マスタ シークレット サーバー

マスター シークレット サーバーは、マスター シークレット (暗号化キー) を格納するエンタープライズ シングル Sign-On (SSO) サーバーです。 マスタ シークレット サーバーでは、SSO 管理者からの要求に応じてマスタ シークレットを生成します。 また、暗号化されたマスタ シークレットをレジストリに格納します。 マスタ シークレットにアクセスできるのは、シングル サインオン管理者だけです。

その他のシングル サインオン サーバーでは、マスタ シークレットが変更されたかどうかを 30 分ごとに確認します。 変更されている場合、そのマスタ シークレットをセキュリティで保護して読み取ります。変更されていない場合は、既にメモリにキャッシュされているマスタ シークレットを引き続き使用します。 SSO サービスでは、マスタ シークレットを使用してユーザーの資格情報を暗号化および復号化します。

SSO システムは、SSO 管理者がマスタ シークレット サーバーを構成し、マスタ シークレットを生成するまで使用できません。 マスタ シークレット サーバーでは、構成中にマスタ シークレットを生成します。 マスタ シークレットを生成できるのは、SSO 管理者だけです。 SSO 管理者は、アプリケーションで SSO サービスを使用する前に、マスター シークレット サーバーと資格情報データベースを構成する必要があります。

重要

マスタ シークレットを生成したら、そのマスタ シークレットをバックアップし、セキュリティで保護された場所に格納しておくことをお勧めします。

SSO 管理者がマスタ シークレットを定期的に変更する場合など、SSO 管理者がマスタ シークレットを再生成する必要がある場合、マスタ シークレット サーバーには、新旧両方のマスタ シークレットが格納されます。 次に、マスタ シークレット サーバーでは、すべてのマッピングに対して、古いマスタ シークレットを使用して復号化を行い、新しいマスタ シークレットを使用して暗号化を行います。

マスター シークレット サーバーが失敗した場合、既に実行されているすべてのランタイム操作は引き続き実行されますが、SSO サーバーは新しい資格情報を暗号化できません。

重要

SSO システムに配置できるマスター シークレット サーバーは 1 台のみです。 このため、マスタ シークレット サーバーをクラスタ化することをお勧めします。 詳細については、「 マスター シークレット サーバーをクラスター化する方法」を参照してください。

参照

Enterprise Single Sign-On タスク
マスター シークレットの管理