[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00676] Re: 【重要】 SpringerLink への接続について



西村です。

>   SpringerLinkの証明書が更新されることにより、IdPのメタデータ自動更新
>   が行われる最大3時間ほどSpringerLinkにアクセスできない

ちなみに、「最大3時間」というのはShibbolethのデフォルト値で、(ネットワーク障害が
なければ)3時間毎にメタデータをダウンロードしているため、運悪く22時直前にダウンロード
していれば、16日1時直前までエラーが発生することになります。

この挙動は、下記ページのMetadataProviderの maxRefreshDelay, refreshDelayFactor 
および cacheDuration が影響します。
これらが指定されていなければ、
	maxRefreshDelay(4時間) x refreshDelayFactor(0.75)
で「3時間」が算出されます。
# cacheDuration は maxRefreshDelay の昔の表記です。

https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider#IdPMetadataProvider-FileBackedHTTPMetadataProvider

On 2013/08/14, at 16:15, 国立情報学研究所 学認事務局 星野 <xxxxxxxxxxxxxx@xxxxxxxxx> wrote:

>  学認情報交換MLメンバー 各位
> 
> 下記の日程でSpringerLinkの証明書更新が行われるため、更新時間に合わせて新しいメタデータを公開する予定です。
> 
> SpringerLinkを利用される場合、証明書の更新からIdP側で新しいメタデータの再読み込みが完了するまでの期間は、SpringerLinkでの認証がエラーとなる可能性がありますので、これを回避するためには、後述するいずれかの方法にて新しいメタデータの再読み込みをお願いいたします。
> 
> 
> 1. SpringerLinkの証明書更新
>   平成25年 8月 15日  22:00 (JST) (予定)
> 
> 2. 影響範囲
>   SpringerLinkの証明書が更新されることにより、IdPのメタデータ自動更新
>   が行われる最大3時間ほどSpringerLinkにアクセスできない
>   (認証がエラーとなる)可能性があります。
> 
> 3. 対応方法
>   SpringerLinkの証明書更新に合わせて、新しいメタデータを公開します。
>   下記の方法にてIdPが読み込むメタデータが更新されていることを確認して
>   ください。
> 
>   - IdPのメタデータ自動更新
>     IdPでは定期的にメタデータを更新しています。当該時刻以降に新しいメ
>     タデータが再読み込みされていることを確認してください。
> 
>   - 手動によるメタデータ更新
>     Tomcatを再起動することにより、任意のタイミングでメタデータを再取得・
>     再読み込みすることが可能です。当該時間以降にTomcatの再起動を実施し
>     て、メタデータが再読み込みされていることを確認してください。
> 
> 4. 備考
>   学認ではSPの証明書更新時に新旧証明書を並行運用することによって、証明
>   書の更新時にSPが利用できない期間を作らないように運用することを推奨し
>   ています。
> 
>   https://www.gakunin.jp/docs/fed/technical/sp/keyrollover
> 
>   SpringerLinkではOpenAMを採用していることから、新旧証明書を並行運用で
>   きない制限があり、証明書更新からメタデータが各IdPに伝播するまでの間
>   は認証ができなくなります。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890