[upki-fed:00719] Re: IdPの冗長化について

[TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>]

豊橋技術科学大学の土屋です．

他の方から回答がないようなので．

>> On Tue, 01 Oct 2013 17:21:31 +0900
>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:

>本運用開始前に、IdPの冗長化について検討しているのですが、前提としてSSLの
>ハードウェアアクセラレータが利用できる環境にあり、stickyなサーバの割り振
>りは可能です。

>この状況で、状態情報の共有に関して検討してみたのですが、

>「もし滅多にShibbolethのサーバ落ちないのであれば、性能に影響を与える状態
>情報の共有をせずに、その時だけ再認証してもらえばいいのでは？」

>という疑問がふつふつと持ち上がってきたのですが、この認識は間違っているで
>しょうか？

http://www.nii.ac.jp/?action=common_download_main&upload_id=800

の p.12 に記述してありますが，本学では IdP を active-standby の2台構成に
していて，サーバが切り替わったときのみ再認証してもらうという運用をしてい
ます．

>おそらく、利用しているアプリケーションが、冗長サーバのダウン時に即座に使
>えなくなる、というわけではないのではないかと想像するのですが、その辺りど
>のような感じなのでしょう？

ある1つの SP を使い続けているだけなら，セッションタイムアウトまでは使える
はずだと思います．

別の SP に切り替えると，その時点で IdP への問い合わせが発生して，再認証が
必要になるはずと思います．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )