この節では，統合ユーザ管理機能の設定手順について説明します。

Application Serverでは，Application Serverで構築したシステムにログインするユーザを統合管理できます。統合ユーザ管理では，それぞれのJ2EEアプリケーションが管理しているユーザの情報が関連づけて管理され，一度のログイン処理でさまざまなJ2EEアプリケーションにログインできるようになります。統合ユーザ管理機能を使用する場合は，ユーザ認証情報を格納するLDAPディレクトリサーバや，統合ユーザ管理のコンフィグレーションファイルを設定する必要があります。

なお，統合ユーザ管理機能を使用するためには，J2EEアプリケーションの開発時に，JAASのAPIおよびApplication Serverが提供している統合ユーザ管理API，ならびにJSPタグライブラリを使用して，標準ログインモジュールを呼び出す認証処理プログラムを作成しておく必要があります。また，それぞれのアプリケーションで独自の認証処理をする場合は，カスタムログインモジュールを作成する必要があります。作成方法については，「5.13　カスタムログインモジュールを使用したユーザ認証の実装」を参照してください。

統合ユーザ管理機能の設定手順を次の図に示します。

図5-24　統合ユーザ管理機能の設定手順

図中の1.〜9.について説明します。

1. ユーザ管理方法を検討し，同一の認証ポリシーを適用する範囲（レルム）を決定します。
   ユーザを管理する単位を検討し，対応するレルム名を決定します。レルム名の決定については，「5.15　レルム名の決定」を参照してください。
   
2. LDAPディレクトリサーバを設定します。
   シングルサインオンを使用する場合には，シングルサインオン用のユーザ情報をLDAPディレクトリサーバで管理しますので，LDAPディレクトリサーバが必要です。LDAPディレクトリサーバの設定については，「5.16　LDAPディレクトリサーバの設定」を参照してください。
   シングルサインオンを使用しないでRDB（HiRDBやOracleなど）の提供するユーザ認証だけを使用する場合は，この手順は不要です。
   
3. ユーザ認証に使用するユーザ情報をLDAPディレクトリサーバ，またはRDBに登録します。
   LDAPディレクトリサーバへのユーザ情報の登録については，「5.17　ユーザ情報の登録」を参照してください。なお，Application Serverでは，LDAPディレクトリサーバに格納するユーザ管理リポジトリの標準的なDIT構造を規定しています。リポジトリの構造については，「5.2.4　統合ユーザ管理で使用するユーザ情報の管理方法」を参照してください。
   RDBへのユーザ情報の登録については，使用しているRDBのマニュアルを参照してください。
   
4. シングルサインオンを使用する場合で，シングルサインオン用のユーザ情報を暗号化したいときは，ユーザ情報を暗号化または復号化するための暗号鍵ファイルを作成します。
   暗号鍵ファイルの作成については，「5.18　暗号鍵ファイルの作成（シングルサインオンを使用する場合）」を参照してください。
   シングルサインオンを使用しない場合，またはユーザ情報を暗号化しない場合，この手順は不要です。
   
5. シングルサインオンを使用する場合は，シングルサインオン用のユーザ情報をLDAPディレクトリサーバに登録します。
   LDAPディレクトリサーバへのシングルサインオン用のユーザ情報の登録については，「5.19　ユーザ情報の登録（シングルサインオンを使用する場合）」を参照してください。なお，Application Serverでは，LDAPディレクトリサーバに格納するシングルサインオン用のユーザ管理リポジトリの標準的なDIT構造を規定しています。リポジトリの構造については，「5.2.4　統合ユーザ管理で使用するユーザ情報の管理方法」を参照してください。
   シングルサインオンを使用しない場合，この手順は不要です。
   
6. コンフィグレーションファイルを作成します。
   作成するファイルは，次の2種類です。
   
   • jaas.conf（JAASのコンフィグレーションファイル）
   • ua.conf（統合ユーザ管理のコンフィグレーションファイル）
   コンフィグレーションファイルの作成については，「5.20　コンフィグレーションファイルの作成」を参照してください。
   
7. JavaVMのプロパティを設定します。
   JavaVMのプロパティの設定については，「5.21　JavaVMのプロパティの設定」を参照してください。
   
8. 統合ユーザ管理で使用するEARファイルをデプロイします。
   ファイルのデプロイについては，「5.22　ファイルのデプロイ」を参照してください。
   
9. 必要に応じて，統合ユーザ管理で使用する情報のバックアップを取ります。
   LDAPディレクトリサーバのリポジトリのバックアップとリストアは，LDAPディレクトリサービスが提供するコマンド，またはディレクトリゲートウェイで操作します。詳細については，LDAPディレクトリサーバのマニュアルを参照してください。
   jaas.conf，ua.conf，および暗号鍵ファイルのバックアップも取るようにしてください。
   

   参考

   統合ユーザ管理では，セッションフェイルオーバ機能を使用することで，ログイン状態を別のJ2EEサーバに引き継ぐことができます。セッションフェイルオーバ機能を使用するためのセッションフェイルオーバ用フィルタの設定は，統合ユーザ管理機能を使用する場合と使用しない場合で異なります。設定方法については，マニュアル「アプリケーションサーバ 機能解説 互換編」の「6.12.1　DDの作成」の統合ユーザ管理機能を使用する場合の設定を参照してください。