第6章 III Studioを利用した設計
6.10 プラグイン処理の設計
6.10.1 処理プラグイン機能の設計手順
図1.36 例2:ファイル転送エージェントの処理プロセスを実行する場合
ファイル転送エージェントの処理プロセスを実行する場合、Information Integratorサーバの処理プロセスの実行の契機をイベント監視 で動作するようにします。これにより、ファイル転送エージェントから配付されたファイルがInformation Integratorサーバに到着した契機 で、Information Integratorサーバ側の処理プロセスの実行が開始されるようになります。
ここで利用するイベント監視は、他局主導でファイルを受信したときに自動的に後続処理が実行される機能を利用します。本機能につ いての詳細は、“1.6.5 イベント監視”を参照してください。
ポイント
ファイル転送エージェントとInformation Integratorサーバ間のファイル転送形態
ファイル転送エージェントとInformation Integratorサーバ間のファイル転送では、「FTP+」プロトコルを利用するように設計してください。
このとき、内部情報の通信を行うため、ファイル送受信の多重度設計は、内部情報の通信を考慮した設計を行う必要があります。詳細 は、 “8.1.5 ファイル送受信多重度の設計について”を参照してください。
ポイント
証明書管理パッケージ名は、以下のとおりです。
- UNIXの場合:FJSVsmeeパッケージ
- Windowsの場合:F3FSSMEEパッケージ
1.10.2 SSL通信のサポート範囲
SSL通信を利用可能な機能
Information Integratorサーバでは、以下の機能からHTTPプロトコルを利用するときにSSL通信が利用できます。なお、Information
Integratorサーバのデータソース定義ではSSL通信を利用したHTTPプロトコルをHTTPSプロトコルとして定義します。
・ III studio
・ デザインシート
なお、SSL2.0で起動側システムとして通信するInformation Integratorサーバの場合、自システムの証明書の取得は不要です。
SSL通信のプロトコルバージョンレベル
SSL通信にはプロトコルバージョンレベルとしてSSL2.0とSSL3.0があります。
各バージョンレベルの認証プロセスは以下のとおりです。
・ SSL2.0
応答側システムの認証を行います。応答側システムは自システムのサイト証明書を取得する必要があります。起動側システムは証 明書の取得は必要ありません。ただし、起動側システムは応答側システムの証明書を認証するために応答側システムに対して証 明書を発行した発行局の証明書を入手する必要があります。
図1.38 SSL2.0の場合の認証プロセス
注意
SSL2.0の利用はセキュリティ上推奨されていません。SSL3.0の利用を推奨します。
・ SSL3.0
起動側システムと応答側システム双方の認証を行います。どちらのシステムも証明書を取得する必要があります。また、相互に相 手システムの証明書を認証するため、相手システムに対して証明書を発行した発行局の証明書を入手する必要があります。
図1.39 SSL3.0の場合の認証プロセス
SSL通信の相手システムと暗号化通信
Information IntegratorサーバによるSSL通信は相手システムがInformation Integratorサーバ、またはLinkexpressの時に実行可能で
す。なお、Information Integratorサーバの場合、暗号化だけを行うSSL通信はサポートしていません。SSL通信で転送データの暗号化 を行う場合、証明書による相手認証が必要です。
証明書およびSSL通信で利用する暗号化鍵は証明書管理パッケージを利用して管理します。証明書管理パッケージの環境設定につ いては“セットアップガイド”を参照してください。
なお、SSL通信で使用する暗号化鍵はプロトコルバージョンレベルにかかわらず、起動側システムと応答側システムの両方で作成する 必要があります。
・ 処理プロセスの設計
データの収集、変換、配付などデータ統合の一連の処理(処理プロセス)を設計します。III Studioまたは、デザインシートで行いま す。
・ 動作環境の設計
各処理の多重度制御や、利用するデータベースの環境を設計します。
・ セキュリティの設計
システムを運用するためのセキュリティについての設計をします。
環境セットアップ
設計に基づいて、Information Integratorの利用環境をセットアップします。
セットアップには、処理プロセスの内容が記述された定義をInformation Integratorサーバに定義登録するまでのセットアップと、Information
Integratorサーバの運用を開始するまでのセットアップの2段階があります。
運用開始
定義した運用スケジュールに沿って、データ統合処理の運用を開始します。
運用開始後は、運用管理クライアントで、運用が正常に経過していることを確認できます。
ここでは、Information Integratorを利用するユーザーの種類について説明します。
3.1 ユーザーの種類
Information Integratorで管理するリソース(定義、データ)に対しては、Information Integrator内で利用者権限を設定し、リソース操作ご とに認証することで、リソースの保護を行います。
Information Integratorを利用するためのユーザーの種類には、以下があります。
・ Information Integrator特権ユーザー
・ Information Integrator運用ユーザー
各ユーザーについて、説明します。
Information Integrator特権ユーザー
Information Integratorのすべてのリソース操作が可能な唯一のユーザーです。以降、特権ユーザーと呼びます。特権ユーザーは、以 下の条件を満たしている必要があります。
注意
ユーザーIDに以下の文字は利用できません。
半角空白、!、$、%、&、’、(、)、^、~、{、}、#
Windowsの場合
・ Administratorsグループに属していること
・ 以下のOS権限があること
- オペレーティングシステムの一部として機能
- クォータの増加(プロセスのメモリクォータの増加)
※Administratorsグループであれば、デフォルトで付与されます。
- サービスとしてログオン
- トークンオブジェクトの作成
- プロセスレベルトークンの置き換え 権限を付与する手順を以下に示します。
1. コントロールパネルの管理ツールのローカルセキュリティポリシーを開きます。
2. [セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]で該当のポリシーを選択し、利用者IDを追加します。
UNIXの場合
rootユーザーを指定してください。
Information Integrator運用ユーザー
Information Integratorで提供するコマンドやIII Studio、運用管理クライアント、デザインシートの登録などを操作して運用する、サーバ
OSにログイン可能な一般ユーザーです。
運用ユーザーに付与される権限(どのリソースに対して、どのような操作が可能か)は、あらかじめ特権ユーザーが定めた設定に従いま す。
注意
ユーザーIDに以下の文字は利用できません。
半角空白、!、$、%、&、’、(、)、^、~、{、}、#
UNIXの場合
インストール時に指定したグループに属しているユーザーである必要があります。
クラスタ運用時は、必ず運用側、待機側システムともに同じグループを指定してインストールしてください。グループ名(例えば「sys」や
「iii」など)ではなく、グループID(数値)を同一にしてください。
・ Solarisの場合
「/usr/bin/id -a」の出力結果の「gid(一次グループ)」と「groups(二次グループ)」が同じであることを確認してください。
・ Linuxの場合
「/usr/bin/id -a」の出力結果の「gid(一次グループ)」と「所属グループ(二次グループ)」が同じであることを確認してください。
例
インストール時に指定したグループが「iii」(gid=7002)の場合
Information Integrator運用ユーザーとしてのユーザーの利用可否について、「/usr/bin/id -a」の出力結果別に説明します。
なお、以下の出力例は、実際の出力例とは一部異なります。上記の説明に必要な内容のみ抜粋して説明しています。
・ 利用可能
「gid」が同一のため、利用可能です。
uid=6001(iiiuser) gid=7002(iii) groups=7002(iii),7003(apgrp)
・ 利用不可
「gid」が異なるため、利用できません。
uid=6002(iiiuser2) gid=7003(apgrp) groups=7002(iii),7003(apgrp)
3.2 各ユーザーの操作範囲
各ユーザーは、以下の操作を行うことが可能です。
操作 操作内容 特権ユーザー 運用ユーザー
権限付与の可否 セットアップ Information Integratorの動作環境をセット
アップします。
○ ×
注1 起動/停止 Information Integratorの環境を起動/停止
します。以下を起動/停止できます。
・ Information Integratorサーバ
・ Symfoware Server
定義操作 III Studioまたは、デザインシートで定義を
作成して、実行環境に登録します。
○
III Studioまたは、デザインシートで定義を
参照します。
○
操作 操作内容 特権ユーザー 運用ユーザー 権限付与の可否 処理プロセス操作・運用 処理プロセス実行および監視操作を行い
ます。
○ 注2 データ参照 異常時など必要に応じてデータを参照しま
す。
注3
○:権限付与可能
×:権限付与不可
必ず特権ユーザーが行う操作です。
注1:Windowsの場合、Administratorグループに属す他のユーザーIDでも実行可能ですが、特権ユーザーと同じOS権限が必要と
なります。そのため、特権ユーザーで実行するようにしてください。
注2:処理プロセスをグルーピングし、グループ単位に処理プロセス操作・運用が可能なユーザーを設定します。
処理プロセスグループの設計は、“3.3 処理プロセスの操作・運用を行う運用ユーザーの設計”を参照してください。
注3:処理プロセスの実行中に格納したデータは、処理プロセスを実行した運用ユーザーのみが参照できます。
権限の設定方法
特権ユーザーの設定および定義操作を行う運用ユーザーの権限の設定は、“セットアップガイド”を参照してください。
処理プロセス操作・運用を行う運用ユーザーの権限の設定については、“3.3 処理プロセスの操作・運用を行う運用ユーザーの設計”
を参照してください。
3.3 処理プロセスの操作・運用を行う運用ユーザーの設計
処理プロセスの操作・運用を行う運用ユーザーを決めます。
以下のように、Information Integratorで運用する処理プロセスを、グルーピングします。グルーピングした処理プロセスごとに、操作・運 用するユーザーを決めます。