第 5 章
配備シナリオ

この章では、Identity Server の簡単な配備シナリオについて説明します。次の節で構成されています。

複数サーバーのシナリオ
Web 配備
Java アプリケーションの配備
複数の JVM 環境
レプリケーションに関する考慮事項
連携管理の実装

---

複数サーバーのシナリオ

推奨される配備シナリオには、それぞれに Identity Server と Directory Server の両方がインストールされた 2 つの物理サーバーが含まれます。Directory Server のインスタンスは、複数のマスター設定内で設定されます。この配備を適切な手順で実行するには、まず、最初のマシン上で Directory Server の最初のインスタンスをインストールします。次に Directory Server の 2 番目のインスタンスを 2 番目のマシンにインストールし、マルチマスター関係を設定します。ここで、Identity Server を最初のマシンにインストールして、Directory Server のいずれかのインスタンスを指し示すようにできます。インストール方法は、現在の設定に応じて既存の DIT を使用するか、または使用せずに既存のディレクトリを選択することです。Identity Server の 2 番目のインスタンスを 2 番目のマシンにインストールし、既存の DIT を使用して既存の Directory Server を指し示すようにします。Identity Server は、既存のものと認識する Directory Server にいかなる情報も記述しません。このため、既存のデータを上書きしても危険はありません。Identity Server は、2 つの属性を追加して、2 番目のインスタンスを動作可能にします。

パフォーマンスの拡張、ディレクトリのレプリケーションのサポート、またはエージェントのフェイルオーバーを目的として、Identity Server の複数インスタンスを Directory Server に対してインストールできます。同一の Directory Server に対し、Identity Server の複数インスタンスが異なるハードウェア上に存在するようにするため、「ammultiserverinstall を使用して複数の Identity Server をインストールするには」の手順に従って操作を行います。2 番目の方法は、2 番目の Identity Server をインストールし、設定済みの Directory Server に対してそれを指し示すことです。図 5-1 に、単一の Directory Server に対してインストールされた 2 つの Identity Server インスタンスを示します。

図 5-1 1 つの Directory Server に対する複数の Identity Server

ammultiserverinstall を使用して複数の Identity Server をインストールするには

1 つのマスター Directory Server に対して複数の Identity Server インストールを実行するには、ammultiserverinstall スクリプトを実行する必要があります。複数の Identity Server インスタンスを作成およびインストールするために、管理者は root 権限を保持する必要があります。

次のディレクトリに移動します。

cd Identity_Server_root/SUNWam/bin

コマンド行で、次のコマンドを入力します。

./ammultiserverinstall instance_name port_number

instance_name には作成する新規 Identity Server インスタンスを、port_number には新規 Identity Server インスタンスのポート番号を指定します。

新規インスタンスの作成時に、以下が作成されます。

/IdentityServer_base/SUNWam/bin/amserver.instance_name に新規 amserver スクリプトファイル
/IdentityServer_base/SUNWam/lib/AMConfig-instance_name.properties に新規 AMConfig.properties ファイル
/IdentityServer_base/SUNWam/servers/https-instance_name に新規 Web サーバーインスタンスディレクトリ

ammultiserverinstall スクリプトの詳細は、『Sun ONE Identity Server 管理ガイド』を参照してください。

---

Web 配備

Identity Server 配備の最も一般的な使用法は、Web ブラウザが Web サーバー上に配備されたアプリケーションまたはリソースにアクセスする場合です。アプリケーションおよびリソースは Identity Server により保護されるため、通信は Web サーバーにインストールされたポリシーエージェントを使用して行われます。さらに、Web サーバーに Identity Server SDK が配備されている場合があります。このアーキテクチャにより、マシン内の Web サーバーの数や、複数マシンにまたがる Identity Server のインスタンスに関して制限が課されることはありません。たとえば、1 台のマシンで複数の Web サーバーを稼働させ、それぞれに Identity Server を配備できます。同様に、複数の Web サーバーを異なるマシン上で稼働させ、それぞれに Identity Server を配備することもできます。図 5-2 に、このサンプル配備シナリオを示します。

図 5-2 簡単な Web 配備シナリオ

---

Java アプリケーションの配備

Identity Server の別の一般的なシナリオは、Java^TM アプリケーションが配備先のマシンに直接インストールされた Identity Server SDK にアクセスする場合です。このシナリオでは、1 つ以上の Identity Server インスタンスが稼働する Sun ONE Web Server または Sun ONE Application Server のインスタンスが存在する追加マシンが必要になります。このマシンは、状態情報を管理してシングルサインオンを提供します。図 5-3 に、この Java アプリケーションの配備シナリオを示します。

図 5-3 Java アプリケーションの配備

---

複数の JVM 環境

Identity Server サービスは、複数の Java 仮想マシン (JVM) 環境でサポートされています。これは、Sun ONE Application Server のインスタンスは複数の JVM を保持するように設定できること、そのすべてで Identity Server サービスが稼働可能であることを意味します。Identity Server のアーキテクチャは、マシン内の Application Server インスタンスの数、複数マシンをまたがる Identity Server サービスの数、単一の Application Server が保持できる JVM の数について制限を課しません。複数の JVM 環境の詳細は、Sun ONE Application Server のマニュアルを参照してください。

---

レプリケーションに関する考慮事項

Identity Server のパフォーマンスと応答時間を改善するには、レプリケートされた Directory Server 間でロードバランスを行う方法と、ユーザー付近に配置されているレプリケートされたサーバーの位置を検出する方法の 2 つの方法があります。Directory Server の設定は、単一サプライヤおよび複数サプライヤ設定内で行うことができます。Sun ONE Directory Proxy Server などのロードバランスアプリケーションも使用できます。Directory Proxy Server は、設定された Directory Server セット間の LDAP 操作のプロポーショナルなロードバランスを動的に実行します。1 つ以上の Directory Server が利用できない場合、負荷は残りのサーバー間でバランス良く再配分されます。サーバーが復帰すると、負荷がバランス良くかつ動的に再配分されます。

注	Identity Server をインストールする前に、ディレクトリレプリケーションアグリーメントを定義する必要があります。これにより、参照を検証する時間が許可されて、サプライヤデータベースとコンシューマデータベースが適正に同期するようになるため、更新の同期が正しく実行されます。

Identity Server をレプリケーション目的でインストールした場合、Directory Server の各インスタンスおよび Identity Server の各インスタンスは、以下に対して同じ値を使用して設定する必要があります。

ディレクトリマネージャ
ディレクトリマネージャのパスワード
Directory Server の管理者 ID
サーバー管理者のパスワード
ベースサフィックス
デフォルトの組織

レプリケーション用の設定

Identity Server は、単一サプライヤまたは複数サプライヤレプリケーションで動作するように設定できます。図 5-4 に、コンシューマが読み取り専用データベースである単一サプライヤ設定を示します。書き込み操作要求の参照は、サプライヤデータベースに対して行われます。この設定により、負荷が複数のディレクトリに分散させられるため、サーバーのパフォーマンスを向上させる手段として利用できます。

図 5-4 シングルサプライヤレプリケーション

図 5-5 に、Identity Server の複数インスタンスを使用した複数サプライヤ設定を示します。この設定によりフェイルオーバー保護および高可用性が提供されるため、サーバーのパフォーマンスはさらに向上します。

図 5-5 複数サプライヤ設定 (マルチマスターレプリケーションとも呼ばれる)

以下の手順を使用すると、Identity Server がまだインストールされていない場合に、Identity Server ディレクトリツリーのルートまたは最上位レベルでレプリケーションを設定できます。また、デフォルトの組織レベルでレプリケーションを設定する場合にも、以下の手順を使用できます。

サプライヤおよびコンシューマ Directory Server をインストールします。

手順の詳細は、『Sun ONE Directory Server インストールガイド』を参照してください。

サプライヤおよびコンシューマ間のレプリケーションアグリーメントを設定し、ディレクトリ参照および更新が正しく機能することを確認します。

手順の詳細は、『Sun ONE Directory Server 管理者ガイド』を参照してください。

注	このバージョンの Identity Server で機能するように、既存の Directory Server データを移行することが必要な場合があります。手順の詳細は、『Sun ONE Identity Server Migration Guide』を参照してください。

Identity Server および Directory Server を初めて配備する場合、または既存のユーザーデータの使用を計画していない場合、Sun Java Enterprise System 2003Q4 インストールプログラムを実行して Identity Server をインストールしてください。

インストール時に、既存の Directory Server が存在するかどうか尋ねられたら、「はい」を選択し、手順 1 でインストールしたサプライヤ Directory Server のホスト名とポート番号を指定します。

Identity Server 管理ポリシーサービスをインストールしたサーバーで、次のファイルを修正します。

/IdentityServer_base/SUNWam/lib/AMConfig.properties

次のプロパティを修正して、手順 1 でインストールしたコンシューマ Directory Server のホストおよびポート番号を反映します。
com.iplanet.am.directory.host
com.iplanet.am.directory.port
次のプロパティを修正して、要求されたエントリが見つからない場合に Identity Server が同じ要求を繰り返す回数を指定します。

com.iplanet.am.replica.retries

次のプロパティを修正して、Identity Server が再試行を行うまでの時間をミリ秒単位で指定します。

com.iplanet.am.replica.delay.between.retries

有効な Identity Server 認証モジュールごとに、手順 1 でインストールしたコンシューマディレクトリを指定します。次の手順では、例として LDAP 認証モジュールを使用します。
Identity Server コンソールで、「サービス設定」を選択します。
再設定する認証モジュールを見つけて、「プロパティ」の矢印をクリックします。
右側の区画で、以下の操作を行います。
「LDAP サーバーとポート」という名前の最初のフィールドに、プライマリ (コンシューマ) Directory Server のホスト名とポート番号を入力します (例: consumer1.example.com:389)。
「LDAP サーバーとポート」という名前の 2 番目のフィールドに、セカンダリ (サプライヤ) Directory Server のホスト名とポート番号を入力します (例: supplier1.example.com:389)。
「実行」をクリックします。
/Identity_Server_root/SUNWam/config/ums/serverconfig.xml ファイルで、コード例 5-1 に示すように、手順 1 でインストールしたコンシューマディレクトリのホスト名とポート番号を指定します。

コード例 5-1 serverconfig.xml レプリケーションの修正

<iPlanetDataAccessLayer>            <ServerGroup name="default" minConnPool="1"            maxConnPool="10">            <Server name="Server1"            host="consumer1.madisonparc.com" port="389"            type="SIMPLE" />

次のコマンドを実行して、Identity Server を再起動します。

/Identity_Server_root/SUNWam/bin/amserver start

ロードバランサを使用する設定

図 5-6 に、Directory Proxy Server を含む複数サプライヤ設定を示します。この設定により、Identity Server によるフェイルオーバー、高可用性、および管理されたロードバランスのサポートが最大限に活用されます。

図 5-6 ロードバランサを使用する複数サプライヤレプリケーション

LDAP ロードバランサを使用することで、Identity Server の基本機能に、高可用性レイヤーおよびディレクトリフェイルオーバー保護を追加できます。たとえば、Directory Proxy Server は、各サーバーに再配分される負荷の割合を指定できます。また、すべてのバックエンド LDAP サーバーが利用できなくなった場合には、要求トラフィックの管理を続行し、クライアントクエリの拒否を開始します。ロードバランサのインストールを選択した場合、このアプリケーションを認識するように Identity Server を設定する必要があります。

設定前に、以下の操作を行います。
Directory Server をレプリケーション用に設定します。ディレクトリのレプリケーションに関する総合的な情報、および設定方法に関する詳細情報については、『Sun ONE Directory Server 管理者ガイド』の「レプリケーションの管理」を参照してください。
LDAP ロードバランサをインストールおよび設定します。製品に同梱されているマニュアルの指示に従ってください。
/IdentityServer_base/SUNWam/lib/AMconfig.properties ファイルで、次のプロパティを修正し、手順 a でインストールしたコンシューマ Directory Server のホストおよびポート番号を反映させます。

com.iplanet.am.directory.host

com.iplanet.am.directory.port

有効な Identity Server 認証モジュールごとに、手順 a でインストールしたコンシューマ Directory Server を指定します。次の手順では、例として LDAP 認証モジュールを使用します。
Identity Server コンソールで、「サービス設定」を選択します。
再設定する認証モジュールを見つけて、「プロパティ」の矢印をクリックします。
右側の区画で、以下の操作を行います。
「LDAP サーバーとポート」という名前の最初のフィールドに、プライマリ (コンシューマ) Directory Server のホスト名とポート番号を、proxyhostname:port の形式で入力します。
「LDAP サーバーとポート」という名前の 2 番目のフィールドには、何も入力しません。
「実行」をクリックします。
/IdentityServer_base/SUNWam/config/ums/serverconfig.xml ファイルで、コード例 5-2 に示すように、手順 a でインストールしたコンシューマディレクトリのホスト名とポート番号を指定します。

コード例 5-2 serverconfig.xml ロードバランサの変更

<iPlanetDataAccessLayer>            <ServerGroup name="default" minConnPool="1"            maxConnPool="10">            <Server name="Server1"            host="idar.example.com" port="389"            type="SIMPLE" />

次のコマンドを実行して、Identity Server を再起動します。

/IdentityServer_base/SUNWam/bin/amserver start

注	ロードバランサを使用する Identity Server の設定方法の詳細は、付録 D 「ロードバランサの設定」を参照してください。

レプリケーションの警告

ディレクトリのレプリケーションを Identity Server 配備内に実装できない場合があります。たとえば、認証サーバーのホスト名または IP アドレスは同じでなければなりません。これにより、地理的に離れている、レプリカ Identity Server を使用することはできなくなります。リモートサーバーは、それぞれの LAN に対して単にローカルであるサーバーへの認証を実行することはできません。Directory Server のレプリケーションの計画および実装に関する総合的な情報については、『Sun ONE Directory Server 配備ガイド』を参照してください。

---

連携管理の実装

ここでは、Identity Server の連携管理機能を使用して配備設定を行う方法について説明します。このシナリオでは、ドメイン A、ドメイン B、およびドメイン C のそれぞれに 2 つの Identity Server インスタンス、および 1 つの Directory Server インスタンスが含まれるものとします。ドメイン A およびドメイン B は、それぞれサービスプロバイダ A およびサービスプロバイダ Bを保持します。ドメイン C は、アイデンティティプロバイダ C を保持します。

注	Identity Server では、1 つのサーバーインスタンス内に複数のプロバイダを受け入れることが可能です。

この連携シナリオを適正に管理するため、理解する必要のある概念が 2 つあります。

「ホストプロバイダ」は、特定の Identity Server インスタンスを、サービスプロバイダとして動作するものと定義します。
「リモートプロバイダ」には、Identity Server のインスタンスが設定されているマシンとは別のマシンをホストとする任意のタイプのプロバイダに関連するデータが含まれます。これは、Identity Server のインスタンスの場合もあれば、そうでない場合もあります。また、対応する任意のサービスプロバイダまたはアイデンティティプロバイダである可能性があります。

このため、上記の定義済みシナリオでは、サービスプロバイダ A は、自らをホストプロバイダとして、サービスプロバイダ B およびサービスプロバイダ C をリモートプロバイダとして、それぞれ設定します。サービスプロバイダ B は、自らをホストプロバイダとして、サービスプロバイダ A およびサービスプロバイダ C をリモートプロバイダとして、それぞれ設定します。サービスプロバイダ C は、自らをホストプロバイダとして、サービスプロバイダ A およびサービスプロバイダ B をリモートプロバイダとして、それぞれ設定します。これらの設定が完了したら、各ドメイン内に認証ドメインを作成できます。

前へ      目次      索引      次へ

---

Copyright 2003 Sun Microsystems, Inc. All rights reserved.