複数の利用者からの認証要求やセションの評価要求が集中すると、認証サーバ、またはリポジトリサーバの負荷が高くなります。その場合には、認証サーバ、またはリポジトリサーバを追加することで、認証サーバ、またはリポジトリサーバの負荷を分散することができます。
認証サーバを複数配置し、認証サーバの負荷を分散させるシステム構成の設定例については、“認証サーバを複数のマシンに、リポジトリサーバを1台のマシンに構築する場合”を参照してください。
リポジトリサーバを複数配置し、リポジトリサーバの負荷を分散させるシステム構成については、“リポジトリサーバ(更新系)を増設する”を参照してください。
なお、旧バージョン互換のシステム構成である、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散することも可能です。ただし、リポジトリサーバ(参照系)は、運用によって使用されない場合があります。
リポジトリサーバの負荷を分散する場合は、リポジトリサーバ(更新系)を増設し、リポジトリサーバ(更新系)の負荷を分散するシステム構成で運用することを推奨します。
リポジトリサーバ(参照系)が使用されない運用については、“移行ガイド”の“Interstage運用操作、環境の移行”-“Interstage シングル・サインオンの移行”の“■旧バージョン・レベルからのサーバ環境の移行”を参照してください。
リポジトリサーバ(更新系)を増設する
リポジトリサーバ(更新系)を増設することで、認証サーバからの認証やセション評価などの要求に対して負荷を分散することができます。
上図は、認証サーバとリポジトリサーバの間にロードバランサを配置して、リポジトリサーバ(更新系)を複数台設置することにより、リポジトリサーバ(更新系)の負荷を分散しているシステム構成例です。
また、以下のように、リポジトリサーバと認証サーバを1台のマシンに構築した小規模システムの前にロードバランサを配置して、リポジトリサーバと認証サーバを複数配置することにより、負荷分散することも可能です。
SSOリポジトリは、複数のリポジトリサーバ(更新系)からの更新が可能で、更新が即時に反映される必要があります。ディレクトリサービスのデータベース共用機能を利用してSSOリポジトリを作成してください。
複数のリポジトリサーバ(更新系)は、論理的に1つのホスト名となるようにロードバランサを設定する必要があります。
各サーバで使用できるバージョン、エディションが異なります。システム構築時には十分注意してください。
使用できるバージョン、エディションについては、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“バージョン・エディション混在でシングル・サインオンシステムを構築する場合の注意事項”を参照してください。
リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散する
リポジトリサーバにおける認証処理を、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して行うことにより、リポジトリサーバ(参照系)の認証処理に対する負荷を分散することができます。
リポジトリサーバ(更新系)とリポジトリサーバ(参照系)に分散して認証処理を行うには、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[リポジトリサーバとの通信の設定]および[リポジトリサーバ(参照系)との通信の設定]にリポジトリサーバ(更新系)とリポジトリサーバ(参照系)を設定する必要があります。
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
上図は、認証サーバ、リポジトリサーバによる負荷分散を示したものです。
クライアントからの認証要求はロードバランサにより、各認証サーバに振り分けられます。
各認証サーバはリポジトリサーバ(更新系)とリポジトリサーバ(参照系)を複数指定することで、認証依頼時はリポジトリサーバ(参照系)に接続し、認証の最終確認時にはリポジトリサーバ(更新系)に接続します。各認証サーバで異なるリポジトリサーバ(参照系)を指定することにより、リポジトリサーバ(参照系)の負荷分散を行うことができます。
なお、リポジトリサーバ(更新系)のSSOリポジトリの情報を更新した場合は、ディレクトリサービスのレプリケーションを使用することによりリポジトリサーバ(参照系)のSSOリポジトリへ更新内容を自動的に反映することができます。
各認証サーバで優先して接続するリポジトリサーバ(参照系)を別々に設定することで、リポジトリサーバ(参照系)の負荷分散を行うことができます。
リポジトリサーバ(更新系)とリポジトリサーバ(参照系)を配置し、リポジトリサーバ(参照系)の負荷を分散させるシステム構成の設定例については“認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合”を参照してください。
リポジトリサーバを更新系と参照系に分けた運用を行う場合は、SSOリポジトリ(マスタ)とSSOリポジトリ(スレーブ)の内容の同期を取り、データの不整合によって不正な認証が行われてしまうことを回避してください。回避方法としては、ディレクトリサービスのレプリケーションを利用してSSOリポジトリ(マスタ)の内容をSSOリポジトリ(スレーブ)に複写する方法があります。
更新系と参照系のリポジトリサーバは、同じエディション/バージョンのリポジトリサーバを使用してください。
複数の認証サーバは、論理的に1つのホスト名となるようにロードバランサを設定する必要があります。
認証サーバにてSSL通信を行う場合には、SSL通信で使用する証明書の所有者名を各認証サーバで同じにする必要があります。具体的には、ロードバランサのホスト名をSSL通信で使用する証明書の所有者名とし、証明書の取得申請や登録をしてください。証明書の申請や登録については“2.4.1.1 SSL通信を行うための準備”を参照してください。
同じクライアントからのリクエストは、同じ認証サーバにリクエストが転送されるようにロードバランサを設定してください。
