[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00676] Re: 【重要】 SpringerLink への接続について
- Subject: [upki-fed:00676] Re: 【重要】 SpringerLink への接続について
- Date: Thu, 15 Aug 2013 08:39:46 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
> SpringerLinkの証明書が更新されることにより、IdPのメタデータ自動更新
> が行われる最大3時間ほどSpringerLinkにアクセスできない
ちなみに、「最大3時間」というのはShibbolethのデフォルト値で、(ネットワーク障害が
なければ)3時間毎にメタデータをダウンロードしているため、運悪く22時直前にダウンロード
していれば、16日1時直前までエラーが発生することになります。
この挙動は、下記ページのMetadataProviderの maxRefreshDelay, refreshDelayFactor
および cacheDuration が影響します。
これらが指定されていなければ、
maxRefreshDelay(4時間) x refreshDelayFactor(0.75)
で「3時間」が算出されます。
# cacheDuration は maxRefreshDelay の昔の表記です。
https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider#IdPMetadataProvider-FileBackedHTTPMetadataProvider
On 2013/08/14, at 16:15, 国立情報学研究所 学認事務局 星野 <xxxxxxxxxxxxxx@xxxxxxxxx> wrote:
> 学認情報交換MLメンバー 各位
>
> 下記の日程でSpringerLinkの証明書更新が行われるため、更新時間に合わせて新しいメタデータを公開する予定です。
>
> SpringerLinkを利用される場合、証明書の更新からIdP側で新しいメタデータの再読み込みが完了するまでの期間は、SpringerLinkでの認証がエラーとなる可能性がありますので、これを回避するためには、後述するいずれかの方法にて新しいメタデータの再読み込みをお願いいたします。
>
>
> 1. SpringerLinkの証明書更新
> 平成25年 8月 15日 22:00 (JST) (予定)
>
> 2. 影響範囲
> SpringerLinkの証明書が更新されることにより、IdPのメタデータ自動更新
> が行われる最大3時間ほどSpringerLinkにアクセスできない
> (認証がエラーとなる)可能性があります。
>
> 3. 対応方法
> SpringerLinkの証明書更新に合わせて、新しいメタデータを公開します。
> 下記の方法にてIdPが読み込むメタデータが更新されていることを確認して
> ください。
>
> - IdPのメタデータ自動更新
> IdPでは定期的にメタデータを更新しています。当該時刻以降に新しいメ
> タデータが再読み込みされていることを確認してください。
>
> - 手動によるメタデータ更新
> Tomcatを再起動することにより、任意のタイミングでメタデータを再取得・
> 再読み込みすることが可能です。当該時間以降にTomcatの再起動を実施し
> て、メタデータが再読み込みされていることを確認してください。
>
> 4. 備考
> 学認ではSPの証明書更新時に新旧証明書を並行運用することによって、証明
> 書の更新時にSPが利用できない期間を作らないように運用することを推奨し
> ています。
>
> https://www.gakunin.jp/docs/fed/technical/sp/keyrollover
>
> SpringerLinkではOpenAMを採用していることから、新旧証明書を並行運用で
> きない制限があり、証明書更新からメタデータが各IdPに伝播するまでの間
> は認証ができなくなります。
--
西村健
国立情報学研究所 TEL:03-4212-2890