次に、各サーバを何台、ネットワーク上のどこに配置するか、可用性をどのように実現するかを決定する必要がある。
IceWallの場合、リバースプロキシの役割をするIceWallサーバと、認証情報を管理する認証サーバからなる。
IceWallサーバは、クライアントとアプリケーション間のネットワーク経路上に配置をすると、ネットワーク構成に影響を与えずセキュリティを高めることができる。
経路が複数存在する場合には、それぞれに、IceWallサーバを設置することも可能である。一方、認証サーバは、IceWallサーバとアプリケーションのみが通信をおこなう位置に配置する。セキュリティ上、クライアントから直接アクセスできない位置に配置することが望ましい。可用性対策としては、IceWallサーバはロードバランサによる並行稼働、認証サーバはレプリケーションを行う。
認証データベースは、認証サーバと同居でも構わないが、規模が大きい場合は別サーバとして、認証サーバの近くに導入することが望ましい。インターネットに接続する場合、セキュリティに特に注意を払う必要がある。セキュリティについては次ページのコラム「IceWall+SecurityContainmentが実現する鉄壁のセキュリティ」を参照してほしい。
SSOは、導入時に運用設計も十分に行っておくと、後で手戻りがなく効率が良い。運用には、通常運用、アプリケーション追加時運用、障害時運用の3種類がある。以下にその項目をリストアップする。
通常運用
アプリケーションの追加時運用
障害時対応
IceWallの場合はユーザー管理関連についてはHP IceWall Identity Manager、バックアップやアプリケーションの追加についてはHP IceWall SSO Configuration Managerなどの周辺製品がある。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.