次の方法で共有

エンタープライズ シングル サインオンの高可用性

  • [アーティクル]

資格情報のマッピングとシングル サインオンに Enterprise Single-Sign-On (SSO) 機能を使用しない場合でも、SSO は Microsoft BizTalk Server インフラストラクチャ全体の重要な部分です。BizTalk Serverは SSO を使用して受信場所の情報をセキュリティで保護するためです。

SSO サービスをインストールする 1 台目のコンピューターは、マスター シークレット サーバーとして構成する必要があります。 マスター シークレット サーバーは、マスター シークレット (暗号化キー) を格納する SSO サーバーです。 マスター シークレットとは、SSO システムが、SSO データベースに格納したデータの暗号化および復号化に使用する暗号化キーのことです。

SSO サーバーに障害が発生しても、同じホスト インスタンスを実行する他の BizTalk Server コンピューター (SSO サーバー) が用意されていれば、その SSO サーバーが処理を引き継ぎます。 つまり、マスター シークレット サーバーの機能は失われることなく、BizTalk Server が処理を続行できます。

マスター シークレット サーバーで障害が発生した場合も、それ以前に実行されていた処理は、資格情報の復号化を含めてすべて正常に続行されます。 ただし、それ以降、新たに資格情報を暗号化することはできなくなります。 BizTalk Server 環境は、可用性の点でマスター シークレット サーバー対する依存関係があります。この概念を示したものが次の図です。

障害点TDI_HighAva_PointsFailure_MSS

Note

マスター シークレット サーバーが使用できなくなった場合でも、BizTalk Serverホスト インスタンスは、マスター シークレットのメモリ内キャッシュ コピーを使用して、次のまでランタイム操作を実行できます。

  • ホスト インスタンスが再起動する。

    • BizTalk ホスト インスタンスを実行するコンピューター上の SSO サービスが再起動する。
    • SSO マスター シークレットが変更される。

    SSO サービスがBizTalk Server コンピューターで再起動された場合、または SSO マスター シークレットが変更された場合、マスター シークレットのキャッシュされたコピーはメモリから解放され、BizTalk Serverはマスター シークレット サーバーに接続してマスター シークレットの別のコピーを取得できる必要があります。 マスター シークレット サーバーが利用できない場合、暗号化のためにマスター シークレット サーバーへのアクセスを必要とする管理操作は失敗します。

マスター シークレット サーバーの可用性を確保する方法

SSO システムの可用性、ひいては、BizTalk Server 環境の可用性を確保するためには、マスター シークレットが生成された時点で速やかにバックアップすることが不可欠です。 マスター シークレットを失うことは、SSO システムがそのマスター シークレットを使って暗号化したデータを失うことを意味します。 マスター シークレットのバックアップの詳細については、「マスター シークレット をバックアップする方法」を参照してください。

マスター シークレット サーバーの可用性は、次の 2 とおりの方法で確保することができます。

  • 一定水準の可用性を確保する。 マスター シークレットは、すべての SSO サーバーのメモリ内にキャッシュされるため、マスター シークレット サーバーに障害が発生してもランタイムの操作は続行します。 ただし、ポート構成または SSO 構成を変更することはできなくなります。 BizTalk Server ランタイムは問題なく処理を続行しますが、設計上の変更を加えることは一切できません。

    決して高い水準の可用性を実現することはできませんが、ほとんどの場合、この構成でも一定水準の可用性を確保することはできます。また、受信ホスト、送信ホスト、および処理ホストをスケールアウトすることもできます。

  • 高可用性。 マスター シークレット サーバーの冗長性を確保するには、Windows クラスタリングを使用して別にマスター シークレット サーバーをクラスター化するか、マスター シークレット サーバーを既存のデータベース クラスター上に構成します。 マスター シークレット サーバーによって提供されるサービスは、それほど多くのリソースを消費しません。データベース クラスターにインストールしたとしても、データベースの機能やパフォーマンスに影響を与えることはありません。 次の図は、マスター シークレット サーバーに高水準の可用性を確保する方法を示したものです。

    高可用性マスター シークレット サーバー

    この構成では高い可用性が実現される反面、追加のハードウェア リソースが必要になります。 SSO の高可用性インストール オプションの詳細については、「 高可用性 SSO インストール オプション」を参照してください。 このセクションでは、Windows Server クラスターにおける SSO マスター シークレット サーバーの高可用性クラスター リソースとしての構成について詳しく説明します。

    Note

    高水準の可用性を実現するソリューションで、ハードウェア リソースをできるだけ抑えるためには、マスター シークレット サーバーを SQL Server クラスターのクラスター リソースとして追加します。 SSO サービスを別のコンピューターにインストールするために、追加のBizTalk Server ライセンスを購入する必要はありません。

参照

BizTalk Server データベースのクラスタリング
高可用性 BizTalk Server 環境の構築
マスター シークレット サーバーをクラスター化する方法