるシングル・サインオンシステムに認証を行うシステムを変更し、サインオンし直すこと

も可能です。

認証を行うInterstage シングル・サインオンシステムの設定手順については、“7.3.6 認証を行うシステムの設定”を参照してください。

7.1.4 ユーザ情報のカスタマイズ

自シングル・サインオンシステム利用者が、相手シングル・サインオンシステムのサービスを利用する場合、自シングル・サインオンシ

ステムで管理しているユーザIDやロールなどのユーザ情報が、相手シングル・サインオンシステムに通知され、相手シングル・サインオ

ンシステムでは、通知されたユーザ情報を元に利用者のアクセスが制御されます。

また、相手シングル・サインオンシステム利用者が、自シングル・サインオンシステムのサービスを利用する場合も同様に、相手シング

ル・サインオンシステムのユーザ情報は、自シングル・サインオンシステムに通知され、自シングル・サインオンシステムでは、取得した

ユーザ情報を元に利用者のアクセスを制御します。

しかし、ユーザ情報は、各システムによって独自に管理されており、別システムでそのままアクセス制御できるとは限りません。また、

システム内で重要な情報を管理していた場合、そのまま通知してしまうと、セキュリティ上、問題となる場合があります。

上記のような問題点を回避するために、認証サーバ間連携を行う場合、SSO管理者は、ユーザ情報カスタマイズ定義ファイルを使用

して、ユーザ情報を変換するルールを設定し、ユーザ情報を運用に合わせて変換してください。

ユーザ情報は、以下の場合に変換されます。

- 238 -

・相手シングル・サインオンシステムへのユーザ情報の送信時

・相手シングル・サインオンシステムからのユーザ情報の受信時

また、カスタマイズモジュールを使用することで、変換ルールを拡張し、ユーザ情報を詳細にカスタマイズすることもできます。

ユーザ情報カスタマイズ定義ファイルへの変換ルールの設定方法、およびカスタマイズモジュールの作成方法については、“7.4.1ユーザ情報のカスタマイズ”を参照してください。

・通知するユーザ情報は、セキュリティを考慮し、必要に合わせて変換してください。

・業務サーバ上のWebアプリケーションでユーザ情報を利用している場合、Webアプリケーションには変換されたユーザ情報が通知

されます。Webアプリケーションでのユーザ情報の利用方法を考慮(例えば、ユーザIDの一意性の必要など)して、変換してくださ

い。

以下にロール名、およびユーザIDを変換する場合の変換ルールの例を示します。

ユーザ情報変換ルール

自シングル・サインオンシステム相手シングル・サインオンシステム

変換前変換後変換前変換後

ロール名 “一般利用者” “role_no_1” “role_no_1” “guest”

“管理者” “role_no_2” “role_no_2” “admin”

ユーザID 変換なしユーザID “partner_”+ユーザID

・ロール名の変換ルール例

自シングル・サインオンシステムで管理しているロール名“一般利用者”を“role_no_1”に変換し、相手シングル・サインオンシステ

ムに通知します。これによって、ロール名“一般利用者”を隠蔽します。

相手シングル・サインオンシステムでは、受け取ったロール名“role_no_1”を、相手シングル・サインオンシステムで管理している

ロール名“guest”に変換します。

・ユーザIDの変換ルール例

本例では、自シングル・サインオンシステムでユーザIDを変換せず、そのまま相手シングル・サインオンシステムに通知します。

相手シングル・サインオンシステムでは、自シングル・サインオンシステムからユーザIDを取得する時に、プレフィックス“partner_”をユーザIDに付加するよう変換します。これによって、サービス利用者を自シングル・サインオンシステム利用者と相手シングル・

サインオンシステム利用者に区別します。

上記変換ルールにてユーザ情報を変換し、通知する場合に、自シングル・サインオンシステム利用者tarouが、相手シングル・サイン

オンシステムのサービスを利用する際のユーザ情報の流れを図に示します。

なお、tarouのユーザ情報が以下の場合を例に説明します。

ユーザ情報設定値

ユーザID tarou

ロール名一般利用者

- 239 -

7.1.5 セションの管理

認証サーバ間連携を行うシステムにおけるセションの管理について説明します。

利用者のセションは、認証サーバ間連携を行う場合も、認証してからサインオフするまでを1つのセションとして管理されます。

認証サーバ間連携を行うInterstage シングル・サインオンシステム全体で1つのセションを監視しますが、自シングル・サインオンシス

テムと相手シングル・サインオンシステムでは、セションの監視方法が異なります。

以下に、セションの監視方法と、セションの管理機能の動作について、自シングル・サインオンシステム利用者の場合を例に説明しま

す。

セションの監視方法

・自シングル・サインオンシステム

利用者のセションの状態をリアルタイムに監視します。

・相手シングル・サインオンシステム

自シングル・サインオンシステムに利用者のセションの状態を問い合わせ、一定時間キャッシュすることで監視します。

詳細な監視の流れを以下に示します。

－利用者からアクセスを受け付けた場合、利用者のセションがキャッシュされているか確認します。

- 240 -

－利用者のセションがキャッシュされている場合は、その利用者のセションが有効かどうか、セションの状態を確認します。

－利用者のセションがキャッシュされていない場合は、自シングル・サインオンシステムに問い合わせ、セションの状態を確認し

ます。

－利用者のセションが有効な場合、自シングル・サインオンシステムで設定されているキャッシュ時間(注)の間、セションの状態

をキャッシュして監視します。

注)セションのキャッシュ時間については、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シング

ル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[認証サーバ間連携サービス詳細設定[表示]]をクリックし、[自シン

グル・サインオンシステムの情報]の[セションのキャッシュ時間]で設定します。

セションの管理機能の動作

サインオフ

利用者は、利用したどのInterstage シングル・サインオンシステムにおいても、サインオフを実施することができます。利用したいずれ

か一つのInterstage シングル・サインオンシステムにおいてサインオフを実施することで、利用したすべてのInterstage シングル・サイン

オンシステムからサインオフできます。

強制サインオン

自シングル・サインオンシステム利用者が、各システムにおいて強制サインオンした場合、すでにサインオンしている利用者のセショ

ンの状態は、以下のように各システムにおいて異なります。

・自シングル・サインオンシステム

自動的に無効となります。

・相手シングル・サインオンシステム

キャッシュ時間が経過した後に無効になります。

なお、自シングル・サインオンシステムに設定されている[強制サインオン]の設定は、自シングル・サインオンシステム利用者に対して

だけ有効となります。

強制サインオフ

以下の点に注意して実施してください。

・利用者がアクセスしたすべてのInterstage シングル・サインオンシステムで強制サインオフを実施してください。

・複数のInterstage シングル・サインオンシステムにて強制サインオフを実施する必要がある場合は、利用者が認証を行ったシング

ル・サインオンシステムから順に、強制サインオフを実施してください。

・利用者が認証を行ったシングル・サインオンシステムが、自シングル・サインオンシステムか、相手シングル・サインオンシステムか

によって、強制サインオフの実施手順が異なります。強制サインオフの実施手順については、“7.3.3 強制サインオフ”を参照してく

ださい。

アイドル監視

利用者のアイドル状態は、認証サーバ間連携を行っているInterstage シングル・サインオンシステム全体で監視します。アイドル監視

時間は、利用者が認証を行うシステムに設定したシングル・サインオンシステムのリポジトリサーバに設定されている[アイドル監視時

間]が有効となります。利用者がアクセスする業務システムが属するシングル・サインオンシステムのリポジトリサーバの設定には依存し

ません。

再認証

認証サーバ間連携を行っているシングル・サインオンシステム全体に対して、再認証の間隔に設定した時間が経過した後、再認証が

求められます。

自シングル・サインオンシステム利用者は、自シングル・サインオンシステムに設定されている再認証の間隔によって再認証が求めら

れます。

前回サインオン日時の確認

利用したどのInterstage シングル・サインオンシステムでも、前回サインオン日時の確認を行うことができます。

セションの管理を行わないシステムでは、セションの監視方法、およびセションの管理機能の動作が異なります。詳細について

- 241 -

は、“使用上の注意”の“注意事項”－“Interstage シングル・サインオンの注意事項”－“認証サーバ間連携に関する注意事項”を参照


7.2 導入

Interstage シングル・サインオンシステムに認証サーバ間連携を導入する手順を説明します。

7.2.1 導入するための準備

Interstage シングル・サインオンシステムに認証サーバ間連携を導入する前に、認証サーバ間連携を行うInterstage シングル・サイン

オンシステムの設計、および相手シングル・サインオンシステムと連携するための準備を行います。

7.2.1.1 認証サーバ間連携を行うシステムの設計

自シングル・サインオンシステム管理者は、相手シングル・サインオンシステム管理者と、連携を行うシステムに関する以下の情報を

取り決めてください。

・連携時の信頼関係

・連携時に通知するユーザ情報の形式

連携時の信頼関係については、“信頼関係”を参照してください。また、連携時に通知するユーザ情報の形式については、“7.1.4ユーザ情報のカスタマイズ”を参照してください。

7.2.1.2 相手シングル・サインオンシステムと連携するための準備

自シングル・サインオンシステム管理者は、相手シングル・サインオンシステムと連携する前に、以下の作業を行ってください。

・ Interstage シングル・サインオンシステムの構築

運用可能なInterstage シングル・サインオンシステムを構築してください。

すでに運用中のInterstage シングル・サインオンシステムを使用することも可能です。

・自シングル・サインオンシステムのデジタル署名用証明書の準備

自シングル・サインオンシステムのデジタル署名用証明書は、デジタル署名、および相手シングル・サインオンシステムでのデジタ

ル署名検証に必要です。認証局にデジタル署名用の証明書の発行を依頼し、証明書を取得してください。

サイト証明書が署名用に使用できる場合は、サイト証明書を使用することも可能です。署名用に使用できるかについては認証局

に確認してください。

また、認証サーバの負荷分散を行う場合は、全ての負荷分散マシンで使用が許可されている証明書を準備してください。

・セションのキャッシュ時間の決定

相手シングル・サインオンシステムにて自シングル・サインオンシステム利用者のセションの状態を保持する時間を決めます。

セションのキャッシュ時間については、“7.1.5 セションの管理”を参照してください。

・連携時の接続情報の交換

相手シングル・サインオンシステム管理者と、連携に必要な以下の情報をお互いに交換してください。

－自シングル・サインオンシステムの認証基盤のURL

－自シングル・サインオンシステムでデジタル署名に使用する証明書

業務サーバ管理者は、以下の作業を行ってください。

・ Webアプリケーションの確認

ユーザ情報を使用してWebアプリケーションを作成、および運用している場合は、ユーザ情報のカスタマイズ方法をSSO管理者と

調整し、Webアプリケーションが問題なく動作するか確認してください。

- 242 -

7.2.2 導入手順

以下に、Interstage シングル・サインオンシステムに認証サーバ間連携を導入する手順を説明します。

Interstage シングル・サインオンシステムAを自シングル・サインオンシステムとし、Interstage シングル・サインオンシステムBを相手シ

ングル・サインオンシステムとして連携を行う場合を例に示します。

認証サーバにて以下の作業を行ってください。

【認証サーバを1台配置するシステムの場合】

1.認証サーバ間連携の運用許可

認証サーバがV9.0以前の旧バージョンから移行した環境の場合、認証サーバで認証サーバ間連携の運用を行うための設定

を行います。

認証サーバ、およびリポジトリサーバ(更新系)をV9.1以降のバージョンで新規に構築した環境の場合は、この作業は不要で

す。

2.自シングル・サインオンシステムのデジタル署名用証明書の登録(注)

“7.2.1.2 相手シングル・サインオンシステムと連携するための準備”で取得した、自シングル・サインオンシステムでデジタル署

名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先に

登録してください。なお、サイト証明書が署名用に使用できる場合は、この作業は不要です。

デジタル署名用証明書 C:\SystemA_Cert.cer デジタル署名用証明書のニックネーム SYSA_CERT

デジタル署名用証明書を“C:\SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更して

ください。

パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワー

ドは表示されません。

C:\> scsenter -n SYSA_CERT -f C:\SystemA_Cert.cer -oPassword:証明書がキーストアに追加されました。

SCS: 情報: scs0104: 証明書を登録しました。

C:\>

デジタル署名用証明書 /tmp/SystemA_Cert.cer デジタル署名用証明書のニックネーム SYSA_CERT

デジタル署名用証明書を“/tmp/SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更して

ください。

証明書を登録する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパ

スワードを入力してください。入力したパスワードは表示されません。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsenter -n SYSA_CERT -f /tmp/SystemA_Cert.cer -oPassword:証明書がキーストアに追加されました。

UX: SCS: 情報: scs0104: 証明書を登録しました。

#

3.認証サーバ間連携サービスの配備

ssodeployコマンドを使用して、サーブレットアプリケーションとしてServletコンテナへ配備します。

- 243 -

4.Webブラウザに表示するメッセージのカスタマイズ

運用時に表示されるWebブラウザのメッセージを必要に応じてカスタマイズします。

5.相手シングル・サインオンシステムのデジタル署名検証用証明書の登録(注)

“7.2.1.2 相手シングル・サインオンシステムと連携するための準備”で交換した、相手シングル・サインオンシステムでデジタル

署名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先

に登録してください。

デジタル署名検証用証明書 C:\SystemB_Cert.cerデジタル署名検証用証明書のニックネーム SYSB_CERT

デジタル署名検証用証明書を“C:\SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更




C:\> scsenter -n SYSB_CERT -f C:\SystemB_Cert.cer -ePassword:証明書がキーストアに追加されました。


C:\>

デジタル署名用証明書 /tmp/SystemB_Cert.cerデジタル署名用証明書のニックネーム SYSB_CERT

デジタル署名用証明書を“/tmp/SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更して

ください。

以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパ

スワードを入力してください。入力したパスワードは表示されません。

# scsenter -n SYSB_CERT -f /tmp/SystemB_Cert.cer -ePassword:証明書がキーストアに追加されました。


#

6.ユーザ情報のカスタマイズ

ユーザ情報を変換するルールを記述したユーザ情報カスタマイズ定義ファイルを作成し、運用に合わせてユーザ情報を変換

します。

7.認証サーバ間連携の設定

Interstage管理コンソールを使用して、認証サーバ間連携を行うための設定を行います。

8.認証サーバの停止

Interstage管理コンソールを使用して、認証サーバを停止します。

9.認証サーバ間連携サービスの起動

Interstage管理コンソールを使用して、認証サーバ間連携サービスを起動します。

- 244 -

10.認証サーバの起動

Interstage管理コンソールを使用して、認証サーバを起動します。

注)scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編）”の“SSL環境設定コマンド”を参照してください。

【認証サーバを複数台配置して負荷分散を行うシステムの場合】

1.認証サーバ間連携サービスの環境構築

任意の1台の認証サーバで、【認証サーバを1台配置するシステムの場合】の手順1から7までを実施します。

2.移出マシンの資源の取り出し

手順1で環境を構築した認証サーバ(移出マシン)から、認証サーバ間連携サービスの環境を取り出します。

1. 移出マシンでssobackupコマンドを-acオプションで実行し、認証サーバ資源を資源格納ファイルに取り出します。(注1)

2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、それらのファイルを取り出してください。

3. Interstage証明書環境、およびIJServerの資源を移出してください。(注1)


転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、手順1で取り出した資源格納

ファイルの権限は変更しないでください。

3.移入マシンへの資源の移入

手順1で環境を構築した認証サーバを除く、負荷分散している残りのすべての認証サーバ(移入マシン)に、手順2で取り出した

認証サーバ間連携サービスの環境を移入します。

1. 移入マシンで、ssorestoreコマンドを実行し、認証サーバ資源を移入します。(注1)

2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、移出マシンから取り出したそれらのファイルを格納


3. 移出マシンから取り出したInterstage証明書環境資源、およびIJServerの資源を移入してください。(注1)認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、負荷分散のた

めに認証サーバを追加した際に登録したサイト証明書を、再度Interstage証明書環境へ登録してください。(注2)

4. 移出マシンから取り出した資源格納ファイルを削除してください。

4.ロードバランサの設定

クライアントと認証サーバ間連携サービスとのセションの一意性を保証する必要があります。認証サーバ間連携サービスを起動

する前に、ロードバランサの設定を行ってください。

5.認証サーバの停止

Interstage管理コンソールを使用して、すべての認証サーバを停止します。

6.認証サーバ間連携サービスの起動

Interstage管理コンソールを使用して、すべての認証サーバにおいて認証サーバ間連携サービスを起動します。

7.認証サーバの起動

Interstage管理コンソールを使用して、すべての認証サーバを起動します。

注1)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”－“他サーバへの資源移

行”を参照してください。

注2)負荷分散のための認証サーバの追加については、“2.4.3 負荷分散のため認証サーバを追加する”を参照してください。

- 245 -

・すべてのInterstage シングル・サインオンシステムに認証サーバ間連携の導入が完了した後、認証を行うシステムの設定を行い、

以下の動作について確認してから運用を開始してください。認証を行うシステムの設定については、“7.3.6 認証を行うシステムの

設定”を参照してください。

－各Interstage シングル・サインオンシステムの保護リソースにアクセスし、正常に認証できること。

－利用者のアクセス制御(認可)が正常に行えること。

－サインオフが正常に行えること。

－カスタマイズした画面が正常に表示されること。

－各Interstage シングル・サインオンシステムの業務サーバ上に構築したWebアプリケーションで、カスタマイズしたユーザ情報が

正常に取得できること。

・運用を開始する前に、以下の作業を行ってください。

【SSO管理者】

－認証を行うシステムの設定画面のURLを業務サーバ管理者に通知してください。

認証を行うシステムの設定画面のURLについては、“7.3.6 認証を行うシステムの設定”を参照してください。

－セションの管理を行わないInterstage シングル・サインオンシステムと連携する場合は、以下について業務サーバ管理者に通

知してください。(注)

- セションの管理を行わないInterstage シングル・サインオンシステムの業務サーバにアクセスした状態でサインオフを行う

と、以下のメッセージがWebブラウザに表示され、サインオフに失敗します。Webブラウザを閉じて対処してください。

「サインオフできませんでした。Webブラウザを閉じてください。」

【業務サーバ管理者】

－利用者に認証を行うシステムの設定画面のURLを通知し、サービスを利用する前に、必ず認証を行うシステムの設定を行うよ

う運用指導してください。

認証を行うシステムの設定については、“7.3.6 認証を行うシステムの設定”を参照してください。

－ SSO管理者からサインオフに失敗する場合について連絡を受けた場合は、利用者に以下のように運用指導してください。

- サインオフを行った際に以下のメッセージが表示される場合は、Webブラウザを閉じてください。

「サインオフできませんでした。Webブラウザを閉じてください。」

注)セションの管理を行わないInterstage シングル・サインオンシステムと連携する場合の注意については、“使用上の注意”の“注意事

項”－“Interstage シングル・サインオンの注意事項”－“認証サーバ間連携に関する注意事項”を参照してください。

7.2.2.1 認証サーバ間連携の運用許可

認証サーバがV9.0以前の旧バージョンから移行した環境の場合、環境設定の移入コマンド(ssoimpac)を使用して、認証サーバで認

証サーバ間連携の運用を行うための設定を行います。

認証サーバ、およびリポジトリサーバ(更新系)をV9.1以降のバージョンで新規に構築した環境の場合は、この作業は不要です。

ssoimpacコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくださ

い。

設定手順は、システム構成によって以下のように異なります。

リポジトリサーバ(更新系)のバージョンがV9.1以降の場合

1. リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サイ

ンオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択し、認証基盤構築ファイルをダウンロードしてください。

2. ダウンロードした認証基盤構築ファイルを認証サーバに転送後、削除してください。

3. 転送した認証基盤構築ファイルを指定してssoimpacコマンドを実行してください。-afsオプションは指定しないでください。


- 246 -

リポジトリサーバ(更新系)のバージョンがV9.0以前で、かつセション管理の運用を行っていない場合

1. リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サイ

ンオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択し、認証基盤構築ファイルをダウンロードしてください。

2. ダウンロードした認証基盤構築ファイルを認証サーバに転送後、削除してください。

3. 転送した認証基盤構築ファイル、および-afsオプションを指定してssoimpacコマンドを実行してください。


リポジトリサーバ(更新系)のバージョンがV9.0以前で、かつセション管理の運用を行っている場合

1. リポジトリサーバ(更新系)を旧バージョンからV9.1に移行してください。

2. リポジトリサーバ(更新系)のバージョンがV9.1以降の場合の手順を行ってください。

7.2.2.2 認証サーバ間連携サービスの配備

認証サーバ間連携サービスは、サーブレットアプリケーションとしてServletコンテナへ配備します。配備は、ssodeployコマンドを使用

して行います。

以下の手順でサーブレットアプリケーションを配備してください。

1. 認証サーバにてssodeployコマンドを実行します。

2. 認証サーバ間連携サービスを配備するかどうかの確認メッセージが表示されますので、“yes”を入力してください。

ssodeployコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくださ

い。

-nオプションで指定するIJServer名を省略し、認証サーバ間連携サービスを配備する例です。IJServer名を省略した場合、

SSO_FEDERATIONでIJServerを作成します。

ssodeployコマンドを実行すると、認証サーバ間連携サービスを配備するかどうかの確認メッセージが表示されますので“yes”を入力


C:\>ssodeploy federation

[Deployment information]

IJServer name : SSO_FEDERATION

Application name : ssofsv

Are you sure you want to deploy the Federation Service? (yes/no)yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\ijserver.xml"

isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_FEDERATION

ijsdeployment -n SSO_FEDERATION -d "C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv"

DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv

ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME

#/opt/FJSVssoac/bin/ssodeploy federation

[Deployment information]

IJServer name : SSO_FEDERATION

Application name : ssofsv

Are you sure you want to deploy the Federation Service? (yes/no)yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/ijserver.xml

- 247 -

UX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_FEDERATION

ijsdeployment -n SSO_FEDERATION -d /etc/opt/FJSVssofs/webapps/ssofsv

UX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssofs/webapps/ssofsv

7.2.2.3 認証サーバ間連携の設定

認証サーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する

項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。


2. [認証サーバ間連携サービス詳細設定[表示]]をクリックし、[認証サーバ間連携の設定]で[連携する]を選択してください。

3. [自シングル・サインオンシステムの情報]、および[相手シングル・サインオンシステムの情報]の各項目を運用に合わせて設定し

てください。

相手シングル・サインオンシステム利用者が自シングル・サインオンシステムを利用できない運用の場合は、[相手シングル・サイ

ンオンシステムの情報]の[相手システム利用者による自システムの利用]で[許可する]のチェックをはずしてください。利用できる

Interstage シングル・サインオンシステムを限定して連携することができます。

また、すべてのユーザ情報を変換せずに送受信する場合は、[相手シングル・サインオンシステムの情報]の[相手システムと送

受信するユーザ情報]で[変換する]のチェックをはずしてください。

4. [認証サーバ間連携ログ]の各項目を設定してください。


認証サーバの負荷分散を行っている場合は、クライアントと認証サーバ間連携サービスとのセションの一意性を保証する必要があり

ます。認証サーバ間連携サービスを起動する前に、ロードバランサの設定を行ってください。

ロードバランサの設定については、システム構成にあわせて“付録E ロードバランサの設定”を参照してください。

7.3 運用・保守

認証サーバ間連携サービスの起動や停止などの運用と保守について説明します。

7.3.1 認証サーバ間連携サービスの起動・停止・削除

認証サーバ間連携サービスは、認証サーバを構築したマシンのInterstage管理コンソールを使用して起動、停止、および削除しま

す。


・認証サーバを停止した場合、認証サーバ間連携サービスも停止してください。

・認証サーバを起動する前に、認証サーバ間連携サービスを起動してください。

・以下の操作を行った場合、認証サーバ間連携サービスを再起動してください。

－ユーザ情報のカスタマイズ

－サーブレットサービスの設定

－認証サーバ間連携の設定

認証サーバ間連携サービスの起動

- 248 -

認証サーバ間連携サービスは、ワークユニットを起動することで起動します。

Interstage管理コンソールの[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[起動]ボタンをクリックして、認証サー

バ間連携サービスを配備したワークユニットを起動してください。

ワークユニットを起動する場合、ワークユニットの起動ユーザと認証サーバが使用しているWebサーバの実効ユーザ、または実効グ

ループの権限を一致させる必要があります。詳細については、ワークユニットの起動ユーザを参照してください。

認証サーバ間連携サービスの停止

認証サーバ間連携サービスは、ワークユニットを停止することで停止します。

Interstage管理コンソールの[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[停止]ボタンをクリックして、認証サー

バ間連携サービスを配備したワークユニットを停止してください。

認証サーバ間連携サービスの削除

認証サーバ間連携サービスの削除は、以下の手順で行います。

1. 認証サーバ間連携サービス、および認証サーバを停止してください。

2. Interstage管理コンソールの[システム] > [ワークユニット] > [IJServer名] > [操作]タブを選択し、[削除]ボタンをクリックして、認証

サーバ間連携サービスを配備したワークユニットを削除してください。

3. Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ

を選択し、[認証サーバ間連携サービス詳細設定[表示]]をクリックしてください。

4. [認証サーバ間連携の設定]の[認証サーバ間連携]で[連携しない]を選択し、[適用]ボタンをクリックしてください。

7.3.2 相手シングル・サインオンシステムの追加、変更、削除

認証サーバ間連携を導入後、相手シングル・サインオンシステムを追加、変更、削除する手順を説明します。

認証サーバにて以下の作業を行ってください。

1. Webブラウザに表示するメッセージのカスタマイズ

2. 相手シングル・サインオンシステムのデジタル署名検証用証明書の登録

3. ユーザ情報のカスタマイズ

4. 認証サーバ間連携の設定

5. 認証サーバの停止

6. 認証サーバ間連携サービスの停止

7. 認証サーバ間連携サービスの起動

8. 認証サーバの起動

・認証サーバを起動する前に、認証サーバ間連携サービスを起動してください。

・相手シングル・サインオンシステムを削除し、システム構成を変更する場合は、すでに設定されている認証を行うシステムをいった

ん解除し、システム構成を変更した後に再度設定してください。認証を行うシステムの解除、および設定については“7.3.6 認証を

行うシステムの設定”を参照してください。

・認証サーバを起動した後、以下の動作について確認してから運用を開始してください。

－各Interstage シングル・サインオンシステムの保護リソースにアクセスし、正常に認証できること。

－利用者のアクセス制御(認可)が正常に行えること。

－サインオフが正常に行えること。

- 249 -

－カスタマイズした画面が正常に表示されること。

－各Interstage シングル・サインオンシステムの業務サーバ上に構築したWebアプリケーションで、カスタマイズしたユーザ情報が

正常に取得できること。

7.3.3 強制サインオフ

SSO管理者は、強制サインオフコマンド“ssosignoff”を実施することで、不正なセションを強制的にサインオフすることができます。

強制サインオフの実施手順について説明します。

なお、以下に示す手順は、自シングル・サインオンシステムで実施する手順ですが、相手シングル・サインオンシステムから依頼を受

けて実施する場合もあります。

自シングル・サインオンシステムで実施する基本操作

1. 業務サーバ管理者は、SSO管理者に強制サインオフさせたい利用者の情報を連絡し、強制サインオフの実施を依頼します。利

用者の情報として、ユーザID、またはセションIDを連絡します。

2. SSO管理者は、業務サーバ管理者から通知された利用者の情報を強制サインオフコマンドに指定して、強制サインオフを実施

します。

強制サインオフの対象となる利用者が、自シングル・サインオンシステム利用者で、自シングル・サインオンシステムだけを利用してい

る場合は、これで作業完了です。強制サインオフコマンド実行時には、何も表示されません。

相手シングル・サインオンシステムで実施する追加操作

強制サインオフの対象となる利用者が、相手シングル・サインオンシステムも利用している場合や、相手シングル・サインオンシステム

利用者である場合は、自シングル・サインオンシステムで実施する強制サインオフの基本操作の後、相手シングル・サインオンシステ

ムにおいても強制サインオフの実施が必要です。

相手シングル・サインオンシステム管理者に、自シングル・サインオンシステムで強制サインオフコマンドを実行した際に表示される情

報を連絡し、強制サインオフの実施を依頼してください。なお、自シングル・サインオンシステムの利用者が利用を許可されていない相

手シングル・サインオンシステムに対しては、依頼する必要はありません。

コマンドの表示情報の詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくだ

さい。

強制サインオフの対象となる利用者が、自シングル・サインオンシステム利用者の場合と相手シングル・サインオンシステム利用者の

場合に分けて説明します。

強制サインオフの対象となる利用者が、自シングル・サインオンシステム利用者であり、相手シングル・サインオンシステムを利用し

ている場合

- 250 -

上図では、自シングル・サインオンシステムで実施する基本操作に含まれる、業務サーバ管理者の作業である手順1.のSSO管理者

への強制サインオフの依頼作業の記載を省略しています。

自シングル・サインオンシステムで実施する基本操作の手順2.で強制サインオフコマンドを実行した際に、強制サインオフが必要な相

手シングル・サインオンシステム名が表示された場合は、以下の手順で強制サインオフを実施してください。

1. コマンド実行時に表示された相手シングル・サインオンシステム管理者に、コマンド実行時に表示された情報を連絡し、強制サ

インオフの実施を依頼します。(図中の手順3.)

2. 依頼された相手シングル・サインオンシステム管理者は、自シングル・サインオンシステム管理者から通知された情報を強制サイ

ンオフコマンドに指定して、強制サインオフを実施します。(図中の手順4.)

強制サインオフの対象となる利用者が、相手シングル・サインオンシステム利用者である場合

上図では、自シングル・サインオンシステムで実施する基本操作に含まれる、業務サーバ管理者の作業である手順1.のSSO管理者

への強制サインオフの依頼作業の記載を省略しています。

自シングル・サインオンシステムで実施する基本操作の手順2.の自シングル・サインオンシステムで強制サインオフコマンドを実行し

た際に、以下のメッセージとともに強制サインオフが必要な相手シングル・サインオンシステム名が表示された場合は、利用者は強制

サインオフされていません。

[097]本システムで認証したユーザではありません

- 251 -

以下の手順で強制サインオフを実施してください。

1. 強制サインオフの対象となる利用者が認証を行った相手シングル・サインオンシステム管理者に、コマンド実行時に表示された

情報を連絡し、強制サインオフの実施を依頼します。(図中の手順3.)

2. 依頼された相手シングル・サインオンシステム管理者は、自シングル・サインオンシステム管理者から通知された情報を強制サイ

ンオフコマンドに指定して、強制サインオフを実施します。(図中の手順4.)

3. 相手シングル・サインオンシステムにおいて強制サインオフを実施した後、自シングル・サインオンシステムにて強制サインオフ

を実施するよう自シングル・サインオンシステム管理者に依頼します。(図中の手順5.)コマンド実行時に他の相手シングル・サインオンシステムが表示された場合は、他の相手シングル・サインオンシステム管理者

に、コマンド実行時に表示された情報を連絡し、強制サインオフの実施を依頼します。(図中の手順5.)

4. 自シングル・サインオンシステム管理者は、コマンド実行時に表示された情報を強制サインオフコマンドに指定して、強制サイン

オフを実施します。(図中の手順6.)

5. 依頼された他の相手シングル・サインオンシステム管理者は、相手シングル・サインオンシステム管理者から通知された情報を

強制サインオフコマンドに指定して、強制サインオフを実施します。(図中の手順7.)

7.3.4 認証サーバ間連携ログの管理

Interstage シングル・サインオンでは、連携を行うシステム間の通信状況を、認証サーバ間連携ログとして記録します。認証サーバ間

連携ログは認証サーバを構築したマシン上に記録され、連携を行うシステム間の通信状況を1レコード1行のテキストファイルとして出

力します。

認証サーバ間連携ログの詳細については、“メッセージ集”の“シングル・サインオンが出力するログメッセージ”を参照してください。

また、認証サーバ間連携ログの出力先ファイル名やファイルの大サイズ、ファイルの保存方法の指定は、認証サーバのInterstage管理コンソールを使用して、以下の画面にて行います。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ > [認証サーバ間連携ログ]


7.3.5 ワークユニットの起動ユーザを変更する場合の注意事項

認証サーバ間連携サービスを配備したワークユニットの起動ユーザを変更する場合には、以下の点に注意してください。

・ワークユニットの起動ユーザ名と、認証サーバが使用しているWebサーバの実効ユーザ名のグループ権限が一致するようにしてく

ださい。

・認証サーバでSSL通信を行う場合は、ワークユニットの起動ユーザがInterstage証明書環境をアクセスできるようにしてください。

7.3.6 認証を行うシステムの設定

認証サーバ間連携を行うことにより、自シングル・サインオンシステム利用者は、自シングル・サインオンシステムのサービスだけでな

く、相手シングル・サインオンシステムのサービスもシングル・サインオンで利用できるようになります。

利用者に認証を行うシステムの設定画面のURLを通知し、利用者がサービスを利用する前に、必ず認証を行うシステムを設定するよ

う運用指導を行ってください。

なお、認証を行うシステムを別のシステムに変更したい場合は、認証を行うシステムをいったん解除し、別のシステムに設定しなおす

よう指導してください。

また、認証を行うシステムの設定画面、および解除画面は、カスタマイズすることが可能です。カスタマイズする方法については、“7.4.2 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

認証を行うシステムの設定

1. 認証を行うシステムの設定画面にアクセスします。

以下のURLを指定してください。

認証を行うシステムの認証基盤のURL/ssofsv/Configure/Set/ClientRequest

- 252 -

2. 認証を行うシステムの設定画面が表示されますので、[設定]ボタンをクリックします。

3. 認証を行うシステムの設定が正しく行われた場合、以下の画面が表示されます。

上記設定を行うことにより、自シングル・サインオンシステム利用者は、連携前と同様にサービスを利用できます。

- 253 -

・認証を行うシステムを事前に設定せずにシングル・サインオンシステムのサービスを利用した場合、以下の画面が表示されます。

認証を行うシステムの設定を行ってから、サービスを利用してください。

・認証を行うシステムの設定は、相手シングル・サインオンシステムの起動状態にかかわらず実施できます。相手シングル・サインオ

ンシステムが停止している場合は、認証サーバ間連携ログに以下のいずれかのメッセージが出力されます。

－ A timeout occurred in communication with the Partner Single Sign-on system. The Partner Single Sign-on system to which thesettings request is sent does not exist. A confirmation request of this settings result was sent to the Local Single Sign-on system.

－ A timeout occurred in communication with the Partner Single Sign-on system. The Partner Single Sign-on system to which thesettings request is sent exists. A settings request was sent to the Partner Single Sign-on system.

・認証を行うシステムの設定は、サインオフした状態で行ってください。

・ WebブラウザにMicrosoft(R) Internet Explorer 7.0以降を使用し、認証を行うシステムの設定を行う際に以下のいずれかの警告メッ

セージが表示された場合は、メッセージに表示された詳細情報を確認し、問題を解決してください。

－ Webブラウザ画面に以下の警告メッセージが表示された場合

“この Web サイトのセキュリティ証明書には問題があります。”

－情報バーに以下の警告メッセージが表示された場合

“セキュリティ保護のため、セキュリティ証明書にエラーのあるコンテンツの表示が Internet Explorer によりブロックされました。

オプションを表示するには、ここをクリックしてください。”

認証を行うシステムの解除

1. 認証を行うシステムの解除画面にアクセスします。

以下のURLを指定してください。

認証を行うシステムの認証基盤のURL/ssofsv/Configure/Clear/ClientRequest

- 254 -

2. 認証を行うシステムの解除画面が表示されますので、[はい]ボタンをクリックします。

3. 認証を行うシステムの解除が正しく行われた場合、以下の画面が表示されます。

・認証を行うシステムの解除は、すべての相手シングル・サインオンシステムを起動した状態で実施してください。相手シングル・サ

インオンシステムが停止している場合、認証を行うシステムを解除することはできません。

相手シングル・サインオンシステムが停止している状態で認証を行うシステムを解除したい場合は、以下のいずれかの対処を行っ

てください。

－停止している相手シングル・サインオンシステムと連携を行わない場合は、Interstage管理コンソールを使用して、停止している

相手シングル・サインオンシステムの設定を削除してください。(注) その後、認証を行うシステムの解除を行ってください。

－停止している相手シングル・サインオンシステムと連携を行う場合は、利用者のブラウザに設定されているCookieを削除するよ

う運用指導してください。

- 255 -

・認証を行うシステムの解除は、サインオフした状態で行ってください。

注)相手シングル・サインオンシステムの削除については、“7.3.2 相手シングル・サインオンシステムの追加、変更、削除”を参照してく

ださい。

7.4 カスタマイズ

認証サーバ間連携を導入する際に行うカスタマイズについて説明します。

7.4.1 ユーザ情報のカスタマイズ

Interstage シングル・サインオンでは、認証サーバ間連携を行う場合、シングル・サインオンシステム間でユーザ情報を通知する際に

必要な変換処理を行うために、以下のカスタマイズ方法を提供しています。

・ 7.4.1.1 ユーザ情報カスタマイズ定義ファイルに記述した変換ルールによるカスタマイズ

Interstage シングル・サインオンが提供する雛形のユーザ情報カスタマイズ定義ファイルを使用して、ユーザ情報を変換するルー

ルを記述したユーザ情報カスタマイズ定義ファイルを作成します。

すべてのユーザ情報を変換せずに通知することも可能ですが、セキュリティを考慮し、必要なユーザ情報を通知するようカスタマイズ


すべてのユーザ情報を変換せずに通知する場合は、“7.2.2.3 認証サーバ間連携の設定”時にInterstage管理コンソールにて設定を

行ってください。

また、カスタマイズモジュールを使用することで、変換ルールを拡張し、ユーザ情報を詳細にカスタマイズすることができます。カスタ

マイズモジュールを使用してユーザ情報をカスタマイズする場合は、7.4.1.2 カスタマイズモジュールによるカスタマイズを参照してくだ

さい。

7.4.1.1 ユーザ情報カスタマイズ定義ファイルに記述した変換ルールによるカスタマイズ

変換ルールを記述したユーザ情報カスタマイズ定義ファイルを使用することで、ユーザ情報をカスタマイズすることができます。

変換ルールを使用してユーザ情報がカスタマイズされる流れ

以下に変換ルールを使用してユーザ情報がカスタマイズされる流れを示します。

- 256 -

・変換ルールに定義したユーザ情報だけが、変換後のユーザ情報となります。

ただし、以下のユーザ情報は、変換ルールの定義にかかわらず、そのまま変換後のユーザ情報として出力されます。

－認証方式

－クライアントのIPアドレス

－認証時刻

－再認証時刻

－前回サインオン日時

・変換前のユーザ情報を使用して、任意のユーザ情報を生成することができます。

・変換前のユーザ情報を使用しないで、新たなユーザ情報を生成することができます。

・以下のユーザ情報は、変換後のユーザ情報として必ず出力される必要があります。

－利用者のユーザID

・以下のユーザ情報について、変換によって複数の属性値が出力される場合には、後に出力された属性値がユーザ情報として

有効となります。

－利用者のDN

－利用者のユーザID

・変換前のユーザ情報の属性値が複数存在する場合には、属性値を昇順に並べ替えた順番で変換します。

・相手シングル・サインオンシステムへユーザ情報を通知する場合、ユーザ情報の前後の空白は削除されます。

情報A,Bをカスタマイズし、利用者のユーザIDを出力する場合を例に説明します。

- 257 -

1. 情報Aは情報Bよりも先に定義されているので、情報Aの属性値“user0001”が初に処理されます。(図中(1))

2. 属性値は昇順に並べ替えた順番で処理されるので、情報Bの属性値は“a00001”、“z12345”の順に処理されます。(図中(2)、(3))

3. 後に変換出力された“ID_30001”が“利用者のユーザID”の属性値となります。

Interstage シングル・サインオンが提供する雛形のユーザ情報カスタマイズ定義ファイルは、以下に格納されています。使用する環境

に合わせてコピーして利用してください。

雛形のユーザ情報カスタマイズ定義ファイルと格納先

雛形のユーザ情報カスタマイズ定義ファイル名

・custom_EN.xml ASCIIコードで記述されています。

・custom_SJIS.xml シフトJISコードで記述されています。

・custom_EUC.xml EUCコードで記述されています。

・custom_UTF8.xml UTF-8コードで記述されています。

雛形のユーザ情報カスタマイズ定義ファイルの格納先

C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\original\conf

/etc/opt/FJSVssofs/webapps/ssofsv/original/conf

作成したユーザ情報カスタマイズ定義ファイルは、“custom.xml”に変名し、以下に格納してください。

ユーザ情報カスタマイズ定義ファイル名と格納先

ユーザ情報カスタマイズ定義ファイル名

custom.xml

ユーザ情報カスタマイズ定義ファイルの格納先

C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\custom\conf\

/etc/opt/FJSVssofs/webapps/ssofsv/custom/conf/

ユーザ情報カスタマイズ定義ファイルの作成方法

ユーザ情報カスタマイズ定義ファイルには、ユーザ情報を変換するルールをXML形式で記述します。ユーザ情報カスタマイズ定義

ファイルの編集は、認証サーバを構築したマシンで、認証サーバ間連携サービスが停止した状態で行ってください。

- 258 -

次のタグは、XML宣言およびDTD(文書型定義)を記述しているため、ユーザ情報カスタマイズ定義ファイルの先頭に必ず記述して

ください。



<!DOCTYPE SSOUserInfo [

<!ELEMENT SSOUserInfo (Pluginlist, Rulelist, Systemlist)>

<!ELEMENT Pluginlist (plugin*)>

<!ELEMENT plugin (#PCDATA)>

<!ATTLIST plugin name ID #REQUIRED

type (sender | receiver) #REQUIRED>

<!ELEMENT Rulelist (rule*)>

<!ELEMENT rule (USER_DN, ROLE_LIST*, USER_ID, ExtraInfo*)>

<!ATTLIST rule name ID #REQUIRED

postmodify IDREF #IMPLIED>

<!ELEMENT USER_DN (input*, create*)>

<!ATTLIST USER_DN transparent (true | false) "false">

<!ELEMENT ROLE_LIST (input*, create*)>

<!ATTLIST ROLE_LIST transparent (true | false) "false">

<!ELEMENT USER_ID (input*, create*)>

<!ATTLIST USER_ID transparent (true | false) "false">

<!ELEMENT ExtraInfo (input*, create*)>

<!ATTLIST ExtraInfo name CDATA #REQUIRED

transparent (true | false) "false">

<!ELEMENT input (select*, default?)>

<!ATTLIST input name CDATA #REQUIRED>

<!ELEMENT create (#PCDATA)>

<!ATTLIST create param1 (localname | partnername) "localname"

param2 (localname | partnername) "partnername">

<!ELEMENT select (#PCDATA)>

<!ATTLIST select match CDATA #IMPLIED

param1 (inputvalue | localname | partnername) "inputvalue"

param2 (inputvalue | localname | partnername) "localname"

param3 (inputvalue | localname | partnername) "partnername">

<!ELEMENT default (#PCDATA)>

<!ATTLIST default param1 (inputvalue | localname | partnername) "inputvalue"

param2 (inputvalue | localname | partnername) "localname"

param3 (inputvalue | localname | partnername) "partnername">

<!ELEMENT Systemlist (system*)>

<!ELEMENT system (send, receive)>

<!ATTLIST system name CDATA #REQUIRED>

<!ELEMENT send EMPTY>

<!ATTLIST send rule IDREF #REQUIRED

debug (true | false) "false">

<!ELEMENT receive EMPTY>

<!ATTLIST receive rule IDREF #REQUIRED

debug (true | false) "false">

]>



ユーザ情報カスタマイズ定義ファイルで設定するXMLタグを、以下のXMLタグ表に示します。

XMLタグ表の項目、属性、および値の文字列は、大文字と小文字が区別されます。項目の出現順序は下表に記述してある順番に

従ってください。

変換ルールを使用してユーザ情報がカスタマイズされる流れを参考に、内部項目2に指定する“変換前のユーザ情報”を、内部項目

1に指定する“変換ルール”でカスタマイズし、小項目に指定した“変換後のユーザ情報”を生成するように記述してください。

なお、“変換前のユーザ情報”を使用しない場合は、内部項目2の指定は不要です。

また、内部項目1は複数指定することが可能であり、指定された順に変換処理が行なわれます。ある内部項目1に指定した変換ルー

ルで属性値が生成されても、同じ小項目内に変換処理が行われていない別の内部項目1があれば、その変換処理が継続して行われ

ます。

- 259 -

ルート項

目大項目中項目

小項

目

内部

項目1内部

項目2

項

目

の

省

略

可

否

属性

属

性

の

省

略

可

否

説明

SSOUserInfo

Pluginlist

plugin 可

name 不

可

ユーザ情報の変換を行うカスタマイズモジュール

のクラス名を完全修飾名で指定します。

このタグを一意に特定するための文字列をname属性に指定してください。

type 不

可

カスタマイズモジュールの用途をtype属性に指定

します。

・送信データ変換クラスの場合

sender

・受信データ変換クラスの場合

receiver

Rulelist rule 可

name 不

可

ユーザ情報の変換ルールを、小項目を指定する

ことにより定義します。

このタグを一意に特定するための文字列をname属性に指定してください。

小項目の指定により生成されたユーザ情報を、カ

スタマイズモジュールによって変換したい場合は、

使用するカスタマイズモジュールが指定された

PluginタグのID属性値をpostmodify属性に指定


postmodify

可

USER_DN

不

可

transparent

可利用者のDNを生成する場合に、内部項目1を指

定することで定義します。

ただし、変換前の利用者のDNをそのまま出力す

る場合には、transparent属性に“true”を指定して

ください。

input 可

name 不

可

変換前のユーザ情報を使用してユーザ情報を生

成する場合に、内部項目2を指定することで定義

します。

name属性に変換前のユーザ情報を指定してくだ

さい。(注1)

select可

match 可変換前のユーザ情報にmatch属性で指定した値

が存在する場合に、生成する属性値の書式を指

定してください。(注2)(注3)書式には、3個の可変パラメタを含めることができ

ます。

変換前のユーザ情報が複数の値を持つ場合は、

全ての値に対してmatch属性値との比較が行なわ

れます。

あるselectタグで属性値が生成されると、以降に定

義されているselectタグは参照されません。

param1

可

param2

可

param3

可

default 可

param1

可変換前のユーザ情報の値が、全てのselectタグの

match属性で指定した値ではない場合に、生成す

る属性値の書式を指定してください。(注2)(注4)書式には、3個の可変パラメタを含めることができ

ます。(注5)

param2

可

param3

可

- 260 -

create 可

param1

可変換前のユーザ情報を使用しないで、ユーザ情

報を生成する場合に、生成する属性値の書式を

指定してください。(注2)書式には、2個の可変パラメタを含めることができ

ます。(注6)

param2

可

ROLE_LIST

可

transparent

可ロール名を生成する場合に、内部項目1を指定す

ることで定義します。

ただし、変換前のロール名をそのまま出力する場

合には、transparent属性に“true”を指定してくだ

さい。

input 可

name 不

可


成する場合、内部項目2を指定することで定義し

ます。


さい。(注1)

select可




ます。



れます。



param1

可

param2

可

param3

可

default 可

param1




ます。(注5)

param2

可

param3

可

create 可

param1




ます。(注6)

param2

可

USER_ID

不

可

transparent

可利用者のユーザIDを生成する場合に、内部項目

1を指定することで定義します。

ただし、変換前の利用者のユーザIDをそのまま出

力する場合には、transparent属性に“true”を指定


input 可

name 不

可



します。


さい。(注1)

select可




ます。

param1

可

param2

可

- 261 -

param3



れます。



可

default 可

param1




ます。(注5)

param2

可

param3

可

create 可

param1




ます。(注6)

param2

可

ExtraInfo

可

name 不

可

拡張ユーザ情報を生成する場合に、内部項目1を指定することで定義します。

ただし、変換前の拡張ユーザ情報をそのまま出力

する場合には、transparent属性に“true”を指定し

てください。

name属性に拡張ユーザ情報名を指定してくださ

い。(注7)

transparent

可

input 可

name 不

可



します。


さい。(注1)

select可




ます。



れます。



param1

可

param2

可

param3

可

default 可

param1




ます。(注5)

param2

可

param3

可

create 可

param1




ます。(注6)

param2

可

Systemlist

system 可

name 不

可

相手シングル・サインオンシステムごとに、どのユー

ザ情報の変換ルールを適用するかを、小項目を

指定することで定義します。

- 262 -

name属性には、認証サーバの環境設定で設定

する、相手シングル・サインオンシステムのシング

ル・サインオンシステム名を指定してください。(注8)

send 不

可

rule 不

可

相手シングル・サインオンシステムへユーザ情報

を送信する場合に適用するユーザ情報の変換

ルールをrule属性に指定してください。

debug属性に“true”を指定することにより、認証

サーバ間連携サービスのコンテナログに、変換前

後のユーザ情報を出力することができます。(注9)

debug 可

receive

不

可

rule 不

可

相手シングル・サインオンシステムからユーザ情

報を受信した場合に適用するユーザ情報の変換

ルールをrule属性に指定してください。

debug属性に“true”を指定することで、認証サー

バ間連携サービスのコンテナログに、変換前後の

ユーザ情報を出力することができます。(注9)

debug 可

注1)以下のユーザ情報が指定できます。変換前のユーザ情報に指定したユーザ情報が存在しない場合は、本タグは無効となります。

ユーザ情報の詳細については、“6.2 環境変数によるユーザ情報の通知の設定”を参照してください。

・ USER_DN (利用者のDN)

・ ROLE_LIST (ロール名)(*1)

・ USER_ID (利用者のユーザID)

・ AUTH_METHOD (認証方式)

・ IP_ADDRESS (クライアントのIPアドレス)

・ FIRST_ACCESS_TIME (認証時刻)

・ EXPIRATION_TIME (再認証時刻)

・ LAST_SIGNON_TIME (前回サインオン日時)

・上記以外の文字列 (拡張ユーザ情報) (*2)

(*1)ユーザ情報にロールセットが設定されている場合は、ロールセットに設定されているロール名が通知されます。

(*2)セションの管理を行っていないシステムでは、業務サーバに通知されませんが、認証サーバ間連携サービスには通知されます。

注2)java.util.Formatterで指定可能な書式で指定してください。詳細については、J2SE 5.0のJavaDocを参照してください。なお、相手

シングル・サインオンシステムへ送信するユーザ情報を変換する場合には、属性値に指定可能な文字に制約はありませんが、相手シ

ングル・サインオンシステムから受信したユーザ情報を変換する場合には、以下に示す制約があります。

ユーザ情報制約

USER_DN 以下を指定することはできません。

・空文字

・制御文字(ShiftJISの0x00～0x1f、0x7f)を含む文字列

ROLE_LIST 以下を指定することはできません。

・空文字


・ 512バイトを超える文字列

・カンマ(,)を含む文字列

USER_ID 以下を指定することはできません。

・空文字

- 263 -

・ ASCII文字以外の文字列

・ 256バイトを超える文字列(*1)

・連続した空白を含む文字列

ExtraInfo 以下を指定することはできません。

・空文字


(*1)自シングル・サインオンシステムがセションの管理を行なっている場合だけの制約です。

注3)match属性に指定された値は、大文字と小文字の区別が行われません。また、match属性に同一の値が指定されたselectタグが、1つのinputタグ内に複数定義されている場合には、初に定義されたselectタグだけが有効となります。

注4)defaultタグを省略した場合、変換後にユーザ情報が出力されない場合があります。selectタグでユーザ情報が出力されない場合

がある時は、defaultタグを必ず指定してください。

注5)以下の可変パラメタが使用できます。

・入力データ値 (inputvalue)

・自シングル・サインオンシステム名 (localname)

・相手シングル・サインオンシステム名 (partnername)

以下の属性が省略された場合、省略値に示した値が指定されたと見なします。

属性省略値

param1 inputvalue

param2 localname

param3 partnername

%から始まる書式指定子との対応付けは、param1、param2、param3属性で行ってください。

相手シングル・サインオン名を1番目の書式指定子とし、入力データ値を2番目の書式指定子として扱う場合

<select match="roleA" param1="partnername" param2="inputvalue">%s_%s</select>

注6)以下の可変パラメタが使用できます。

・自シングル・サインオンシステム名 (localname)

・相手シングル・サインオンシステム名 (partnername)

以下の属性が省略された場合、省略値に示した値が指定されたと見なします。

属性省略値

param1 localname

param2 partnername

%から始まる書式指定子との対応付けは、param1、param2属性で行ってください。

相手シングル・サインオン名を1番目の書式指定子として扱う場合

<create param1="partnername">somewhere in %s</create>

- 264 -

注7)半角英数字、およびアンダスコア(_)が使用できます。先頭には英字を指定してください。なお、大文字と小文字の区別は行いま

せん。また、以下の文字列は指定できません。

・ ssoRoleName

・ uid

・ ssoSessionInfo

・ USER_DN

・ AUTH_METHOD

・ IP_ADDRESS

・ FIRST_ACCESS_TIME

・ EXPIRATION_TIME

・ LAST_SIGNON_TIME

・ ROLE_LIST

・ USER_ID

・ FJ_IS_SSO_DN

・ FJ_IS_SSO_ROLE

・ FJ_IS_SSO_UID

・ FJ_IS_SSO_AUTHMETHOD

・ FJ_IS_SSO_IPADDRESS

・ FJ_IS_SSO_FIRSTACCESS

・ FJ_IS_SSO_EXPIRATION

・ FJ_IS_SSO_LASTSIGNONTIME

・ FJ_IS_SSO_ORIGINAL_UID

・ FJ_IS_SSO_AUTH_METHOD_EX

・ FJ_IS_SSO_IDP_AUTH_URL

・ FJ_IS_SSO_IDP_RESPONSE_TIME

注8)本属性に設定する値は、認証サーバのInterstage管理コンソールを使用して以下の項目に設定してください。すでに認証サーバ

間連携の設定が完了している場合は、以下の項目に設定されている値を本属性に設定してください。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定] > [認証サーバ間連携サービス詳細設定

[表示]] > [相手シングル・サインオンシステムの情報] > [相手シングル・サインオンシステムの設定]の[シングル・サインオンシステ

ム名]

なお、本属性には1Byteから32Byteまでの半角の英数字、および以下の記号が指定できます。

・ハイフン (-)

・アンダースコア (_)

・左括弧 (()

・右括弧 ())

・左角括弧 ([)

・右角括弧 (])

注9)性能低下を招くため、運用時には使用しないでください。

- 265 -

ユーザ情報カスタマイズ定義ファイルの記述例

ロール名、ユーザID、および利用者のDNを以下のように変換する場合の記述例を示します。

ユーザ情報変換方法

自シングル・サインオンシステム相手シングル・サインオンシステム

変換前変換後変換前変換後

ロール名 “一般利用者” “role_no_1” “role_no_1” “guest”

ユーザID 変換なしユーザID “partner_”+ユーザID

利用者のDN 変換なし変換なし

【自シングル・サインオンシステム側のユーザ情報カスタマイズ定義ファイル例】

相手シングル・サインオンシステム名に“systemB”を指定している例です。

<?xml version="1.0" encoding="Shift_JIS" ?>


～省略～


<SSOUserInfo>

<Pluginlist>

</Pluginlist>

<Rulelist>

<rule name="SendToSystemB">

<USER_DN transparent="true" />

<ROLE_LIST>

<input name="ROLE_LIST">

<select match="一般利用者">role_no_1</select>

</input>

</ROLE_LIST >

<USER_ID transparent="true" />

</rule>

<rule name="ReceivedFromSystemB">

～省略～

</rule>

</Rulelist>

<Systemlist>

<system name="systemB">

<send rule="SendToSystemB" debug="false" />

<receive rule="ReceivedFromSystemB" debug="false" />

</system>

</Systemlist>

</SSOUserInfo>

【相手シングル・サインオンシステム側のユーザ情報カスタマイズ定義ファイル例】

相手シングル・サインオンシステム名に“systemA”を指定している例です。



～省略～


<SSOUserInfo>

<Pluginlist>

</Pluginlist>

<Rulelist>

- 266 -

<rule name="ReceivedFromSystemA">

<USER_DN transparent="true" />

<ROLE_LIST>

<input name="ROLE_LIST">

<select match="role_no_1">guest</select>

</input>

</ROLE_LIST>

<USER_ID>

<input name="USER_ID">

<default param1="partner" param2="inputvalue">%s_%s</default>

</input>

</USER_ID>

</rule>

<rule name="SendToSystemA">

～省略～

</rule>

</Rulelist>

<Systemlist>

<system name="systemA">

<send rule="SendToSystemA" debug="false" />

<receive rule="ReceivedFromSystemA" debug="false" />

</system>

</Systemlist>

</SSOUserInfo>

7.4.1.2 カスタマイズモジュールによるカスタマイズ

Interstage シングル・サインオンでは、ユーザ情報を変換するカスタマイズモジュールを作成するためのJavaインタフェースクラスを提

供します。(注) 各クラスの API 仕様については、マニュアル CD の “ ApplicationServer \ javadocs ” フォルダに格納されている

JavaDoc(javadocs_sso_federation)を参照してください。

インタフェース名用途説明

SSOUserInfoSender 送信用本インタフェースを実装したクラスを作成し、変換を行うメソッドを実装することで、

送信時のユーザ情報の変換を実現します。

SSOUserInfoReceiver 受信用本インタフェースを実装したクラスを作成し、変換を行うメソッドを実装することで、

受信時のユーザ情報の変換を実現します。

注)提供するクラスが前提とするJavaのバージョンは5.0以降です。

ユーザ情報

Interstage シングル・サインオンでは、以下のユーザ情報を変換、および参照することができます。

各ユーザ情報の詳細については、“6.2 環境変数によるユーザ情報の通知の設定”を参照してください。

ユーザ情報変換参照

利用者のDN 可能可能

ロール名(注1)(注2) 可能可能

利用者のユーザID 可能可能

認証方式不可可能

クライアントのIPアドレス不可可能

認証時刻不可可能

再認証時刻不可可能

前回サインオン日時不可可能

- 267 -

拡張ユーザ情報可能可能

注1)ロール名を変換することで、利用者のアクセスを制御することができます。例えば、以下のようにロール名を削除することで、ロー

ルが設定されている保護リソースへのアクセスを拒否することができます。

public void modifyReceivedData (

SSOUserInformation userInfo,

SSOSystemInformation systemInfo )

throws SSOCustomFailedException {

// ロールの値を削除

userInfo.removeRole();

}

注2)ユーザ情報にロールセットが設定されている場合は、ロールセットに設定されているロール名が通知されます。

カスタマイズ手順

カスタマイズモジュールを使用してユーザ情報を変換するカスタマイズ手順について、以下のような運用を例に説明します。

1. ユーザ情報を送信する相手シングル・サインオンシステム向けに、SSOUserInfoSenderインタフェースを実装したクラスを作成し

ます。

例として、各シングル・サインオンシステム向けに以下のようなクラスを作成します。

－ Interstage シングル・サインオンシステムB：user.custom.SSOUserInfoSenderSystemB (注1)

－ Interstage シングル・サインオンシステムC：user.custom.SSOUserInfoSenderSystemC (注1)

このとき、ユーザ情報を送信する相手シングル・サインオンシステムに応じたユーザ情報の変換が行われるように、

SSOUserInfoSenderインタフェースで宣言されている以下のメソッドを実装します。(注2)

－ initSender

－ modifySendingData

- 268 -

－ destroySender

2. ユーザ情報を送信した相手シングル・サインオンシステム向けに、SSOUserInfoReceiverインタフェースを実装したクラスを作成

します。

例として、共通な変換を行う処理を実装する以下のクラスを作成します。

－ user.custom.SSOUserInfoReceiverSystemAll (注1)

このとき、ユーザ情報を送信する相手シングル・サインオンシステムに応じたユーザ情報の変換が行われるように、

SSOUserInfoReceiverインタフェースで宣言されている以下のメソッドを実装します。(注2)

－ initReceiver

－ modifyReceivedData

－ destroyReceiver

3. 作成したサブクラスをコンパイルします。(注3)(注4)

4. コンパイルしたサブクラスを含むjarファイルを作成します。ここでは、作成するファイルをcustomuserinfo.jarとします。(注5)

5. customuserinfo.jarを以下のディレクトリに格納します。

C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\lib

/etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/lib

6. 作成したクラス名をユーザ情報カスタマイズ定義ファイルに登録します。(注6)

相手シングル・サインオンシステム名に“systemB”、および“systemC”を指定している例です。



～省略～


<SSOUserInfo>

<Pluginlist>

<plugin name="CustomSendToSystemB" type="sender">user.custom.SSOUserInfoSenderSystemB</plugin>

<plugin name="CustomSendToSystemC" type="sender">user.custom.SSOUserInfoSenderSystemC</plugin>

<plugin name="CustomReceivedFromAll" type="receiver">user.custom.SSOUserInfoReceiverSystemAll</plugin>

</Pluginlist>

<Rulelist>

<rule name="SendToSystemB" postmodify ="CustomSendToSystemB">

<USER_DN transparent="true"/>

<ROLE_LIST transparent="true"/>

<USER_ID transparent="true"/>

</rule>

<rule name="SendToSystemC" postmodify ="CustomSendToSystemC">

～省略～

</rule>

<rule name="ReceivedFromAll" postmodify ="CustomReceivedFromAll">

～省略～

</rule>

</Rulelist>

- 269 -

<Systemlist>

<system name="systemB">

<send rule="SendToSystemB"/>

<receive rule="ReceivedFromAll"/>

</system>

<system name="systemC">

<send rule="SendToSystemC"/>

<receive rule="ReceivedFromAll"/>

</system>

</Systemlist>

</SSOUserInfo>

注1)任意のパッケージ、およびクラス名が使用できます。また、パッケージの使用は任意です。

注2)変換を行うメソッド内で例外が発生した場合、Interstage シングル・サインオンのシステムのログが出力され、Webブラウザには「内

部エラーが発生しました」というメッセージが表示されます。独自で変換処理を中断する場合は、SSOCustomFailedExceptionをスロー

するように実装してください。

注3)コンパイルに使用するJDKのバージョンは、認証サーバ間連携サービスを配備したワークユニットが使用するJavaのバージョンに

合わせてください。

注4)コンパイル時には、以下のパスをクラスパスに追加する必要があります。

C:\Interstage\F3FMsso\ssofsv\lib\isssofsv.jar

/opt/FJSVssofs/lib/isssofsv.jar

注5)ファイル名は任意です。また、複数のjarファイルにクラスを分割することも可能です。ただし、複数のjarファイルに分割した場合、手順

5.で作成した全てのjarファイルを格納する必要があります。

注6)ユーザ情報カスタマイズ定義ファイルに登録済みのクラスを修正した場合は、認証サーバ間連携サービスを再起動してください。

認証サーバ間連携サービスの起動および停止については、“7.3.1 認証サーバ間連携サービスの起動・停止・削除”を参照してくださ

い。

実装例

user.custom.SSOUserInfoSenderSystemBの実装例を以下に示します。ただし、実装内容は、送信用、受信用を意識していません。

package user.custom;

import com.fujitsu.interstage.sso.fsv.common.SSOCustomFailedException;

import com.fujitsu.interstage.sso.fsv.data.SSOSystemInformation;

import com.fujitsu.interstage.sso.fsv.data.SSOUserInformation;

import com.fujitsu.interstage.sso.fsv.data.SSOUserInfoSender;

import java.util.HashSet;

import java.util.Set;

public class SSOUserInfoSenderSystemB implements SSOUserInfoSender {

public void initSender(){

// 必要に応じて、初期化処理を実装

}

public void modifySendingData (

SSOUserInformation userInfo,

SSOSystemInformation systemInfo )

throws SSOCustomFailedException {

// 送信するユーザ情報の変換を実装

- 270 -

// 変換後のユーザ情報の値を準備

Set<String> convRole = new HashSet<String>();

convRole.add( new String( "guest") );

Set<String> convMail = new HashSet<String>();

convMail.add( new String( "[email protected]") );

// ユーザIDを"ユーザID_systemA"に変更

StringBuffer convUserID = new StringBuffer( userInfo.getUserID() );

convUserID.append( "_systemA" );

userInfo.setUserID( convUserID.toString() );

// ロールを"guest"に変更

userInfo.setRole( convRole );

// 拡張ユーザ情報:mailを"[email protected]"に変更

userInfo.setExtUserInfo( "mail", convMail );

}

public void destroySender(){

// 必要に応じて、終了処理を実装

}

}

7.4.2 Webブラウザに表示するメッセージのカスタマイズ

Interstage シングル・サインオンでは、認証サーバ間連携時にWebブラウザに表示するメッセージをカスタマイズする機能を提供して

います。

より詳しいメッセージ内容に変更するなど、運用に応じてカスタマイズすることができます。

7.4.2.1 カスタマイズできるメッセージ

Interstage シングル・サインオンが提供している以下の認証サーバ間連携時に表示されるメッセージをカスタマイズすることができま

す。

メッセージのカスタマイズは、HTML形式のメッセージファイルを編集することにより行います。また、メッセージのカスタマイズは認証

サーバを構築したマシンで、認証サーバ間連携サービスが停止した状態で行ってください。




メッセージファイルは、以下のディレクトリに格納しています。メッセージを編集する際は“7.4.2.8 メッセージファイルのアクセス権限の

設定”を参照し、メッセージファイルのアクセス権限を確認してください。


C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\custom\page\

/etc/opt/FJSVssofs/webapps/ssofsv/custom/page/




C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\original\page\

- 271 -

/etc/opt/FJSVssofs/webapps/ssofsv/original/page/

メッセージファイルは、日本語版と英語版を用意しています。クライアントのWebブラウザに設定した言語に応じて編集するメッセージ

ファイルを選択してください。

なお、クライアントのWebブラウザの言語設定に日本語以外が設定されている場合は、英語版のメッセージが表示されます。

No. メッセージを表示する要因表示するメッセージ内容メッセージファイル名

1 認証を行うシステムの設定画面の

URLにアクセスしました。

This Single Sign-on system is linkedwith multiple Single Sign-on systems.The system used to performauthentication must be configured touse the system.

Configure this Single Sign-on systemfor the system used to performauthentication.

200system_setting_en.html

本シングル・サインオンシステムは複

数のシングル・サインオンシステムと連

携しています。

システムの利用にあたって、認証を行

うシステムを設定する必要がありま

す。

認証を行うシステムに本シングル・サ

インオンシステムを設定します。

200system_setting_ja.html

2 認証を行うシステムの設定が正常に

完了しました。

This Single Sign-on system was set asthe system used to performauthentication.

200system_setting_result_success_en.html

認証を行うシステムに本シングル・サ

インオンシステムを設定しました。

200system_setting_result_success_ja.html

3 認証を行うシステムの設定に失敗し

ました。

Failed to set the Single Sign-on systemused to perform authentication.

200system_setting_result_failed_en.html

認証を行うシステムの設定に失敗しま

した。


4 認証を行うシステムに自シングル・サ

インオンシステムを設定した状態で、

認証を行うシステムの解除画面の

URLにアクセスしました。

Do you want to release the system usedto perform authentication?

200system_clear_local_system_set_en.html

認証を行うシステムの解除を行います

か？

200system_clear_local_system_set_ja.html

5 認証を行うシステムに自シングル・サ

インオンシステム以外のシステムを設

定した状態で、認証を行うシステムの

解除画面のURLにアクセスしました。

Release the system used to performauthentication from another SingleSign-on system.

200system_clear_partner_system_set_en.html

本シングル・サインオンシステム以外

のシステムで、認証を行うシステムの

解除を行ってください。

200system_clear_partner_system_set_ja.html

6 認証を行うシステムが設定されてい

ない状態で、認証を行うシステムの

解除画面のURLにアクセスしました。

The system used to performauthentication has been released.

200system_clear_no_system_set_en.html

認証を行うシステムの解除が完了して

います。

200system_clear_no_system_set_ja.html

- 272 -

7 認証を行うシステムの設定を解除し

ました。

The system used to performauthentication was released.

200system_clear_result_success_en.html

認証を行うシステムの解除が完了しま

した。

200system_clear_result_success_ja.html

8 認証を行うシステムの設定を解除す

ることを取り消しました。

Release of the system used to performauthentication was canceled.

200system_clear_result_cancel_en.html

認証を行うシステムの解除を取り消し

ました。

200system_clear_result_cancel_ja.html

9 他の画面で認証サーバ間連携の処

理を実行中に、認証サーバ間連携

の処理を行いました。

Federation service is processing inanother window or page.If the screen under processing does notexist, please click the button tocontinue it.

200check_duplication_process_en.html

他の画面で認証サーバ間連携の処理

を実行中です。

処理中の画面が存在しない場合は、

以下のボタンをクリックして処理を継続


200check_duplication_process_ja.html

10 相手シングル・サインオンシステムに

対して、認証を行うシステムの設定、

または認証を行うシステムの確認を

行っています。

Federation service is processing. 200watching_communication_en.html

認証サーバ間連携の処理を実行中で

す。

200watching_communication_ja.html

11 無効な操作を行いました。 Invalid operation. 403request_error_invalid_operation_en.html

無効な操作です。 403request_error_invalid_operation_ja.html

12 ブラウザがCookieを受け付けない設

定になっています。

Browser does not accept cookies. 403request_error_no_cookie_set_en.html

ブラウザがcookieを受け付けません。 403request_error_no_cookie_set_ja.html

13 認証を行うシステムが設定されてい

ない状態で、認証処理を行いまし

た。

The system used to performauthentication has not been set.

403request_error_no_system_set_en.html

認証を行うシステムが設定されていま

せん。

403request_error_no_system_set_ja.html

14 認証サーバ間連携サービスの運用

で内部異常が発生しました。

または、ユーザ情報の変換を行うメ

ソッドで例外が発生しました。

An internal error has occurred. 500internal_error_en.html (*1)

内部エラーが発生しました。 500internal_error_ja.html (*1)

(*1) 本メッセージファイルは、ファイルのサイズが512バイト以上になるようにカスタマイズしてください。512バイト未満の場合、カスタ

マイズしたメッセージファイルが正常に表示されない場合があります。

7.4.2.2 メッセージのカスタマイズ方法

メッセージファイルのカスタマイズ方法について説明します。

1. メッセージファイルを編集します。以下の編集例を参考にしてください。

－認証を行うシステムの設定画面のメッセージファイルを編集する場合は、“7.4.2.3 認証を行うシステムの設定画面用タグの仕

様”を参照してください。

－認証を行うシステムの解除画面のメッセージファイルを編集する場合は、“7.4.2.4 認証を行うシステムの解除画面用タグの仕


－同時処理確認画面のメッセージファイルを編集する場合は、“7.4.2.5 同時処理確認画面用タグの仕様”を参照してくださ

い。

- 273 -

－認証を行うシステムの設定および確認待ち画面のメッセージファイルを編集する場合は、“7.4.2.6 認証を行うシステムの設

定および確認待ち画面用タグの仕様”を参照してください。

－メッセージ内にシングル・サインオンシステムのシステム名を表示させたい場合は、“7.4.2.7 システム名表示用文字列の仕


2. 任意のWebブラウザを使用して、編集したメッセージファイルが編集したとおり表示できているか確認します。問題なく表示する

ことができましたら、認証サーバ間連携サービスを起動してください。運用開始後、編集したメッセージが表示されます。

以下に、メッセージファイルの編集例を示します。

メッセージファイル“200system_setting_ja.html”の編集例を示します。

以下は、太字になっている部分を変更した例です。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>


<title> Single Sign-on system setting page </title>

</head>

<body text="#000066" bgcolor="#ffffcc" link="#660000" vlink="#660000" alink="#ffcc33">

<div align="center">

<table border="0">

<tr><td>

<p>

認証を行うシステムの設定を行います。<br>

"OK"ボタンをクリックしてください。

</p>

</td></tr>

</table>

<br>

<form action="" method="post">

<input name="fj_is_sso_fsv_configure_set" type="submit" value="OK">

<input name="fj_is_sso_fsv_configure_request_id" type="hidden" value="">

</form>

<table border="0">

<tr><td>

<p>

このページについてのお問い合わせは<a href=\"mailto:[email protected]\">社内システム部</a>までお願いいたし

ます。<br>

外線番号 xxx-xxx-xxxx<br>

内線番号 xxxx-xxxx

</p>

</td></tr>

</table>

</div>

<h3 align="right">＊＊＊株式会社社内システム部</h3>

</body>

</html>

カスタマイズした画面は以下のように表示されます。

- 274 -

・エラーのメッセージを変更してしまうと、発生したエラーに対するメッセージの詳細を“メッセージ集”で確認することができなくなる

可能性があります。メッセージを変更する際は十分気をつけてください。

・メッセージファイルに記載されている<meta>タグの“http-equiv”属性には、“Content-Type”を必ず設定し、これと合わせ

て、“content”属性の属性値にメッセージファイルで使用する文字コードを必ず設定してください。

・メッセージファイルに記載されている<meta>タグは“charset”属性の属性値だけを修正し、以下の太字になっている部分は変更し

ないでください。


・メッセージファイルを削除した場合、Interstage シングル・サインオンのシステムのログが出力され、Webブラウザには「内部エラー

が発生しました」というメッセージ、またはステータスコードを含んだ見出しの文字部分が、青色の背景に白い文字で表示されてい

るページが表示されます。メッセージファイルの削除は行わないでください。

システムのログに出力されるメッセージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照して

ください。

・表示する画像、または他のページへのハイパーリンクなど、他のコンテンツを指定する場合は、コンテンツの位置は、URLで指定

するか、相対パスで指定してください。

・メッセージとして表示される情報は、悪意のある人からの攻撃の足がかりとなってしまう可能性があります。メッセージを編集する際

は、表示する情報に十分注意してください。

7.4.2.3 認証を行うシステムの設定画面用タグの仕様

認証を行うシステムを設定する場合に表示される設定画面に組み込まれているタグの仕様について以下に説明します。

メッセージファイル“200system_setting_en.html”にあらかじめ組み込まれているフォームタグを示します。


- 275 -


<input name="fj_is_sso_fsv_configure_set" type="submit" value="set">


</form>

7.4.2.4 認証を行うシステムの解除画面用タグの仕様

認証を行うシステムを解除する場合に表示される解除画面に組み込まれているタグの仕様について以下に説明します。

メッセージファイル“200system_clear_local_system_set_en.html”にあらかじめ組み込まれているフォームタグを示します。



<input name="fj_is_sso_fsv_configure_clear_continue" type="submit" value="yes">

<input name="fj_is_sso_fsv_configure_clear_cancel" type="submit" value="no">


</form>

7.4.2.5 同時処理確認画面用タグの仕様

他の画面で認証サーバ間連携の処理を実行中に、認証サーバ間連携の処理を行った場合に表示される同時処理確認画面に組み

込まれているタグの仕様について以下に説明します。

メッセージファイル“200check_duplication_process_ja.html”にあらかじめ組み込まれているタグを示します。




2:<html lang="ja">

3:<head>


5:<title> </title>

6:<meta http-equiv="Content-Style-Type" content="text/css">



9:; path=";

17:var enableCookie = true;

18:var requestMethod = "";

19:

20:// Header main

21:var cookieValue = getCookie( cookieName );

22:if ( cookieValue == null )

23:{

24: // Set cookie.

25: document.cookie = setCookieVal;

26: // SetCookie check

27: if ( getCookie( cookieName ) == null )

28: {

- 276 -

29: enableCookie = false;

30: }

31:}

～: ～中略～

170:// -->

171:</script>

172:</head>


174:

175:

176:<a href=""></a><a href=""></a>

177:

178:<noscript>


180:</noscript>

181:

182:<layer id="layerNocookie" visibility="hidden">

183:<div id="divNocookie" style="visibility: hidden">


185:Please enable COOKIE on your browser.

186:</div>

187:</div>

188:</layer>

189:

190:<form action="" name="postdata" method="POST">

191:

192:</form>

193:

194:<form action="" name="postdata_org" method="POST">

195:

196:</form>

197:

198:

199:<layer id="layerProcessing" visibility="hidden">

200:<div id="divProcessing" style="visibility: hidden">

201:<div style="position: static">

202:<div align="center">


204:<tr><td>

205:他の画面で認証されるのを待っています。<br>

206:認証中の画面が存在しない場合は、以下のボタンをクリックして認証を継続してください。<br>

207:</td></tr>

208:</table>

209:<br>

210:<form action="#">

211:<input type="button" value="継続" onClick="javascript:retry();">

212:</form>

213:</div>

214:</div>

215:</div>

216:</layer>

217:

218:

219:</body>

220:</html>


・太字になっている部分、および“(中略)”の部分は変更しないでください。

・ 12行目のretryMsgには、211行目の[継続]ボタンをクリックした際に表示するメッセージを指定してください。

・ 173行目の<body onload="autosend()">から176行目の<a href=""></a><a href=""></a>の間にリンクは作成しないでください。

- 277 -

・ 178行目の<noscript>から</noscript>で囲まれている部分には、JavaScriptが無効になっているWebブラウザ向けのメッセージを指


・ 184行目の<div style="position: absolute">から</div>で囲まれている部分には、Cookieが無効になっているWebブラウザ向けの

メッセージを指定してください。

・ 201行目の<div style="position: static">から</div>までの間には、複数の画面で同時に認証サーバ間連携の処理を行った場合に

表示されるメッセージを指定してください。また、本メッセージが表示された際のタイトル(titleタグと同等)を11行目のdocTitleに指定


7.4.2.6 認証を行うシステムの設定および確認待ち画面用タグの仕様

相手シングル・サインオンシステムに対して、認証を行うシステムの設定、または認証を行うシステムの確認中に表示される画面に組

み込まれているタグの仕様について以下に説明します。

メッセージファイル“200watching_communication_ja.html”にあらかじめ組み込まれているタグを示します。




2:<html lang="ja">

3:<head>


5:<title> </title>



8:<!—


10:var statusMsg = " しばらくお待ちください。 ";

11:var timer;

12:

13:function showItem( idDiv, idLayer )

14:{

15: if ( document.getElementById )

16: {

17: document.getElementById(idDiv).style.visibility = "visible";

18: }

19: else

20: if ( document.layers )

21: {

22: document.layers[idLayer].visibility = "show";

23: }

24: else

25: if ( document.all )

26: {

27: document.all(idDiv).style.visibility = "visible";

28: }

29:{

30:

31:function disp(){

32: statusMsg = statusMsg.substring(1, statusMsg.length) + statusMsg.substring(0, 1);

33: window.status = statusMsg;

34: setTimeout( 'disp()', 250 );

35: return;

36:}

37:

38:function communicationsend(){

39: parent.communication.location.href = "";

40: return;

41:}

- 278 -

42:

43:function autosend(){

44: showItem( "divMsg", "layerMsg" );

45: parent.document.title=docTitle;

46: disp();

47: return;

48:}

49:// -->

50:</script>

51:</head>


53:

54:<noscript>


56:</noscript>

57:

58:<layer id="layerMsg" visibility="hidden">

59:<div id="divMsg" style="visibility: hidden">


61:<tr><td>

62:認証サーバ間連携の処理を実行中です。

63:</td></tr>

64:</table>

65:</div>

66:</layer>

67:</body>

68:</html>



・本メッセージのタイトル(titleタグと同等)を9行目のdocTitleに指定してください。

・ 10行目のstatusMsgには、ステータスバーに表示するメッセージを指定してください。ステータスバーにメッセージを表示しない場

合は、空文字を指定してください。

・ 54行目の<noscript>から</noscript>で囲まれている部分には、JavaScriptが無効になっているWebブラウザ向けのメッセージを指


・ 59目の<div id="divMsg" style="visibility: hidden">から</div>までの間に、本メッセージで表示されるメッセージを指定してくださ

い。

7.4.2.7 システム名表示用文字列の仕様

メッセージファイルにシステム名表示用文字列を挿入することで、メッセージにシステム名を表示することができます。

システム名を表示することができるメッセージファイルと、システム名を表示する際に使用するシステム名表示用文字列、およびシス

テム名表示用文字列を使用して表示されるシステム名を示します。

ファイル名システム名表示用文字列表示される

システム名

200system_setting_en.html 

自シングル・サインオンのシステム名

200system_setting_ja.html

200system_setting_result_success_en.html

200system_setting_result_success_ja.html


200system_setting_result_failed_ja.html

200system_clear_local_system_set_en.html

- 279 -

200system_clear_local_system_set_ja.html

200system_clear_partner_system_set_en.html 

認証を行うシステムに設定されている相手

シングル・サインオンシステムのシステム名200system_clear_partner_system_set_ja.html

以下に、200system_clear_local_system_set_ja.html、および 200system_clear_partner_system_set_ja.htmlをカスタマイズし、システム

名を表示する例を示します。

例では、システム名をそれぞれ以下のように設定しています。

シングル・サインオンシステムシステム名

自シングル・サインオンシステム LOCAL_SSO_SYSTEM

相手シングル・サインオンシステム PARTNER_SSO_SYSTEM

200system_clear_local_system_set_ja.htmlのカスタマイズ例を示します。

太字の個所を変更しています。


<html>

<head>


<title> Single Sign-on system clear page </title>

</head>

<body>

<div align="center">

<table border="0">

<tr><td>

<p>

認証を行うシステム(システム名：)の解除を行いますか？

</p>

</td></tr>

</table>

<br>


<input name="fj_is_sso_fsv_configure_clear_continue" type="submit" value="はい">

<input name="fj_is_sso_fsv_configure_clear_cancel" type="submit" value="いいえ">


</form>

</div>

</body>

</html>


- 280 -

200system_clear_partner_system_set_ja.htmlのカスタマイズ例を示します。

太字の個所を変更しています。


<html>

<head>


<title> Single Sign-on system clear page </title>

</head>

<body>

<table border="0">

<tr><td>

本シングル・サインオンシステム以外のシステム(システム名：)で、認証を行うシステムの

解除を行ってください。

</td></tr>

</table>

</body>

</html>


- 281 -

7.4.2.8 メッセージファイルのアクセス権限の設定

メッセージファイルのアクセス権限の設定方法について以下に説明します。

なお、インストール直後は、以下のアクセス権限が設定されており、設定は不要です。

アクセス権限の設定には、エクスプローラを使用して、ユーザ、グループのアクセス許可を変更してください。



認証サーバ間連携時に表示される

メッセージ


アクセス権限の設定には、chmodコマンドや、chownコマンドを使用します。



認証サーバ間連携時に表示される

メッセージ

認証サーバ間連携サービスを配備したワークユニットの起動ユーザに対して、readを許可し

てください。

- 282 -

付録A 旧バージョンの環境定義と機能について

A.1 旧バージョンの環境定義の扱い

V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusの環境定義の取り扱い

V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusの環境定義の取り扱いは、次の４つに分類されます。各分

類の定義項目については、“A.2 リポジトリサーバの環境定義”、“A.3 認証サーバの環境定義”、および“A.4 業務サーバの環境定義”


・サポートしている定義

本バージョンにおいても同一機能をサポートしています。設定の確認や変更は、Interstage管理コンソールで行います。

・設定するサーバを変更した定義

本バージョンにおいても同一機能をサポートしていますが、設定するサーバを変更しています。設定の確認や変更は、変更先の

サーバのInterstage管理コンソールで行います。

・削除した定義

本バージョンでは該当する機能をサポートしていません。V5.x系で該当する定義を省略した場合と同じ動作をします。

・設定が不要となった定義

Interstage シングル・サインオンで自動的に処理するため、設定が不要になったものです。

本バージョンで削除した定義について

本バージョンで削除した定義(機能)については、該当する定義が設定されているV5.x系、およびV6.0系 Interstage Application ServerWeb-J Edition, Plusの定義ファイルを用いて本バージョンに移行した場合に限り、本バージョンにおいても機能します。

ただし、本バージョンへの移行後は、該当する定義の設定変更は行えません。

本バージョンにおける環境定義の変更について

本バージョンへの移行後は、Interstage管理コンソールで環境設定を行ってください。「設定するサーバを変更した定義」については、

変更後のサーバのInterstage管理コンソールで環境設定を行ってください。

V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusの各定義項目とInterstage 管理コンソールの設定項目との

対応については、“A.2 リポジトリサーバの環境定義”、“A.3 認証サーバの環境定義”、および“A.4 業務サーバの環境定義”を参照し

てください。

A.2 リポジトリサーバの環境定義

Interstage管理コンソールでのリポジトリサーバの環境設定は、以下の画面から行います。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ

上記画面で設定する各項目と、V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusの環境定義ファイルの定義

項目との対応表を以降に示します。

A.2.1 基本設定

項目定義名 Interstage管理コンソールの設定

サービスID serviceidpath 設定が不要となった定義

ロックアウト password-max-failure-count V6.0系より認証サーバの設定に変更

“A.3 認証サーバの環境定義”を参照lock-out-time

SSOリポジトリ repository-bind-dn 設定が不要となった定義

repository-bind-password-path 設定が不要となった定義

- 283 -

repository-user-search-base [リポジトリサーバ詳細設定[表示]]、または[詳細

設定[表示]]>[リポジトリ]>[ユーザ情報の登録先

エントリ]

repository-role-search-base [リポジトリサーバ詳細設定[表示]]、または[詳細

設定[表示]]>[リポジトリ]>[ロール定義の登録先エ

ントリ]

repository-resource-search-base [リポジトリサーバ詳細設定[表示]]、または[詳細

設定[表示]]>[リポジトリ]>[保護リソースの登録先

エントリ]

certificate-mapping-attribute V6.0系より認証サーバの設定に変更

“A.3 認証サーバの環境定義”を参照認証情報 default-credential-expiration-time

A.2.2 詳細設定

項目定義名 Interstage管理コンソールの設定

認証オプション certificate-identification V6.0系より認証サーバの設定に変更

“A.3 認証サーバの環境定義”を参照

ロックアウト watch-lockout 設定が不要となった定義

SSOリポジトリ repository-port 設定が不要となった定義

repository-time-out 設定が不要となった定義

alternative-role-attribute 削除した定義。省略時と同じ動作をします。

alternative-uid-attribute 削除した定義。省略時と同じ動作をします。

alternative-certificate-attribute 削除した定義。省略時と同じ動作をします。

認証情報 credential-additional-attribute 削除した定義。省略時と同じ動作をします。

アクセスログ accesslog-filename [アクセスログ]>[ファイル名]

accesslog-filesize [アクセスログ]>[ 大サイズ]

accesslog-save-all-log [アクセスログ]>[保存方法]

A.3 認証サーバの環境定義

Interstage管理コンソールでの認証サーバの環境設定は、以下の画面から行います。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ



A.3.1 基本設定

項目定義名管理コンソールの設定

サービスID serviceidpath 設定が不要となった定義

リポジトリサーバ update-repository [詳細設定[表示]]>[リポジトリサーバとの通信の設

定]>[リポジトリサーバ(更新系)のURL]

ロックアウト password-max-failure-count [詳細設定[表示]]>[ロックアウト]>[利用者のロッ

ク]

lock-out-time [詳細設定[表示]]>[ロックアウト]>[ロックの解除]

- 284 -

SSOリポジトリ certificate-mapping-attribute [詳細設定[表示]]>[証明書認証の動作]>[認証に

使用する属性](注)

認証情報 default-credential-expiration-time [詳細設定[表示]]>[認証後の動作]>[再認証の間

隔]

注)V5.x、およびV6.0系 Interstage Application Server Web-J Edition, Plusから本バージョンに移行し、本定義名に複数の属性名が設

定されていた場合には、当定義名に設定された先頭の属性名で表示します。ま

た、“mail”、“employeeNumber”、“uid”、“serialNumber”、“dnQualifier”、“cn”以外の属性名が設定されていた場合、および属性名が

省略されていた場合には、“mail”で表示します。

A.3.2 詳細設定


リポジトリサーバ connection-timeout [詳細設定[表示]]>[リポジトリサーバとの通信の設

定]>[タイムアウト時間]

reference-repository [詳細設定[表示]]>[リポジトリサーバ(参照系)との通

信の設定]>[リポジトリサーバ(参照系)のURL]

connection-retry-interval [詳細設定[表示]]>[リポジトリサーバ(参照系)との通

信の設定]>[再接続時間]

SSLクライアント証

明書のHTTPヘッ

ダ

ssl-client-cert-http-header [詳細設定[表示]]>[証明書認証の動作]>[ユーザ証

明書を獲得するHTTPヘッダ名]

認証オプション auth-constraints-to-network 削除した定義。省略時と同じ動作をします。

check-client-ip 削除した定義。省略時と同じ動作をします。

password-failure-max-cache-count 削除した定義。省略時と同じ動作をします。

certificate-identification 削除した定義。省略時と同じ動作をします。

allow-redirect-over-http [詳細設定[表示]]>[業務システムとの通信の設

定]>[HTTP通信]

証明書の有効性

確認

certificate-revoke-check [詳細設定[表示]]>[証明書認証の動作]>[証明書の

失効確認]

environment-directory 設定が不要となった定義

watch-revoked-certificate 削除した定義。省略時と同じ動作をします。




クライアントに通知

するメッセージ

detail-client-message [詳細設定[表示]]>[業務システムとの通信の設

定]>[利用者への認証失敗原因の通知]

A.4 業務サーバの環境定義

Interstage管理コンソールでの業務サーバの環境設定は、以下の画面から行います。

・ [システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブ



- 285 -

A.4.1 基本設定


ポート ServerPort [詳細設定[表示]]>[Webサーバの設定]>[使用しているWebサーバ]

FQDN FQDN [詳細設定[表示]]>[業務システムの情報]>[公開URL]

認証サーバ AuthServerURL [詳細設定[表示]]>[認証基盤の情報]>[認証基盤のURL]

アクセス制御情報 AccessCtl 設定が不要となった定義

サービスID ServiceIDPath 設定が不要となった定義

A.4.2 詳細設定


動作モード SSOMode 削除した定義。省略時と同じ動作をします。




認証オプション check-client-ip [詳細設定[表示]]>[認証情報]>[クライアントのIPアドレスの

チェック]

HTTPヘッダオプション CredentialDN [詳細設定[表示]]>[Webアプリケーションとの連携]>[ユーザ

情報の通知]CredentialUID

CredentialROLELIST

CredentialROLECOUNT

CredentialIPADDRESS

CredentialAUTHMETHOD

CredentialFIRSTACCESS

CredentialEXPIRATION

CredentialDOMAIN

A.5 旧バージョンのコマンドの扱い

旧バージョンで提供している各コマンドの、本バージョンにおける扱いを以下に示します。

V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusで提供しているコマンド

コマンド本バージョンの扱い Interstage管理コンソールでの実行方法

ssorfinfsv Interstage管理コンソールで実行して

ください。

本コマンドは互換コマンドとして提供

しています。(注1)

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤]> [リポジトリサーバ] > [ロール情報の更新]タブの[更新]ボタンを

クリックしてください。

ssoencsid 使用できません。(注2) Interstage管理コンソールでは実行できません。

ssoencbp 使用できません。(注3) Interstage管理コンソールでは実行できません。

- 286 -

ssorfinfaz Interstage管理コンソールで実行して

ください。

本コマンドは互換コマンドとして提供


[システム] > [セキュリティ] > [シングル・サインオン] > [業務システ

ム] > [業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタンをクリックしてください。

ssoudumptrc iscollectinfoコマンドを使用してくださ

い。(注4)本コマンドは互換コマンドとして提供


Interstage管理コンソールでは実行できません。

注1)互換コマンドについては、“リファレンスマニュアル（コマンド編）”の“旧バージョン互換コマンド”を参照してください。

注2)Interstage管理コンソールを使用して環境構築および運用を行うことにより、本コマンドを使用する必要がなくなりました。ただし、

セションの管理を行わないでJavaアプリケーションを利用する場合など、サービスIDファイルの作成が必要な場合は、ssomksidコマン

ドを使用してください。サービスIDファイルの作成が必要な場合については、“A.7 サービスIDファイルについて”を参照してくださ

い。

また、ssomksidコマンドについては、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくださ

い。

注3)Interstage管理コンソールを使用してSSOリポジトリを作成することにより、本コマンドを使用する必要がなくなりました。

注4)iscollectinfoコマンドについては、“リファレンスマニュアル（コマンド編）”の“保守情報採取コマンド”を参照してください。

V6.0系 Interstage Application Server Enterprise Edition, Standard Edition、およびV7.0系で提供しているコマンド

コマンド本バージョンの扱い Interstage管理コンソールでの実行方法

ssomksid セションの管理を行う場合は使用できませ

ん。

本コマンドは互換コマンドとして提供して

います。(注1)


ssocloneac 使用できません。

ssobackupコマンド、およびssorestoreコマ

ンドを使用してください。(注2)


ssocloneaz ssobackupコマンド、およびssorestoreコマ

ンドを使用してください。(注2)本コマンドは互換コマンドとして提供して

います。(注1)


注1)互換コマンドについては、“リファレンスマニュアル（コマンド編）”の“旧バージョン互換コマンド”を参照してください。

注2)ssobackupコマンド、およびssorestoreコマンドについては、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照


A.6 Javaアプリケーションに関連する機能について

ここでは、Interstage シングル・サインオンが提供するJavaアプリケーションインタフェースを使用したアプリケーションに関連する機能

のうち、V5.x系、およびV6.0系 Interstage Application Server Web-J Edition, Plusと本バージョンで違いがあるものについて説明しま

す。

アプリケーション V5.x系、およびV6.0系 InterstageApplication Server Web-J Edition,

Plus

本バージョン

ISAuthorizationCredentialオブ

ジェクトのgetExtraDataメソッドで取得できるSSOユーザ属性

リポジトリサーバのcredential-additional-attribute定義によって取得

する属性を設定します。

リポジトリサーバのcredential-additional-attribute定義は

削除されたため、本機能は機能しません。

credential-additional-attributeが定義されたV5.x系の定

義ファイルを用いて、本バージョンに移行した場合だけ

機能します。

- 287 -

ISAuthorizationCredentialオブ

ジェクトから取り出せるユーザ情

報(利用者のDN、ロール名、認

証方式、利用者のUID、クライア

ントのIPアドレス、認証時刻、再

認証時刻、認証情報の有効範

囲)

業務サーバのHTTPヘッダオプション

で通知の有無を個々のヘッダごとに設

定します。

Interstage管理コンソールで業務サーバの[詳細設定

[表示]]>[Webアプリケーションとの連携]>[ユーザ情報

の通知]で一括設定できます。個々のヘッダごとに設定

することはできません。

A.7 サービスIDファイルについて

サービスIDファイルとは

SSOリポジトリに登録されている利用者のメールアドレスや社員番号などの認証情報は、利用者が認証に使用した証明書やユーザID／パスワードをもとにリポジトリサーバより取り出され、認証サーバを経由して業務サーバに通知されます。サービスIDファイルは、これ

らの情報を安全に伝達するために必要なファイルです。

サービスIDファイルの作成

本バージョンでは、Interstage管理コンソール、およびコマンドを使用してInterstage シングル・サインオンの環境設定、およびシステム

構築を行うため、サービスIDファイルを意識する必要はありません。

ただし、以下の場合においてはサービスIDファイルが必要となります。セションの管理を行わない場合は、ssomksidコマンドを使用し

てサービスIDファイルを作成してください。

・ JAAS認証を行う場合

・ Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合

・ SOAPメッセージに対するユーザ認証を行う場合

・ UDDIレジストリサービス機能を使用する場合

ssomksidコマンドの詳細については、“リファレンスマニュアル（コマンド編）”を参照してください。

A.8 旧バージョンが混在したシステムの構築について

Interstage シングル・サインオンでバージョン、エディションを混在させたシステムを構築する場合の注意事項については、“使用上の

注意”の“Interstage シングル・サインオンの注意事項”－“バージョン・エディション混在でシングル・サインオンシステムを構築する場

合の注意事項”を参照してください。

A.9 メッセージの改善について

旧バージョンのメッセージ、およびステータスコードのテキストを改善したことにより、以前のバージョン・レベルで出力されていたメッ

セージテキスト、およびステータスコードテキストと出力内容が異なる場合があります。

旧バージョン・レベルで出力されていたメッセージを出力させる方法については、“移行ガイド”の“旧バージョン・レベルからの変更”

－“メッセージの変更”－“Interstage シングル・サインオンのメッセージ”を参照してください。

改善されたメッセージ、およびステータスコードを以下に示します。

V5.xからV6.xで改善されたメッセージ

Interstage Application Server Enterprise Edition、およびInterstage Application Server Standard-J Edition

【メッセージ番号がssoで始まるメッセージ】

以下に示す英語メッセージを改善しています。

旧メッセージ新メッセージ

SSO: ERROR: sso01013: Environment is not right. SSO: ERROR: sso01013: Invalid environment.

- 288 -

SSO: ERROR: sso01014: Acquisition of shared memory failed.Code=(%d1-%d2)

SSO: ERROR: sso01014: Allocation of memory or sharedmemory failed. Code=(%d1-%d2)

SSO: ERROR: sso01017: Acquisition of exclusive lock resourcefailed. Code=(%d1-%d2)

SSO: ERROR: sso01017: Initialization of lock control failed.Code=(%d1-%d2)

SSO: ERROR: sso01019: Exclusive lock failed. Code=(%d1-%d2)

SSO: ERROR: sso01019: Lock control failed. Code=(%d1-%d2)

SSO: ERROR: sso01022: Error is in setup in configuration file.Filename=(%s1) Item=(%s2) Value=(%s3)

SSO: ERROR: sso01022: Error is in setting of configuration file.Filename=(%s1) Item=(%s2) Value=(%s3)

SSO: ERROR: sso01023: Setup of a configuration file is omitted.Filename=(%s1) Item=(%s2)

SSO: ERROR: sso01023: Setting of configuration file is omitted.Filename=(%s1) Item=(%s2)

SSO: WARNING: sso01024: Although the error was detected toa setup of configuration file, it was regarded as the abbreviation.Filename=(%s1) Item=(%s2) Value=(%s3)

SSO: WARNING: sso01024: Error is in setting of configurationfile. Default value is used. Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: ERROR: sso01030: Failed in reading control file.ConfigFile=(%s1) Kind=(%s2) Filename=(%s3)

SSO: ERROR: sso01030: Reading service ID file failed.Filename=(%s1)

SSO: WARNING: sso01032: Initialization of maintenance logextraction failed.

SSO: WARNING: sso01032: Initialization of maintenance logfailed.

SSO: ERROR: sso01036: Initialization of access log extractionfailed. Logfile=(%s1) Reason=(%2)

SSO: ERROR: sso01036: Initialization of access log failed.Logfile=(%s1) Reason=(%s2)

SSO: ERROR: sso01040: Access of SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01040: Access to SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01041: Connection of SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01041: Connecting with SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01043: Entry applicable to SSO Repository isnot found. Kind=(%s1)

SSO: ERROR: sso01043: Entry is not found in SSO Repository.Kind=(%s1)

SSO: ERROR: sso01044: Contents of registration of SSORepository are not right. Reason=(%s1) DN=(%s2) Value=(%s3)

SSO: ERROR: sso01044: Invalid data in SSO Repository.Reason=(%s1) DN=(%s2) Value=(%s3)

SSO: ERROR: sso01050: Violation request of specification.IPAddr=(%s1)

SSO: ERROR: sso01050: Invalid request was received.IPAddr=(%s1)

SSO: WARNING: sso01060: User was locked. User=(%s1) SSO: WARNING: sso01060: User was locked. UserID=(%s1)DN=(%s2)

SSO: INFO: sso01061: User was unlocked. User=(%s1) SSO: INFO: sso01061: User was unlocked. UserID=(%s1)DN=(%s2)

SSO: INFO: sso01080: Role information is refreshed. SSO: INFO: sso01080: Role information is updated.

SSO: ERROR: sso02004: Failed in reading configuration file.Filename=(%s1)

SSO: ERROR: sso02004: Reading configuration file failed.Filename=(%s1)





SSO: ERROR: sso02009: Failed in reading control file.ConfigFile=(%s1) Filename=(%s2)


SSO: ERROR: sso02011: Access to resources necessary forstarting of SSO Authentication server failed. Resource=(%s1)

SSO: ERROR: sso02011: Access to SSO Authentication serverresources failed. Resource=(%s1)



SSO: ERROR: sso02013: Connection with SSO Repository serverfailed. Host=(%s1)

SSO: ERROR: sso02013: Communication with SSO Repositoryserver failed. Host=(%s1)

- 289 -

SSO: ERROR: sso02014: Abnormalities occurred in SSORepository server. Host=(%s1)

SSO: ERROR: sso02014: Error occurred in SSO Repositoryserver. Host=(%s1)

SSO: ERROR: sso02019: Too long string for location URL.url=(%d1) credential=(%d2)

SSO: ERROR: sso02019: The length of URL is too long.url=(%d1) credential=(%d2)

SSO: ERROR: sso02020: Environment where the validity checkof certificate is performed is not right. EnvDir=(%s1)

SSO: ERROR: sso02020: Invalid environment of validity checkof certificate. EnvDir=(%s1)

SSO: WARNING: sso02021: User's certificate is revoked.SerialNumber=(%x1) Issuer=(%s1) Subject=(%s2)

SSO: WARNING: sso02021: Revoked certificate.SerialNumber=(%x1) Issuer=(%s1) Subject=(%s2)


SSO: ERROR: sso02033: System time is incorrect. Host=(%s1) SSO: ERROR: sso02033: Invalid system time. Host=(%s1)



SSO: WARNING: sso02037: The notification Message to a clientwas not able to be displayed. Filename=(%s1) Reason=(%s2)

SSO: WARNING: sso02037: The notice of message to a clientfailed. Filename=(%s1) Reason=(%s2)





SSO: WARNING: sso02041: An invalid value is in configurationfile. This value is omitted. Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: WARNING: sso02041: Error is in setting of configurationfile. Invalid value is omitted. Filename=(%s1) Item=(%s2)Value=(%s3)







SSO: ERROR: sso03002: SSO Business server failed. SSO: ERROR: sso03002: Starting SSO Business server failed.

SSO: ERROR: sso03004: Failed in reading configuration file.Filename=(%s1) Detail=(%s2)

SSO: ERROR: sso03004: Reading configuration file failed.Filename=(%s1) Detail=(%s2)



SSO: ERROR: sso03007: Error is in setup of configuration file.Filename=(%s1) Item=(%s2) Value=(%s3)


SSO: ERROR: sso03009: Failed in reading service ID file.Filename=(%s1)


SSO: ERROR: sso03011: Access to resources necessary formovement of SSO Business server failed. Resource=(%s1)

SSO: ERROR: sso03011: Access to SSO Business serverresources failed. Resource=(%s1)

SSO: ERROR: sso03013: An access control information file cannot be accessed. Filename=(%s1)

SSO: ERROR: sso03013: Can not access an access controlinformation file. Filename=(%s1)

SSO: ERROR: sso03014: Refreshing of an access controlinformation failed. Detail=(%s1)

SSO: ERROR: sso03014: Updating of access control informationfailed.

SSO: INFO: sso03015: An access control information is refreshed. SSO: INFO: sso03015: Access control information was updated.

SSO: ERROR: sso03017: Operation of a memory failed.Item=(%s1) Size=(%d1)

SSO: ERROR: sso03017: Allocation of memory failed.

- 290 -

SSO: ERROR: sso03018: Too long string for location URL.(Location URL:%d1)

SSO: ERROR: sso03018: The length of URL is too long.(Location URL:%d1)

SSO: ERROR: sso03021: Decryption of credential informationfailed. Detail=(%s1)

SSO: ERROR: sso03021: Decryption of credential failed.





SSO: ERROR: sso03026: Acquisition of an access controlinformation failed. Code=(%x1)

SSO: ERROR: sso03026: Acquisition of access controlinformation failed. Code=(%x1)

SSO: ERROR: sso03030: Abnormalities occurred in the WWWserver. Code=(%x1) Detail=(%s2)

SSO: ERROR: sso03030: Error occurred in the WWW server.Code=(%x1) Detail=(%s2)

SSO: ERROR: sso03032: Applied by the virtual host. SSO: ERROR: sso03032: Can not use SSO Business server byvirtual host.









SSO: ERROR: sso03047: The role does not exist in role definition. SSO: ERROR: sso03047: Invalid role setting in access controlinformation.

SSO: WARNING: sso03048: Refreshing of an access controlinformation failed. Filename=(%s1) Code=(%d2)

SSO: ERROR: sso03048: Updating of access control informationfailed. Filename=(%s1) Code=(%d2)

以下に示す日本語メッセージを改善しています。


SSO: エラー: sso01014: 共用メモリの獲得に失敗しました。

Code=(%d1-%d2)SSO: エラー: sso01014: メモリまたは共用メモリの獲得に失敗し

ました。 Code=(%d1-%d2)

SSO: エラー: sso01017: 排他制御資源の獲得に失敗しました。

Code=(%d1-%d2)SSO: エラー: sso01017: 排他制御の初期化に失敗しました。

Code=(%d1-%d2)

SSO: エラー: sso01020: 定義ファイルのアクセスに失敗しました。

Filename=(%s1)SSO: エラー: sso01020: 定義ファイルにアクセスできません。

Filename=(%s1)

SSO: 警告: sso01024: 定義ファイルの設定に誤りを検出しました

が、省略と見なしました。 Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: 警告: sso01024: 定義ファイルの設定に誤りがあります。省

略値で動作します。 Filename=(%s1) Item=(%s2) Value=(%s3)

SSO: エラー: sso01030: 制御ファイルの読込みに失敗しました。

ConfigFile=(%s1) Kind=(%s2) Filename=(%s3)SSO: エラー: sso01030: サービスIDファイルの読み込みに失敗

しました。 Filename=(%s1)

SSO: 警告: sso01032: 保守ログ採取の初期化に失敗しました。 SSO: 警告: sso01032: 保守ログの初期化に失敗しました。

SSO: エラー: sso01036: アクセスログ採取の初期化に失敗しまし

た。 Logfile=(%s1) Reason=(%2)SSO: エラー: sso01036: アクセスログの初期化に失敗しました。

Logfile=(%s1) Reason=(%s2)

SSO: 警告: sso01060: 利用者はロックされました。 User=(%s1) SSO: 警告: sso01060: 利用者はロックされました。 UserID=(%s1)DN=(%s2)

SSO: 情報: sso01061: 利用者のロックが解除されました。

User=(%s1)SSO: 情報: sso01061: 利用者のロックが解除されました。

UserID=(%s1) DN=(%s2)

- 291 -


ConfigFile=(%s1) Filename=(%s2)SSO: エラー: sso02009: サービスIDファイルの読み込みに失敗



SSO: 警告: sso02037: クライアントに通知するメッセージの表示

に失敗しました。 Filename=(%s1) Reason=(%s2)SSO: 警告: sso02037: サーバからブラウザへのメッセージの通知

に失敗しました。 Filename=(%s1) Reason=(%s2)








SSO: 警告: sso02041: 定義ファイルの設定に誤りを検出しまし

た。設定値は無視されます。 Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: 警告: sso02041: 定義ファイルの設定に誤りがあります。不

正な設定値は無効となります。 Filename=(%s1) Item=(%s2)Value=(%s3)






Code=(%d1-%d2)





SSO: エラー: sso03014: アクセス制御情報の更新に失敗しまし

た。 Detail=(%s1)SSO: エラー: sso03014: アクセス制御情報の更新に失敗しまし

た。

SSO: エラー: sso03017: メモリの獲得に失敗しました。 Item=(%s1)Size=(%d1)

SSO: エラー: sso03017: メモリの獲得に失敗しました。

SSO: エラー: sso03021: 認証情報の復号化に失敗しました。

Detail=(%s1)SSO: エラー: sso03021: 認証情報の復号化に失敗しました。





SSO: エラー: sso03032: バーチャルホストで運用されています。 SSO: エラー: sso03032: SSO業務サーバはバーチャルホストで

運用できません。






Code=(%d1-%d2)




SSO: エラー: sso03047: ロール定義に存在しないロールが設定

されています。

SSO: エラー: sso03047:アクセス制御情報のロールの設定が正

しくありません。

SSO: 警告: sso03048: アクセス制御情報の更新に失敗しました。

Filename=(%s1) Code=(%d2)SSO: エラー: sso03048: アクセス制御情報の更新に失敗しまし

た。 Filename=(%s1) Code=(%d2)

【Webブラウザから通知されるステータスコード】

旧ステータスコード新ステータスコード

503 Service Unavailable 503 Service Temporarily Unavailable

- 292 -

【シングル・サインオンが出力するログメッセージ】

旧ログメッセージ新ログメッセージ

Authentication type mismatch Authentication type mismatch.(no certificate)または

Authentication type mismatch.(no user's ID/password)

Modification succeeded. (Reset user status.) Modification succeeded. (Reset user status.)または

Modification succeeded. (No necessity to reset.)

なお、以下のログメッセージは“リポジトリサーバのアクセスログ”－“リポジトリサーバのアクセスログの補足情報”－“処理結果がsucceededの場合に出力される補足情報”から“処理結果がfailedの場合に出力される補足情報”に変更しました。

Credential is incomplete

V6.xからV7.0で改善されたメッセージ

Interstage Application Server Enterprise Edition、およびInterstage Application Server Standard-J Edition




SSO: ERROR: sso04000: Environmental definition of Web Server(Interstage HTTP Server) has been broken.

SSO: ERROR: sso04000: The environmental configuration of theWeb Server (Interstage HTTP Server) is broken.

SSO: ERROR: sso04109: Memory space has become insufficient. SSO: ERROR: sso04109: Insufficient Memory space.

SSO: ERROR: sso04110: Disk space has become insufficient. SSO: ERROR: sso04110: Insufficient Disk space.

SSO: ERROR: sso04120: Secure Communication Servicepackage is not installed.

SSO: ERROR: sso04120: Secure Communications Servicepackage is not installed.

SSO: ERROR: sso04130: Can not access the file. Filename=(%s1) SSO: ERROR: sso04130: Can not access the file. Filename=(%s1)

SSO: ERROR: sso04131: The specified file name is incorrect.Filename=(%s1)

SSO: ERROR: sso04131: The specified file name is invalid. Filename=(%s1)

SSO: ERROR: sso04132: The SSL definition does not exist. SSLdefinition=(%s1)

SSO: ERROR: sso04132: The SSL configuration has been alreadydeleted. SSL configuration=(%s1)

SSO: ERROR: sso04133: The domain name is incorrect. Domainname=(%s1)

SSO: ERROR: sso04133: The domain name is invalid. Domainname=(%s1)

SSO: ERROR: sso04134: The host name is incorrect. Hostname=(%s1)

SSO: ERROR: sso04134: The host name is invalid. Hostname=(%s1)

SSO: ERROR: sso04135: The password is incorrect. SSO: ERROR: sso04135: The password is invalid.

SSO: ERROR: sso04136: The FQDN is incorrect. FQDN=(%s1) SSO: ERROR: sso04136: The FQDN is invalid. FQDN=(%s1)

SSO: INFO: sso04200: Repository server and Authenticationserver have been constructed. The Web Server (Interstage HTTPServer) needs a reboot.

SSO: INFO: sso04200: Repository server and Authenticationserver were created. The Web Server (Interstage HTTP Server) isrequired to reboot ([System] > [Services] > [Web Server]).

SSO: INFO: sso04201: Repository server has been constructed.The Web Server (Interstage HTTP Server) needs a reboot.

SSO: INFO: sso04201: Repository server was created. The WebServer (Interstage HTTP Server) is required to reboot ([System] >[Services] > [Web Server]).

SSO: INFO: sso04202: Repository server (reference) has beenconstructed. The Web Server (Interstage HTTP Server) needs areboot.

SSO: INFO: sso04202: Repository server (reference system) wascreated. The Web Server (Interstage HTTP Server) is required toreboot ([System] > [Services] > [Web Server]).

- 293 -

SSO: INFO: sso04203: Environmental definition of theRepository server has been updated. The Web Server (InterstageHTTP Server) needs a reboot.

SSO: INFO: sso04203: The environmental configuration of theRepository server was updated. The Web Server (Interstage HTTPServer) is required to reboot ([System] > [Services] > [WebServer]).

SSO: ERROR: sso04204: Repository server has been deleted. SSO: ERROR: sso04204: The Repository server has been alreadydeleted.

SSO: INFO: sso04205: User's lock condition was canceled.UserID=(%s1)

SSO: INFO: sso04205: The user accessing was unlocked. UserID=(%s1)

SSO: INFO: sso04206: Role information was updated. Pleaserequest to update access control information to the business serveradministrator.

SSO: INFO: sso04206: Role information was updated. Pleaserequest Business server administrator to update access controlinformation.

SSO: INFO: sso04209: Site definition has been created inprotection resource. Site definition=(%s1)

SSO: INFO: sso04209: Site configuration was created in the SSORepository. Site configuration=(%s1)

SSO: ERROR: sso04210: Site definition has been deleted fromProtection resource. Site definition=(%s1)

SSO: ERROR: sso04210: The Site configuration has been alreadydeleted from the SSO Repository. Site configuration=(%s1)

SSO: INFO: sso04211: Site definition was deleted from Protectionresource. Site definition=(%s1)

SSO: INFO: sso04211: The Site configuration was deleted fromthe SSO Repository. Site configuration=(%s1)

SSO: INFO: sso04212: Site definition was set up. Sitedefinition=(%s1)

SSO: INFO: sso04212: The Site configuration in the SSORepository was updated. Site configuration=(%s1)

SSO: ERROR: sso04213: Path definition has been deleted. Sitedefinition=(%s1) Path definition=(%s2)

SSO: ERROR: sso04213: The Path configuration has been alreadydeleted from the SSO Repository. Site configuration=(%s1) Pathconfiguration=(%s2)

SSO: INFO: sso04214: Path definition was deleted. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04214: The Path configuration was deleted fromthe SSO Repository. Please request Business server administratorto update access control information. Site configuration=(%s1)Path configuration=(%s2)

SSO: INFO: sso04215: Path definition was added. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04215: Path configuration was created in the SSORepository. Please request Business server administrator to updateaccess control information. Site configuration=(%s1) Pathconfiguration=(%s2)

SSO: INFO: sso04216: Path definition was set up. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04216: The Path configuration in the SSORepository was updated. Please request Business serveradministrator to update access control information. Siteconfiguration=(%s1) Path configuration=(%s2)

SSO: INFO: sso04217: Role/Role set has been deleted. Sitedefinition=(%s1) Path definition=(%s2) Role/Role set=(%s3)

SSO: INFO: sso04217: The Role/Role set has been already deletedfrom the SSO Repository. Site configuration=(%s1) Pathconfiguration=(%s2) Role/Role set=(%s3)

SSO: INFO: sso04218: Repository server was deleted. SSO: INFO: sso04218: The Repository server was deleted.

SSO: ERROR: sso04219: Basic system has not been constructedbecause Repository server already exists.

SSO: ERROR: sso04219: Small-scale system can not be createdbecause Repository server already exists.

SSO: ERROR: sso04220: Repository server can not be created,because SSO Repository does not exist set to 'stand-alone' or'master' in replication system.

SSO: ERROR: sso04220: Repository server can not be createdbecause SSO Repository selected stand-alone or master as thereplication operating does not exist.

SSO: ERROR: sso04221: Since Repository server does not exist,authentication infrastructure setup file can not be downloaded.

SSO: ERROR: sso04221: Authentication infrastructure setup filecan not be downloaded because Repository server does not exist.

SSO: ERROR: sso04222: Authentication infrastructure setup filecan not be downloaded from Reference repository server.

SSO: ERROR: sso04222: Authentication infrastructure setup filecannot be downloaded from the Reference repository server.

SSO: ERROR: sso04223: Since Repository server does not exist,business system setup file can not be downloaded.

SSO: ERROR: sso04223: Business system setup file can not bedownloaded because Repository server does not exist.

- 294 -

SSO: ERROR: sso04224: Business system setup file can not bedownloaded from Reference repository server.

SSO: ERROR: sso04224: Business system setup file can not bedownloaded from the Repository server (reference system).

SSO: ERROR: sso04225: Since a site definition does not exist inRepository server, business system setup file can not bedownloaded.

SSO: ERROR: sso04225: Business system setup file can not bedownloaded because Site configuration does not exist in the SSORepository.

SSO: ERROR: sso04226: Since a path definition does not exist inRepository server, business system setup file can not bedownloaded.

SSO: ERROR: sso04226: Business system setup file can not bedownloaded because Path configuration does not exist in the SSORepository.

SSO: ERROR: sso04231: Repository server can not be created,because SSO Repository does not exist set to 'slave' in replicationsystem.

SSO: ERROR: sso04231: Repository server (reference system)can not be created because SSO Repository selected slave as thereplication operating does not exist.

SSO: ERROR: sso04232: Repository server has not been createdbecause Repository server already exists.

SSO: ERROR: sso04232: Repository server cat not be createdbecause Repository server already exists.

SSO: ERROR: sso04233: Repository server package has not beeninstalled.

SSO: ERROR: sso04233: Repository server package is notinstalled.

SSO: WARNING: sso04240: Although Repository server wasdeleted, Protection resource was not deleted in SSO Repository.

SSO: WARNING: sso04240: Although the Repository server wasdeleted, Protection resource was not deleted from the SSORepository.

SSO: INFO: sso04241: Site definition was changed. Old sitedefinition=(%s1) New site definition=(%s2)

SSO: INFO: sso04241: The Site configuration in the SSORepository was changed. Old Site configuration=(%s1) New Siteconfiguration=(%s2)

SSO: INFO: sso04242: Path definition of the site definition waschanged. Please request to update access control information tothe business server administrator. Site definition=(%s1) Old pathdefinition=(%s2) New path definition=(%s3)

SSO: INFO: sso04242: The Path configuration in the SSORepository was changed. Please request Business serveradministrator to update access control information. Siteconfiguration=(%s1) Old Path configuration=(%s2) New Pathconfiguration=(%s3)

SSO: ERROR: sso04301: Repository server has not beenconstructed because the specified port number is already in use.Portnumber=(%s1)

SSO: ERROR: sso04301: Repository server can not be createdbecause the specified port number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04302: The environmental definition ofRepository server has not been updated because the specified portnumber is already in use. Portnumber=(%s1)

SSO: ERROR: sso04302: The environmental configuration of theRepository server can not be updated because the specified portnumber is already in use. Port number=(%s1)



SSO: ERROR: sso04304: The environment of Repository serverhas been broken.

SSO: ERROR: sso04304: The Repository server environment isbroken.

SSO: ERROR: sso04305: Repository server has been alreadycreated.



SSO: ERROR: sso04307: Site definition is duplicated in SSOrepository. Site definition=(%s1)

SSO: ERROR: sso04307: The Site configuration already exists inthe SSO Repository. Site configuration=(%s1)





SSO: ERROR: sso04310: Path definition already exists. Sitedefinition=(%s1) Path definition=(%s2)

SSO: ERROR: sso04310: The Path configuration already exists inthe SSO Repository. Site configuration=(%s1) Pathconfiguration=(%s2)

- 295 -

SSO: ERROR: sso04313: Role/Role set has been deleted. Role/Role set=(%s1)

SSO: ERROR: sso04313: The Role/Role set has been alreadydeleted. Role/Role set=(%s1)

SSO: ERROR: sso04314: The user for unlock does not exist.UserID=(%s1)

SSO: ERROR: sso04314: The user activating the unlockfunctionality does not exist. User ID=(%s1)

SSO: ERROR: sso04315: Since user ID is duplicated, the user forunlock can not be specified. UserID=(%s1)

SSO: ERROR: sso04315: The user activating the unlockfunctionality can not be specified because the user ID is duplicated.User ID=(%s1)

SSO: ERROR: sso04316: The top-level entry of user informationdoes not exist.

SSO: ERROR: sso04316: The registration entry of Userinformation does not exist.

SSO: ERROR: sso04317: The top-level entry of Role informationdoes not exist.

SSO: ERROR: sso04317: The registration entry of Roleconfiguration does not exist.

SSO: ERROR: sso04318: The top-level entry of Protectionresource information does not exist.

SSO: ERROR: sso04318: The registration entry of Protectionresource does not exist.

SSO: ERROR: sso04319: Can not connect with SSO Repository.Repository name=(%s1)

SSO: ERROR: sso04319: Can not connect with the SSORepository. Repository name=(%s1)

SSO: ERROR: sso04320: Access of SSO Repository failed.Repository name=(%s1) Code=(%x2)

SSO: ERROR: sso04320: An error occurred in access to the SSORepository. Repository name=(%s1) Code=(%x2)

SSO: ERROR: sso04321: Can not update Role informationbecause not to connect with Repository server.

SSO: ERROR: sso04321: Role information can not be updatedbecause the connecting with the Repository server was failed.

SSO: ERROR: sso04322: Can not update Role informationbecause not to connect with SSO Repository.

SSO: ERROR: sso04322: Role information can not be updatedbecause the connecting with the SSO Repository was failed.

SSO: ERROR: sso04323: Can not update Role informationbecause Timeout occurred while connecting with a Repositoryserver.

SSO: ERROR: sso04323: Role information can not be updatedbecause a timeout occurred in connection with the Repositoryserver.

SSO: ERROR: sso04324: Can not update Role informationbecause an error occurred in communication with a Repositoryserver.

SSO: ERROR: sso04324: Role information can not be updatedbecause an error occurred in communication with the Repositoryserver.

SSO: ERROR: sso04325: Role information can not be updatedbecause an error is detected in Environmental definition.

SSO: ERROR: sso04325: Role information can not be updatedbecause the environmental configuration is incorrect.

SSO: WARNING: sso04326: The specified role does not exist ina role set.

SSO: WARNING: sso04326: The specified Role in the Role setdoes not exist in the SSO Repository.

SSO: ERROR: sso04327: Access authority of repository servercan not be setup, because user name in environmental definitionof Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04327: Access authority to the file required inoperating Repository server can not be set up because the username set at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04328: Repository server can not be created,because user name in environmental definition of Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04328: Repository server can not be createdbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04329: Environment of SSO Repository hasbeen broken. Repository name=(%s1)

SSO: ERROR: sso04329: The SSO Repository environment isbroken. Repository name=(%s1)

SSO: ERROR: sso04330: Repository server is not created whenthe mode of the selected SSO Repository is set to 'slave' inreplication system.

SSO: ERROR: sso04330: Repository server can not be createdwith using SSO Repository selecting slave as the replicationoperating.

SSO: ERROR: sso04331: Reference-repository server is notcreated when the mode of the selected SSO Repository is set to'stand-alone' or 'master' in replication system.

SSO: ERROR: sso04331: Repository server (reference system)can not be created with using SSO Repository selecting stand-alone or master as the replication operating.

SSO: ERROR: sso04332: Repository server can not be started,because Role does not exist in SSO Repository.

SSO: ERROR: sso04332: The Repository server can not be startedbecause any Role does not exist in the SSO Repository.

- 296 -

SSO: ERROR: sso04338: Repository server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04338: The Repository server cannot be deletedbecause the Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04340: Authentication infrastructure setup filecan not be downloaded, because authentication infrastructure URLis not set up in environmental definition of Repository server.

SSO: ERROR: sso04340: Authentication infrastructure setup filecan not be downloaded because Authentication infrastructureURL is not set up.

SSO: ERROR: sso04341: Business system setup file can not bedownloaded, because authentication infrastructure URL is not setup in environmental definition of Repository server.

SSO: ERROR: sso04341: Business system setup file can not bedownloaded because Authentication infrastructure URL is not setup.

SSO: ERROR: sso04342: Locked-user status can not be unlockedin Repository server (reference).

SSO: ERROR: sso04342: The user accessing can not be unlockedin the Repository server (reference system).

SSO: ERROR: sso04343: Authentication infrastructure setup filecan not be downloaded in Repository server (reference).

SSO: ERROR: sso04343: Authentication infrastructure setup filecannot be downloaded in the Repository server (reference).

SSO: ERROR: sso04344: Business system setup file can not bedownloaded in Repository server (reference).

SSO: ERROR: sso04344: Business system setup file cannot bedownloaded in the Repository server (reference).

SSO: ERROR: sso04350: The specified authenticationinfrastructure file is incorrect.

SSO: ERROR: sso04350: The specified Authenticationinfrastructure setup file is incorrect.

SSO: ERROR: sso04352: The path is incorrect. Path=(%s1) SSO: ERROR: sso04352: The path is invalid. Path=(%s1)

SSO: ERROR: sso04360: Acquisition of SSO Repositoryinformation failed. RepositoryName=(%s1) Code=(%x2)

SSO: ERROR: sso04360: Acquisition of the SSO Repositoryinformation was failed. Repository name=(%s1) Code=(%x2)

SSO: INFO: sso04400: Authentication server has beenconstructed. It will be put into operation after the reboot of theWeb Server (Interstage HTTP Server).

SSO: INFO: sso04400: Authentication server was created. TheWeb Server (Interstage HTTP Server) is required to reboot([System] > [Services] > [Web Server]).

SSO: INFO: sso04401: The environmental definition ofAuthentication server was set up. Interstage HTTP Server needs areboot to make the setup available.

SSO: INFO: sso04401: The environmental configuration of theAuthentication server was updated. The Web Server (InterstageHTTP Server) is required to reboot ([System] > [Services] > [WebServer]).

SSO: ERROR: sso04402: Authentication server has been deleted. SSO: ERROR: sso04402: The Authentication server has beenalready deleted.

SSO: WARNING: sso04403: Since SSL definition does not exist,SSL is not available.

SSO: WARNING: sso04403: SSL is not available because SSLconfiguration does not exist.

SSO: INFO: sso04404: Authentication server was deleted. SSO: INFO: sso04404: The Authentication server was deleted.

SSO: ERROR: sso04405: Basic system has not been constructedbecause Authentication server already exists.

SSO: ERROR: sso04405: Small-scale system can not be createdbecause Authentication server already exists.

SSO: ERROR: sso04406: The SSL definition selected does notalready exist. SSL definition=(%s1)

SSO: ERROR: sso04406: The selected SSL configuration does notexist. SSL configuration=(%s1)

SSO: ERROR: sso04432: Authentication server has not beencreated because Authentication server already exists.

SSO: ERROR: sso04432: Authentication server can not be createdbecause Authentication server already exists.

SSO: ERROR: sso04501: Authentication server has not beenconstructed because the specified port number is already in use.Portnumber=(%s1)

SSO: ERROR: sso04501: Authentication server can not be createdbecause the specified port number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04502: The environmental definition ofAuthentication server has not been updated because the specifiedport number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04502: The environmental configuration of theAuthentication server can not be updated because the specifiedport number is already in use. Port number=(%s1)

SSO: ERROR: sso04504: The environment of Authenticationserver has been broken.

SSO: ERROR: sso04504: The Authentication server environmentis broken.

SSO: ERROR: sso04505: Authentication server has been alreadycreated.



- 297 -

SSO: ERROR: sso04527: Access authority of authenticate servercan not be setup, because user name in environmental definitionof Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04527: Access authority to the file required inoperating Authentication server can not be set up because the username set at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04528: Authentication server can not becreated, because user name in environmental definition of WebServer (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04528: Authentication server can not be createdbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04530: The specified authenticationinfrastructure setup file is incorrect.


SSO: ERROR: sso04538: Authentication server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04538: The Authentication server cannot bedeleted because the Web Server (Interstage HTTP Server) isrunning.

SSO: INFO: sso04600: Business server was added. The InterstageHTTP Server needs a reboot to make the added server available.Business server=(%s1)

SSO: INFO: sso04600: Business server was added. The WebServer (Interstage HTTP Server) is required to reboot ([System] >[Services] > [Web Server]). Business server=(%s1)

SSO: INFO: sso04601: The environmental definition of Businessserver was set up. The Interstage HTTP Server needs a reboot tomake the setup available. Business server=(%s1)

SSO: INFO: sso04601: The environmental configuration of theBusiness server was updated. The Web Server (Interstage HTTPServer) is required to reboot ([System] > [Services] > [WebServer]). Business server=(%s1)

SSO: ERROR: sso04602: Business server has been deleted.Business server=(%s1)

SSO: ERROR: sso04602: The Business server has been alreadydeleted. Business server=(%s1)

SSO: INFO: sso04603: Access control information has beenupdated.

SSO: INFO: sso04603: Access control information was updated.

SSO: WARNING: sso04604: Although Business server wasadded, updating of access control information failed. Businessserver=(%s1) Detail=(%s2)

SSO: WARNING: sso04604: Although Business server wasadded, the updating of access control information was failed.Business server=(%s1) Detail=(%s2)

SSO: INFO: sso04605: It was ready for adding Business server.You must add the Business server to your Web Server. Businessserver=(%s1)

SSO: INFO: sso04605: It was ready for adding Business server.Please add the Business server to your Web Server. Businessserver=(%s1)

SSO: INFO: sso04606: The environmental definition of Businessserver was set up. The Web Server needs a reboot to make thesetup available. Business server=(%s1)

SSO: INFO: sso04606: The environmental configuration of theBusiness server was updated. The Web Server is required toreboot. Business server=(%s1)

SSO: INFO: sso04607: Business server was deleted. Businessserver=(%s1)

SSO: INFO: sso04607: The Business server was deleted. Businessserver=(%s1)

SSO: WARNING: sso04608: Although it was ready for addingBusiness server, updating of access control information failed.Business server=(%s1) Detail=(%s2)

SSO: WARNING: sso04608: Although it was ready for addingBusiness server, the updating of access control information wasfailed. Business server=(%s1) Detail=(%s2)

SSO: ERROR: sso04609: More Business servers of Web server(Interstage HTTP Server) can not be created on the same machine.

SSO: ERROR: sso04609: Two or more Business servers of theWeb Server (Interstage HTTP Server) can not be added on thesame machine.

SSO: ERROR: sso04701: Business server has not beenconstructed because the specified port number of Business serviceis already in use. Portnumber=(%s1)

SSO: ERROR: sso04701: Business server can not be addedbecause the specified port number of the Business server is alreadyin use. Port number=(%s1)

SSO: ERROR: sso04702: The specified port number of Businessserver is already in use. Portnumber=(%s1)

SSO: ERROR: sso04702: The environmental configuration of theBusiness server can not be updated because the specified portnumber of the Business server is already in use. Portnumber=(%s1)

SSO: ERROR: sso04704: The environment of Business server hasbeen broken.

SSO: ERROR: sso04704: The Business server environment isbroken.

- 298 -

SSO: ERROR: sso04706: Business server has been deleted. SSO: ERROR: sso04706: The Business server has been alreadydeleted.

SSO: ERROR: sso04707: Business server has not beenconstructed because the specified name of Business system isalready in use. Name=(%s1)

SSO: ERROR: sso04707: Business server can not be addedbecause the specified name of Business system is already in use.Name=(%s1)

SSO: ERROR: sso04709: Can not analyze the access controlinformation.

SSO: ERROR: sso04709: The access control information isincorrect.

SSO: ERROR: sso04710: Protection resource has not been createdin the Repository server.

SSO: ERROR: sso04710: Access control information can not beextracted because Protection resource has not been created in theSSO Repository.

SSO: ERROR: sso04711: Access control information can not beupdated because can not connect with a Repository server.

SSO: ERROR: sso04711: Access control information can not beupdated because the connecting with the Repository server wasfailed.

SSO: ERROR: sso04712: Timeout occurred while connectingwith a Repository server.

SSO: ERROR: sso04712: Access control information can not beupdated because a timeout occurred in connection with theRepository server.

SSO: ERROR: sso04713: An error occurred in communicationwith a Repository server.

SSO: ERROR: sso04713: Access control information can not beupdated because an error occurred in communication with theRepository server.

SSO: ERROR: sso04714: Access control information can not beupdated.

SSO: ERROR: sso04714: Access control information cannot beupdated.

SSO: ERROR: sso04716: Lock control failed. SSO: ERROR: sso04716: Lock control was failed.

SSO: INFO: sso04718: Access control information has beenupdated. The Web Server needs a reboot.

SSO: INFO: sso04718: Access control information was updated.The Web Server is required to boot.

SSO: ERROR: sso04719: The lock control management file hasbroken.

SSO: ERROR: sso04719: The management file required forupdating the access control information is broken.

SSO: ERROR: sso04720: Can not access the management file. SSO: ERROR: sso04720: Can not access the management filerequired for updating the access control information.

SSO: ERROR: sso04721: The specified role does not exist in apath definition.

SSO: ERROR: sso04721: The specified Role in the Pathconfiguration does not exist in the SSO Repository.

SSO: ERROR: sso04724: Business server can not be created, theuser name in environmental definition of Web Server (InterstageHTTP Server) differs from the user name of other business server.

SSO: ERROR: sso04724: Business server can not be addedbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) differs from theeffective user name of the other Business server.

SSO: ERROR: sso04725: Business server can not be created, thespecified user name differs from the user name of other businessserver. Username=(%s1)

SSO: ERROR: sso04725: Business server can not be addedbecause the specified effective user name differs from the effectiveuser name of the other Business server. User name=(%s1)

SSO: ERROR: sso04726: Access authority of business server cannot be setup, because user name in environmental definition ofWeb Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04726: Access authority to the file required inoperating Business server can not be set up because the user nameset at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04727: Access authority of business server cannot be setup, because specified user name does not exist.Username=(%s1)

SSO: ERROR: sso04727: Access authority to the file required inoperating Business server can not be set up because the specifiedeffective user name does not exist. User name=(%s1)

SSO: ERROR: sso04728: Business server can not be created,because user name in environmental definition of Web Server(Interstage HTTP Server) does not exist. Username=(%s1)

SSO: ERROR: sso04728: Business server can not be addedbecause the effective user name set as the environmentalconfiguration of the Web Server (Interstage HTTP Server) doesnot exist. User name=(%s1)

- 299 -

SSO: ERROR: sso04729: Business server can not be created,because specified user name does not exist. Username=(%s1)

SSO: ERROR: sso04729: Business server can not be addedbecause the specified effective user name does not exist. Username=(%s1)

SSO: ERROR: sso04730: The specified business system setup fileis incorrect.

SSO: ERROR: sso04730: The specified Business system setup fileis incorrect.

SSO: ERROR: sso04731: Since the port number of the specifiedBusiness server differs from the port number of a Web Server(Interstage HTTP Server), Business server can not be added.Portnumber of Business server=(%s1) Portnumber of Web Server(Interstage HTTP Server)=(%s2)

SSO: ERROR: sso04731: Business server can not be addedbecause the specified port number of the Business server differsfrom the port number of the Web Server (Interstage HTTP Server).Business server Port number=(%s1) Web Server (Interstage HTTPServer) Port number=(%s2)

SSO: ERROR: sso04732: Since the port number of the specifiedBusiness server differs from the port number of a Web Server(Interstage HTTP Server), Environmental definition of theBusiness server can not be updated. Portnumber of Businessserver=(%s1) Portnumber of Web Server (Interstage HTTPServer)=(%s2)

SSO: ERROR: sso04732: The environmental configuration of theBusiness server can not be updated because the port number of thespecified Business server differs from the port number of the WebServer (Interstage HTTP Server). Business server Portnumber=(%s1) Web Server (Interstage HTTP Server) Portnumber=(%s2)

SSO: ERROR: sso04733: The business system name is incorrect.Business system name=(%s1)

SSO: ERROR: sso04733: The Business system name is invalid.Name=(%s1)



SSO: ERROR: sso04738: Business server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04738: The Business server can not be deletedbecause the Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04740: Access control information can not beupdated, because Repository server URL is not set up inenvironmental definition of Business server.

SSO: ERROR: sso04740: Access control information can not beupdated because Repository server URL is not set up.

SSO: ERROR: sso04741: Business server can not be updated, thespecified access-log file name duplicated from the access-log filename of other business server. Filename=(%s1)

SSO: ERROR: sso04741: The Business server can not be updatedbecause the specified access log file already exists. Filename=(%s1)

Interstage Application Server Plus

















- 300 -

SSO: ERROR: sso01030: Failed in reading control file.ConfigFile=(%s1) Kind=(%s2) Filename=(%s3)






SSO: ERROR: sso01040: Access of SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01040: Access to SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01041: Connection of SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01041: Connecting with SSO Repository failed.Code=(%x1)

SSO: ERROR: sso01043: Entry applicable to SSO Repository isnot found. Kind=(%s1)

SSO: ERROR: sso01043: Entry is not found in SSO Repository.Kind=(%s1)

SSO: ERROR: sso01044: Contents of registration of SSORepository are not right. Reason=(%s1) DN=(%s2) Value=(%s3)

SSO: ERROR: sso01044: Invalid data in SSO Repository.Reason=(%s1) DN=(%s2) Value=(%s3)



SSO: WARNING: sso01060: User was locked. User=(%s1) SSO: WARNING: sso01060: User was locked. UserID=(%s1)DN=(%s2)

SSO: INFO: sso01061: User was unlocked. User=(%s1) SSO: INFO: sso01061: User was unlocked. UserID=(%s1)DN=(%s2)

SSO: INFO: sso01080: Role information is refreshed. SSO: INFO: sso01080: Role information is updated.

SSO: ERROR: sso02004: Failed in reading configuration file.Filename=(%s1)

SSO: ERROR: sso02004: Reading configuration file failed.Filename=(%s1)





SSO: ERROR: sso02009: Failed in reading control file.ConfigFile=(%s1) Filename=(%s2)


SSO: ERROR: sso02011: Access to resources necessary forstarting of SSO Authentication server failed. Resource=(%s1)

SSO: ERROR: sso02011: Access to SSO Authentication serverresources failed. Resource=(%s1)



SSO: ERROR: sso02013: Connection with SSO Repository serverfailed. Host=(%s1)

SSO: ERROR: sso02013: Communication with SSO Repositoryserver failed. Host=(%s1)

SSO: ERROR: sso02014: Abnormalities occurred in SSORepository server. Host=(%s1)

SSO: ERROR: sso02014: Error occurred in SSO Repositoryserver. Host=(%s1)

SSO: ERROR: sso02019: Too long string for location URL.url=(%d1) credential=(%d2)

SSO: ERROR: sso02019: The length of URL is too long.url=(%d1) credential=(%d2)

SSO: ERROR: sso02020: Environment where the validity checkof certificate is performed is not right. EnvDir=(%s1)


SSO: WARNING: sso02021: User's certificate is revoked.SerialNumber=(%x1) Issuer=(%s1) Subject=(%s2)

SSO: WARNING: sso02021: Revoked certificate.SerialNumber=(%x1) Issuer=(%s1) Subject=(%s2)


SSO: ERROR: sso02033: System time is incorrect. Host=(%s1) SSO: ERROR: sso02033: Invalid system time. Host=(%s1)



- 301 -







SSO: WARNING: sso02041: An invalid value is in configurationfile. This value is omitted. Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: WARNING: sso02041: Error is in setting of configurationfile. Invalid value is omitted. Filename=(%s1) Item=(%s2)Value=(%s3)







SSO: ERROR: sso03002: SSO Business server failed. SSO: ERROR: sso03002: Starting SSO Business server failed.

SSO: ERROR: sso03004: Failed in reading configuration file.Filename=(%s1) Detail=(%s2)

SSO: ERROR: sso03004: Reading configuration file failed.Filename=(%s1) Detail=(%s2)



SSO: ERROR: sso03007: Error is in setup of configuration file.Filename=(%s1) Item=(%s2) Value=(%s3)


SSO: ERROR: sso03009: Failed in reading service ID file.Filename=(%s1)


SSO: ERROR: sso03011: Access to resources necessary formovement of SSO Business server failed. Resource=(%s1)

SSO: ERROR: sso03011: Access to SSO Business serverresources failed. Resource=(%s1)

SSO: ERROR: sso03013: An access control information file cannot be accessed. Filename=(%s1)

SSO: ERROR: sso03013: Can not access an access controlinformation file. Filename=(%s1)

SSO: ERROR: sso03014: Refreshing of an access controlinformation failed. Detail=(%s1)

SSO: ERROR: sso03014: Updating of access control informationfailed.

SSO: INFO: sso03015: An access control information is refreshed. SSO: INFO: sso03015: Access control information was updated.

SSO: ERROR: sso03017: Operation of a memory failed.Item=(%s1) Size=(%d1)

SSO: ERROR: sso03017: Allocation of memory failed.

SSO: ERROR: sso03018: Too long string for location URL.(Location URL:%d1)


SSO: ERROR: sso03021: Decryption of credential informationfailed. Detail=(%s1)

SSO: ERROR: sso03021: Decryption of credential failed.





SSO: ERROR: sso03026: Acquisition of an access controlinformation failed. Code=(%x1)


SSO: ERROR: sso03030: Abnormalities occurred in the WWWserver. Code=(%x1) Detail=(%s2)

SSO: ERROR: sso03030: Error occurred in the WWW server.Code=(%x1) Detail=(%s2)

- 302 -

SSO: ERROR: sso03032: Applied by the virtual host. SSO: ERROR: sso03032: Can not use SSO Business server byvirtual host.









SSO: ERROR: sso03047: The role does not exist in role definition. SSO: ERROR: sso03047: Invalid role setting in access controlinformation.

SSO: WARNING: sso03048: Refreshing of an access controlinformation failed. Filename=(%s1) Code=(%d2)


SSO: ERROR: sso04000: Environmental definition of Web Server(Interstage HTTP Server) has been broken.

SSO: ERROR: sso04000: The environmental configuration of theWeb Server (Interstage HTTP Server) is broken.

SSO: ERROR: sso04109: Memory space has become insufficient. SSO: ERROR: sso04109: Insufficient Memory space.

SSO: ERROR: sso04110: Disk space has become insufficient. SSO: ERROR: sso04110: Insufficient Disk space.

SSO: ERROR: sso04120: Secure Communication Servicepackage is not installed.

SSO: ERROR: sso04120: Secure Communications Servicepackage is not installed.

SSO: ERROR: sso04130: Can not access the file. Filename=(%s1) SSO: ERROR: sso04130: Can not access the file. Filename=(%s1)

SSO: ERROR: sso04131: The specified file name is incorrect.Filename=(%s1)

SSO: ERROR: sso04131: The specified file name is invalid. Filename=(%s1)

SSO: ERROR: sso04132: The SSL definition does not exist. SSLdefinition=(%s1)

SSO: ERROR: sso04132: The SSL configuration has been alreadydeleted. SSL configuration=(%s1)

SSO: ERROR: sso04133: The domain name is incorrect. Domainname=(%s1)

SSO: ERROR: sso04133: The domain name is invalid. Domainname=(%s1)

SSO: ERROR: sso04134: The host name is incorrect. Hostname=(%s1)

SSO: ERROR: sso04134: The host name is invalid. Hostname=(%s1)

SSO: ERROR: sso04135: The password is incorrect. SSO: ERROR: sso04135: The password is invalid.

SSO: ERROR: sso04136: The FQDN is incorrect. FQDN=(%s1) SSO: ERROR: sso04136: The FQDN is invalid. FQDN=(%s1)

SSO: INFO: sso04200: Repository server and Authenticationserver have been constructed. The Web Server (Interstage HTTPServer) needs a reboot.

SSO: INFO: sso04200: Repository server and Authenticationserver were created. The Web Server (Interstage HTTP Server) isrequired to reboot ([System] > [Services] > [Web Server]).

SSO: INFO: sso04201: Repository server has been constructed.The Web Server (Interstage HTTP Server) needs a reboot.

SSO: INFO: sso04201: Repository server was created. The WebServer (Interstage HTTP Server) is required to reboot ([System] >[Services] > [Web Server]).

SSO: INFO: sso04202: Repository server (reference) has beenconstructed. The Web Server (Interstage HTTP Server) needs areboot.

SSO: INFO: sso04202: Repository server (reference system) wascreated. The Web Server (Interstage HTTP Server) is required toreboot ([System] > [Services] > [Web Server]).

SSO: INFO: sso04203: Environmental definition of theRepository server has been updated. The Web Server (InterstageHTTP Server) needs a reboot.



- 303 -

SSO: INFO: sso04205: User's lock condition was canceled.UserID=(%s1)

SSO: INFO: sso04205: The user accessing was unlocked. UserID=(%s1)

SSO: INFO: sso04206: Role information was updated. Pleaserequest to update access control information to the business serveradministrator.

SSO: INFO: sso04206: Role information was updated. Pleaserequest Business server administrator to update access controlinformation.

SSO: INFO: sso04209: Site definition has been created inprotection resource. Site definition=(%s1)

SSO: INFO: sso04209: Site configuration was created in the SSORepository. Site configuration=(%s1)



SSO: INFO: sso04211: Site definition was deleted from Protectionresource. Site definition=(%s1)

SSO: INFO: sso04211: The Site configuration was deleted fromthe SSO Repository. Site configuration=(%s1)

SSO: INFO: sso04212: Site definition was set up. Sitedefinition=(%s1)

SSO: INFO: sso04212: The Site configuration in the SSORepository was updated. Site configuration=(%s1)



SSO: INFO: sso04214: Path definition was deleted. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04214: The Path configuration was deleted fromthe SSO Repository. Please request Business server administratorto update access control information. Site configuration=(%s1)Path configuration=(%s2)

SSO: INFO: sso04215: Path definition was added. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04215: Path configuration was created in the SSORepository. Please request Business server administrator to updateaccess control information. Site configuration=(%s1) Pathconfiguration=(%s2)

SSO: INFO: sso04216: Path definition was set up. Please requestto update access control information to the business serveradministrator. Site definition=(%s1) Path definition=(%s2)

SSO: INFO: sso04216: The Path configuration in the SSORepository was updated. Please request Business serveradministrator to update access control information. Siteconfiguration=(%s1) Path configuration=(%s2)

SSO: INFO: sso04217: Role/Role set has been deleted. Sitedefinition=(%s1) Path definition=(%s2) Role/Role set=(%s3)

SSO: INFO: sso04217: The Role/Role set has been already deletedfrom the SSO Repository. Site configuration=(%s1) Pathconfiguration=(%s2) Role/Role set=(%s3)

SSO: INFO: sso04218: Repository server was deleted. SSO: INFO: sso04218: The Repository server was deleted.

SSO: ERROR: sso04219: Basic system has not been constructedbecause Repository server already exists.

SSO: ERROR: sso04219: Small-scale system can not be createdbecause Repository server already exists.

SSO: ERROR: sso04220: Repository server can not be created,because SSO Repository does not exist set to 'stand-alone' or'master' in replication system.

SSO: ERROR: sso04220: Repository server can not be createdbecause SSO Repository selected stand-alone or master as thereplication operating does not exist.

SSO: ERROR: sso04221: Since Repository server does not exist,authentication infrastructure setup file can not be downloaded.

SSO: ERROR: sso04221: Authentication infrastructure setup filecan not be downloaded because Repository server does not exist.

SSO: ERROR: sso04222: Authentication infrastructure setup filecan not be downloaded from Reference repository server.

SSO: ERROR: sso04222: Authentication infrastructure setup filecannot be downloaded from the Reference repository server.

SSO: ERROR: sso04223: Since Repository server does not exist,business system setup file can not be downloaded.

SSO: ERROR: sso04223: Business system setup file can not bedownloaded because Repository server does not exist.

SSO: ERROR: sso04224: Business system setup file can not bedownloaded from Reference repository server.

SSO: ERROR: sso04224: Business system setup file can not bedownloaded from the Repository server (reference system).

SSO: ERROR: sso04225: Since a site definition does not exist inRepository server, business system setup file can not bedownloaded.

SSO: ERROR: sso04225: Business system setup file can not bedownloaded because Site configuration does not exist in the SSORepository.

- 304 -

SSO: ERROR: sso04226: Since a path definition does not exist inRepository server, business system setup file can not bedownloaded.

SSO: ERROR: sso04226: Business system setup file can not bedownloaded because Path configuration does not exist in the SSORepository.

SSO: ERROR: sso04231: Repository server can not be created,because SSO Repository does not exist set to 'slave' in replicationsystem.

SSO: ERROR: sso04231: Repository server (reference system)can not be created because SSO Repository selected slave as thereplication operating does not exist.

SSO: ERROR: sso04232: Repository server has not been createdbecause Repository server already exists.

SSO: ERROR: sso04232: Repository server cat not be createdbecause Repository server already exists.



SSO: WARNING: sso04240: Although Repository server wasdeleted, Protection resource was not deleted in SSO Repository.

SSO: WARNING: sso04240: Although the Repository server wasdeleted, Protection resource was not deleted from the SSORepository.

SSO: INFO: sso04241: Site definition was changed. Old sitedefinition=(%s1) New site definition=(%s2)

SSO: INFO: sso04241: The Site configuration in the SSORepository was changed. Old Site configuration=(%s1) New Siteconfiguration=(%s2)

SSO: INFO: sso04242: Path definition of the site definition waschanged. Please request to update access control information tothe business server administrator. Site definition=(%s1) Old pathdefinition=(%s2) New path definition=(%s3)

SSO: INFO: sso04242: The Path configuration in the SSORepository was changed. Please request Business serveradministrator to update access control information. Siteconfiguration=(%s1) Old Path configuration=(%s2) New Pathconfiguration=(%s3)

SSO: ERROR: sso04301: Repository server has not beenconstructed because the specified port number is already in use.Portnumber=(%s1)

SSO: ERROR: sso04301: Repository server can not be createdbecause the specified port number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04302: The environmental definition ofRepository server has not been updated because the specified portnumber is already in use. Portnumber=(%s1)

SSO: ERROR: sso04302: The environmental configuration of theRepository server can not be updated because the specified portnumber is already in use. Port number=(%s1)



SSO: ERROR: sso04304: The environment of Repository serverhas been broken.

SSO: ERROR: sso04304: The Repository server environment isbroken.




SSO: ERROR: sso04307: Site definition is duplicated in SSOrepository. Site definition=(%s1)

SSO: ERROR: sso04307: The Site configuration already exists inthe SSO Repository. Site configuration=(%s1)





SSO: ERROR: sso04310: Path definition already exists. Sitedefinition=(%s1) Path definition=(%s2)

SSO: ERROR: sso04310: The Path configuration already exists inthe SSO Repository. Site configuration=(%s1) Pathconfiguration=(%s2)

SSO: ERROR: sso04313: Role/Role set has been deleted. Role/Role set=(%s1)

SSO: ERROR: sso04313: The Role/Role set has been alreadydeleted. Role/Role set=(%s1)

SSO: ERROR: sso04314: The user for unlock does not exist.UserID=(%s1)

SSO: ERROR: sso04314: The user activating the unlockfunctionality does not exist. User ID=(%s1)

- 305 -

SSO: ERROR: sso04315: Since user ID is duplicated, the user forunlock can not be specified. UserID=(%s1)

SSO: ERROR: sso04315: The user activating the unlockfunctionality can not be specified because the user ID is duplicated.User ID=(%s1)

SSO: ERROR: sso04316: The top-level entry of user informationdoes not exist.

SSO: ERROR: sso04316: The registration entry of Userinformation does not exist.

SSO: ERROR: sso04317: The top-level entry of Role informationdoes not exist.

SSO: ERROR: sso04317: The registration entry of Roleconfiguration does not exist.

SSO: ERROR: sso04318: The top-level entry of Protectionresource information does not exist.

SSO: ERROR: sso04318: The registration entry of Protectionresource does not exist.

SSO: ERROR: sso04319: Can not connect with SSO Repository.Repository name=(%s1)

SSO: ERROR: sso04319: Can not connect with the SSORepository. Repository name=(%s1)

SSO: ERROR: sso04320: Access of SSO Repository failed.Repository name=(%s1) Code=(%x2)

SSO: ERROR: sso04320: An error occurred in access to the SSORepository. Repository name=(%s1) Code=(%x2)

SSO: ERROR: sso04321: Can not update Role informationbecause not to connect with Repository server.

SSO: ERROR: sso04321: Role information can not be updatedbecause the connecting with the Repository server was failed.

SSO: ERROR: sso04322: Can not update Role informationbecause not to connect with SSO Repository.

SSO: ERROR: sso04322: Role information can not be updatedbecause the connecting with the SSO Repository was failed.

SSO: ERROR: sso04323: Can not update Role informationbecause Timeout occurred while connecting with a Repositoryserver.

SSO: ERROR: sso04323: Role information can not be updatedbecause a timeout occurred in connection with the Repositoryserver.

SSO: ERROR: sso04324: Can not update Role informationbecause an error occurred in communication with a Repositoryserver.

SSO: ERROR: sso04324: Role information can not be updatedbecause an error occurred in communication with the Repositoryserver.

SSO: ERROR: sso04325: Role information can not be updatedbecause an error is detected in Environmental definition.

SSO: ERROR: sso04325: Role information can not be updatedbecause the environmental configuration is incorrect.

SSO: WARNING: sso04326: The specified role does not exist ina role set.

SSO: WARNING: sso04326: The specified Role in the Role setdoes not exist in the SSO Repository.

SSO: ERROR: sso04327: Access authority of repository servercan not be setup, because user name in environmental definitionof Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04327: Access authority to the file required inoperating Repository server can not be set up because the username set at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04328: Repository server can not be created,because user name in environmental definition of Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04328: Repository server can not be createdbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04329: Environment of SSO Repository hasbeen broken. Repository name=(%s1)

SSO: ERROR: sso04329: The SSO Repository environment isbroken. Repository name=(%s1)

SSO: ERROR: sso04330: Repository server is not created whenthe mode of the selected SSO Repository is set to 'slave' inreplication system.

SSO: ERROR: sso04330: Repository server can not be createdwith using SSO Repository selecting slave as the replicationoperating.

SSO: ERROR: sso04331: Reference-repository server is notcreated when the mode of the selected SSO Repository is set to'stand-alone' or 'master' in replication system.

SSO: ERROR: sso04331: Repository server (reference system)can not be created with using SSO Repository selecting stand-alone or master as the replication operating.

SSO: ERROR: sso04332: Repository server can not be started,because Role does not exist in SSO Repository.

SSO: ERROR: sso04332: The Repository server can not be startedbecause any Role does not exist in the SSO Repository.

SSO: ERROR: sso04338: Repository server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04338: The Repository server cannot be deletedbecause the Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04340: Authentication infrastructure setup filecan not be downloaded, because authentication infrastructure URLis not set up in environmental definition of Repository server.

SSO: ERROR: sso04340: Authentication infrastructure setup filecan not be downloaded because Authentication infrastructureURL is not set up.

- 306 -

SSO: ERROR: sso04341: Business system setup file can not bedownloaded, because authentication infrastructure URL is not setup in environmental definition of Repository server.

SSO: ERROR: sso04341: Business system setup file can not bedownloaded because Authentication infrastructure URL is not setup.

SSO: ERROR: sso04342: Locked-user status can not be unlockedin Repository server (reference).

SSO: ERROR: sso04342: The user accessing can not be unlockedin the Repository server (reference system).

SSO: ERROR: sso04343: Authentication infrastructure setup filecan not be downloaded in Repository server (reference).

SSO: ERROR: sso04343: Authentication infrastructure setup filecannot be downloaded in the Repository server (reference).

SSO: ERROR: sso04344: Business system setup file can not bedownloaded in Repository server (reference).

SSO: ERROR: sso04344: Business system setup file cannot bedownloaded in the Repository server (reference).

SSO: ERROR: sso04350: The specified authenticationinfrastructure file is incorrect.


SSO: ERROR: sso04352: The path is incorrect. Path=(%s1) SSO: ERROR: sso04352: The path is invalid. Path=(%s1)

SSO: ERROR: sso04360: Acquisition of SSO Repositoryinformation failed. RepositoryName=(%s1) Code=(%x2)

SSO: ERROR: sso04360: Acquisition of the SSO Repositoryinformation was failed. Repository name=(%s1) Code=(%x2)

SSO: INFO: sso04400: Authentication server has beenconstructed. It will be put into operation after the reboot of theWeb Server (Interstage HTTP Server).

SSO: INFO: sso04400: Authentication server was created. TheWeb Server (Interstage HTTP Server) is required to reboot([System] > [Services] > [Web Server]).

SSO: INFO: sso04401: The environmental definition ofAuthentication server was set up. Interstage HTTP Server needs areboot to make the setup available.

SSO: INFO: sso04401: The environmental configuration of theAuthentication server was updated. The Web Server (InterstageHTTP Server) is required to reboot ([System] > [Services] > [WebServer]).


SSO: WARNING: sso04403: Since SSL definition does not exist,SSL is not available.

SSO: WARNING: sso04403: SSL is not available because SSLconfiguration does not exist.

SSO: INFO: sso04404: Authentication server was deleted. SSO: INFO: sso04404: The Authentication server was deleted.

SSO: ERROR: sso04405: Basic system has not been constructedbecause Authentication server already exists.

SSO: ERROR: sso04405: Small-scale system can not be createdbecause Authentication server already exists.

SSO: ERROR: sso04406: The SSL definition selected does notalready exist. SSL definition=(%s1)

SSO: ERROR: sso04406: The selected SSL configuration does notexist. SSL configuration=(%s1)

SSO: ERROR: sso04432: Authentication server has not beencreated because Authentication server already exists.

SSO: ERROR: sso04432: Authentication server can not be createdbecause Authentication server already exists.

SSO: ERROR: sso04501: Authentication server has not beenconstructed because the specified port number is already in use.Portnumber=(%s1)

SSO: ERROR: sso04501: Authentication server can not be createdbecause the specified port number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04502: The environmental definition ofAuthentication server has not been updated because the specifiedport number is already in use. Portnumber=(%s1)

SSO: ERROR: sso04502: The environmental configuration of theAuthentication server can not be updated because the specifiedport number is already in use. Port number=(%s1)

SSO: ERROR: sso04504: The environment of Authenticationserver has been broken.

SSO: ERROR: sso04504: The Authentication server environmentis broken.




SSO: ERROR: sso04527: Access authority of authenticate servercan not be setup, because user name in environmental definitionof Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04527: Access authority to the file required inoperating Authentication server can not be set up because the username set at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

- 307 -

SSO: ERROR: sso04528: Authentication server can not becreated, because user name in environmental definition of WebServer (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04528: Authentication server can not be createdbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04530: The specified authenticationinfrastructure setup file is incorrect.


SSO: ERROR: sso04538: Authentication server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04538: The Authentication server cannot bedeleted because the Web Server (Interstage HTTP Server) isrunning.

SSO: INFO: sso04600: Business server was added. The InterstageHTTP Server needs a reboot to make the added server available.Business server=(%s1)

SSO: INFO: sso04600: Business server was added. The WebServer (Interstage HTTP Server) is required to reboot ([System] >[Services] > [Web Server]). Business server=(%s1)

SSO: INFO: sso04601: The environmental definition of Businessserver was set up. The Interstage HTTP Server needs a reboot tomake the setup available. Business server=(%s1)


SSO: ERROR: sso04602: Business server has been deleted.Business server=(%s1)

SSO: ERROR: sso04602: The Business server has been alreadydeleted. Business server=(%s1)

SSO: INFO: sso04603: Access control information has beenupdated.

SSO: INFO: sso04603: Access control information was updated.

SSO: WARNING: sso04604: Although Business server wasadded, updating of access control information failed. Businessserver=(%s1) Detail=(%s2)

SSO: WARNING: sso04604: Although Business server wasadded, the updating of access control information was failed.Business server=(%s1) Detail=(%s2)

SSO: INFO: sso04605: It was ready for adding Business server.You must add the Business server to your Web Server. Businessserver=(%s1)

SSO: INFO: sso04605: It was ready for adding Business server.Please add the Business server to your Web Server. Businessserver=(%s1)

SSO: INFO: sso04606: The environmental definition of Businessserver was set up. The Web Server needs a reboot to make thesetup available. Business server=(%s1)


SSO: INFO: sso04607: Business server was deleted. Businessserver=(%s1)

SSO: INFO: sso04607: The Business server was deleted. Businessserver=(%s1)

SSO: WARNING: sso04608: Although it was ready for addingBusiness server, updating of access control information failed.Business server=(%s1) Detail=(%s2)

SSO: WARNING: sso04608: Although it was ready for addingBusiness server, the updating of access control information wasfailed. Business server=(%s1) Detail=(%s2)



SSO: ERROR: sso04701: Business server has not beenconstructed because the specified port number of Business serviceis already in use. Portnumber=(%s1)

SSO: ERROR: sso04701: Business server can not be addedbecause the specified port number of the Business server is alreadyin use. Port number=(%s1)

SSO: ERROR: sso04702: The specified port number of Businessserver is already in use. Portnumber=(%s1)

SSO: ERROR: sso04702: The environmental configuration of theBusiness server can not be updated because the specified portnumber of the Business server is already in use. Portnumber=(%s1)

SSO: ERROR: sso04704: The environment of Business server hasbeen broken.

SSO: ERROR: sso04704: The Business server environment isbroken.

SSO: ERROR: sso04706: Business server has been deleted. SSO: ERROR: sso04706: The Business server has been alreadydeleted.

SSO: ERROR: sso04707: Business server has not beenconstructed because the specified name of Business system isalready in use. Name=(%s1)

SSO: ERROR: sso04707: Business server can not be addedbecause the specified name of Business system is already in use.Name=(%s1)

- 308 -

SSO: ERROR: sso04709: Can not analyze the access controlinformation.

SSO: ERROR: sso04709: The access control information isincorrect.

SSO: ERROR: sso04710: Protection resource has not been createdin the Repository server.

SSO: ERROR: sso04710: Access control information can not beextracted because Protection resource has not been created in theSSO Repository.

SSO: ERROR: sso04711: Access control information can not beupdated because can not connect with a Repository server.

SSO: ERROR: sso04711: Access control information can not beupdated because the connecting with the Repository server wasfailed.

SSO: ERROR: sso04712: Timeout occurred while connectingwith a Repository server.

SSO: ERROR: sso04712: Access control information can not beupdated because a timeout occurred in connection with theRepository server.

SSO: ERROR: sso04713: An error occurred in communicationwith a Repository server.

SSO: ERROR: sso04713: Access control information can not beupdated because an error occurred in communication with theRepository server.

SSO: ERROR: sso04714: Access control information can not beupdated.

SSO: ERROR: sso04714: Access control information cannot beupdated.

SSO: ERROR: sso04716: Lock control failed. SSO: ERROR: sso04716: Lock control was failed.

SSO: INFO: sso04718: Access control information has beenupdated. The Web Server needs a reboot.

SSO: INFO: sso04718: Access control information was updated.The Web Server is required to boot.

SSO: ERROR: sso04719: The lock control management file hasbroken.

SSO: ERROR: sso04719: The management file required forupdating the access control information is broken.

SSO: ERROR: sso04720: Can not access the management file. SSO: ERROR: sso04720: Can not access the management filerequired for updating the access control information.

SSO: ERROR: sso04721: The specified role does not exist in apath definition.

SSO: ERROR: sso04721: The specified Role in the Pathconfiguration does not exist in the SSO Repository.

SSO: ERROR: sso04724: Business server can not be created, theuser name in environmental definition of Web Server (InterstageHTTP Server) differs from the user name of other business server.

SSO: ERROR: sso04724: Business server can not be addedbecause the user name set at the environmental configuration ofthe Web Server (Interstage HTTP Server) differs from theeffective user name of the other Business server.

SSO: ERROR: sso04725: Business server can not be created, thespecified user name differs from the user name of other businessserver. Username=(%s1)

SSO: ERROR: sso04725: Business server can not be addedbecause the specified effective user name differs from the effectiveuser name of the other Business server. User name=(%s1)

SSO: ERROR: sso04726: Access authority of business server cannot be setup, because user name in environmental definition ofWeb Server (Interstage HTTP Server) does not exist.

SSO: ERROR: sso04726: Access authority to the file required inoperating Business server can not be set up because the user nameset at the environmental configuration of the Web Server(Interstage HTTP Server) does not exist.

SSO: ERROR: sso04727: Access authority of business server cannot be setup, because specified user name does not exist.Username=(%s1)

SSO: ERROR: sso04727: Access authority to the file required inoperating Business server can not be set up because the specifiedeffective user name does not exist. User name=(%s1)

SSO: ERROR: sso04728: Business server can not be created,because user name in environmental definition of Web Server(Interstage HTTP Server) does not exist. Username=(%s1)

SSO: ERROR: sso04728: Business server can not be addedbecause the effective user name set as the environmentalconfiguration of the Web Server (Interstage HTTP Server) doesnot exist. User name=(%s1)

SSO: ERROR: sso04729: Business server can not be created,because specified user name does not exist. Username=(%s1)

SSO: ERROR: sso04729: Business server can not be addedbecause the specified effective user name does not exist. Username=(%s1)

SSO: ERROR: sso04730: The specified business system setup fileis incorrect.

SSO: ERROR: sso04730: The specified Business system setup fileis incorrect.

SSO: ERROR: sso04731: Since the port number of the specifiedBusiness server differs from the port number of a Web Server

SSO: ERROR: sso04731: Business server can not be addedbecause the specified port number of the Business server differs

- 309 -

(Interstage HTTP Server), Business server can not be added.Portnumber of Business server=(%s1) Portnumber of Web Server(Interstage HTTP Server)=(%s2)

from the port number of the Web Server (Interstage HTTP Server).Business server Port number=(%s1) Web Server (Interstage HTTPServer) Port number=(%s2)

SSO: ERROR: sso04732: Since the port number of the specifiedBusiness server differs from the port number of a Web Server(Interstage HTTP Server), Environmental definition of theBusiness server can not be updated. Portnumber of Businessserver=(%s1) Portnumber of Web Server (Interstage HTTPServer)=(%s2)

SSO: ERROR: sso04732: The environmental configuration of theBusiness server can not be updated because the port number of thespecified Business server differs from the port number of the WebServer (Interstage HTTP Server). Business server Portnumber=(%s1) Web Server (Interstage HTTP Server) Portnumber=(%s2)

SSO: ERROR: sso04733: The business system name is incorrect.Business system name=(%s1)

SSO: ERROR: sso04733: The Business system name is invalid.Name=(%s1)



SSO: ERROR: sso04738: Business server cannot be deletedbecause Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04738: The Business server can not be deletedbecause the Web Server (Interstage HTTP Server) is running.

SSO: ERROR: sso04740: Access control information can not beupdated, because Repository server URL is not set up inenvironmental definition of Business server.

SSO: ERROR: sso04740: Access control information can not beupdated because Repository server URL is not set up.

SSO: ERROR: sso04741: Business server can not be updated, thespecified access-log file name duplicated from the access-log filename of other business server. Filename=(%s1)

SSO: ERROR: sso04741: The Business server can not be updatedbecause the specified access log file already exists. Filename=(%s1)








Code=(%d1-%d2)

SSO: エラー: sso01020: 定義ファイルのアクセスに失敗しました。

Filename=(%s1)SSO: エラー: sso01020: 定義ファイルにアクセスできません。

Filename=(%s1)






ConfigFile=(%s1) Kind=(%s2) Filename=(%s3)SSO: エラー: sso01030: サービスIDファイルの読み込みに失敗






SSO: 警告: sso01060: 利用者はロックされました。 User=(%s1) SSO: 警告: sso01060: 利用者はロックされました。 UserID=(%s1)DN=(%s2)

SSO: 情報: sso01061: 利用者のロックが解除されました。

User=(%s1)SSO: 情報: sso01061: 利用者のロックが解除されました。

UserID=(%s1) DN=(%s2)


ConfigFile=(%s1) Filename=(%s2)SSO: エラー: sso02009: サービスIDファイルの読み込みに失敗






- 310 -








SSO: 警告: sso02041: 定義ファイルの設定に誤りを検出しまし

た。設定値は無視されます。 Filename=(%s1) Item=(%s2)Value=(%s3)

SSO: 警告: sso02041: 定義ファイルの設定に誤りがあります。不

正な設定値は無効となります。 Filename=(%s1) Item=(%s2)Value=(%s3)






Code=(%d1-%d2)






た。 Detail=(%s1)SSO: エラー: sso03014: アクセス制御情報の更新に失敗しまし

た。

SSO: エラー: sso03017: メモリの獲得に失敗しました。 Item=(%s1)Size=(%d1)

SSO: エラー: sso03017: メモリの獲得に失敗しました。

SSO: エラー: sso03021: 認証情報の復号化に失敗しました。

Detail=(%s1)SSO: エラー: sso03021: 認証情報の復号化に失敗しました。





SSO: エラー: sso03032: バーチャルホストで運用されています。 SSO: エラー: sso03032: SSO業務サーバはバーチャルホストで

運用できません。






Code=(%d1-%d2)




SSO: エラー: sso03047: ロール定義に存在しないロールが設定

されています。

SSO: エラー: sso03047:アクセス制御情報のロールの設定が正


SSO: 警告: sso03048: アクセス制御情報の更新に失敗しました。

Filename=(%s1) Code=(%d2)SSO: エラー: sso03048: アクセス制御情報の更新に失敗しまし

た。 Filename=(%s1) Code=(%d2)


旧ステータスコード新ステータスコード

503 Service Unavailable 503 Service Temporarily Unavailable

【シングル・サインオンが出力するログメッセージ】

旧ログメッセージ新ログメッセージ

Authentication type mismatch Authentication type mismatch.(no certificate)または

Authentication type mismatch.(no user's ID/password)

- 311 -

Modification succeeded. (Reset user status.) Modification succeeded. (Reset user status.)または

Modification succeeded. (No necessity to reset.)

なお、以下のログメッセージは“リポジトリサーバのアクセスログ”－“リポジトリサーバのアクセスログの補足情報”－“処理結果がsucceededの場合に出力される補足情報”から“処理結果がfailedの場合に出力される補足情報”に変更しました。

Credential is incomplete

V7.xから8.0で改善されたメッセージ




SSO: ERROR: sso01012: Internal error. SSO: ERROR: sso01012: Internal error. Detail=(%s1)Code=(%s2)


SSO: ERROR: sso01032: Initialization of maintenance log failed.


SSO: ERROR: sso02009: Reading service ID file failed.Filename=(%s1) Reason=(%s2) Code=(%s3)


SSO: ERROR: sso02012: Invalid request was received.IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: ERROR: sso02017: Internal error. SSO: ERROR: sso02017: Internal error. Code=(%s1)

SSO: ERROR: sso02018: Allocation of memory failed. SSO: ERROR: sso02018: Allocation of memory failed.Size=(%s1) Code=(%s2)


SSO: ERROR: sso02020: Invalid environment of validity checkof certificate. EnvDir=(%s1) Detail=(%s2)




SSO: ERROR: sso02044: Allocation of memory or sharedmemory failed. Code=(%s1)

SSO: ERROR: sso02046: Operation of shared memory failed.Code=(%d1-%d2)

SSO: ERROR: sso02046: Operation of shared memory failed.Code=(%s1)


SSO: ERROR: sso02047: Initialization of lock control failed.Code=(%s1)

SSO: ERROR: sso02049: Lock control failed. Code=(%d1-%d2) SSO: ERROR: sso02049: Lock control failed. Code=(%s1)




SSO: INFO: sso04203: The environmental configuration of theRepository server was updated. The Web Server (Interstage HTTPServer) is required to reboot ([System] > [Services] > [WebServer]). (%s1)

SSO: INFO: sso04253: The environmental configuration of theRepository server was updated. The Web Server (Interstage HTTPServer) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server.

SSO: INFO: sso04253: The environmental configuration of theRepository server was updated. The Web Server (Interstage HTTPServer) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server. (%s1)

SSO: INFO: sso04401: The environmental configuration of theAuthentication server was updated. The Web Server (Interstage

SSO: INFO: sso04401: The environmental configuration of theAuthentication server was updated. The Web Server (InterstageHTTP Server) is required to reboot ([System] > [Services] > [WebServer]). (%s1)

- 312 -

HTTP Server) is required to reboot ([System] > [Services] > [WebServer]).

SSO: INFO: sso04451: The environmental configuration of theAuthentication server was updated. The Web Server (InterstageHTTP Server) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server.

SSO: INFO: sso04451: The environmental configuration of theAuthentication server was updated. The Web Server (InterstageHTTP Server) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server. (%s1)


SSO: INFO: sso04601: The environmental configuration of theBusiness server was updated. The Web Server (Interstage HTTPServer) is required to reboot ([System] > [Services] > [WebServer]). (%s2) Business server=(%s1)


SSO: INFO: sso04606: The environmental configuration of theBusiness server was updated. The Web Server is required toreboot. (%s2) Business server=(%s1)

SSO: INFO: sso04651: The environmental configuration of theBusiness server was updated. The Web Server (Interstage HTTPServer) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server. Businessserver=(%s1)

SSO: INFO: sso04651: The environmental configuration of theBusiness server was updated. The Web Server (Interstage HTTPServer) is required to read configuration and reboot by usingInterstage Management Console of the Admin Server. (%s2)Business server=(%s1)



SSO: エラー: sso01012: 内部異常が発生しました。 SSO: エラー: sso01012: 内部異常が発生しました。 Detail=(%s1)Code=(%s2)

SSO: 警告: sso01032: 保守ログの初期化に失敗しました。 SSO: エラー: sso01032: 保守ログの初期化に失敗しました。

SSO: エラー: sso02009: サービスIDファイルの読み込みに失敗

しました。 Filename=(%s1)SSO: エラー: sso02009: サービスIDファイルの読み込みに失敗し

ました。 Filename=(%s1) Reason=(%s2) Code=(%s3)

SSO: エラー: sso02012: 不正な要求を受け付けました。

IPAddr=(%s1)SSO: エラー: sso02012: 不正な要求を受け付けました。

IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: エラー: sso02017: 内部異常が発生しました。 SSO: エラー: sso02017: 内部異常が発生しました。 Code=(%s1)

SSO: エラー: sso02018: メモリの獲得に失敗しました。 SSO: エラー: sso02018: メモリの獲得に失敗しました。 Size=(%s1)Code=(%s2)

SSO: エラー: sso02020: 証明書の有効性確認を行う環境が正

しくありません。 EnvDir=(%s1)SSO: エラー: sso02020: 証明書の有効性確認を行う環境が正しく

ありません。 EnvDir=(%s1) Detail=(%s2)


SSO: エラー: sso02044: メモリまたは共用メモリの獲得に失敗し

ました。 Code=(%d1-%d2)SSO: エラー: sso02044: メモリまたは共用メモリの獲得に失敗しま

した。 Code=(%s1)

SSO: エラー: sso02046: 共用メモリの操作に失敗しました。

Code=(%d1-%d2)SSO: エラー: sso02046: 共用メモリの操作に失敗しました。

Code=(%s1)

SSO: エラー: sso02047: 排他制御の初期化に失敗しました。


Code=(%s1)

SSO: エラー: sso02049: 排他制御に失敗しました。 Code=(%d1-%d2)

SSO: エラー: sso02049: 排他制御に失敗しました。 Code=(%s1)


SSO: 情報: sso04203: リポジトリサーバの環境設定を更新しま

した。[システム] > [サービス] > [Webサーバ]にてWebサーバ

(Interstage HTTP Server)を再起動してください。

SSO: 情報: sso04203: リポジトリサーバの環境設定を更新しまし

た。[システム] > [サービス] > [Webサーバ]にてWebサーバ

(Interstage HTTP Server)を再起動してください。 (%s1)

SSO: 情報: sso04253: リポジトリサーバの環境設定を更新しま

した。管理サーバのInterstage管理コンソールを使用して、WebSSO: 情報: sso04253: リポジトリサーバの環境設定を更新しまし

た。管理サーバのInterstage管理コンソールを使用して、Webサー

- 313 -

サーバ(Interstage HTTP Server)の定義の取得を行った後で、

Webサーバを再起動してください。

バ(Interstage HTTP Server)の定義の取得を行った後で、Webサー

バを再起動してください。 (%s1)

SSO: 情報: sso04401: 認証サーバの環境設定を更新しました。

[システム] > [サービス] > [Webサーバ]にてWebサーバ



[システム] > [サービス] > [Webサーバ]にてWebサーバ(InterstageHTTP Server)を再起動してください。 (%s1)


管理サーバのInterstage管理コンソールを使用して、Webサーバ

(Interstage HTTP Server)の定義の取得を行った後で、Webサー

バを再起動してください。

SSO: 情報: sso04451: 認証サーバの環境設定を更新しました。管

理サーバのInterstage管理コンソールを使用して、Webサーバ

(Interstage HTTP Server)の定義の取得を行った後で、Webサー


SSO: 情報: sso04601: 業務サーバ(%s1)の環境設定を更新し

ました。[システム] > [サービス] > [Webサーバ]にてWebサーバ


SSO: 情報: sso04601: 業務サーバ(%s1)の環境設定を更新しまし

た。[システム] > [サービス] > [Webサーバ]にてWebサーバ

(Interstage HTTP Server)を再起動してください。 (%s2)


ました。ご使用のWebサーバを再起動してください。


た。ご使用のWebサーバを再起動してください。 (%s2)


ました。管理サーバのInterstage管理コンソールを使用して、Webサーバ(Interstage HTTP Server)の定義の取得を行った後で、

Webサーバを再起動してください。


た。管理サーバのInterstage管理コンソールを使用して、Webサー

バ(Interstage HTTP Server)の定義の取得を行った後で、Webサー


8.xからV9.0で改善されたメッセージ




SSO: INFO: sso03015: Access control information was updated. SSO: INFO: sso03015: Access control information was updated.Name=(%s1)


SSO: ERROR: sso03018: The length of URL is too long.Name=(%s1) (Location URL:%d2)


SSO: ERROR: sso03026: Acquisition of access controlinformation failed. Name=(%s1) Code=(%x2)

SSO: ERROR: sso03047: Invalid role setting in access controlinformation.

SSO: ERROR: sso03047: Invalid role setting in access controlinformation. Name=(%s1)


SSO: ERROR: sso03048: Updating of access control informationfailed. Name=(%s1) Filename=(%s2) Code=(%d3)

SSO: ERROR: sso04122: Smart Repository package is notinstalled.

SSO: ERROR: sso04122: Interstage Directory Service package isnot installed.

SSO: ERROR: sso04362: Repository server environment isbroken. Detail=(%d1,%s2)

SSO: ERROR: sso04362: The Repository server environment isbroken. Detail=(%s1,%s2)

SSO: ERROR: sso04635: The Business server could not be addedbecause there are already 32 Business servers on the samemachine.

SSO: ERROR: sso04635: The Business server could not be addedbecause there are already 256 Business servers on the samemachine.

SSO: ERROR: sso04735: The Business server could not be addedbecause there are already 32 Business servers on the same machine

SSO: ERROR: sso04735: The Business server could not be addedbecause there are already 256 Business servers on the samemachine

SSO: ERROR: sso04736: The environmental configuration of theBusiness server could not be updated because there are already 33Business servers on the same machine

SSO: ERROR: sso04736: The environmental configuration of theBusiness server could not be updated because there are already257 Business servers on the same machine.

SSO: ERROR: sso04742: Business server environment is broken.Detail=(%d1,%s2)

SSO: ERROR: sso04742: The Business server environment isbroken. Detail=(%s1,%s2)

- 314 -

SSO: ERROR: sso13001: Invalid request was received.IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: ERROR: sso13001: Invalid request was received.Name=(%s1) IPAddr=(%s2) Detail=(%s3) Code=(%s4)

SSO: ERROR: sso13002: An invalid response was received. Thereis an inconsistency in the environment settings of the server fromwhich the response originated. Host=(%s1) Detail=(%s2)Code=(%s3)

SSO: ERROR: sso13002: An invalid response was received. Thereis an inconsistency in the environment settings of the server fromwhich the response originated. Name=(%s1) Host=(%s2)Detail=(%s3) Code=(%s4)

SSO: ERROR: sso13005: Request data is broken. IPAddr=(%s1)Detail=(%s2) Code=(%s3)

SSO: ERROR: sso13005: Request data is broken. Name=(%s1)IPAddr=(%s2) Detail=(%s3) Code=(%s4)

SSO: ERROR: sso13006: Response data is broken. Host=(%s1)Detail=(%s2) Code=(%s3)

SSO: ERROR: sso13006: Response data is broken. Name=(%s1)Host=(%s2) Detail=(%s3) Code=(%s4)

SSO: ERROR: sso13007: Analysis of request data failed.IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: ERROR: sso13007: Analysis of request data failed.Name=(%s1) IPAddr=(%s2) Detail=(%s3) Code=(%s4)

SSO: ERROR: sso13008: Analysis of response data failed.Host=(%s1) Detail=(%s2) Code=(%s3)

SSO: ERROR: sso13008: Analysis of response data failed.Name=(%s1) Host=(%s2) Detail=(%s3) Code=(%s4)



SSO: 情報: sso03015: アクセス制御情報を更新しました。 SSO: 情報: sso03015: アクセス制御情報を更新しました。

Name=(%s1)

SSO: エラー: sso03018: URLの長さが上限を超えました。

(Location URL:%d1)SSO: エラー: sso03018: URLの長さが上限を超えました。

Name=(%s1) (Location URL:%d2)

SSO: エラー: sso03026: アクセス制御情報の取得に失敗しまし

た。 Code=(%x1)SSO: エラー: sso03026: アクセス制御情報の取得に失敗しまし

た。 Name=(%s1) Code=(%x2)

SSO: エラー: sso03047: アクセス制御情報のロールの設定が正


SSO: エラー: sso03047: アクセス制御情報のロールの設定が正

しくありません。 Name=(%s1)


た。 Filename=(%s1) Code=(%d2)SSO: エラー: sso03048: アクセス制御情報の更新に失敗しまし

た。 Name=(%s1) Filename=(%s2) Code=(%d3)

SSO: エラー: sso04122: Smart Repositoryパッケージがインストー

ルされていません。

SSO: エラー: sso04122: Interstage ディレクトリサービスパッケー

ジがインストールされていません。

SSO: エラー: sso04362: リポジトリサーバの環境が壊れていま

す。 Detail=(%d1,%s2)SSO: エラー: sso04362: リポジトリサーバの環境が壊れていま

す。 Detail=(%s1,%s2)

SSO: エラー: sso04635: 同一マシン上に業務サーバが32台以上

作成されているため、これ以上業務サーバを追加できません。

SSO: エラー: sso04635: 同一マシン上に業務サーバが256台以

上作成されているため、これ以上業務サーバを追加できません。


作成されているため、これ以上業務サーバを追加できません。


上作成されているため、これ以上業務サーバを追加できません


作成されているため、業務サーバの環境設定を更新できませ

ん。


上作成されているため、業務サーバの環境設定を更新できませ

ん。

SSO: エラー: sso04742: 業務サーバの環境が壊れています。

Detail=(%d1,%s2)SSO: エラー: sso04742: 業務サーバの環境が壊れています。

Detail=(%s1,%s2)

SSO: エラー: sso13001: 不正な要求を受け付けました。

IPAddr=(%s1) Detail=(%s2) Code=(%s3)SSO: エラー: sso13001: 不正な要求を受け付けました。

Name=(%s1) IPAddr=(%s2) Detail=(%s3) Code=(%s4)

SSO: エラー: sso13002: 不正な応答を受信しました。応答先の

環境設定に不整合があります。 Host=(%s1) Detail=(%s2)Code=(%s3)

SSO: エラー: sso13002: 不正な応答を受信しました。応答先の

環境設定に不整合があります。 Name=(%s1) Host=(%s2)Detail=(%s3) Code=(%s4)

SSO: エラー: sso13005: 要求データが破損しています。

IPAddr=(%s1) Detail=(%s2) Code=(%s3)SSO: エラー: sso13005: 要求データが破損しています。


- 315 -

SSO: エラー: sso13006: 応答データが破損しています。

Host=(%s1) Detail=(%s2) Code=(%s3)SSO: エラー: sso13006: 応答データが破損しています。

Name=(%s1) Host=(%s2) Detail=(%s3) Code=(%s4)

SSO: エラー: sso13007: 要求データの解析に失敗しました。

IPAddr=(%s1) Detail=(%s2) Code=(%s3)SSO: エラー: sso13007: 要求データの解析に失敗しました。


SSO: エラー: sso13008: 応答データの解析に失敗しました。

Host=(%s1) Detail=(%s2) Code=(%s3)SSO: エラー: sso13008: 応答データの解析に失敗しました。

Name=(%s1) Host=(%s2) Detail=(%s3) Code=(%s4)

【シングル・サインオンが出力するメッセージ】

以下に示すssosetsvcコマンドの英語メッセージを変更しています。


[0071]Abnormality occurred by Smart Repository [0071]Abnormality occurred by Interstage Directory Service

[0072]Smart Repository package is not installed [0072]Interstage Directory Service package is not installed

以下に示すssosetsvcコマンドの日本語メッセージを変更しています。


[0071]Smart Repositoryで異常が発生しました [0071]Interstage ディレクトリサービスで異常が発生しました

[0072]Smart Repositoryパッケージがインストールされていませ

ん

[0072]Interstage ディレクトリサービスパッケージがインストールさ

れていません

以下に示すssosignoffコマンドの英語メッセージを変更しています。


[0078]Specified session or user ID was not found : <session | userID>

[0078]Specified session or user ID was not found : <session | userID | global-session >

以下に示すssosignoffコマンドの日本語メッセージを変更しています。


[0078]指定されたセションまたはユーザIDは存在しません :<session | user ID>

[0078]指定されたセションまたはユーザIDは存在しません :<session | user ID| global-session>

以下に示すシングル・サインオンJavaAPIで例外が発生した場合に出力されるメッセージを変更しています。


Error: No definition found in Business server configuration file :ConfFile=%s1 ServerPort=%s2

Error: No definition found in Business server configuration file :ConfFile=%s1 %s2=%s3

V9.0からV9.1で改善されたメッセージ


以下に示すステータスコード403の英語メッセージをステータスコード200の英語メッセージに改善しています。


Authentication is processing. Waiting for the authentication in the other screen.Please click the button to continue authentication when theauthentication page doe not exist.

以下に示すステータスコード403の日本語メッセージをステータスコード200の日本語メッセージに改善しています。


- 316 -

認証中です。他の画面で認証されるのを待っています。

認証中の画面が存在しない場合は、以下のボタンをクリックして

認証を継続してください。

A.10 セションの管理を行う運用への移行について

セションの管理を行っていないシステムからセションの管理を行うシステムに移行する場合は、以下の点に注意して、セションの管理

を行うための環境に変更してください。

■注意事項

・セションの管理を行うための環境設定の変更は、必ずInterstage シングル・サインオンのシステムを構成している全サーバに対して

行ってください。

・環境設定を変更する前に、Interstage シングル・サインオン資源のバックアップを全サーバに対して行ってください。バックアップの

作業については“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”を参照してください。

・ SSOリポジトリで管理するユーザ情報の認証方式(ssoAuthType)に“certAuth”を設定した場合には、利用者の認証に失敗します。

利用者の認証方式を変更するか、証明書認証を行うための設定を行ってください。(注1)(注2)

・セションの管理を行うシステムでは、SSOリポジトリで管理するユーザ情報にユーザIDを必ず設定してください。(注1)

・負荷分散を行うシステムの場合は、ロードバランサの設定を見直してください。(注3)

注1)認証方式、およびユーザ情報については、“2.3.2.5 ユーザ情報のエントリ”を参照してください。

注2)証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してく

ださい。

注3)ロードバランサの設定については、“付録E ロードバランサの設定”を参照してください。

■変更手順

以下のシステム構成に分けて説明します。

・リポジトリサーバの負荷分散を行わないシステムの場合

・リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合

・リポジトリサーバと認証サーバを1台のマシンに構築し、複数台配置して負荷分散を行うシステムの場合

・リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散するシステムの場合

【リポジトリサーバの負荷分散を行わないシステムの場合】

変更は以下の手順で行います。

1. リポジトリサーバの変更

2. 認証サーバの変更

3. 業務サーバの変更

4. Javaアプリケーションの変更(注)

注)Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合に行ってください。

SSO管理者は、以下の作業を行います。

1)リポジトリサーバの変更

リポジトリサーバのInterstage管理コンソールから以下の手順で変更します。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[セション

管理詳細設定[表示]]をクリックしてください。

2. [セション管理の設定]の[セション管理の運用]を[運用を行う]に変更し、[適用]ボタンをクリックします。(注1)(注2)

3. リポジトリサーバを再起動してください。

- 317 -

4. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択してください。

5. [詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が、[運用を行う]になっていることを確認してくださ

い。

6. [パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築ファイルをダウ

ンロードしてください。

7. 認証サーバに認証基盤構築ファイルを転送後、認証基盤構築ファイルを削除してください。

8. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。


い。(注3)

10. 複数の業務システムを運用している場合は、全ての業務システムに対して手順11、および手順12を実施してください。

11. 必要項目を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに業務システム基盤構築ファイル

をダウンロードしてください。


注1)リポジトリサーバをSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参照し、環

境設定を行ってください。

注2)リポジトリサーバをクラスタシステムで運用している場合は、暗号化情報(サービスID)ファイルを共用ディスクに移動し、環境定

義ファイルを変更してください。また、待機ノードの環境設定についても同様に変更してください。なお、詳細については“高信頼

性システム運用ガイド”の“クラスタサービスの環境設定手順”－“Interstageの環境設定”－“Interstage シングル・サインオンを使用

する場合”の“1)運用ノード(ノード1)での構築”に記載されている手順3、および手順4を参照してください。

また、Interstage シングル・サインオン用の状態遷移プロシジャを登録してください。状態遷移プロシジャについては、“高信頼性

システム運用ガイド”の“クラスタサービスの環境設定手順”－“クラスタサービスの設定”を参照してください。

注3)Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバ間を非SSL通信で行う場合、業務サーバ

を再起動する前に業務サーバが参照する認証サーバのURLを変更する必要があります。[認証基盤の情報]の[認証サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“1.7.4業務システムが参照する認証サーバのURLについて”を参照してください。

2)認証サーバの変更

認証サーバを以下の手順で変更します。認証サーバの負荷分散を行っている場合は、全ての認証サーバにて実施してください。

1. セションの管理を行う設定に変更したリポジトリサーバからダウンロードした認証基盤構築ファイルを、認証サーバに転送して

ください。

2. 手順1.で転送した認証基盤構築ファイルを指定して、ssoimpacコマンドを実行してください。

ssoimpacコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照し

てください。

3. Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設

定]タブを選択してください。

4. [詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った認証基盤構築ファイルを指定してコマン

ドを実行しています。手順1.から再度実施してください。



業務サーバ管理者は、以下の作業を行います。

3)業務サーバの変更

業務サーバを以下の手順で変更します。業務サーバの負荷分散を行っている場合、または複数の業務システムを運用している

場合は、全ての業務サーバにて実施してください。

1. 認証サーバとSSL通信を行うために必要なInterstage証明書環境を作成します。すでにInterstage証明書環境が作成されて

いる場合は、この作業は不要です。Interstage証明書環境の作成については“D.5 Interstage証明書環境の作成”を参照して

ください。

- 318 -

2. セションの管理を行う設定に変更したリポジトリサーバからダウンロードした業務システム構築ファイルを、SSO管理者から取

得してください。

3. 手順2.で取得した業務システム構築ファイルを指定して、ssoimpazコマンドを実行してください。業務サーバでシングル・サイ

ンオンJavaAPIを使用している場合は、-jオプションを指定してください。

ssoimpazコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照し

てください。

4. Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブを選択してください。

5. [詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順3.で誤った業務システム構築ファイルを指定してコマ

ンドを実行しています。手順2.から再度実施してください。

6. 業務サーバを組み込んでいるWebサーバに以下の設定を追加してください。すでに設定済みの場合は、この作業は不要で

す。

- Microsoft(R) Internet Information Services 5.0の場合

“3.4.3 Microsoft(R) Internet Information Services 5.0 への組み込み”で行う手順5から手順8を行ってください。


“3.4.4 Microsoft(R) Internet Information Services 6.0 への組み込み”で行う手順5から手順12、および手順16を行ってく

ださい。


“3.4.5 Microsoft(R) Internet Information Services 7.0 への組み込み”で行う手順6から手順12を行ってください。

- Sun Java System Web Server 6.0,6.1の場合

“3.4.2 Sun Java System Web Server 6.0,6.1への組み込み”を参照し、環境定義ファイルに必要な項目を追加してくださ

い。

7. 業務サーバを再起動してください。


4)Javaアプリケーションの変更

Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合は、以下の手順で変更しま

す。業務サーバの定義を使用する(ログイン構成ファイルにserverportオプションを指定する)アプリケーションを使用している場合

は、業務サーバの変更も行ってください。

1. セションの管理を行う設定に変更したリポジトリサーバからダウンロードした業務システム構築ファイルを、SSO管理者から取

得してください。

2. 手順1.で取得した業務システム構築ファイルを指定して、ssoimpazコマンドを実行してください。ssoimpazコマンドの詳細につ

いては、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してください。

3. Javaプリケーションを再起動してください。


【リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合】


本システムの場合、まず、1台のリポジトリサーバ(更新系)を変更した後、負荷分散している残りのすべてのリポジトリサーバ(更新系)を変更します。

1. リポジトリサーバ(更新系)の変更


2. 負荷分散しているリポジトリサーバ(更新系)の変更




- 319 -



1)リポジトリサーバ(更新系)の変更


1. リポジトリサーバの負荷分散を行わないシステムの場合の、1)リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバ

(更新系)を変更します。

2. セションの管理を行う設定に変更したリポジトリサーバ(更新系)のマシンを移出マシンとして、ssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに移出します。

ssobackupコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してくだ

さい。


負荷分散している残りのすべてのリポジトリサーバ(更新系)にて実施します。

1. 負荷分散しているリポジトリサーバ(更新系)を移入マシンとして、1)リポジトリサーバ(更新系)の変更で移出した資源格

納ファイルを転送してください。

2. ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。

ssorestoreコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してくだ

さい。

3. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリ

サーバ] > [環境設定]タブを選択してください。

4. [セション管理詳細設定[表示]]をクリックし、[セション管理の設定]の[セション管理の運用]が[運用を行う]になっている

ことを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファ

イルを指定してコマンドを実行しています。手順1.から再度実施してください。

上記作業が終了したら、すべてのリポジトリサーバ(更新系)を起動し、移出した資源格納ファイルを削除してください。


リポジトリサーバの負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順です。



リポジトリサーバの負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。


リポジトリサーバの負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。

【リポジトリサーバと認証サーバを1台のマシンに構築し、複数台配置して負荷分散を行うシステムの場合】


本システムの場合、まず、1台のマシンに構築されたリポジトリサーバと認証サーバを変更した後、負荷分散している残りのすべてのリ

ポジトリサーバ、および認証サーバを変更します。



3. 負荷分散しているリポジトリサーバ、および認証サーバの変更





- 320 -


リポジトリサーバの負荷分散を行わないシステムの場合の、1)リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバを変更

します。


1. リポジトリサーバの負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順で、1台の認証サーバの変更を

行います。

2. セションの管理を行う設定に変更した認証サーバのマシンを移出マシンとして、ssobackupコマンドを-sv、および-acオプショ

ンで実行し、リポジトリサーバ、および認証サーバ資源を資源格納ファイルに取り出します。

ssobackupコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してください。

3)負荷分散しているリポジトリサーバ、および認証サーバの変更

負荷分散している残りのすべてのリポジトリサーバ、および認証サーバを以下の手順で変更します。

1. 負荷分散しているリポジトリサーバ、および認証サーバを移入マシンとして、2)認証サーバの変更で移出した資源格納ファイ

ルを転送してください。

2. ssorestoreコマンドを実行し、リポジトリサーバ、および認証サーバ資源を移入します。

ssorestoreコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してください。

3. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ]> [環境設定]タブを選択してください。

4. [セション管理詳細設定[表示]]をクリックし、[セション管理の設定]の[セション管理の運用]が[運用を行う]になっていることを

確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファイルを指

定してコマンドを実行しています。手順1.から再度実施してください。


6. 詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った資源格納ファイルを指定してコマンドを実

行しています。手順1.から再度実施してください。

上記作業が終了したら、すべてのリポジトリサーバ、および認証サーバを起動し、移出した資源格納ファイルを削除してください。



負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。


負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。

【リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散するシステムの場合】



2. リポジトリサーバ(参照系)の変更








- 321 -

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[セション

管理詳細設定[表示]]をクリックしてください。

2. [セション管理の設定]の[セション管理の運用]を[運用を行う]に変更し、[適用]ボタンをクリックします。(注1)(注2)

3. リポジトリサーバ(更新系)を再起動してください。



い。



7. 認証サーバ、およびリポジトリサーバ(参照系)に認証基盤構築ファイルを転送後、認証基盤構築ファイルを削除してくださ

い。

8. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。


い。(注3)

10. 手順11、および手順12については、全ての業務システムに対して実施してください。

11. 必要項目を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに業務システム基盤構築ファイル

をダウンロードしてください。


注1)リポジトリサーバ(更新系)をSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参照

し、環境設定を行ってください。

注2)リポジトリサーバをクラスタシステムで運用している場合は、暗号化情報(サービスID)ファイルを共用ディスクに移動し、環境定義

ファイルを変更してください。また、待機ノードの環境設定についても同様に変更してください。なお、詳細については“高信頼性シス

テム運用ガイド”の“クラスタサービスの環境設定手順”－“Interstageの環境設定”－“Interstage シングル・サインオンを使用する場合”

の“1)運用ノード(ノード1)での構築”に記載されている手順3、および手順4を参照してください。

また、Interstage シングル・サインオン用の状態遷移プロシジャを登録してください。状態遷移プロシジャについては、“高信頼性シス

テム運用ガイド”の“クラスタサービスの環境設定手順”－“クラスタサービスの設定”を参照してください。

注3)Interstage Security Directorと連携し、かつInterstage Security Directorと認証サーバ間を非SSL通信で行う場合、業務サーバを再

起動する前に業務サーバが参照する認証サーバのURLを変更する必要があります。[認証基盤の情報]の[認証サーバのURL]に業務

システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“1.7.4 業務システ

ムが参照する認証サーバのURLについて”を参照してください。

2)リポジトリサーバ(参照系)の変更

リポジトリサーバ(参照系)を以下の手順で変更します。複数のリポジトリサーバ(参照系)を運用している場合は、全てのリポジトリサーバ

(参照系)にて実施してください。

1. セションの管理を行う設定に変更したリポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを、リポジトリサーバ

(参照系)に転送してください。

2. 手順1.で転送した認証基盤構築ファイルを指定して、ssoimpsvコマンドを実行してください。

ssoimpsvコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照し

てください。

3. Interstage管理コンソールで、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ(参照系)]> [環境設定]タブを選択してください。

4. [詳細設定[表示]]をクリックし、[認証基盤の情報]の[セション管理の運用]が[運用を行う]になっていることを確認し、[適用]ボタンをクリックしてください。[運用を行わない]になっている場合は、手順2.で誤った認証基盤構築ファイルを指定してコマン

ドを実行しています。手順1.から再度実施してください。(注)

5. リポジトリサーバ(参照系)を再起動してください。


注)リポジトリサーバ(参照系)をSSL通信で運用する場合には、“D.2 リポジトリサーバをSSL通信で運用するための変更手順”を参

照し、環境設定を行ってください。

- 322 -


負荷分散を行わないシステムの場合の、2)認証サーバの変更と同じ手順です。



負荷分散を行わないシステムの場合の、3)業務サーバの変更と同じ手順です。


負荷分散を行わないシステムの場合の、4)Javaアプリケーションの変更と同じ手順です。

A.11 リポジトリサーバ(更新系)の負荷分散を行うシステムへの移行について

リポジトリサーバ(更新系)の負荷分散を行っていないシステムから負荷分散を行うシステムに移行する場合は、以下の点に注意して

環境を変更してください。

セションの管理を行っていない環境の移行

認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合

各サーバの環境を以下のように変更してください。

サーバ変更点

リポジトリサーバ(更新系) ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法

については“移行ガイド”を参照してください。

・既存のSSOリポジトリを、ディレクトリサービスのデータベース共用機能を利用したSSOリポジトリに変更してください。データベース共用機能については、“ディレクトリ

サービス運用ガイド”を参照してください。

リポジトリサーバ(参照系) ・削除してください。

認証サーバ・認証サーバとリポジトリサーバ間にロードバランサを配置し、ロードバランサのURLが、移行前のリポジトリサーバ(更新系)と異なる場合は、認証サーバを再構築して

ください。

業務サーバ・変更の必要はありません。

認証サーバとリポジトリサーバを1台のマシンに構築する場合


サーバ変更点

リポジトリサーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法




認証サーバ・認証サーバとリポジトリサーバ間にロードバランサを配置し、ロードバランサのURLが、移行前のリポジトリサーバ(更新系)と異なる場合は、認証サーバを再構築して

ください。

業務サーバ・変更の必要はありません。

セションの管理を行っている環境の移行

認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合


- 323 -

サーバ変更点

リポジトリサーバ(更新系) ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法




リポジトリサーバ(参照系) ・削除してください。

認証サーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法


業務サーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法


認証サーバとリポジトリサーバを1台のマシンに構築する場合


サーバ変更点

リポジトリサーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法


・ “E.3 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散”を参照し、

Interstage管理コンソールにて[リポジトリサーバ(更新系)のURL]が正しく設定され

ているか確認してください。



認証サーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法


・ “E.3 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散”を参照し、

Interstage管理コンソールにて[リポジトリサーバ(更新系)のURL]が正しく設定され

ているか確認してください。

業務サーバ・旧バージョンを使用している場合は、本バージョンへ移行してください。移行方法


1台のマシンにリポジトリサーバと認証サーバを別々に構築している環境でリポジトリサーバの負荷分散を行う場合も、上記作業を行っ

てください。

A.12 ディレクトリサービスにActive Directoryを使用するシステムへの移行について

ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用しているシステムからActive Directoryを使用する

システムに移行する場合は、以下の点に注意して環境を変更してください。

なお、ユーザ情報を登録するディレクトリサービスにActive Directoryを使用するシステムについては、“1.8 Active Directoryとの連携”


■注意事項

・ユーザ情報を登録するディレクトリサービスをActive Directoryに変更するための環境設定の変更は、必ずInterstage シングル・サ

インオンのシステムを構成しているすべてのリポジトリサーバ、および認証サーバに対して行ってください。

・環境設定を変更する前に、Interstage シングル・サインオン資源のバックアップをすべてのリポジトリサーバ、および認証サーバに

対して行ってください。バックアップの作業については“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”を参照してくだ

さい。

- 324 -

■変更手順

以下のシステム構成に分けて説明します。

・リポジトリサーバを1台配置するシステムの場合

・リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合

【リポジトリサーバを1台配置するシステムの場合】


1. シングル・サインオンの拡張スキーマの設定

シングル・サインオンの拡張スキーマを使用する場合に実施します。

2. Active Dirctoryのユーザ情報の設定

3. SSOリポジトリの設定

4. SSL通信環境の構築

Active DirectoryとSSL通信を行う場合に実施します。



7. 統合Windows認証を行うための設定

1)シングル・サインオンの拡張スキーマの設定

ActiveDirectoryにシングル・サインオンのスキーマを拡張します。

拡張スキーマの設定方法については、“F.1.1 シングル・サインオンの拡張スキーマの設定”を参照してください。

2)Active Dirctoryのユーザ情報の設定

Active Directoryにユーザ情報を設定します。

Active Directoryにユーザ情報を設定する際の注意点、およびポイントについては、“F.1.2 Active Directoryのユーザ情報の設

定”を参照してください。

3)SSOリポジトリの設定

SSOリポジトリにロール定義を登録します。

－シングル・サインオンの拡張スキーマを使用しない場合

ActiveDirectoryで管理しているユーザ情報の任意の属性値とInterstage シングル・サインオンのロール定義を関連付けてSSOリポジトリに登録します。

設定手順については、“F.1.3 SSOリポジトリの設定(ロール定義の関連付け)”を参照してください。

－シングル・サインオンの拡張スキーマを使用する場合

すでにSSOリポジトリに登録されているロール定義以外に、ロール定義が必要な場合や、ロール定義を変更する場合は、運用

に応じてロール定義の追加、変更を行ってください。

ロール定義の追加、変更については、“4.6.1 ロール定義の変更、追加”を参照してください。

4)SSL通信環境の構築

Active DirectoryとSSL通信を行うための設定を行います。

設定手順については、“F.1.4 SSL通信環境の構築”を参照してください。



1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブを選択し、[リポジトリ

サーバ詳細設定[表示]]をクリックしてください。

2. [リポジトリ]の[ユーザ情報の登録先に使用するディレクトリサービス]を[Active Directory]に変更し、[シングル・サインオンの

拡張スキーマを使用する]を運用に応じてチェックしてください。

3. [Active Directoryの設定]でActive Directoryの接続情報を設定し、[ユーザ情報の登録先エントリ]をActive Directoryのユー

ザ情報の登録先エントリに変更し、[適用]ボタンをクリックします。

- 325 -

4. リポジトリサーバを再起動してください。


6. [詳細設定[表示]]をクリックし、[リポジトリ]の[ユーザ情報の登録先エントリ]がActive Directoryのユーザ情報の登録先エントリ

に変更されていることを確認してください。





認証サーバを以下の手順で変更します。

認証サーバの負荷分散を行っている場合は、全ての認証サーバにて以下を実施してください。また、運用にあわせてロードバラ

ンサの設定を変更してください。ロードバランサの設定については、“E.2 認証サーバの負荷分散”を参照してください。

1. ユーザ情報の登録先に使用するディレクトリサービスをActive Directoryに変更したリポジトリサーバからダウンロードした認証

基盤構築ファイルを、認証サーバに転送してください。

2. 手順1.で転送した認証基盤構築ファイルを指定して、ssoimpacコマンドを実行してください。



4. [詳細設定[表示]]をクリックし、[統合Windows認証の設定]の[認証に使用する属性]が[使用しません]になっていることを確

認し、[適用]ボタンをクリックしてください。[使用しません]になっていない場合は、手順2.で誤った認証基盤構築ファイルを指

定してコマンドを実行しています。手順1.から再度実施してください。



7)統合Windows認証を行うための設定

統合Windows認証を行うための設定を行います。設定手順については、“F.1.6 統合Windows認証を行うための設定”を参照して

ください。

なお、すでに設定済みの場合は、実施不要です。

【リポジトリサーバ(更新系)を複数台配置して負荷分散を行うシステムの場合】


本システムの場合、まず、1台のリポジトリサーバ(更新系)を変更した後、負荷分散している残りのすべてのリポジトリサーバ(更新系)を変更します。


シングル・サインオンの拡張スキーマを使用する場合に実施します。










1)シングル・サインオンの拡張スキーマの設定

リポジトリサーバを1台配置するシステムの場合の、1)シングル・サインオンの拡張スキーマの設定と同じ手順です。

- 326 -

2)Active Dirctoryのユーザ情報の設定

リポジトリサーバを1台配置するシステムの場合の、2)Active Dirctoryのユーザ情報の設定と同じ手順です。

3)SSOリポジトリの設定

リポジトリサーバを1台配置するシステムの場合の、3)SSOリポジトリの設定と同じ手順です。

4)SSL通信環境の構築

リポジトリサーバを1台配置するシステムの場合の、4)SSL通信環境の構築と同じ手順です。


リポジトリサーバ(更新系)の変更

1. リポジトリサーバを1台配置するシステムの場合の、5)リポジトリサーバの変更と同じ手順で、1台のリポジトリサーバ(更新

系)を変更します。

2. ユーザ情報の登録先に使用するディレクトリサービスをActive Directoryに変更したリポジトリサーバ(更新系)のマシンを

移出マシンとして、ssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに移出します。

ssobackupコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してくださ

い。

負荷分散しているリポジトリサーバ(更新系)の変更

負荷分散している残りのすべてのリポジトリサーバ(更新系)にて実施します。

1. 負荷分散しているリポジトリサーバ(更新系)を移入マシンとして、リポジトリサーバ(更新系)の変更で移出した資源格納ファ

イルを転送してください。

2. ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。

ssorestoreコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“バックアップコマンド”を参照してくださ

い。

3. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサー

バ] > [環境設定]タブを選択してください。

4. [リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ]の[Active Directoryの設定]が表示されていることを確認し、[適用]ボタンをクリックしてください。[Active Directoryの設定]が表示されていない場合は、手順2.で誤った資源格納ファイル

を指定してコマンドを実行しています。手順1.から再度実施してください。

上記作業が終了したら、すべてのリポジトリサーバ(更新系)を起動し、移出した資源格納ファイルを削除してください。


リポジトリサーバを1台配置するシステムの場合の、6)認証サーバの変更と同じ手順です。

7)統合Windows認証を行うための設定

リポジトリサーバを1台配置するシステムの場合の、7)統合Windows認証を行うための設定と同じ手順です。

- 327 -

付録B ユーザプログラムの記述例

ここでは、Java言語を用いてSSOリポジトリを操作するユーザプログラムの記述例を紹介します。

・ロール定義をSSOリポジトリに登録する

・ユーザ情報をSSOリポジトリに登録する

・ユーザ情報をSSOリポジトリから削除する

・利用者のロールを追加する

・利用者のロールを削除する

・利用者のロック状態を表示する

・利用者をロックする

・利用者の有効期間を表示する

・利用者の有効期間を変更する

・利用者のパスワードを変更する

上記以外にSSOリポジトリを操作するユーザプログラムが必要な場合は、紹介している記述例を参考に、運用にあわせたユーザプロ

グラムを作成してください。

上記の処理には、共通した前処理と後処理があります。これらのリポジトリ操作処理は、前処理と後処理の間に挿入してプログラムを

作成してください。

以下に、共通処理について説明します。

1)前処理(リポジトリとの接続をオープンする)

以下の例では、ssohostという名前のホストにポート番号389を使用して、セキュリティレベル“simple”で接続します。

bindDnおよびpasswordには、管理者用DNとパスワードをそれぞれjava.lang.Stringで指定してください。

java.util.Hashtable env = new java.util.Hashtable();

env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");

env.put(Context.PROVIDER_URL, "ldap://ssohost:389");

env.put(Context.SECURITY_AUTHENTICATION, "simple");

env.put(Context.SECURITY_PRINCIPAL, bindDn);

env.put(Context.SECURITY_CREDENTIALS, password);

DirContext ctx = new InitialDirContext(env);

管理者用DNとパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。



2)後処理(リポジトリとの接続をクローズする)

前処理で接続したリポジトリとの接続をクローズします。

ctxは、共通の前処理で得られた結果を使用します。

- 328 -

ctx.close();

なお、SSOリポジトリを操作するユーザプログラムを作成する際は、SSOリポジトリの正しい設計のもと、不正なSSOリポジトリデータを作

成しないよう十分注意してください。

SSOリポジトリの設計については、“2.2.1 SSOリポジトリの設計”を参照してください。

・前提知識としてLDAPの知識、およびJava言語の知識が必要です。使用するJava言語のAPIについては、Java言語のAPI仕様等


また、前処理で必要となる環境プロパティなど、Java言語を用いたアプリケーションの作成に関する詳細は“ディレクトリサービス運

用ガイド”の“アプリケーションの作成(JNDI）”を参照してください。

なお、ここで紹介するプログラム例では、使用するクラスのパッケージ表記と例外の取り扱いを省略しています。実際に作成するプ

ログラムでは、以下のimport宣言と例外の処理が必要です。

－以下のimport宣言を追加してください。

import javax.naming.*;import javax.naming.directory.*;

－次の例外に対する処理を追加してください。

javax.naming.NamingException

・ユーザプログラムは、セキュリティを十分考慮し、運用に合わせた場所に配置してください。また、エラーハンドリングについても、

必要に応じて記述を追加してください。

B.1 ロール定義をSSOリポジトリに登録する

本記述例では、次の環境を想定しています。ご使用の環境にあわせて変更してください。

・リポジトリ作成時の公開ディレクトリを“ou=interstage,o=fujitsu,dc=com”としています。

・ロール情報の場所を“ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com”としています。

・ roleNameには、ロール名をjava.lang.Stringで指定してください。

・ ctxは、共通の前処理で得られた結果を使用します。

ユーザプログラムの記述

【前処理】

：

Attributes attrs = new BasicAttributes();

Attribute objectClass = new BasicAttribute("objectClass");

objectClass.add("top");

objectClass.add("ssoRole");

attrs.put(objectClass);

attrs.put("cn", roleName);

String dn = "cn=" + roleName + ",ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com";

ctx.createSubcontext(dn, attrs);

- 329 -

：

【後処理】

B.2 ユーザ情報をSSOリポジトリに登録する



・ユーザ情報の場所を“ou=User,ou=interstage,o=fujitsu,dc=com”としています。

・ユーザ情報のRDNを“cn”としています。


・ユーザ情報をsample.csvという名前のCSVファイルから読み込んで処理します。

CSVファイルにはパスワードが含まれます。CSVファイルを使用する際にはパスワードアタックへの対策を考慮し、取り扱いには十分




CSVファイルの記述

CSVの形式は、カンマ(,)を区切りとしており、例では以下の順に指定しています。

1. cn 2. sn 3. uid 4. userPassword

5. employeeNumber 6. mail 7. ssoAuthType 8. ssoCredentialTTL

9. ssoNotBefore 10. ssoNotAfter 11. ssoUserStatus 12. ssoRoleName

なお、以下の例において1行目の数字は、上記属性との対応を示しています。実際のCSVファイルには記述しないでください。

1 2 3 4 5 6 7 8 9 10 11 12

Fujitsu Tarou,Fujitsu,tarou,tarou,100001,[email protected],basicAuthOrCertAuth,60,20010101090000+0900,,good,Admin

Fujitsu Hanako,Fujitsu,Hanako,hanako,100002,[email protected],basicAuthOrCertAuth,60,

20010101090000+0900,,good,Admin

Fujitsu Jirou,Fujitsu,Jirou,jirou,100003,[email protected],basicAuthOrCertAuth,60,20010101090000+0900,,good,Leader

：


// CSVファイルの値と、属性の対応づけ

private static final int INDEX_CN = 0;

private static final int INDEX_SN = 1;

private static final int INDEX_UID = 2;

private static final int INDEX_USERPASSWORD = 3;

private static final int INDEX_EMPLOYEENUMBER = 4;

private static final int INDEX_MAIL = 5;

private static final int INDEX_SSOAUTHTYPE = 6;

private static final int INDEX_SSOCREDENTIALTTL = 7;

private static final int INDEX_SSONOTBEFORE = 8;

private static final int INDEX_SSONOTAFTER = 9;

- 330 -

private static final int INDEX_USERSTATUS = 10;

private static final int INDEX_SSOROLENAME = 11;

private static final int INDEX_RDN = 0;

private static final String [] attributeNames = {

"cn",

"sn",

"uid",

"userPassword",

"employeeNumber",

"mail",

"ssoAuthType",

"ssoCredentialTTL",

"ssoNotBefore",

"ssoNotAfter",

"ssoUserStatus",

"ssoRoleName"

};

：

【前処理】

：

// CSVファイルをオープンする(カレントのsimple.csvをオープン)

java.io.FileInputStream fis = new java.io.FileInputStream("sample.csv");

java.io.InputStreamReader isr = new java.io.InputStreamReader(fis);

java.io.BufferedReader br = new java.io.BufferedReader(isr);

// CSVファイルを１行ずつ読みながら処理する

String line;

String [] data;

while((line = br.readLine()) != null) {

java.util.StringTokenizer st = new java.util.StringTokenizer(line, ",", true);

int index = 0;

java.util.ArrayList al = new java.util.ArrayList(64);

al.add(0, null);

String s;

while(st.hasMoreTokens()) {

s = st.nextToken();

if(s.equals(",")) {

index++;

al.add(index, null);

} else {

al.set(index, s);

}

}

data = (String[])al.toArray(new String[0]);

if( data == null || data.length == 0 ) {

continue;

}

Attributes attrs = new BasicAttributes();

Attribute objectClass = new BasicAttribute("objectClass");

objectClass.add("top");

objectClass.add("person");

objectClass.add("organizationalPerson");

objectClass.add("inetOrgPerson");

- 331 -

objectClass.add("ssoUser");

attrs.put(objectClass);

// ssoRoleName までを設定する

for(int i = 0; i < INDEX_SSOROLENAME; i++ ) {

if( data[ i ] != null ) {

attrs.put( attributeNames[ i ], data[ i ] );

}

}

// ssoRoleName を設定する

Attribute ssoRoleName = new BasicAttribute( "ssoRoleName" );

for(int i = INDEX_SSOROLENAME; i < data.length; i++ ) {

if( data[ i ] != null ) {

ssoRoleName.add( data[ i ] );

}

}

if( ssoRoleName.size() > 0 ) {

attrs.put( ssoRoleName );

}

String dn = "cn=" + data[INDEX_RDN] + ",ou=User,ou=interstage,o=fujitsu,dc=com";

ctx.createSubcontext( dn, attrs );

}

：

【後処理】

B.3 ユーザ情報をSSOリポジトリから削除する





・ userには、削除する利用者名をjava.lang.Stringで指定してください。



【前処理】

：

String dn = "cn=" + user + ",ou=User,ou=interstage,o=fujitsu,dc=com";

ctx.destroySubcontext(dn);

：

【後処理】

- 332 -

B.4 利用者のロールを追加する





・ userには、ロールを追加する利用者名をjava.lang.Stringで指定してください。

・ roleには、追加するロールをjava.lang.Stringで指定してください。



【前処理】

：

String [] retAttributes = new String[1];

retAttributes[0] = "ssoRoleName";

SearchControls sc = new SearchControls();

sc.setSearchScope(SearchControls.OBJECT_SCOPE);

sc.setReturningAttributes(retAttributes);

sc.setCountLimit(1);

sc.setTimeLimit(5*1000); // 5 seconds

String filter = "(cn=" + user + ")";


NamingEnumeration ne = ctx.search(dn, filter, sc);

Attribute roleAttr = null;

while(ne.hasMore()) {

SearchResult sr = (SearchResult)ne.next();

Attributes attrs = sr.getAttributes();

if(attrs != null) {

roleAttr = attrs.get("ssoRoleName");

if(roleAttr != null) {

break;

}

}

}

if(roleAttr == null) {

roleAttr = new BasicAttribute("ssoRoleName", role);

} else {

// すでに存在していた場合、なにもしない

for(int i = 0; i < roleAttr.size(); i++) {

if(role.compareToIgnoreCase((String)roleAttr.get(i)) == 0) {

ctx.close();

return;

}

}

roleAttr.add(role);

}

ModificationItem[] mods = new ModificationItem[1];

- 333 -

mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, roleAttr);

ctx.modifyAttributes(dn, mods);

：

【後処理】

B.5 利用者のロールを削除する





・ userには、ロールを削除する利用者名をjava.lang.Stringで指定してください。

・ roleには、削除するロールをjava.lang.Stringで指定してください。



【前処理】

：

String [] retAttributes = new String[1];

retAttributes[0] = "ssoRoleName";





sc.setTimeLimit(5*1000); // 5 seconds




Attribute roleAttr = null;




if(attrs != null) {

roleAttr = attrs.get("ssoRoleName");


break;

}

}

}


if(roleAttr.remove(role)) {


mods[0] = new ModificationItem( DirContext.REPLACE_ATTRIBUTE, roleAttr );

- 334 -


}

}

：

【後処理】

B.6 利用者のロック状態を表示する





・ userには、ロック状態を表示する利用者名をjava.lang.Stringで指定してください。



【前処理】

：

String [] retAttributes = new String [1];

retAttributes[0] = "ssoUserStatus";





sc.setTimeLimit(5 * 1000); // 5 seconds







if(attrs != null) {

Attribute a = attrs.get("ssoUserStatus");

if(a == null) {

System.out.println("ロックされていません");

return;

} else {

String value = (String)a.get();

if(value.compareToIgnoreCase("locked") == 0) {

System.out.println("ロックされています");

return;

} else {

System.out.println("ロックされていません");

return;

}

}

- 335 -

}

}

：

【後処理】

B.7 利用者をロックする





・ userには、ロックする利用者名をjava.lang.Stringで指定してください。

・ timeには、ロックした日時(現在の日時)をjava.lang.Stringで指定してください。



【前処理】

：



mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,

new BasicAttribute("ssoUserStatus", "locked"));


new BasicAttribute("ssoLockTimeStamp", time));

ctx. modifyAttributes(dn, mods);

：

【後処理】

B.8 利用者の有効期間を表示する





・ userには、有効期間を表示する利用者名をjava.lang.Stringで指定してください。



- 336 -

【前処理】

：

String [] ret = new String[2];

String [] retAttributes = { "ssoNotBefore", "ssoNotAfter" };





sc.setTimeLimit(5 * 1000); // 5 seconds




ret[0] = ret[1] = null;




if(attrs != null) {

Attribute ba = attrs.get("ssoNotBefore");

if(ba != null) {

ret[0] = (String)ba.get();

}

Attribute aa = attrs.get("ssoNotAfter");

if(aa != null) {

ret[1] = (String)aa.get();

}

break;

}

}

if(ret[0] != null) {

System.out.println("有効期間開始日時 = " + ret[0]);

} else {

System.out.println("有効期間開始日時は指定されていません");

}

if(ret[1] != null) {

System.out.println("有効期間満了日時 = " + ret[1]);

} else {

System.out.println("有効期間満了日時は指定されていません");

}

：

【後処理】

B.9 利用者の有効期間を変更する





・ userには、有効期間を変更する利用者名をjava.lang.Stringで指定してください。

・ beforeには、有効期間開始日時をjava.lang.Stringで指定してください。

・ afterには、有効期間満了日時をjava.lang.Stringで指定してください。

- 337 -



【前処理】

：




new BasicAttribute("ssoNotBefore", before));


new BasicAttribute("ssoNotAfter", after));


：

【後処理】

B.10 利用者のパスワードを変更する





・ newPasswordには、利用者の新しいパスワードをjava.lang.Stringで指定してください。

・ userには、パスワードを変更する利用者名をjava.lang.Stringで指定してください。


パスワードを変更する際にはパスワードアタックへの対策を考慮し、パスワードの取り扱いには十分注意してください。




【前処理】

：


mods[ 0 ] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,

new BasicAttribute("userPassword", newPassword));



- 338 -

：

【後処理】

- 339 -

付録C SSOリポジトリに登録するエントリの属性

ここでは、Interstage シングル・サインオンの認証、および認可に必要となるSSOリポジトリに登録するユーザ情報、ロール定義、保護

リソースについて説明します。

・ユーザ情報

Interstage シングル・サインオンで管理する利用者のユーザID／パスワード、認証方式などの情報を定義します。

・ロール情報

Interstage シングル・サインオンで認可を行う際に必要となるロールを定義します。

・保護リソース

Interstage シングル・サインオンのアクセス制御の対象とするドメインを定義します。

C.1 ユーザ情報

Interstage シングル・サインオンで管理する利用者のユーザIDやパスワード、認証方式などの情報を定義します。

なお、ユーザ情報の定義には、人を対象とした一般的な定義と、プリンタなどのネットワークデバイスを対象とした特殊な定義がありま

す。





inetOrgPerson



属性名日本語名説明登録例

cn 名前姓名を設定します。(注1)(注2) Fujitsu Tarou

sn 姓姓を設定します。 Fujitsu

uid ユーザID 利用者を特定するユーザIDであり、パスワード認証に使

用するユーザIDを設定します。(注1)(注2)(注3)tarou

userPassword パスワードパスワード認証に使用するパスワードを設定します。(注4)

Taroupasswd

その他認証に必要な情報 ※運用に応じて設定を行います。

employeeNumber 従業員番号社員番号など、利用者に割り当てられている番号を設定

します。(注1)(注2)000001

mail 電子メールアドレス電子メールアドレスを設定します。(注1) (注2) [email protected]

dnQualifier DN修飾子 DN修飾子を設定します。(注1)(注2) 000001




device プリンタなどのネットワークデバイスの情報

uidObject ユーザID情報


- 340 -


cn 名前デバイス名を設定します。(注1)(注2) Device10000

uid ユーザID 利用者を特定するユーザIDであり、パスワード認証に使

用するユーザIDを設定します。(注1)(注2)(注3)1234-1234-AB

serialNumber シリアル番号シリアル番号を設定します。(注1)(注2) 1234-1234-AB

【一般的な定義、および特殊な定義共通】


その他認証に必要な情報 ※運用に応じて設定を行います。

ssoRoleName ロール名利用者が属するロール名、またはロールセット名を設定

します。(注1)(注5)Admin

ssoAuthType 認証方式利用者の認証方式を以下の値で設定します。(注1) basicAuth：パスワード認証

certAuth：証明書認証(注6) basicAuthAndCertAuth：パスワード認証かつ証明書認

証

basicAuthOrCertAuth：パスワード認証または証明書認

証

省略した場合は、“basicAuthOrCertAuth”とみなします。

basicAuthOrCertAuth

ssoCredentialTTL 再認証の間隔利用者を再認証するまでの間隔を以下の範囲で[分単

位]で設定します。

“0”、および“30”～“1440”「0」を設定した場合、セションの管理を行う場合

は、“1440”分(24時間)とみなし、セションの管理を行わな

い場合は、無制限となり、再認証を行いません。

“30”未満を設定した場合は“30”分に、“1440”を超える

値を設定した場合は“1440”分(24時間)とみなします。

省略した場合は、認証サーバの環境設定の[認証後の動

作]の[再認証の間隔]に設定された定義値を再認証の間

隔とします。

60

ssoUserStatus ユーザステータス利用者がロックされているかをリポジトリサーバが設定し

ます。(注7)(注11) good：ロックされていません

locked：ロックされています

good

ssoNotBefore 有効期間開始日

時

利用者のシングル・サインオン運用を開始する日時を以

下の範囲で設定します。(注8)(注9) “20000101000000”から“20371231235959”設定した日時以前に利用者がシングル・サインオンを利

用した場合には認証に失敗します。

日本の時刻を設定する場合

は、“YYYYMMDDHHMMSS+0900”という形式で設定

してください。グリニッジ標準時で設定する場合

は“YYYYMMDDHHMMSSZ”という形式で設定してく

ださい。(注13)省略した場合は、即時シングル・サインオン運用が可能

です。

20030101000000+0900

ssoNotAfter 有効期間満了日

時

利用者のシングル・サインオン運用を終了する日時を以

下の範囲で設定します。(注8)(注9) “20000101000000”から“20371231235959”設定した日時以降に利用者がシングル・サインオンを利

20030102000000+0900

- 341 -

用した場合には認証に失敗します。

日本の時刻を設定する場合

は、“YYYYMMDDHHMMSS+0900”という形式で設定

してください。グリニッジ標準時で設定する場合

は“YYYYMMDDHHMMSSZ”という形式で設定してく

ださい。(注13)省略した場合は、無期限でシングル・サインオン運用が

可能となります。

ssoFailureCount ユーザ名/パスワー

ドによる認証失敗

回数

利用者が誤ったパスワードを指定してパスワード認証に

失敗した回数です。正しいパスワードを指定して認証に

成功すると0にリセットされます。この値はリポジトリサーバ

が設定します。(注10)

0

ssoLockTimeStamp

ロックアウト時間利用者がロックされた日時をグリニッジ標準時

(YYYYMMDDHHMMSSZ)でリポジトリサーバが設定し

ます。(注11)(注12)

20020101090000Z

ssoSessionInfo SSOセション情報セションの管理を行う際に必要な内部情報をリポジトリ

サーバが設定します。(注10)大で32バイトの文字列が格納されます。(注14)

00:20020101090000Z

注1)設定した値は、大文字・小文字の区別をしません。

注2)本属性には、連続してスペース( )を設定しないでください。

注3)本属性には、英数字、およびコロン(:)を除く記号が使用できます。これら以外を設定した場合には、利用者の認証に失敗しま

す。また、本属性を複数設定しないでください。複数設定した場合は、利用者の認証に失敗します。

注4)本属性には、英数字、および記号が設定できます。これら以外を設定した場合には、利用者の認証に失敗します。また本属性を

複数設定しないでください。複数設定した場合は、利用者の認証に失敗する場合があります。

注5)本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)を設定した場合、

本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが１つもなかった場合、その利用者はInterstageシングル・サインオンで保護されるサイトにアクセスできなくなります。

注6)証明書認証が許可されていないセションの管理を行うシステムの場合は、本属性に“certAuth”を設定しないでください。設定し

た場合は、利用者の認証に失敗します。“certAuth”を設定する場合は、セションの管理を行うシステムで証明書認証を行うための設定

が必要です。証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参


注7)ロック状態の解除は、リポジトリサーバのInterstage管理コンソールの[利用者のロック解除]設定で行います。

注8)「ssoNotBefore」と「ssoNotAfter」には別の日時を設定し、「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。ま

た、範囲内の日時を設定してください。正しく設定されていない場合には、利用者の認証に失敗します。

注9)本属性はサマータイムに対応しています。

注10)本属性は設定、および変更しないでください。

注11)本属性をユーザプログラムから操作することにより、利用者を強制的にロックすることができます。

注12)ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSSZ”、または“YYYYMMDDHHMMSS+XXXX”という形

式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

注13)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、ActiveDirectoryにシングル・サインオンのスキーマを拡

張する場合、日本時間を設定する時は “ YYYYMMDDHHMMSS.0+0900 ” 、グリニッジ標準時で設定する時


注14)Interstage Application Server V9.0以前から移行した環境の場合は、以下の計算式より算出します。リポジトリサーバ(更新系)が複数台設置されている場合は、各リポジトリサーバ(更新系)の中でも長いサイズを指定してください。

256 + ((512 + (リポジトリサーバ(更新系)のローカルホスト名(FQDN)の長さ)) ÷ 3 × 4)

- 342 -

C.2 ロール定義

Interstage シングル・サインオンで認可を行う際に必要となるロールを定義します。

【ロール】


Top 基本LDAPオブジェクトクラス

SsoRole SSOロール情報


cn 名前ロール名を設定します。(注1)(注2)(注3) Admin

ssoAuthType 認証方式認証方式

今版では使用しません(注4)－

ssoSessionInfo Interstage シングル・

サインオンで使用す

る情報

Active Directoryのロール/ロールセットに使

用する属性の値を設定します。(注1)05:CN=第一営業

部,CN=Users,DC=ad,DC=local


注2)カンマ(,)を含むロール名は設定しないでください。

注3)本属性を複数設定しないでください。


ロール定義には、複数のロールを１つで表すロールセットも定義できます。以下は、ロールセットの定義です。

【ロールセット】



ssoRoleSet SSOロールセット情報


cn 名前ロールセット名を設定します。(注1)(注2)(注3)

AdminSet

ssoRoleName ロール名ロールセットに含めるロール名を設定しま

す。

ロールセットに含めるロールとしてロール

セット名も設定できます。(注1)(注4)(注5)(注6)

Admin

ssoSessionInfo Interstage シングル・

サインオンで使用す

る情報

Active Directoryのロール/ロールセットに使

用する属性の値を設定します。(注1)05:CN=第一営業

部,CN=Users,DC=ad,DC=local


注2)カンマ(,)を含むロール名は設定しないでください。


注4)重複するロールやロールセットは無効です。

注5)定義がループしてしまうロールセットを設定した場合は、ループとなる部分は無効となります。

注6)存在しないロールやロールセットは設定しないでください。

- 343 -

C.3 保護リソース

Interstage シングル・サインオンのアクセス制御の対象とするドメインを定義します。



domain ドメイン情報


dc ドメインコンポーネン

ト

ドメインコンポーネント名を設定します。(注1)(注2)

comやfujitsu


注2)ピリオド(.)を含むドメインコンポーネント名を設定しないでください。

C.3.1 サイト定義

Interstage シングル・サインオンのアクセス制御の対象とするサイトを定義します。



domain ドメイン

ssoSite SSO サイト情報


dc ドメインコンポーネントサイト名を設定します。(注1)(注2) www

ssoPortNumber ポート番号ポート番号を設定します。 443

ssoSessionInfo Interstage シングル・サイン

オンで使用する情報

セションの管理を行う際に必要な内部情報をInterstage管理コンソールが設定します。(注3)大で256バイトの文字列が格納されます。

04:xxxx


注2)ピリオド(.)を含むサイト名を設定しないでください。


C.3.2 パス定義

Interstage シングル・サインオンのアクセス制御の対象とするパスを定義します。



ssoResource SSOパス情報


cn 名前パスを設定します。(注1)(注2)(注3) /admin/

ssoRoleName ロール名リソースを利用することができるロール名ま

たはロールセット名を設定します。(注2)(注4)(注5)

AdminSet

- 344 -

ssoUserAttribute ユーザ属性拡張ユーザ情報として通知する属性名を

設定します。(注1)(注2)mail

注1)本属性には、英数字、記号以外を設定しないでください。



注4)本属性には、カンマ(,)を含むロール名を設定しないでください。

注5)本属性は複数設定することが可能です。複数設定した場合は、ロール名のどれかが利用者のロールと一致していることで保護リ

ソースへのアクセスを許可します。

- 345 -

付録D SSL通信で運用するための準備

D.1 リポジトリサーバのSSL通信環境の構築

リポジトリサーバでSSL通信を行う場合は、リポジトリサーバのマシンにSSL通信環境を構築する必要があります。SSL通信をSSLアク

セラレータで行う場合は、SSL通信環境の構築は不要です。

SSL通信を行うための準備(SSLサイト証明書の取得と、Interstage証明書環境への登録)

運用中のリポジトリサーバのマシンにすでにSSL通信環境が構築されている場合は、この作業は不要です。


SSL通信を行うための設定(リポジトリサーバ用のSSL定義の作成)

Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定を行いま

す。

－定義名


－サイト証明書のニックネーム

SSL通信で使用するSSLサイト証明書のニックネームを設定してください。

SSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。

－プロトコルバージョン

“SSL 3.0”、および“TLS 1.0”を選択してください。

－クライアント認証

“しない”を選択してください。

－暗号化方法


－認証局証明書のニックネーム



D.2 リポジトリサーバをSSL通信で運用するための変更手順

セションの管理を行うシステムでは、リポジトリサーバをSSL通信で運用することができます。

より安全な運用を行うために、リポジトリサーバをSSL通信で運用するよう変更する手順について説明します。

リポジトリサーバをSSL通信で運用するためには、以下の手順で各サーバの環境設定を変更してください。

1. リポジトリサーバのSSL通信環境の構築

2. リポジトリサーバの環境設定の変更

3. 認証サーバのInterstage証明書環境の作成

4. 認証サーバの環境設定の変更

全作業の完了後、業務サーバの保護パス配下のコンテンツにアクセスし、任意のユーザで認証、および認可が正常に行われること

を確認してから、運用を開始してください。

リポジトリサーバの環境設定の変更

【リポジトリサーバ(更新系)をSSL通信で運用する場合】

1. リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基

盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックしてください。

- 346 -

2. [セション管理の設定]の[セション管理の運用]に“運用を行う”が設定されていることを確認してください。

“運用を行わない”が設定されている場合は、SSL通信で運用することはできません。セションの管理を行うための変更が必要で

す。セションの管理を行うための変更については、“A.10 セションの管理を行う運用への移行について”を参照してください。

3. SSL通信をSSLアクセラレータで行い、認証サーバに公開する、リポジトリサーバ(更新系)のFQDN、またはポート番号に変更が

ある場合は、[認証基盤の情報]の[リポジトリサーバ(更新系)のURL]を変更してください。

4. リポジトリサーバでSSL通信を行う場合は、リポジトリサーバが使用するWebサーバ(Interstage HTTP Server)にSSLの設定を行っ

てください。[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブの[詳細設定[表示]]より行います。SSL定義には“SSL通信を行うための設定(リポジトリサーバ用のSSL定義の作成)”で作成したリポジトリサーバ用のSSL定義を選択し

てください。

5. リポジトリサーバ(更新系)を再起動してください。


7. [パスワード]を設定し、[ダウンロード]ボタンをクリックして、Webブラウザを起動しているマシンに認証基盤構築ファイルをダウン

ロードしてください。


【リポジトリサーバ(参照系)をSSL通信で運用する場合】

1. リポジトリサーバ(参照系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基

盤] > [リポジトリサーバ(参照系)] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックしてください。

2. [セション管理の設定]の[セション管理の運用]に“運用を行う”が設定されていることを確認してください。

“運用を行わない”が設定されている場合は、SSL通信で運用することはできません。セションの管理を行うための変更が必要で

す。セションの管理を行うための変更については、“A.10 セションの管理を行う運用への移行について”を参照してください。

3. リポジトリサーバでSSL通信を行う場合は、リポジトリサーバが使用するWebサーバ(Interstage HTTP Server)にSSLの設定を行っ

てください。[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブの[詳細設定[表示]]より行います。SSL定義には、SSL通信を行うための設定で作成したリポジトリサーバ用のSSL定義を選択してください。

4. リポジトリサーバ(参照系)を再起動してください。

認証サーバのInterstage証明書環境の作成

認証サーバのSSL通信をSSLアクセラレータ、またはInterstage Security Directorで行っている場合は、scsmakeenvコマンドを使用して

Interstage証明書環境を作成します。すでにInterstage証明書環境が作成されている場合は、作業は不要です。

Interstage証明書環境の作成については、“D.5 Interstage証明書環境の作成”を参照してください。

認証サーバの環境設定の変更

1. リポジトリサーバ(更新系)をSSL通信で運用する場合は、以下の作業を行ってください。

1. SSL通信で運用する設定に変更したリポジトリサーバ(更新系)からダウンロードした認証基盤構築ファイルを、認証サーバ

に転送してください。

2. 手順1.で転送した認証基盤構築ファイルを指定して、ssoimpacコマンドを実行してください。(注)ssoimpacコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照




4. [詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]の[リポジトリサーバ(更新系)のURL]のスキームが“https”になっていることを確認してください。また、リポジトリサーバ(更新系)をSSL通信で運用するように設定した際に、FQDN、

またはポート番号を変更した場合は、変更したFQDN、またはポート番号になっていることも確認してください。

リポジトリサーバ(更新系)のURLが正しく変更されていない場合、手順2.で誤った認証基盤構築ファイルを指定してコマン

ドを実行しています。手順1.から再度実施してください。

2. リポジトリサーバ(参照系)をSSL通信で運用する場合は、以下の作業を行ってください。



- 347 -

2. [詳細設定[表示]]をクリックし、[リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]のスキーム

を“https”に変更してください。

“スキームをリポジトリサーバ(更新系)に合わせる”の設定は運用に合わせて変更してください。


4. 認証基盤構築ファイルを使用した場合は、削除してください。

注)ssoimpacコマンドを実行する前に、認証サーバの資源のバックアップを行ってください。認証サーバのバックアップの作業につい

ては“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”を参照してください。

D.3 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成

scsmakeenvコマンドを使用して、SSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)を作成し、同時に

Interstage証明書環境を作成します。

scsmakeenvコマンドを実行すると、識別名の入力が促されます。“What is your first and last name?”との問い合わせには、Webサーバ

ホスト名として証明書の申請を行うサーバのFQDN(Fully Qualified Domain Name)を指定してください。ロードバランサを用いてWebサーバの負荷分散を行う場合は、ロードバランサのFQDNを指定してください。

FQDNとは、ドメインも含んだホスト名のことです。Webサーバの証明書を申請する場合、証明書の所有者名にはFQDNで記述する必

要があります。(例. “sso_server.fujitsu.com”)

またscsmakeenvコマンドには、Interstage証明書環境にアクセスするためのパスワードと秘密鍵のニックネームを指定します。パスワー

ドは、Interstage証明書環境へアクセスするために必要になります。

scsmakeenvコマンドで指定する秘密鍵のニックネームは、認証局から取得したサイト証明書を登録する時に必要になるため、忘れな

いようにしてください。

scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納す

るファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従って

ください。

証明書取得申請書(CSR)の作成コマンド(scsmakeenv)の詳細については、“リファレンスマニュアル（コマンド編）”の“SSL環境設定コ

マンド”を参照してください。

申請書の出力先ファイル名を“C:\temp\ssocert.txt”にした場合の例です。必要に応じて申請書の出力先ファイル名を変更してくださ

い。

パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表

示されません。

識別名の問い合わせがあった場合には、以下の例の太字で示したように入力してください。

サイト証明書のニックネーム SERVERCERT 申請書の出力先ファイル名 C:\temp\ssocert.txt 国名 jp 英数字氏名 sso_server.fujitsu.com 英数字組織名 FUJITSU 英数字組織単位名 FUJITSU TOKYO 都道府県名 Tokyo 市区町村名 Shinjuku

C:\>scsmakeenv -n SERVERCERT -f C:\temp\ssocert.txtNew Password:Retype:

- 348 -

Input X.500 distinguished names.What is your first and last name? [Unknown]: sso_server.fujitsu.comWhat is the name of your organizational unit? [Unknown]: FUJITSU TOKYOWhat is the name of your organization? [Unknown]: FUJITSUWhat is the name of your City or Locality? [Unknown]: ShinjukuWhat is the name of your State or Province? [Unknown]: TokyoWhat is the two-letter country code for this unit? [Un]: jp

Is <CN=sso_server.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct? [no]: yesSCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\temp\ssocert.txt>C:\>

“iscertg”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成する例です。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。

例では、Interstage証明書環境へのアクセスを許可する所有グループとして“iscertg”を作成し、作成した“iscertg”にInterstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに初期値として設定されている実効ユーザ“nobody”を追加しています。また、申

請書の出力先ファイル名を“/tmp/ssocert.txt”にしています。必要に応じて申請書の出力先ファイル名を変更してください。

証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワード

を入力してください。入力したパスワードは表示されません。

識別名の問い合わせがあった場合には、以下の例の太字で示したように入力してください。

サイト証明書のニックネーム SERVERCERT 申請書の出力先ファイル名 /tmp/ssocert.txt 国名 jp 英数字氏名 sso_server.fujitsu.com 英数字組織名 FUJITSU 英数字組織単位名 FUJITSU TOKYO 都道府県名 Tokyo 市区町村名 Shinjuku Interstage証明書環境へのアクセスを許可するグループ iscertg

# groupadd iscertg# usermod -G iscertg nobody# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsmakeenv -n SERVERCERT -f /tmp/ssocert.txt -g iscertgNew Password:Retype:

Input X.500 distinguished names.What is your first and last name? [Unknown]: sso_server.fujitsu.comWhat is the name of your organizational unit? [Unknown]: FUJITSU TOKYOWhat is the name of your organization? [Unknown]: FUJITSUWhat is the name of your City or Locality?

- 349 -

[Unknown]: ShinjukuWhat is the name of your State or Province? [Unknown]: TokyoWhat is the two-letter country code for this unit? [Un]: jp

Is <CN=sso_server.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct? [no]: yesUX:SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</tmp/ssocert.txt>UX:SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

#

D.4 SSL通信に使用する証明書の登録

認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(scsenter)を使

用して登録します。

認証局によっては、中間認証局証明書の登録が必要な場合があります。詳細については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”－“CSRによるInterstage証明書環境の構築方法”－“証明書・CRLの登録”を参照してください。

scsenterコマンドには、scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードと証明書のニックネーム

を指定します。ニックネームには、認証局から取得したサイト証明書を登録する場合は、scsmakeenvコマンドで秘密鍵に指定したニッ

クネームを指定します。なお、サイト証明書の登録には、-oオプションを必ず指定してください。

scsenterコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“SSL環境設定コマンド”を参照してください。

認証局の証明書 C:\temp\ca-cert.cer 認証局の証明書のニックネーム CACERT サイト証明書 C:\temp\server-cert.cer サイト証明書のニックネーム SERVERCERT

取得した認証局の証明書、およびサイト証明書を“C:\temp\ca-cert.cer”、および“C:\WINNT\temp\server-cert.cer”にした場合の例

です。必要に応じて各証明書のファイルパス名を変更してください。



C:\>scsenter -n CACERT -f C:\temp\ca-cert.cerPassword:証明書がキーストアに追加されました。


C:\>scsenter -n SERVERCERT -f C:\temp\server-cert.cer -oPassword:証明書応答がキーストアにインストールされました。


C:\>

認証局の証明書 /tmp/ca-cert.cer 認証局の証明書のニックネーム CACERT サイト証明書 /tmp/server-cert.cer サイト証明書のニックネーム SERVERCERT

取得した認証局の証明書、およびサイト証明書を“/tmp/ca-cert.cer”、および“/tmp/server-cert.cer”にした場合の例です。必要に応じ

て各証明書のファイルパス名を変更してください。

なお、証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

- 350 -



# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsenter -n CACERT -f /tmp/ca-cert.cer Password:証明書がキーストアに追加されました。

UX:SCS: 情報: scs0104: 証明書を登録しました。

# scsenter -n SERVERCERT -f /tmp/server-cert.cer -oPassword:証明書応答がキーストアにインストールされました。


#

D.5 Interstage証明書環境の作成

scsmakeenvコマンドを使用してInterstage証明書環境を作成します。

scsmakeenvコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“SSL環境設定コマンド”を参照してください。

scsmakeenvコマンドを使用して、Interstage証明書環境を新規に作成する例です。



C:\> scsmakeenv -eNew Password:Retype:SCS: 情報: scs0100: Interstage証明書環境を作成しました。

C:\>

scsmakeenvコマンドを使用して、iscertgによるアクセス権限が設定されたInterstage証明書環境を新規に作成する例です。

例では、Interstage証明書環境へのアクセスを許可する所有グループとしてiscertgを作成し、作成したiscertgにInterstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに初期値として設定されている実効ユーザnobodyを追加しています。

なお、証明書環境を作成する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。



# groupadd iscertg# usermod -G iscertg nobody# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsmakeenv -e -g iscertgNew Password:Retype:UX:SCS: 情報: scs0100: Interstage証明書環境を作成しました。

UX:SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

#

D.6 CRL発行局の証明書の登録

CRLの登録を行う前にCRL発行局の証明書を取得し登録する必要があります。CRL発行局の証明書が登録されていない場合、CRL発行局の証明書を事前に登録してください。

- 351 -

CRL発行局によっては、中間認証局証明書の登録が必要な場合があります。詳細については、“セキュリティシステム運用ガイド”

の“Interstage証明書環境の構築と利用”－“CSRによるInterstage証明書環境の構築方法”－“証明書・CRLの登録”を参照してくださ

い。

CRL発行局の証明書の登録には、証明書・CRL登録コマンド(scsenter)を使用します。

scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードと証明書のニックネームを指

定します。


CRL発行局の証明書 C:\temp\crlca-cert.cer CRL発行局の証明書のニックネーム CRLCACERT

取得したCRL発行局の証明書を“C:\temp\crlca-cert.cer”にした場合の例です。必要に応じて証明書のファイルパス名を変更してく

ださい。



C:\>scsenter -n CRLCACERT -f C:\temp\crlca-cert.cerPassword:証明書がキーストアに追加されました。


C:\>

CRL発行局の証明書 /tmp/crlca-cert.cer CRL発行局の証明書のニックネーム CRLCACERT

取得したCRL発行局の証明書を“/tmp/crlca-cert.cer”にした場合の例です。必要に応じて証明書のファイルパス名を変更してくださ

い。

なお、CRL発行局の証明書の登録を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。



# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsenter -n CRLCACERT -f /tmp/crlca-cert.cerPassword:証明書がキーストアに追加されました。


#

D.7 CRLの登録

証明書の有効性確認を行うには認証局より取得したCRLを証明書・CRL登録コマンド(scsenter)を使用して登録する必要がありま

す。

scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードを指定します。

なお、CRLの登録には、-cオプションを必ず指定してください。


CRLを登録し、認証サーバの環境設定で[証明書認証の動作]の[証明書の失効確認]を[失効確認する]に設定することにより、利用

者の証明書の有効性を確認します。

認証局より取得したCRL C:\temp\crl.crl

- 352 -

取得したCRLを“C:\temp\crl.crl”にした場合の例です。必要に応じてCRLのファイルパス名を変更してください。



C:\>scsenter -c -f C:\temp\crl.crlPassword:SCS: 情報: scs0105: CRLを登録しました。

C:\>

認証局より取得したCRL /tmp/crl.crl

取得したCRLを“/tmp/crl.crl”にした場合の例です。必要に応じてCRLのファイルパス名を変更してください。

なお、CRLの登録を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。



# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsenter -c -f /tmp/crl.crlPassword:UX:SCS: 情報: scs0105: CRLを登録しました。

#

- 353 -

付録E ロードバランサの設定

Interstage シングル・サインオンでは、リポジトリサーバや認証サーバの前にロードバランサを配置することで、各サーバの負荷を分散


ただし、システム構成や利用する機能など、運用によって、ロードバランサの設定が異なるため、設定を誤ると正しく負荷を分散する

ことができません。

ここでは、以下のシステム構成で運用を行う場合のロードバランサの設定について説明します。

・リポジトリサーバ(更新系)の負荷分散

・認証サーバの負荷分散

・ 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散

E.1 リポジトリサーバ(更新系)の負荷分散

新たにロードバランサを追加し、リポジトリサーバ(更新系)を増設して負荷分散を行う場合は、運用形態にあわせてロードバランサを

設定します。

セションの管理を行っている場合は、以下の設定を行ってください。

■セションの一意性の保証機能(セッション維持機能)

設定項目設定値

保証方式 Cookie、またはURL埋め込みパラメタ(その他)によりセションを識別する

保証時間アイドル監視時間(注)より大きい値

キーワード fj-is-sso-disperse=

■故障監視機能

以下のどちらか一方の方法で、故障監視機能を設定してください。

・ Systemwalker等の監視機構により、ロードバランサの故障検出を監視し、故障が検出された場合には、故障となったリポジトリサー

バを再起動するように設定してください。

・ロードバランサの故障を監視する間隔に、アイドル監視時間(注)より大きい値を設定してください。

注)アイドル監視時間については、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シン

グル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル監視時間]より確認してください。

運用中のリポジトリサーバに、新たにロードバランサを追加する際は、以下の点に注意してください。

・構築済のリポジトリサーバのホスト名をロードバランサに設定し、リポジトリサーバ(更新系)のURLを変更しないようにしてください。

リポジトリサーバのURLについては、“1.7.3 リポジトリサーバのURLについて”を参照してください。

E.2 認証サーバの負荷分散

認証サーバを複数台設置して負荷分散を行う場合は、利用する機能によってロードバランサの設定が異なります。運用にあわせて

ロードバランサを設定してください。

運用形態認証サーバ間連携

統合Windows認証ユーザ情報を登録するディレクトリサービス行わない行う

行わない Interstage ディレクトリサービス ― (注) 設定3

Active Directory ― (注) 設定3

- 354 -

行う Interstage ディレクトリサービス設定1 設定4

Active Directory 設定2 設定4

注)以降に記載されている特別な設定を行う必要はありません。

設定1

■分散方法

認証基盤のURLへのアクセスが、すべての認証サーバに分散されるように設定してください。


分散方式ラウンドロビン以外の方式




保証時間アイドル監視時間(注1)より大きい値


設定2



保証方式 Cookie、またはURL埋め込みパラメタ(ServletAPI2.2)によりセションを識別する

保証時間統合Windows認証アプリケーションのセションタイムアウト時間(session-timeout)(注2)(注4)より

大きい値

設定3




保証時間認証サーバ間連携サービスのセションタイムアウト時間(session-timeout)(注3)(注4)より大きい値

設定4




保証時間統合Windows認証アプリケーション、および認証サーバ間連携サービスのセションタイムアウト時間

(session-timeout)(注2)(注3)(注4)より大きい値

注1)アイドル監視時間については、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル監視時間]より確認してください。

注2)セションタイムアウト時間は、以下に格納されている統合Windows認証アプリケーションの環境定義ファイルで設定します。セショ

ンタイムアウト時間のデフォルト値は1分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変

更してください。

- 355 -

C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\web.xml

/etc/opt/FJSVssoac/webapps/winauth/WEB-INF/web.xml

注3)セションタイムアウト時間は、以下に格納されている認証サーバ間連携サービスの環境定義ファイルで設定します。セションタイム

アウト時間のデフォルト値は10分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変更して

ください。

C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\web.xml

/etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/web.xml

注4)セションタイムアウト時間については、“J2EE ユーザーズガイド”の“Webアプリケーションの開発”－“Webアプリケーション環境定

義ファイル(deployment descriptor)”を参照してください。

・運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。

－設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。認証基盤のURLについては、“1.7.1 認証基盤のURLについて”を参照してください。

・使用するロードバランサの設定に、一意性保証のキーワード重複チェックを行わない設定がある場合は、チェックを行わない設定

にしてください。

E.3 1台のマシンに構築したリポジトリサーバと認証サーバの負荷分散

リポジトリサーバと認証サーバを1台のマシンに構築し、増設する場合は、利用する機能によってロードバランサの設定が異なります。

運用にあわせてロードバランサを設定してください。

また、Interstage管理コンソールにて[リポジトリサーバ(更新系)のURL]が正しく設定されているか確認してください。

【セションの管理を行う場合】



行わない Interstage ディレクトリサービス設定5、確認2 設定1、設定3、確認1

Active Directory 設定1、確認1 設定1、設定3、確認1

行う Interstage ディレクトリサービス設定5、確認2 設定1、設定4、確認1

Active Directory 設定1、設定2、確認1 設定1、設定4、確認1

【セションの管理を行わない場合】



行わない Interstage ディレクトリサービス ― (注) 設定3

Active Directory ― (注) 設定3

行う Interstage ディレクトリサービス設定5 設定4

Active Directory 設定2 設定4

注)以降に記載されている特別な設定を行う必要はありません。

- 356 -

設定1

リポジトリサーバ(更新系)のURLへのアクセスを分散する設定










・ロードバランサの故障を監視する間隔に、アイドル監視時間(注1)より大きい値を設定してください。

設定2

認証基盤のURLへのアクセスを分散する設定




保証時間統合Windows認証アプリケーションのセションタイムアウト時間(session-timeout)(注2)(注4)より

大きい値

設定3





保証時間認証サーバ間連携サービスのセションタイムアウト時間(session-timeout)(注3)(注4)より大きい値

設定4





保証時間統合Windows認証アプリケーション、または認証サーバ間連携サービスのセションタイムアウト時間

(session-timeout)(注2)(注3)(注4)より大きい値

設定5

■分散方法

認証基盤のURLへのアクセスが、すべてのリポジトリサーバに分散されるように設定してください。


- 357 -

分散方式ラウンドロビン以外の方式










・ロードバランサの故障を監視する間隔に、アイドル監視時間(注1)より大きい値を設定してください。

確認1

■[リポジトリサーバ(更新系)のURL]の確認


定]タブを選択し、[詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]にロードバランサに設定したリポジトリサーバのホスト名が設定

されているか確認してください。

ロードバランサに設定したリポジトリサーバのホスト名以外が設定されている場合は、以下の手順でリポジトリサーバ、および認証サーバの

[リポジトリサーバ(更新系)のURL]の設定を変更してください。

【リポジトリサーバ】

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定

[表示]]の[リポジトリサーバ(更新系)のURL]をロードバランサに設定したリポジトリサーバのホスト名に変更してください。

リポジトリサーバの負荷分散を行っている場合は、すべてのリポジトリサーバで実施してください。

【認証サーバ】

以下の手順で作業を行ってください。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブをクリックし、認証基盤構築ファ

イルをダウンロードします。

2. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブより認証サーバの環境設定

内容を確認しておきます。後で同じ設定の認証サーバを再構築する際に必要です。

3. 認証サーバをいったん削除します。



5. 認証サーバでSSL通信を行う場合は、手順4.で選定、または作成したWebサーバに運用に合わせてSSLの設定を行ってくださ

い。

6. 手順1でダウンロードした認証基盤構築ファイルを使用し、認証サーバを構築します。

7. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、手順2で確認し

ておいた認証サーバの環境設定内容を設定します。

8. [詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]の[リポジトリサーバ(更新系)のURL]にロードバランサに設定し

たリポジトリサーバのホスト名が設定されていることを確認してください。

認証サーバの負荷分散を行っている場合は、上記変更を行った認証サーバの環境をssobackupコマンドにて移出し、残りの認証サーバに

ssorestoreコマンドにて環境を移入してください。

運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。

- 358 -

・設置済のリポジトリサーバのホスト名をロードバランサに設定し、リポジトリサーバ(更新系)のURLを変更しないようにしてください。

(注5)

・設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。(注6)

確認2

■[リポジトリサーバ(更新系)のURL]の確認


定]タブを選択し、[詳細設定[表示]]の[リポジトリサーバ(更新系)のURL]に“localhost”が設定されているか確認してください。

“localhost”以外が設定されている場合は、以下の手順でリポジトリサーバ、および認証サーバの[リポジトリサーバ(更新系)のURL]の設定を変更してください。

【リポジトリサーバ】

[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブ > [リポジトリサーバ詳細設定

[表示]]の[リポジトリサーバ(更新系)のURL]を“localhost”に変更してください。

リポジトリサーバの負荷分散を行っている場合は、すべてのリポジトリサーバで実施してください。

【認証サーバ】

以下の手順で作業を行ってください。

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブをクリックし、認証基盤構築ファ

イルをダウンロードします。

2. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境bunnsann設定]タブより認証サーバの

環境設定内容を確認しておきます。後で同じ設定の認証サーバを再構築する際に必要です。

3. 認証サーバをいったん削除します。



5. 認証サーバでSSL通信を行う場合は、手順4.で選定、または作成したWebサーバに運用に合わせてSSLの設定を行ってくださ

い。

6. 手順1でダウンロードした認証基盤構築ファイルを使用し、認証サーバを構築します。

7. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、手順2で確認し

ておいた認証サーバの環境設定内容を設定します。

8. [詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]の[リポジトリサーバ(更新系)のURL]に“localhost”が設定されて

いることを確認してください。

認証サーバの負荷分散を行っている場合は、上記変更を行った認証サーバの環境をssobackupコマンドにて移出し、残りの認証サーバに

ssorestoreコマンドにて環境を移入してください。

運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。

・設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。(注6)

注1)アイドル監視時間については、リポジトリサーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サ

インオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル

監視時間]より確認してください。

注2)セションタイムアウト時間は、以下に格納されている統合Windows認証アプリケーションの環境定義ファイルで設定します。セショ

ンタイムアウト時間のデフォルト値は1分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変

更してください。

C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\web.xml

/etc/opt/FJSVssoac/webapps/winauth/WEB-INF/web.xml

- 359 -

注3)セションタイムアウト時間は、以下に格納されている認証サーバ間連携サービスの環境定義ファイルで設定します。セションタイム

アウト時間のデフォルト値は10分に設定されています。セションタイムアウト時間を変更した場合は、必要に応じて保証時間を変更して

ください。

C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\web.xml

/etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/web.xml

注4)セションタイムアウト時間については、“J2EE ユーザーズガイド”の“Webアプリケーションの開発”－“Webアプリケーション環境定

義ファイル(deployment descriptor)”を参照してください。

注5)リポジトリサーバ（更新系）のURLについては、“1.7.3 リポジトリサーバのURLについて”を参照してください。

注6)認証基盤のURLについては、“1.7.1 認証基盤のURLについて”を参照してください。

・使用するロードバランサの設定に、一意性保証のキーワード重複チェックを行わない設定がある場合は、チェックを行わない設定

にしてください。

- 360 -

付録F Active Directoryと連携するための設定

ここでは、Active Directoryと連携するための設定について説明します。

Active Directoryと連携するための設定手順は、以下のようにユーザ情報を登録するディレクトリサービスによって異なります。

・ Active Directoryを使用する

・ Interstage ディレクトリサービスを使用する

設定手順中の例では、Active Directoryのドメイン名が“ad.local”である場合の例が記述されています。ドメイン名は連携するActiveDirectoryのドメイン名に応じて読み替えてください。

F.1 ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する

以下の手順に従って行ってください。


シングル・サインオンの拡張スキーマを使用する場合に実施します。(注1)




－シングル・サインオンの拡張スキーマを使用しない場合

“F.1.3 SSOリポジトリの設定(ロール定義の関連付け)”を参照し、ロール定義の登録、および関連付けを行います。

－シングル・サインオンの拡張スキーマを使用する場合

“2.3.2 SSOリポジトリへのユーザ情報、ロール定義の登録”を参照し、ロール定義の登録を行います。(注1)(注2)



6. リポジトリサーバの構築

7. 認証サーバの構築

リポジトリサーバと認証サーバを1台のマシンに構築する場合は、手順6で実施済みであり、不要です。


1. Active Directoryの設定

2. 統合Windows認証アプリケーションの配備

3. ワークユニットの起動ユーザの変更

4. Webブラウザの設定

注1)Active DirectoryをMicrosoft(R) Windows(R) 2000 Serverで使用する場合、シングル・サインオンの拡張スキーマを使用すること

はできません。

注2)Active Directoryに登録されているユーザ情報を使用するため、SSOリポジトリへのユーザ情報の登録は不要です。

運用を開始する前に、保護パスにアクセスする権限を持ったユーザで、保護パスにアクセスできることを必ず確認してください。

F.1.1 シングル・サインオンの拡張スキーマの設定

シングル・サインオンの拡張スキーマを使用することで、統合Windows認証でサインオンしないで、パスワード認証、または証明書認

証で再度認証することができます。

- 361 -

Interstage シングル・サインオンでは、以下に示す拡張スキーマ用のサンプルファイルを提供しており、本ファイルを使用してシング

ル・サインオンのスキーマを拡張することができます。

シングル・サインオン拡張スキーマ用のサンプルファイル名と格納先

シングル・サインオン拡張属性スキーマのサンプルファイル

sso_attribute_for_ad.ldf

シングル・サインオン拡張オブジェクトクラススキーマのサンプルファイル(注)

sso_class_for_ad.ldf


C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad

/opt/FJSVssosv/sample/OtherDirectory/ad

注)本サンプルファイルでは、inetOrgPersonオブジェクトクラスに対して、シングル・サインオンのスキーマ拡張を行います。inetOrgPersonオブジェクトクラスではなく、userオブジェクトクラスに対してシングル・サインオンのスキーマ拡張を行いたい場合は、本サンプルファイ

ルで“inetOrgPerson”と記述されている箇所を“user”に置換してください。

Active Directoryが運用されているマシンにて以下を実施してください。なお、例で使用しているldifdeコマンドの詳細については、

Active Directoryのマニュアルを参照してください。

シングル・サインオン拡張属性スキーマ用ファイル：C:\Temp\sso_attribute_for_ad.ldf シングル・サインオン拡張オブジェクトクラススキーマ用ファイル：C:\Temp\sso_class_for_ad.ldf Active Directoryのドメイン名：ad.local

C:\>ldifde -i -f C:\Temp\sso_attribute_for_ad.ldf -s localhost -t 389 -k -c "CN=Schema,CN=Configuration,DC=X""CN=Schema,CN=Configuration,DC=ad,DC=local""localhost" に接続しています

SSPI を使って現在のユーザーとしてログインしています

ファイル "C:\Temp\sso_attribute_for_ad.ldf" からディレクトリをインポートしています

エントリを読み込んでいます...........10 個のエントリを正しく修正しました。

コマンドが正しく完了しました

C:\>ldifde -i -f C:\Temp\sso_class_for_ad.ldf -s localhost -t 389 -k -c "CN=Schema,CN=Configuration,DC=X""CN=Schema,CN=Configuration,DC=ad,DC=local""localhost" に接続しています

SSPI を使って現在のユーザーとしてログインしています

ファイル "C:\Temp\sso_class_for_ad.ldf" からディレクトリをインポートしています

エントリを読み込んでいます...4 個のエントリを正しく修正しました。

コマンドが正しく完了しました

C:\>

F.1.2 Active Directoryのユーザ情報の設定

Active Directoryにユーザ情報を設定する際の注意点、およびポイントについて説明します。

各定義のエントリに設定できる各属性は、運用に応じて以下のように設定してください。

なお、各属性のサイズはActive Directoryに依存します。

- 362 -

シングル・サインオンの拡張スキーマを

使用しない場合

シングル・サインオンの拡張スキーマを

使用する場合

必ず設定が必要な属性・ cn ・ cn

・ ssoUserStatus

統合Windows認証を行う場合に必ず設定が必要

な属性(注1)・ userPrincipalName ・ userPrincipalName

・ sAMAccountName(注2)

パスワード認証を行う場合に必ず設定が必要な

属性

設定不要・ sAMAccountName(注2)

証明書認証を行う場合に必ず設定が必要な属性

(注3)設定不要・ mail

・ employeeNumber

・ uid

・ serialNumber

・ dnQualifier

・ cn

運用に応じて設定が必要な属性特になし・ ssoAuthType

・ ssoRoleName


・ ssoNotBefore

・ ssoNotAfter

設定不要な属性特になし・ ssoFailureCount


・ ssoSessionInfo

注1)本属性は、Active Directoryの構築直後にすでに存在するユーザアカウント(Administratorなど)には含まれていません。このよう

なユーザアカウントを使用して統合Windows認証を行う場合は、本属性を設定してから認証操作を行ってください。

注2)Interstageシングル・サインオンでは、本属性を、ユーザを一意に特定する識別情報であるユーザIDと見なして動作します。

注3)ユーザ証明書中の所有者名の情報から利用者を一意に特定する属性です。いずれかを必ず設定してください。


Active Directoryに登録する利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をActive Directoryに登録する際には

以下のオブジェクトクラスで構成されるように設定してください。

【シングル・サインオンの拡張スキーマを使用しない場合】





user

【シングル・サインオンの拡張スキーマを使用する場合】




- 363 -


user

inetOrgPerson(注1)

ssoUser(注2) SSOの利用ユーザ情報

注1) シングル・サインオンの拡張スキーマの設定時に、シングル・サインオン拡張オブジェクトクラススキーマのサンプルファイルを編

集し、userオブジェクトクラスに対して、シングル・サインオンのスキーマ拡張を行った場合、ユーザ情報に登録する必要はありませ

ん。

注2)ssoUserオブジェクトクラスは、シングル・サインオンの拡張スキーマの設定時に、inetOrgPersonオブジェクトクラスの補助型クラス

として設定します。そのため、ユーザ情報に登録する必要はありません。

属性

Interstageシングル・サインオンで使用する属性について説明します。

Active Directoryの属性については、Active Directoryのマニュアルを参照してください。

(1)ssoRoleName

SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。

(2)ssoAuthType


(3)ssoCredentialTTL


(4)ssoUserStatus

説明

パスワード認証を行った場合に、利用者のアカウントのロック状態が以下の値で設定されます。

good：ロックされていない

locked：ロックされている

設定例

good

注意事項

・ユーザ情報に値を必ず設定してください。設定していない場合は、認証に失敗します。

・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“4.5.7ロックアウトの解除”を参照してください。



(5)ssoNotBefore

説明

利用者のシングル・サインオンを利用開始する日時を設定します。

設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。

日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場

合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できま

す。



MM ：月(2桁)

DD ：日(2桁)


MM ：分(2桁)

- 364 -

SS ：秒(2桁)


・数字

設定例

20030101000000.0+0900

注意事項




・「 ssoNotBefore 」と「 ssoNotAfter 」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係な


失敗します。

(6)ssoNotAfter

説明

利用者のシングル・サインオンを利用終了する日時を設定します。

設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。

日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場

合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能

となります。



MM ：月(2桁)

DD ：日(2桁)


MM ：分(2桁)

SS ：秒(2桁)


・数字

設定例

20030102000000.0+0900

注意事項




・「 ssoNotBefore 」と「 ssoNotAfter 」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係な


失敗します。

(7)ssoFailureCount


(8)ssoLockTimeStamp

説明

リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ.0Z)で設定されます。

注意事項



- 365 -

・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSS.0Z”、または“YYYYMMDDHHMMSS.0+XXXX”という

形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

(9)ssoSessionInfo


F.1.3 SSOリポジトリの設定(ロール定義の関連付け) ActiveDirectoryで管理しているユーザ情報の任意の属性値をInterstage シングル・サインオンのロール定義と関連付けてSSOリポジ

トリに登録します。

以下は、Active Directoryに登録されているユーザーのエントリ“Fujitsu Tarou”が属するグループ名“第一開発部”を、SSOリポジトリ

のロール定義“第一開発部”と関連付けて新規に登録している例です。

なお、すでにSSOリポジトリに登録されているロール定義に関連付けることも可能です。

Interstage シングル・サインオンでは、サンプルのCSVデータファイルを提供しており、CSVデータファイルを使用することでロール定

義を登録することができます。

Interstage シングル・サインオンが提供しているサンプルファイルを以下に示します。

サンプルのファイル名と格納先

ロール追加用CSVファイルのサンプル

sample_ad_role_mapping_add_ja.csvsample_ad_role_mapping_add_en.csv

ロール追加用ルールファイルのサンプル

sample_ad_role_mapping_rule.xml UTF-8コードで記述されています。

ロールセット追加用CSVファイルのサンプル

sample_ad_roleset_mapping_add_ja.csvsample_ad_roleset_mapping_add_en.csv

- 366 -

ロールセット追加用ルールファイルのサンプル

sample_ad_roleset_mapping_rule.xml UTF-8コードで記述されています。


C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad

/opt/FJSVssosv/sample/OtherDirectory/ad

CSVデータファイルを使用してロール定義を登録する場合は、irepmodifyentコマンドを実行することにより行います。コマンドの詳細

については、“リファレンスマニュアル(コマンド編)”の“ディレクトリサービス運用コマンド”を参照してください。

CSVデータファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法については、“ディレク

トリサービス運用ガイド”を参照してください。

Interstage シングル・サインオンが提供するサンプルのCSVデータファイルを例に、CSVデータファイルを使用してロール定義を登録

する手順を説明します。

以下は、ActiveDirectoryで管理しているユーザが属するgroupの値を、ロール定義として新規に登録する例です。なお、group以外を

ロール定義として登録することも可能です。

1. グループ一覧の取得

2. ロールの登録

1. CSVファイルの作成


3. irepmodifyentの実行

3. ロールセットの登録




ActiveDirectoryで管理しているユーザが属するgroupの値をロール定義として登録する時には、リポジトリサーバの構築時に、[ActiveDirectoryの設定]の[ロールに使用する属性名]に“memberOf”を設定します。

グループ一覧の取得

LDAP通信にてActiveDirectoryからグループ一覧を取得します。

Active Directoryでプライマリグループに設定したグループは、所属するグループ(LDAP通信で取得する属性名は“memberOf”)として

LDAP通信で取得できません。ロール/ロールセットと関連付けるグループは、プライマリグループに設定しないでください。

リポジトリサーバを運用するマシンにおいて、ldapsearchコマンドを使用してgroupに属する以下の属性を取得する例を示します。ActiveDirectoryが運用されているマシンのホスト名を“ADserver.fujitsu.com” 、Active Directoryのドメイン名を“ad.local”としています。

・cn ・distinguishedName ・memberOf

- 367 -

C:\> C:\Interstage\bin\ldapsearch -h ADserver.fujitsu.com -p 389 -D "CN=Administrator,CN=Users,DC=ad,DC=local" -w

password -b "DC=ad,DC=local" "objectClass=group" cn distinguishedName memberOf

dn: CN=開発部門,CN=Builtin,DC=ad,DC=local

cn: 開発部門

distinguishedName: CN=開発部門,CN=Builtin,DC=ad,DC=local

memberOf: CN=第三開発部,CN=Users,DC=ad,DC=local

memberOf: CN=第二開発部,CN=Users,DC=ad,DC=local

memberOf: CN=第一開発部,CN=Users,DC=ad,DC=local

dn: CN=第一開発部,CN=Users,DC=ad,DC=local

cn: 第一開発部

distinguishedName: CN=第一開発部,CN=Users,DC=ad,DC=local

dn: CN=第二開発部,CN=Users,DC=ad,DC=local

cn: 第二開発部

distinguishedName: CN=第二開発部,CN=Users,DC=ad,DC=local

dn: CN=第三開発部,CN=Users,DC=ad,DC=local

cn: 第三開発部

distinguishedName: CN=第三開発部,CN=Users,DC=ad,DC=local

dn: CN=営業部門,CN=Builtin,DC=ad,DC=local

cn: 営業部門

distinguishedName: CN=営業部門,CN=Builtin,DC=ad,DC=local

memberOf: CN=第二営業部,CN=Users,DC=ad,DC=local

memberOf: CN=第一営業部,CN=Users,DC=ad,DC=local

dn: CN=第一営業部,CN=Users,DC=ad,DC=local

cn: 第一営業部

distinguishedName: CN=第一営業部,CN=Users,DC=ad,DC=local

dn: CN=第二営業部,CN=Users,DC=ad,DC=local

cn: 第二営業部

distinguishedName: CN=第二営業部,CN=Users,DC=ad,DC=local

dn: CN=総務部,CN=Users,DC=ad,DC=local

cn: 総務部

distinguishedName: CN=総務部,CN=Users,DC=ad,DC=local

リポジトリサーバを運用するマシンにおいて、ldapsearchコマンドを使用してgroupに属する以下の属性を取得する例を示します。ActiveDirectoryが運用されているマシンのホスト名を“ADserver.fujitsu.com” 、Active Directoryのドメイン名を“ad.local”としています。

・cn ・distinguishedName ・memberOf

#/opt/FJSVirepc/bin/ldapsearch -h ADserver.fujitsu.com -p 389 -D "CN=Administrator,CN=Users,DC=ad,DC=local" -w password

-b "DC=ad,DC=local" "objectClass=group" cn distinguishedName memberOf

dn: CN=開発部門,CN=Builtin,DC=ad,DC=local

cn: 開発部門

distinguishedName: CN=開発部門,CN=Builtin,DC=ad,DC=local

memberOf: CN=第三開発部,CN=Users,DC=ad,DC=local

memberOf: CN=第二開発部,CN=Users,DC=ad,DC=local

memberOf: CN=第一開発部,CN=Users,DC=ad,DC=local

dn: CN=第一開発部,CN=Users,DC=ad,DC=local

cn: 第一開発部

- 368 -

distinguishedName: CN=第一開発部,CN=Users,DC=ad,DC=local

dn: CN=第二開発部,CN=Users,DC=ad,DC=local

cn: 第二開発部

distinguishedName: CN=第二開発部,CN=Users,DC=ad,DC=local

dn: CN=第三開発部,CN=Users,DC=ad,DC=local

cn: 第三開発部

distinguishedName: CN=第三開発部,CN=Users,DC=ad,DC=local

dn: CN=営業部門,CN=Builtin,DC=ad,DC=local

cn: 営業部門

distinguishedName: CN=営業部門,CN=Builtin,DC=ad,DC=local

memberOf: CN=第二営業部,CN=Users,DC=ad,DC=local

memberOf: CN=第一営業部,CN=Users,DC=ad,DC=local

dn: CN=第一営業部,CN=Users,DC=ad,DC=local

cn: 第一営業部

distinguishedName: CN=第一営業部,CN=Users,DC=ad,DC=local

dn: CN=第二営業部,CN=Users,DC=ad,DC=local

cn: 第二営業部

distinguishedName: CN=第二営業部,CN=Users,DC=ad,DC=local

dn: CN=総務部,CN=Users,DC=ad,DC=local

cn: 総務部

distinguishedName: CN=総務部,CN=Users,DC=ad,DC=local

上記結果の場合、memberOf属性を含むグループはロールセットとして、memberOf属性を含まないグループはロールとして登録して

ください。

ロールの登録

以下の手順で、グループ一覧の取得で取り出したmemberOf属性を含まないグループを、ロールとして登録します。




- 369 -

CSVファイルの作成

グループ一覧の取得で取り出したmemberOf属性を含まないグループの情報を、以下のようなCSV形式のデータで抽出します。

列項目抽出内容

0列目 SSOリポジトリに対する操作追加する場合はADDを設定してください。(注1)

1列目グループ cnの値を設定してください。(注2)

2列目ロール/ロールセットに使用する属性値 distinguishedNameの値を設定してください。(注3)(注4)

注1)詳細については、“ディレクトリサービス運用ガイド”を参照してください。

注2)すでにSSOリポジトリに登録されているロール定義に関連付ける場合は、関連付けたいロール定義のcnの値を設定してください。

注3)先頭に必ず“05:”を付加してください。“05:”を付加しない場合は、ロール/ロールセットに使用する属性値として扱いません。

注4)カンマ(,)を含む値を設定する場合は、ダブルクォーテーション(")を囲んで設定してください。


以下のmemberOf属性を含まないグループを設定しています。

・ cn: 第一開発部

・ cn: 第二開発部

・ cn: 第三開発部

・ cn: 第一営業部

・ cn: 第二営業部

- 370 -

・ cn: 総務部

ADD,第一開発部,"05:CN=第一開発部,CN=Users,DC=ad,DC=local"

ADD,第二開発部,"05:CN=第二開発部,CN=Users,DC=ad,DC=local"

ADD,第三開発部,"05:CN=第三開発部,CN=Users,DC=ad,DC=local"

ADD,第一営業部,"05:CN=第一営業部,CN=Users,DC=ad,DC=local"

ADD,第二営業部,"05:CN=第二営業部,CN=Users,DC=ad,DC=local"

ADD,総務部,"05:CN=総務部,CN=Users,DC=ad,DC=local"

ルールファイルの作成

CSV形式のデータとInterstage シングル・サインオンのロール定義を関連付けるためにルールファイルを作成します。

CSV形式のデータとロール定義のエントリの属性を以下のように関連付けます。

列項目ロール定義のエントリの属性

0列目 SSOリポジトリに対する操作－

1列目グループ cn

2列目ロール/ロールセットに使用する属性値 ssoSessionInfo

上記のCSV形式のデータとロール定義を関連付けるルールファイルを例に説明します。

このルールファイルの例では、次の設定をしています。

ルール名

sso ad role mapping rule


ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com

ロール定義を一意に特定するエントリの属性

cn

操作

ADD (追加)


cn、ssoSessionInfo

















- 371 -

]>


<Csv2Directory>

<Rule>

<name>sso ad role mapping rule</name>



<baseDn>ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com</baseDn>







<Rdn>cn</Rdn>









<objectClass>ssoRole</objectClass>













<unique>cn</unique>

<CSV>





<ldapop>

<op>0</op>





</ldapop>



<Attribute>

<cn>1</cn>

<ssoSessionInfo>2</ssoSessionInfo>

</Attribute>

</CSV>

</Rule>

</Csv2Directory>

irepmodifyentの実行

リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepmodifyentコマンドを実行し、関連付けする

ルールに従いエントリデータを追加します。

- 372 -


トリの操作方法については“ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。





ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_role_mapping_rule.xml csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_role_mapping_add_ja.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

C:\>irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_role_mapping_rule.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_role_mapping_add_ja.csvEnter Bind password:IREP: 情報: irep13570: エントリ cn=第一開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=第二開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=第三開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=第一営業部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=第二営業部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=総務部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

C:\>





ルールファイル /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_role_mapping_rule.xml csvファイル /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_role_mapping_add_ja.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

# irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_role_mapping_rule.xml -i /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_role_mapping_add_ja.csvEnter Bind password:UX:IREP: 情報: irep13570: エントリ cn=第一開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=第二開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=第三開発部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=第一営業部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=第二営業部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=総務部,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

#




ロールセットの登録

以下の手順で、グループ一覧の取得で取り出したmemberOf属性を含むグループを、ロールセットとして登録します。

- 373 -




CSVファイルの作成

グループ一覧の取得で取り出したmemberOf属性を含むグループの情報を、以下のようなCSV形式のデータで抽出します。

列項目抽出内容

0列目 SSOリポジトリに対する操作追加する場合はADDを設定してください。(注1)

1列目グループ cnの値を設定してください。(注2)

2列目ロール/ロールセットに使用する属性値 distinguishedNameの値を設定してください。(注3)(注4)

3列目ロールセットの内容ロールの登録で登録したロール名(cnの値)を設定してください。(注5)

4列目

5列目

注1)詳細については、“ディレクトリサービス運用ガイド”を参照してください。

注2)すでにSSOリポジトリに登録されているロール定義に関連付ける場合は、関連付けたいロール定義のcnの値を設定してください。

注3)先頭に必ず“05:”を付加してください。“05:”を付加しない場合は、ロール/ロールセットに使用する属性値として扱いません。

注4)カンマ(,)を含む値を設定する場合は、ダブルクォーテーション(")を囲んで設定してください。

注5)設定するロール名の数にあわせ、ロールセットの内容を記載する列を設定してください。


以下のmemberOf属性を含むグループに、memberOf属性の値がssoSessionInfoに関連付けられているロールを設定しています。

- 374 -

・ cn: 開発部門

－ memberOf: CN=第一開発部,CN=Users,DC=ad,DC=local

－ memberOf: CN=第二開発部,CN=Users,DC=ad,DC=local

－ memberOf: CN=第三開発部,CN=Users,DC=ad,DC=local

・ cn:営業部門

－ memberOf: CN=第一営業部,CN=Users,DC=ad,DC=local

－ memberOf: CN=第二営業部,CN=Users,DC=ad,DC=local

ADD,開発部門,"05:CN=開発部門,CN=Builtin,DC=ad,DC=local",第一開発部,第二開発部,第三開発部

ADD,営業部門,"05:CN=営業部門,CN=Builtin,DC=ad,DC=local",第一営業部,第二営業部

ルールファイルの作成

CSV形式のデータとInterstage シングル・サインオンのロール定義を関連付けるためにルールファイルを作成します。

CSV形式のデータとロール定義のエントリの属性を以下のように関連付けます。

列項目ロール定義のエントリの属性

0列目 SSOリポジトリに対する操作－

1列目グループ cn

2列目ロール/ロールセットに使用する属性値 ssoSessionInfo

3列目ロールセットの内容 ssoRoleName

4列目

5列目

上記のCSV形式のデータとロール定義を関連付けるルールファイルを例に説明します。

このルールファイルの例では、次の設定をしています。

ルール名

sso ad roleset mapping rule


ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com

ロール定義を一意に特定するエントリの属性

cn

操作

ADD (追加)


cn、ssoSessionInfo、ssoRoleName








- 375 -









]>


<Csv2Directory>

<Rule>

<name>sso ad roleset mapping rule</name>



<baseDn>ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com</baseDn>













<objectClass>ssoRoleSet</objectClass>













<unique>cn</unique>

<CSV>





<ldapop>

<op>0</op>





</ldapop>



<Attribute>

<cn>1</cn>

<ssoSessionInfo>2</ssoSessionInfo>

- 376 -




</Attribute>

</CSV>

</Rule>

</Csv2Directory>

irepmodifyentの実行

リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepmodifyentコマンドを実行し、関連付けする

ルールに従いエントリデータを追加します。


トリの操作方法については“ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。





ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_roleset_mapping_rule.xml csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_roleset_mapping_add_ja.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

C:\>irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_roleset_mapping_rule.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\OtherDirectory\ad\sample_ad_roleset_mapping_add_ja.csvEnter Bind password:IREP: 情報: irep13570: エントリ cn=開発部門,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

IREP: 情報: irep13570: エントリ cn=営業部門,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

C:\>





ルールファイル /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_roleset_mapping_rule.xml csvファイル /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_roleset_mapping_add_ja.csv Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。

# irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_roleset_mapping_rule.xml -i /opt/FJSVssosv/sample/OtherDirectory/ad/sample_ad_roleset_mapping_add_ja.csvEnter Bind password:UX:IREP: 情報: irep13570: エントリ cn=開発部門,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

UX:IREP: 情報: irep13570: エントリ cn=営業部門,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com を追加しました。

#




- 377 -

F.1.4 SSL通信環境の構築

Active DirectoryとSSL通信を行う場合には、リポジトリサーバの構築を行う前にSSL環境の構築を行う必要があります。

SSL環境の構築の流れを以下に示します。

1. Interstage証明書環境の作成

Active DirectoryとSSL通信を行うために必要なInterstage証明書環境を作成します。すでにInterstage証明書環境が作成されて

いる場合は、この作業は不要です。(注1)

2. Active Directoryの認証局証明書の登録

Active Directoryから取得した認証局証明書を、Interstage証明書環境に登録してください。(注2)

認証局の証明書 C:\temp\ad-ca-cert.cer 認証局の証明書のニックネーム ADCACERT

取得した認証局の証明書を“C:\temp\ad-ca-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更し

てください。



C:\> scsenter -n ADCACERT -f C:\temp\ad-ca-cert.cerPassword:証明書がキーストアに追加されました。


C:\>

認証局の証明書 /tmp/ad-ca-cert.cer 認証局の証明書のニックネーム ADCACERT

取得した認証局の証明書を“/tmp/ad-ca-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してく

ださい。

証明書を登録する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパス

ワードを入力してください。入力したパスワードは表示されません。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME# scsenter -n ADCACERT -f /tmp/ad-ca-cert.cerPassword:証明書がキーストアに追加されました。


#

3. テスト用証明書の登録

Active DirectoryとSSL通信を行う場合は、サーバ認証だけを行う運用のため、scsmakeenvコマンドを使用して、CSRではなくテ

スト用証明書を作成してください。(注3)

4. SSL定義の作成

Interstage管理コンソールを使用して、SSL定義を作成します。

SSL定義を作成するには、Interstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設

定]を行います。テスト証明書の登録時に指定したサイト証明書のニックネームを選択し、クライアント認証を“する(クライアント証

明書を必ず認証する)”にチェックしてSSL定義を作成してください。

注1)Interstage証明書環境の作成については“D.5 Interstage証明書環境の作成”を参照してください。

- 378 -

注2)Active Directoryの認証局証明書の取得については、Active Directoryのマニュアルを参照してください。

注3)scsmakeenvコマンドについては、“リファレンスマニュアル(コマンド編)”を参照してください。

SSL定義を作成する際に、クライアント認証を“する(クライアント証明書を必ず認証する)”にチェックしないで作成した場合、ActiveDirectoryの認証局証明書の検証が行われずに無条件で接続されます。

F.1.5 リポジトリサーバの構築

システム構成ごとに構築方法を説明します。

■リポジトリサーバを1台で構成する場合のリポジトリサーバの構築

リポジトリサーバの構築

“2.3.3 リポジトリサーバ(1台、または更新系)の構築”を参照してください。

■リポジトリサーバを複数台で構成する場合のリポジトリサーバの構築


1台目のリポジトリサーバ(更新系)を構築します。

“2.3.3 リポジトリサーバ(1台、または更新系)の構築”を参照してください。

リポジトリサーバ(更新系)の追加

1台目のリポジトリサーバ(更新系)の環境を移出し、負荷分散するリポジトリサーバ(更新系)に環境を移入します。

－ロードバランサの設定

セションの管理を行う場合は、ロードバランサの設定を行います。

ロードバランサの設定については、“E.1 リポジトリサーバ(更新系)の負荷分散”を参照してください。

－移出マシンの資源の取り出し

1. 移出マシンでssobackupコマンドを-svオプションで実行し、リポジトリサーバ資源を資源格納ファイルに取り出します。

Interstage HTTP Serverの資源も合わせて移出してください。(注1)

2. リポジトリサーバ、またはInterstage ディレクトリサービスでSSL通信を行っている場合は、Interstage証明書環境資源を移

出してください。(注1)

3. 手順1、2で取り出した資源を、移入マシンに転送します。転送する場合には、第三者に盗聴などされないように注意して

ください。

なお、転送の際、手順1で取り出した資源格納ファイルの権限は変更しないでください。

－移入マシンへの資源の移入

1. 移入マシンで、ssorestoreコマンドを実行し、リポジトリサーバ資源を移入します。資源移入後は、移入マシンのInterstage管理コンソールによる操作は不要です。

Interstage HTTP Serverの資源も合わせて移入してください。(注1)

2. リポジトリサーバ、またはInterstage ディレクトリサービスでSSL通信を行っている場合は、移出マシンから取り出したInterstage証明書環境資源を移入してください。(注1)

SSOリポジトリの負荷分散環境の作成

運用に合わせてSSOリポジトリの負荷分散環境を作成します。(注2)

リポジトリサーバ(更新系)の設定

負荷分散するすべてのリポジトリサーバ(更新系)にて以下を行います。

- 379 -

1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ

詳細設定[表示]]をクリックし、SSOリポジトリの負荷分散環境の作成で作成したSSOリポジトリが、[リポジトリ名]に設定されて

いることを確認し、[適用]ボタンをクリックします。

2. リポジトリサーバを起動します。



■リポジトリサーバと認証サーバを1台で構成する場合の構築

リポジトリサーバ、および認証サーバの構築

リポジトリサーバと認証サーバを1台目のマシンに構築します。

“2.5.1 リポジトリサーバと認証サーバを１台のマシンに構築する”を参照してください。



注2)SSOリポジトリの負荷分散環境の作成については、“ディレクトリサービス運用ガイド”の“負荷分散環境の作成”、または“負荷分散環境

(レプリケーション形態)の作成”を参照してください。

F.1.6 統合Windows認証を行うための設定

以下の手順に従って行ってください。





Active Directoryの設定

Active Directoryが運用されているマシンにて以下を実施してください。

(1)Active Directoryへの認証サーバの登録

- 380 -

1. [スタート]メニューで[プログラム]－[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。

- 381 -

2. ドメイン名を選択し、[操作]－[新規作成]－[ユーザー]を選択します。

[コンピュータ]を選択しないでください。

3. 姓、およびユーザーログオン名に認証サーバのホスト名を入力します。

ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。

以下の例は、“authserver”を設定しています。

- 382 -

4. [次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。

“ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。

ここで設定したパスワードは後で必要となるので、忘れないでください。

5. [次へ]をクリックし、[完了]ボタンをクリックします。

認証サーバのアカウントの作成が完了しました。

6. 作成したユーザーを右クリックし、[プロパティ]を選択します。

- 383 -

7. [アカウント]タブを選択し、[アカウントオプション]の“このアカウントにDES暗号化を使う”をチェックします。


(2)認証サーバへのサービスプリンシパル名の割り当て

ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。ktpass.exeは、WindowsのインストールCDに格納されて

います。

コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。

-princ ：認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域

-pass ：手順(1)で作成したアカウントに設定したパスワード

-mapuser：手順(1)で作成したアカウント名

-ptype ：principalタイプ

-crypto ：暗号方式

-out ：作成するキータブファイルへの絶対パス

なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。

また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には“DES-CBC-CRC”を必ず指定してください。

Microsoft(R) Windows Server(R) 2003 にて実行した例を示します。

認証基盤のURLのFQDN ：authserver.fujitsu.com Active DirectoryのKerberosドメイン領域：AD.LOCAL アカウントに設定したパスワード：authpass01 アカウント名：authserver principalタイプ：KRB5_NT_PRINCIPAL 暗号方式：DES-CBC-CRC キータブファイルへの絶対パス：C:\Temp\sso-winauth.keytab

- 384 -

C:\>ktpass -princ host/[email protected] -pass authpass01 -mapuser authserver -ptype KRB5_NT_PRINCIPAL -crypto DES-CBC-CRC -out C:\Temp\sso-winauth.keytabTargeting domain controller: ADserver.ad.localUsing legacy password setting methodSuccessfully mapped host/authserver.fujitsu.com to authserver.Key created.Output keytab to C:\Temp\sso-winauth.keytab:Keytab version: 0x502keysize 78 host/[email protected] ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x1 (DES-CBC-CRC) keylength8 (0x081fd34f51b60bdf)

(3)キータブファイルの転送

手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用さ

れているマシンから、キータブファイルを削除してください。

統合Windows認証アプリケーションの配備

認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテ

ナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。

配備が終わりましたら、転送したキータブファイルを削除してください。

なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サー

バにて、統合Windows認証アプリケーションを配備してください。

ssodeployコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してくださ

い。

ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。

出力内容対処

FQDN of SSO Authenticationserver

Active Directoryに登録した認証サーバのアカウントを削除し、再度Active Directoryの設定か

らやり直してください。

Kerberos domain area

Host name of Active Directory ssodeployコマンドの引数“kdc”に指定したActiveDirectoryが運用されているマシン名が間違っ

ています。正しいマシン名を指定してください。

Active Directoryが運用されているマシン名：ADserver.fujitsu.com キータブファイルの絶対パス名：C:\Temp\sso-winauth.keytab 新規作成するIJServerの名前：SSO_WINDOWS_AUTH

ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

C:\>ssodeploy winauth ADserver.fujitsu.com C:\Temp\sso-winauth.keytab[Deployment information] FQDN of SSO Authentication server : authserver.fujitsu.com Host name of Active Directory : ADserver.fujitsu.com Kerberos domain area : AD.LOCAL IJServer name : SSO_WINDOWS_AUTH Application name : winauthAre you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\ijserver.xml"

- 385 -

isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth"DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssoatcag\webapps\winauth

Active Directoryが運用されているマシン名：ADserver.fujitsu.com キータブファイルの絶対パス名：/tmp/authserver.keytab 新規作成するIJServerの名前：SSO_WINDOWS_AUTH

ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME#/opt/FJSVssoac/bin/ssodeploy winauth ADserver.fujitsu.com /tmp/authserver.keytab[Deployment information] FQDN of SSO Authentication server : authserver.fujitsu.com Host name of Active Directory : ADserver.fujitsu.com Kerberos domain area : AD.LOCAL IJServer name : SSO_WINDOWS_AUTH Application name : winauthAre you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssoac/webapps/winauth/WEB-INF/ijserver.xmlUX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d /etc/opt/FJSVssoac/webapps/winauthUX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssoac/webapps/winauth

ワークユニットの起動ユーザの変更

統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。認証サーバが使用

しているWebサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。

ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ ”を参照してください。

Webブラウザの設定

Webブラウザの設定を行います。

以下に、Microsoft(R) Internet Explorer 6.0を例に説明します。

- 386 -

1. [ツール]－[インターネットオプション]－[詳細設定]タブを選択し、“統合Windows認証を使用する(再起動が必要)”をチェックし

ます。

2. [セキュリティ]タブを選択し、セキュリティレベルの設定で[イントラネット]を選択します。

[サイト]ボタンをクリックします。

- 387 -

3. 以下の画面が表示された場合は、[詳細設定]ボタンをクリックします。

表示されなかった場合は、次の手順を実施します。

4. Webサイトに認証基盤のURLを追加します。

以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。

追加終了後、[OK]ボタンをクリックします。

5. 手順3の画面が表示された場合は、[OK]ボタンをクリックし、手順2の画面に戻ります。

表示されなかった場合は、次の手順を実施します。

- 388 -

6. [レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”を

チェックします。


F.2 ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する

認証サーバを構築後、以下の手順に従って行ってください。

1. SSOリポジトリの設定(ユーザ情報の関連付け)






F.2.1 SSOリポジトリの設定(ユーザ情報の関連付け) SSOリポジトリで管理しているユーザと、Active Directoryに登録されているユーザーを関連付けます。

ldapmodifyコマンドなどを使用して、SSOリポジトリで管理しているユーザ情報の任意の属性値に、Active Directoryに登録されている

ユーザーのエントリ「ユーザーログオン名」の値を登録してください。

なお、SSOリポジトリで管理しているユーザIDとActive Directoryに登録されているユーザーログオン名を合わせる必要はありません。

ユーザーログオン名を登録した属性名は、認証サーバのInterstage管理コンソールを使用して、[統合Windows認証の設定]の[認証

に使用する属性]に指定してください。

以下は、Active Directoryに登録されているユーザーログオン名“[email protected]”を、SSOリポジトリの属性“description”に登録してい

る例です。

- 389 -

- 390 -

付録G Symfoware資源見積もりシートの利用

SSOリポジトリのデータベースにリレーショナルデータベース(RDB)であるSymfoware/RDBを使用し、必要な資源をSymfoware資源見

積もりシートから算出する場合、見積もり資源の設定値として入力する項目に、Interstage シングル・サインオン固有の値を指定する項

目が存在します。

Symfoware資源見積もりシートの[見積もり資源の設定値]部の[基礎設定項目]で設定する以下の項目には、必要に応じて、Interstageシングル・サインオン固有の値を指定してください。

ただし、以下に示す項目以外は、Interstage シングル・サインオンを使用しないリポジトリの場合と同じ算出方法で問題ありません。

Symfoware/RDBで使用する資源の見積もりについては、“ディレクトリサービス運用ガイド”の“Symfoware/RDBの資源の見積もり”を


・リポジトリに登録するエントリ件数

以下の数を合計したものを指定してください。ただし、将来的に増加する見込みがある場合、それらの増加分を踏まえた値を使

用してください。

－ Interstage シングル・サインオンの利用者数

－業務システムのサイト定義数

－保護パス定義数

－ロール定義数

・リポジトリに登録する文字列型属性の大サイズ

Active Directoryで管理しているユーザ情報の任意の属性値を、Interstage シングル・サインオンのロール定義と関連付けてSSOリポジトリに登録する場合、デフォルトの入力値(942バイト)より大きい値を指定する可能性があるので、注意してください。

Interstage シングル・サインオンのロール定義との関連付けについては、“F.1.3 SSOリポジトリの設定(ロール定義の関連付け)”を参照してください。

・ 1エントリあたりの属性数

以下のエントリを対象に項目値の算出を行ってください。業務システムのサイト定義は、項目値の算出で考慮する必要はありませ

ん。

各エントリの属性の詳細については、“付録C SSOリポジトリに登録するエントリの属性”を参照してください。

－ Interstage シングル・サインオンの利用者

－保護パス定義

－ロール定義

各エントリの属性数の見積もり方法を以下に示します。

－ Interstage シングル・サインオンの利用者

運用開始後、Interstage シングル・サインオンにより自動的に属性が追加されます。そのため、属性数の算出には、以下の値

を使用してください。

登録するエントリの属性数 + 4

－保護パス定義

以下の値を使用してください。ただし、将来的にロール定義数や、拡張ユーザ情報数が増加する見込みがある場合、それら

の増加分を踏まえた値を使用してください。

- セションの管理を行う場合

保護パス定義に設定するロール定義数 + 保護パス定義に設定する拡張ユーザ情報数 + 3

- 391 -

- セションの管理を行わない場合

保護パス定義に設定するロール定義数 + 3

－ロール定義

以下の値を使用してください。ただし、将来的にロールセットに対してロールを追加する見込みがある場合、それらの追加分

を踏まえた値を使用してください。

- ロールの場合

Active Directoryとの連携時に関連付けを行う属性数(注1)(注2) + 3

- ロールセットの場合

Active Directoryとの連携時に関連付けを行う属性数(注1)(注2) + ロールセットに含まれるロール数 + 3

注1)Active Directoryとの連携時に関連付けを行う属性については、“F.1.3 SSOリポジトリの設定(ロール定義の関連付け)”を参照してください。

注2)Active Directoryとの連携を行わない場合、見積もりに含める必要はありません。

・ 1時間あたりのエントリ更新数

条件に応じて、以下の値を指定してください。

－セションの管理を行う場合

- 以下の条件に全て当てはまる場合

- リポジトリサーバと認証サーバを1台のマシンに構築し、負荷分散を行う。

- Active Directoryと連携を行わない。

- 認証サーバ間連携機能を使用しない。

想定する1時間当たりの認証回数×3

- 上記以外の場合


－セションの管理を行わない場合

想定する1時間当たりの認証回数

・ 1時間あたりのエントリ検索数

条件に応じて、以下の値を指定してください。

－セションの管理を行うシステムで証明書認証を行う場合


－上記以外の場合

想定する1時間当たりの認証回数

- 392 -

付録H 他社のシングル・サインオンシステムとの連携

Interstage シングル・サインオンでは、Interstage シングル・サインオンシステムと他社のシングル・サインオンシステムを連携し、以下を

実現する他社連携機能を提供します。

・ SAML(Security Assertion Markup Language) バージョン2.0 をサポートしている他社シングル・サインオンシステムと連携することが

できます。

・他社シングル・サインオンシステムの既存のユーザID/パスワードを使用して、連携しているInterstage シングル・サインオンシステ

ムが利用できます。

他社連携機能を使用することで、例えば以下のように、すでに運用中の他社シングル・サインオンシステムに、新たにInterstageで構

築された業務システムを追加することができます。また、すでに運用中の他社シングル・サインオンシステムの利用者は、すでに運用中の

Interstage シングル・サインオンシステムをシームレスに利用することが可能です。

- 393 -

Interstage シングル・サインオンシステムは、サービスを提供するサービスプロバイダー(以降、SPと表記)として、他社シングル・サイン

オンシステムのユーザ情報を管理するIdentityプロバイダー(以降、IdPと表記)と連携します。

シングル・サインオン利用者は、他社シングル・サインオンシステムで認証を行うことで、他社シングル・サインオンシステム、およびInterstageシングル・サインオンシステムのサービスが利用できます。

以下のように、Interstage シングル・サインオンシステムをIdPとし、他社シングル・サインオンシステムをSPとした連携はできません。

他社連携機能では、SAML2.0で定められている機能の中で、以下のメッセージフローとバインディング手法を利用することができま

す。

本機能を使用することで、以下のメッセージフローとバインディング手法をサポートしている他社の製品と連携することが可能です。

- 394 -

なお、本製品では、Sun Java System Access Manager 7.0との連携について動作確認済みです。

他社連携機能を使用する場合は、担当の営業やSEにご相談ください。

Profile名メッセージフローとバインディング手法利用の可否

Web Browser SSO SP 先行型：POST->POST Binding ×

SP 先行型：Redirect->POST Binding ○

SP 先行型：Artifact->POST Binding ×

SP 先行型：POST->Artifact Binding ×

SP 先行型：Redirect->Artifact Binding ○

SP 先行型：Artifact->Artifact Binding ×

IdP先行型：POST Binding ×

IdP先行型：Artifact Binding ×

Enhanced Client and Proxy ECP->SP ×

SP->ECP->IdP ×

IdP->ECP->SP ×

SP->ECP ×

Identity Provider Discovery Cookie Getter ○

Cookie Setter ○

Single Logout SP先行型：Redirect Binding ○

SP先行型：POST Binding ×

SP先行型：Artifact Binding ×

SP先行型：SOAP Binding ×

IdP先行型：Redirect Binding ○

IdP先行型：POST Binding ×

IdP先行型：Artifact Binding ×

IdP先行型：SOAP Binding ×

Name Identifier Management 要求：Redirect Binding ×

要求：POST Binding ×

要求：Artifact Binding ×

要求：SOAP Binding ×

応答：Redirect Binding ×

応答：POST Binding ×

応答：Artifact Binding ×

応答：SOAP Binding ×

Artifact Resolution Artifact：Redirect Binding ○

Artifact：POST Binding ×

要求：SOAP Binding ○

応答：SOAP Binding ○

Assertion Query/Request アサーション識別子問い合わせ ×

認証問い合わせ ×

属性問い合わせ ×

- 395 -

認可決定問い合わせ ×

Name Identifier Mapping 要求：SOAP Binding ×

応答：SOAP Binding ×

Identity Federation Account Linking ×

Attribute Federation ×

Persistent Federation ×

Transient Federation ×

Federation Termination ×

SAML Attribute Basic Attribute Profile ×

X.500/LDAP Attribute Profile ×

UUID Attribute Profile ×

DCE PAC Attribute Profile ×

XACML Attribute Profile ×

Metadata <IDPSSODescriptor> ×

<SPSSODescriptor> ×

<AuthnAuthorityDescriptor> ×

<PDPDescriptor> ×

<AttributeAuthorityDescriptor> ×

○：利用可能

×：利用不可

SAML 2.0の詳細については、以下を参照してください。

http://www.oasis-open.org/specs/index.php#samlv2.0

- 396 -

付録I セションの管理を行うシステムで証明書認証を行うための設定

ここでは、セションの管理を行うシステムで証明書認証を行うために必要な環境定義について説明します。

セションの管理を行うシステムで証明書認証を行うためには、認証サーバの環境定義ファイルに、セションの管理を行うシステムにお

いて、証明書認証を行うことを許可する設定を行う必要があります。

・セションの管理を行っているシステムで証明書認証を行う場合は、以下の機能を実施しても、再認証を行うことなくサービスを継続

して利用することが可能になります。利用者が離席した場合に発生する、第三者による不正利用の脅威を低減するために、利用

者への運用指導を十分行ってください。

－不能となる機能

- アイドル監視

- サインオフ

- 強制サインオフ

－利用者への運用指導

- スクリーンセーバのパスワードによる保護機能を利用してアイドル監視を行ってください。

- サインオフ時には、必ずWebブラウザをクローズしてください。

- Webブラウザに証明書を登録せず、ICカードに格納された証明書を使用してください。

・セションの管理を行うシステムで証明書認証を行うための設定は、環境定義ファイルの直接編集による設定だけが可能です。通常

のシングル・サインオンシステムの各サーバの環境定義と同様に、Interstage管理コンソールを使用して設定することはできません。

作業手順

認証サーバの環境定義ファイルを更新する場合は、以下の手順に従って行ってください。

1. 認証サーバを停止します。

2. 認証サーバの環境定義ファイルを更新します。

3. 認証サーバを起動します。

認証サーバの起動、および停止手順については、“4.1.2 認証サーバの起動”、または“4.2.2 認証サーバの停止”を参照してくださ

い。

認証サーバの環境定義ファイルの更新

認証サーバに格納されている環境定義ファイルに、以下の表に示す項目を、テキストエディタなどを使用して設定してください。

・以下の表に示す項目以外は編集しないでください。設定項目以外を編集した場合、認証サーバが正しく動作しなくなる場合があ

ります。

・環境定義ファイルには、“定義名=設定値”の形式で、行の先頭から設定してください。“=”の前後には空白を入れないでください。

認証サーバの環境定義ファイル名と格納先

定義ファイル名

ssoatcag.conf

- 397 -

定義ファイルの格納先

C:\Interstage\F3FMsso\ssoatcag\conf

/etc/opt/FJSVssoac/conf

項目定義名設定内容省略可否

セションの管理を行

うシステムにおける

証明書認証の許可

allow-sm-cert-auth セションの管理を行うシングル・サインオンシステムにおいて、証明

書認証を許可するかどうかを設定します。

YES：許可します。

NO：許可しません。

本項目を省略した場合は、“NO”が設定されたものとみなします。

また、上記以外の値を設定した場合は、システムのログにsso02040を出力し、“NO”が設定されたものとみなします。

省略可

以下に、定義ファイルの設定例を示します。

セションの管理を行うシングル・サインオンシステムにおいて、証明書認証を行うことを許可する設定例です。

allow-sm-cert-auth=YES

- 398 -

付録J コンテンツのキャッシュの抑止

Interstage シングル・サインオンでは、セキュリティを考慮し、保護リソースに設定したコンテンツが利用者の端末に残らないよう、Webブラウザでのキャッシュを抑止しています。

Webブラウザのキャッシュを抑止するために、HTTPレスポンスヘッダにキャッシュ制御用のヘッダ“Cache-Control”、および“Pragma”を設定しています。

しかし、Webブラウザのキャッシュが抑止されている場合、ファイルのダウンロードを行うコンテンツにおいて、ファイルのダウンロード

に失敗する場合があります。

ファイルのダウンロードを行うコンテンツを作成する場合は、Webブラウザのキャッシュを抑止しない設定が必要です。

Webブラウザのキャッシュを抑止しない設定は、以下の手順に従って行ってください。

1. 業務サーバを停止します。

2. 業務サーバの環境定義ファイルを更新します。

3. 業務サーバを起動します。

業務サーバの起動、および停止手順については、“4.1.3 業務サーバの起動”、または“4.2.3 業務サーバの停止”を参照してくださ

い。

Webブラウザのキャッシュを抑止しない設定を行う場合は、Webアプリケーションでキャッシュの抑止を行うなど、上述のセキュリティに

関して十分配慮したうえで実施してください。

業務サーバの環境定義ファイルの更新

業務サーバに格納されている環境定義ファイルに、以下の表に示す項目を、テキストエディタなどを使用して設定してください。

・以下の表に示す項目以外は編集しないでください。設定項目以外を編集した場合、業務サーバが正しく動作しなくなる場合があ

ります。

・環境定義ファイルには、“定義名=設定値”の形式で、行の先頭から設定してください。“=”の前後には空白を入れないでください。

・ 1台のマシンに複数の業務サーバを構築している場合、環境定義ファイルには複数の業務サーバの定義が設定されています。後

述の設定例を参考に、対象となる業務サーバの定義を編集してください。

業務サーバの環境定義ファイル名と格納先


ssoatzag.conf


C:\Interstage\F3FMsso\ssoatzag\conf

/etc/opt/FJSVssoaz/conf


Webブラウザの

キャッシュ制御

http-cache-cntl 保護リソースに設定したコンテンツをWebブラウザにキャッシュす

るかどうかを設定します。

YES:キャッシュしません。

省略可

- 399 -

NO:キャッシュします。

“YES”を設定した場合は、HTTPレスポンスヘッダに以下の値を

設定し、Webブラウザのキャッシュを抑止します。

Cache-Control:no-cache Pragma:no-cache

本項目を省略した場合は、“YES”が設定されたものとみなしま

す。

また、上記以外の値を設定した場合は、システムのログにsso03006を出力し、“YES”が設定されたものとみなします。

1台のマシンに、業務システム名“Business001”と“Business002”の2つの業務サーバを構築している場合の環境定義ファイルを例に

説明します。(注) 業務システム名が“Business001”の業務サーバに、保護リソースに設定したコンテンツをWebブラウザにキャッシュする設定を行う場

合は、business-system-nameに“Business001”が設定されている行を検索し、その次の行に「http-cache-cntl=NO」を追加してくださ

い。

ServerPort=80FQDN=http://sso.fujitsu.co.jp:80 ～中略～business-system-name=Business001http-cache-cntl=NO ～中略～

ServerPort=81FQDN=http://sso.fujitsu.co.jp:81 ～中略～business-system-name=Business002 ～中略～

注)業務システム名は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] >[一覧]タブより確認できます。

- 400 -

付録K 認証サーバへの保護リソースの設定

ここでは、保護リソースの情報を認証サーバに設定するために必要な環境定義について説明します。

業務システムの保護リソース以外からの認証要求を抑止する場合は、SSOリポジトリに登録した業務システムのサイト定義、および保

護パスの情報を認証サーバの環境定義ファイルに設定する必要があります。

認証サーバの環境定義ファイルを更新する場合は、以下の手順に従って行ってください。

1. 認証サーバを停止します。

2. 認証サーバの環境定義ファイルを更新します。

3. 認証サーバを起動します。

認証サーバの起動、および停止手順については、“4.1.2 認証サーバの起動”、または“4.2.2 認証サーバの停止”を参照してくださ

い。

・業務システムの保護リソース以外からの認証要求を抑止するための環境定義については、環境定義ファイルの直接編集でのみ

設定が可能です。通常のシングル・サインオンシステムの各サーバの環境定義と同様に、Interstage管理コンソールを使用して設

定することはできません。

・セションの管理を行う場合は、本設定を行う必要はありません。

環境定義ファイルを設定する際の注意

各環境定義ファイルを設定する場合は、以下の点に注意してください。

・環境定義ファイルの設定ミスなどによるエラーメッセージは、システムのログに記録されます。この際、システムのログに同一のメッ

セージが重複して記録される場合があります。

・環境定義ファイル内の各項目は、“定義名=設定値”の形式で、行の先頭から設定してください。また、“=”の前後には空白を入れ

ずに設定してください。

・複数行での設定が可能な項目以外を複数の行で設定した場合は、ファイルの先頭行からみて初に出現する行の設定が有効と

なり、2回目以降に出現する行の設定は無視されます。

・環境定義ファイル内の各項目には、余分な空白を入れずに正確に設定してください。

例えば、“定義名=123 ”(123の後に空白)や、“定義名= NO”(NOの前に空白)といった設定は、正しくありません。このように設定

された場合は、省略されたものとみなして動作します。

・環境定義ファイルに存在しない(不当な)項目名が設定された場合は、無視されます。

・一度に複数の値が設定可能な項目については、カンマ“,”で区切って続けて設定してください。

・ “#”で始まる行は、コメント行とみなします。

以下に、環境定義ファイルの設定例(設定に誤りがある例)を示します。

repository-port=□389 ＜－□は半角空白

#repository-bind-dn=cn=adminrepository-user-search-base=ou=User,o=Interstage,c=jprepository-user-search-base=ou=User1,o=Interstage,c=jpaccesslog-save-all=NOrepository-role-search-base=□↓ ＜－□は半角空白、↓は改行

・ 1行目の、“repository-port”には、“=”の後に空白が入っているため、“ 389”が設定されたものとみなします。

・ 2行目には、先頭に“#”をつけているため、コメント行とみなします。

- 401 -

・ 3行目と4行目の、“repository-user-search-base”のように、同じ定義名による設定が複数存在する場合は、先頭からみて、初に出

現する行(3行目)に設定した値が有効となり、それ以降の設定は無効となります。

・ 5行目の、“accesslog-save-all-log”の定義名を間違えて、“accesslog-save-all”と設定した場合は、設定されていないものとみなしま

す。項目の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。

・ 6行目の、“repository-role-search-base”には空白が設定されています。このような場合は、項目の設定自体が無効となります。項目

の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。

認証サーバの環境定義ファイルの更新

認証サーバに格納されている環境定義ファイルに、SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を定

義します。

以下の表に示す各設定項目を、テキストエディタなどを使用して設定してください。

以下の表に示す設定項目以外は編集しないでください。設定項目以外を編集した場合、認証サーバが正しく動作しなくなる場合が

あります。

認証サーバの定義ファイル名と格納先


ssoatcag.conf


C:\Interstage\F3FMsso\ssoatcag\conf

/etc/opt/FJSVssoac/conf


保護リソース

以外からの

認証要求の

抑止

reject-incorrect-protection-resource-url

業務システムの保護リソース以外からの認証要求を抑止するかどうかを設定しま

す。

YES：抑止します。

NO：抑止しません。

本項目を省略した場合は、“NO”が設定されたものとみなします。

また、上記以外の値を設定した場合は、システムのログにsso02040を出力し、“NO”

が設定されたものとみなします。

フォーム認証で運用し、利用者が直接認証基盤のURLにアクセスして認証する場

合は、認証要求の抑止は行いません。

省略可

認証要求を

受け付ける

保護リソース

のURL

protection-resource-url

業務システムの保護リソース以外からの認証要求を抑止する場合において、認証

要求を受け付ける保護リソースのURLを設定します。

本項目は、“reject-incorrect-protection-resource-url”に“YES”を設定した場合のみ

有効です。

保護リソースのURLには、SSOリポジトリに登録されているサイト定義、およびパス定

義の情報を、以下のURL形式で設定します。

<URL形式> [プロトコルスキーム][ホスト名][:ポート番号][パス] [プロトコルスキーム]： “https://”、または“http://”を設定してください。

[ホスト名]：保護リソースのサイト定義で定義されているホスト名をFQDNで設定してください。

省略可

(“reject-incorrect-protection-resource-url”が“YES”の場合は必須)

- 402 -

ホスト名には、“@”、“?”、“&”を含めないでください。

[:ポート番号]：保護リソースのサイト定義で定義されているポート番号を設定してください。ポー

ト番号は省略することができます。省略した場合は、URLのプロトコルスキームの設

定によって、ポート番号は以下のように設定されたものとみなします。

・プロトコルスキームが“https://”の場合

ポート番号：“:443” ・プロトコルスキームが“http://”の場合

ポート番号：“:80” [パス]：保護リソースのパス定義を設定してください。パスは省略できません。以下に注

意して設定してください。

・“/”から始まるパスを必ず設定してください。

・相対パス(“/./”、“/../”)、連続した“/”(“//”)、および“;”を含めないでください。

・“/.”、または“/..”で終わる文字列を設定しないでください。

上記のURL形式については、以下に注意して設定してください。

英数字、または記号のみを使用してください。ただし、以下の記号は使用できませ

ん。

“<”、“>”、“"”、“{”、“}”、“|”、“\”、“^”、“[”、“]”、“`”、“ ”、“%”、“#”

漢字などのマルチバイト文字(MBCS)は使用しないでください。

2048バイト以内の文字列を指定してください。

設定するURL形式にはクエリ文字列は含めないでください。

保護リソースのURLの設定例) httpsで運用するポート番号443の保護サイト“bus.example.com”の保護パス“/protect/”を指定する場合。

protection-resource-url=https://bus.example.com:443/protect/

設定された保護リソースのURLの末尾が“/”の場合はディレクトリとして扱い、設定

値と認証要求時に提示されたURLが前方一致した場合にのみ、認証要求を受け

付ける保護リソースに該当したとみなします。

URLの末尾が“/”以外の場合はファイルとして扱い、設定値と認証要求時に提示さ

れたURLが完全一致した場合にのみ、認証要求を受け付ける保護リソースに該当

したとみなします。

保護リソースのURLを複数設定する場合は、1行に1つの保護リソースのURLを設

定し、複数の行に繰り返して設定してください。

複数設定した場合は、先頭行から順に、設定値と認証要求時に提示されたURLが一致するか判定します。一致しない場合は、次の行の設定値と判定します。

設定例) 2つの保護リソースのURLを設定する場合。

protection-resource-url=https://bus.example.com:443/protect/ protection-resource-url=https://bus.example.com:443/bussystem/

“reject-incorrect-protection-resource-url”が“YES”の場合に本項目を省略した場合

は、認証サーバ起動時にシステムのログにsso02008のエラーメッセージを出力し、

認証サーバを停止します。

保護リソースのURLの設定値が正しくない場合は、認証サーバ起動時にシステム

のログにsso02007のエラーメッセージを出力し、認証サーバを停止します。

以下に、定義ファイルの設定例を示します。

保護リソース以外からの認証要求を抑止し、認証要求を受け付ける保護リソースのURLに以下を設定している例です。

- 403 -

保護リソースのURL : https://bus.example.com:443/protect/ : https://bus.example.com:443/bussystem/

reject-incorrect-protection-resource-url=YESprotection-resource-url=https://bus.example.com:443/protect/protection-resource-url=https://bus.example.com:443/bussystem/

定義項目“protection-resource-url”の設定値について

認証サーバの定義項目“protection-resource-url”には、SSOリポジトリに登録したすべての保護リソース情報を正しく設定してくださ

い。設定値がSSOリポジトリに登録した保護リソース情報と同等でない場合、保護リソース以外からの認証要求の抑止が正しく行われ

ません。

Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合

Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。

<URL形式> [プロトコルスキーム][ホスト名][:ポート番号][パス][プロトコルスキーム]： Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。

・Interstage Security Directorとクライアント間がHTTP通信の場合

“http://”を設定します。

・Interstage Security Directorとクライアント間がSSL通信の場合

“https://”を設定します。

[ホスト名]：認証サーバへ送信するPROXYサーバの自サーバ名を設定します。

Interstage Security Directorの以下に指定したサーバ名を設定してください。

・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”

[:ポート番号]： PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。

Interstage Security Directorの以下に指定したポート番号を設定してください。

・PROXYサーバ環境設定の基本設定の“ポート番号”

[パス]： “/”を設定してください。

Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能

説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。

保護リソース情報の追加、変更、または削除

SSOリポジトリ上の保護リソース情報の追加、変更、または削除を行った場合、認証サーバの定義項目“protection-resource-url”を編

集し、認証サーバを再起動してください。

また、実際に保護リソースにアクセスを行い、定義通りに正しく動作しているか確認するよう業務サーバ管理者に依頼してください。

- 404 -

索　引[C]

CSVデータファイルを使用する場合.......................................86

[F]FQDN.......................................................................................43

[I]ICカード使用時の注意事項....................................................23Interstage HTTP Server への組み込み.................................140Interstage Security Directorとの連携.......................................52Interstage シングル・サインオン連携機能...............................52

[J]Javaアプリケーションの開発...................................................217

[L]LDIFファイルを使用する場合.................................................92

[M]Microsoft(R) Internet Information Services 5.0 への組み込み. . .142Microsoft(R) Internet Information Services 6.0 への組み込み. . .149Microsoft(R) Internet Information Services 7.0 への組み込み. . .161

[S]SSLアクセラレータとの連携.....................................................50SSL通信環境の構築.............................................................119SSO管理者...............................................................................11SSOリポジトリ..............................................................................5SSOリポジトリ(スレーブ)のSSL通信環境の構築...................113SSOリポジトリ(マスタ)のSSL通信環境の構築.......................111SSOリポジトリとのサービス連携.............................................215SSOリポジトリの設計.................................................................77SSOリポジトリへのユーザ情報、ロール定義の登録...............84Sun Java System Web Server 6.0,6.1 への組み込み............140

[W]Webアプリケーションとの連携.................................................45Webサーバの実効グループを変更する場合の注意事項.....183Webサーバの実効ユーザを変更する場合の注意事項.......183Webサーバへの組み込み.....................................................140Webブラウザに表示するメッセージのカスタマイズ........194,271Webページのカスタマイズ方法.............................................213

[あ]相手シングル・サインオンシステム........................................238相手シングル・サインオンシステム管理者............................238相手シングル・サインオンシステムの追加、変更、削除.......249相手シングル・サインオンシステム利用者............................238アイドル監視.............................................................................28アクセス制御情報の更新.........................................................44アクセスログ............................................................................192

[か]カスタマイズできるメッセージ.................................................194

可用性......................................................................................49環境構築の流れ...............................................................73,131環境設定の変更....................................................................182環境変数によるサインオフURLの通知の設定.....................233環境変数によるユーザ情報の通知の設定...........................230強制サインオフ.......................................................................188強制サインオン.......................................................................187強制サインオン問い合わせ用フォームタグの仕様..............206業務サーバ................................................................................9業務サーバ管理者..................................................................11業務サーバ管理者より入手すべき情報................................127業務サーバで使用するWebサーバの運用資源へのアクセス権

限の設定................................................................................176業務サーバの起動.................................................................179業務システムのサイト定義の登録.........................................128業務サーバの削除.................................................................185業務サーバの追加.................................................................135業務サーバの停止.................................................................181業務サーバを１台追加する...................................................135業務システム..............................................................................9業務システムが参照する認証サーバのURLについて...........68業務システム構築補助シートの利用....................................133業務システムの公開URLについて.........................................63業務システムの設計..............................................................133業務システムの追加依頼......................................................133業務システムの登録..............................................................126業務システムの登録の流れ...................................................127クライアント................................................................................10高性能・高信頼性システム......................................................46

[さ]再認証の間隔..........................................................................29サインオフ.................................................................................36サインオフするためのWebページのカスタマイズ.................213サインオフ問い合わせ用フォームタグの仕様.......................207自シングル・サインオンシステム............................................238自シングル・サインオンシステムと相手シングル・サインオンシス

テム.........................................................................................237自シングル・サインオンシステム利用者................................238システムの基本構成..................................................................3実装方式....................................................................................3証明書認証..............................................................................16シングル・サインオンとは...........................................................1シングル・サインオンの起動..................................................178シングル・サインオンの削除..................................................184シングル・サインオンの停止..................................................180信頼関係................................................................................235セション管理ログ....................................................................192セションの管理.........................................................................26前回サインオン日時の確認...................................................189

[た]大規模システムで運用する場合の注意事項.......................192他社のシングル・サインオンシステムとの連携......................393多重サインオンの抑止.............................................................36データベースからSSOリポジトリへのユーザ情報の移入........84

- 405 -

統合Windows認証...................................................................17統合Windows認証時に表示されるメッセージ用のタグの仕様. . .210同時認証確認画面用タグの仕様..........................................207導入........................................................................................242

[な]認可..........................................................................................41認可に関する操作.................................................................190認証..........................................................................................11認証基盤....................................................................................4認証基盤構築補助シートの利用............................................76認証基盤のURLについて.......................................................59認証基盤の基本構成................................................................5認証サーバ................................................................................4認証サーバ間連携サービス..................................................237認証サーバ間連携サービスの起動・停止・削除..................248認証サーバ間連携とは..........................................................234認証サーバにリポジトリサーバ(参照系)の情報を設定する.....124認証サーバの起動.................................................................178認証サーバの構築.................................................................119認証サーバの削除.................................................................184認証サーバの停止.................................................................181認証サーバを１台構築する場合...........................................121認証用フォームタグの仕様....................................................205認証を行うシステムの設定.....................................................252

[は]パスワード認証.........................................................................13パスワード認証かつ証明書認証.............................................20パスワード認証または証明書認証..........................................20ファイアウォールを利用する方法..........................................130負荷分散..................................................................................46負荷分散のため業務サーバを追加する...............................139負荷分散のため認証サーバを追加する場合.......................122負荷分散のためのリポジトリサーバ(更新系)の追加............110負荷分散のためリポジトリサーバと認証サーバを１台のマシンに

追加する.................................................................................125保護パスのとうろく..................................................................128保護リソースなどの登録.........................................................128保護リソースの変更................................................................191保守........................................................................................192

[ま]未認証画面用タグの仕様......................................................209メッセージのカスタマイズ方法...............................................202メッセージファイルのアクセス権限の設定.............................211

[や]ユーザ情報とアクセス制御情報の集中管理..........................43ユーザ情報のエントリ.............................................................101ユーザ情報のカスタマイズ....................................................256より安全に利用するために....................................................129

[ら]リストアしたリポジトリサーバ(参照系)のSSOリポジトリの設定変更

................................................................................................117

リバース機能.............................................................................53リポジトリサーバ..........................................................................5リポジトリサーバ(1台、または更新系)の構築........................109リポジトリサーバ(更新系)...........................................................5リポジトリサーバ(更新系)のSSOリポジトリの設定変更..........118リポジトリサーバ(更新系)のSSOリポジトリのバックアップ......112リポジトリサーバ(参照系)...........................................................5リポジトリサーバ(参照系)のSSOリポジトリ(スレーブ)の作成.....114リポジトリサーバ(参照系)の追加...........................................112リポジトリサーバ(参照系)へのSSOリポジトリのリストア..........116リポジトリサーバ(参照系)を追加する場合の構築.................117リポジトリサーバ、認証サーバ、業務サーバの環境設定の変更. .182リポジトリサーバと認証サーバの構築....................................124リポジトリサーバと認証サーバを１台のマシンに構築する.....124リポジトリサーバのURLについて.............................................65リポジトリサーバの起動..........................................................178リポジトリサーバの削除..........................................................184リポジトリサーバの停止..........................................................180利用者に関する操作.............................................................185利用者の削除........................................................................186利用者の追加........................................................................185利用者のパスワードの変更...................................................186利用者のパスワードの忘却...................................................186利用者の有効期間..................................................................33利用者の有効期間の確認、変更..........................................187利用者のロック.......................................................................186利用者のロック状態の確認....................................................187利用者のロールの変更..........................................................186ロックアウト................................................................................33ロックアウトの解除..................................................................186ロール.......................................................................................41ロール定義のエントリ...............................................................96ロール定義の変更、追加.......................................................190ロールによる認可に必要な情報..............................................41

- 406 -

Documents

Interstage Application Server - Fujitsusoftware.fujitsu.com/jp/manual/manualfiles/M090097/...付録E ロードバランサの設定 ... RHEL-AS4(IPF) Red Hat Enterprise Linux AS (v.4