マスター シークレット サーバーは、マスター シークレット (暗号化キー) を格納するエンタープライズ シングル Sign-On (SSO) サーバーです。 マスター シークレット サーバーは、SSO 管理者から要求されたときにマスター シークレットを生成します。 マスター シークレット サーバーは、暗号化されたマスター シークレットをレジストリに格納します。 マスター シークレットにアクセスできるのは、単一の Sign-On 管理者だけです。
他の単一 Sign-On サーバーは、マスター シークレットが変更されたかどうかを 30 秒ごとに確認します。 変更された場合は、安全に読み取られます。それ以外の場合は、既にメモリにキャッシュされているマスター シークレットを引き続き使用します。 SSO サービスでは、マスター シークレットを使用して、ユーザー資格情報の暗号化と暗号化解除を行います。
SSO 管理者がマスター シークレット サーバーを構成し、マスター シークレットを生成するまで、SSO システムを使用することはできません。 マスター シークレット サーバーは、構成中にマスター シークレットを生成します。 マスター シークレットを生成できるのは SSO 管理者だけです。 SSO 管理者は、アプリケーションが SSO サービスを使用する前に、マスター シークレット サーバーと資格情報データベースを構成する必要があります。
Important
マスター シークレットを生成した後は、バックアップして安全な場所に保存することを強くお勧めします。
SSO 管理者がマスター シークレットを再生成する必要がある場合 (たとえば、SSO 管理者がマスター シークレットを定期的に変更する場合)、マスター シークレット サーバーには古いマスター シークレットと新しいマスター シークレットの両方が格納されます。 マスター シークレット サーバーは、すべてのマッピングを通過し、古いマスター シークレットを使用してそれらを復号化し、新しいマスター シークレットを使用して再度暗号化します。
マスター シークレット サーバーが失敗した場合、既に実行されているすべてのランタイム操作は引き続き実行されますが、SSO サーバーは新しい資格情報を暗号化できません。
Important
SSO システムにはマスター シークレット サーバーが 1 つだけ存在できます。 そのため、マスター シークレット サーバーをクラスター化することを強くお勧めします。 詳細については、「 マスター シークレット サーバーをクラスター化する方法」を参照してください。