17.5 タイムアウトおよびセッション同期の理解

次の各項で、マルチデータ・センターにおけるセッション・タイムアウトおよび同期の扱いについて説明します。

17.5.1 最大セッション制約

資格証明コレクタ・ユーザーのアフィニティによって、ユーザー当たりの最大セッション制約が確実に遵守されます。

ユーザー当たりの許容最大セッション数を検証するためのマルチデータ・センター・セッション・ストアはありません。

17.5.2 アイドル・タイムアウトに関するマルチデータ・センターのポリシー構成

OAM_IDおよびOAM_GITOのCookieを使用してアイドル(非アクティブ)タイムアウトが計算され、適用されます。ただし、OAM_GITO Cookieを設定できるのは、Webゲート間に共通のサブドメインがある場合のみです。したがって、マルチデータ・センターのポリシーは、OAM_GITO Cookieが設定されているかどうかに基づいて構成する必要があります。

表17-1は、ポリシー構成をまとめたものです。

表17-1 アイドル・タイムアウトに関するマルチデータ・センターのポリシー構成

OAM_GITO設定済マルチデータ・センターのポリシー

OAM_GITO設定済	マルチデータ・センターのポリシー
はいアイドル・タイムアウトは最新の`OAM_GITO` Cookieから計算されます	SessionMustBeAnchoredToDataCenterServicingUser=<true/false> SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure=<true/false> MDCGitoCookieDomain=<sub domain>
いいえ `OAM_GITO`が使用できないため、アイドル・タイムアウトは`OAM_ID` Cookieから計算されます	SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure=<true/false> #MDCGitoCookieDomain= この設定はコメント化または削除する必要があります。

はい

アイドル・タイムアウトは最新のOAM_GITO Cookieから計算されます

SessionMustBeAnchoredToDataCenterServicingUser=<true/false>

SessionDataRetrievalOnDemand=true

Reauthenticate=false

SessionDataRetrievalOnDemandMax_retry_attempts=<number>

SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds>

SessionContinuationOnSyncFailure=<true/false>

MDCGitoCookieDomain=<sub domain>

いいえ

OAM_GITOが使用できないため、アイドル・タイムアウトはOAM_ID Cookieから計算されます

SessionMustBeAnchoredToDataCenterServicingUser=false

SessionDataRetrievalOnDemand=true

Reauthenticate=false

SessionDataRetrievalOnDemandMax_retry_attempts=<number>

SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds>

SessionContinuationOnSyncFailure=<true/false>

#MDCGitoCookieDomain= この設定はコメント化または削除する必要があります。

17.5.3 マルチデータ・センターのセッションの失効

セッション失効の管理は、ユーザーがアフィニティを持つデータ・センターによって行われます。

ユーザーと特定のデータ・センターとのアフィニティは、グローバル・トラフィック・マネージャまたはロード・バランサに基づきます。

17.5.4 セッション同期とマルチデータ・センターのフェイルオーバー

ユーザーのリクエストに対応する有効なセッションがリモート・データ・センターに存在する場合、MDCセッション同期化ポリシーに基づいて、リモート・セッションの属性は、現行リクエストを処理するデータ・センターに移行され同期されます。同期が失敗しても、データ・センター間のWebゲート・フェイルオーバーがMDCでサポートされているため、データ・センターは引き続きリクエストされたリソースにアクセスできます。

Access Managerサーバー側セッションは、シングル・サインオン(SSO)資格証明に基づいて作成および維持されます。セッションの中で保存される属性には(これに限定されるわけではありません)、ユーザー識別子、アイデンティティ・ストア参照、サブジェクト、カスタム属性、パートナ・データ、クライアントIPアドレスおよび認証レベルがあります。SSOが許可されるのは、サーバーがユーザーのリクエストに対応する有効なセッションを特定できる場合です。

マルチデータ・センターのシナリオでは、ユーザー・リクエストがデータ・センター間をホップするときに、そのリクエストを処理するデータ・センターが、正当なセッションかどうかの検証をローカルで、およびデータ・センター間で行う必要があります。特定のリクエストに対する有効なセッションがリモートのデータ・センターに存在する場合は、MDCセッション同期ポリシーに基づいてリモート・セッションを現在のデータ・センターに移行する必要があります。(「マルチデータ・センター・デプロイメント」を参照してください。)このセッション同期のときに、リモート・セッションからのすべてのセッション属性が、現在のリクエストを処理するデータ・センターで新規作成されたセッションに同期されます。

マルチデータ・センターでは、データ・センター間のWebゲートのフェイルオーバーもサポートされます。Webゲートが別のデータ・センターにフェイルオーバーするときは、最初のデータ・センターのサーバーが停止しているため、セッション・データの同期はできません。したがって、2つ目のデータ・センターがSessionContinuationOnSyncFailureの設定に基づいて、セッション・アダプションを続行するかどうかを決定します。trueのときは、リモートのデータ・センターへのOAP通信が失敗しても、現在のリクエストを処理するデータ・センターはCookie内の必須属性に基づいてローカルに新規セッションを作成できます。これで、同期エラーがあってもリクエストされたリソースへのシームレスなアクセスが可能になります。表17-2は、セッション同期とフェイルオーバーの代表的なシナリオをまとめたものです。この表のパラメータの詳細は、表18-4を参照してください。

表17-2 セッション同期とフェイルオーバーのシナリオ

MDCデプロイメント	MDCポリシー	リモート・セッションの検証	リモートDCからのユーザーを処理するDCでのセッション同期	リモート・セッションの終了	ユーザーに対するチャレンジ
アクティブ/アクティブ	SessionMustBeAnchoredToDataCenterServicingUser=true SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= false MDCGitoCookieDomain=<sub domain>	はい	はい	はい	有効なセッションがリモート・データ・センターで見つからないとき
アクティブ/アクティブ	SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<millisecon ds> SessionContinuationOnSyncFailure= false MDCGitoCookieDomain=<sub domain>	はい	はい	いいえ	有効なセッションがリモート・データ・センターで見つからないとき
アクティブ/スタンバイ	SessionMustBeAnchoredToDataCenterServicingUser=true SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<millisecon ds> SessionContinuationOnSyncFailure= false MDCGitoCookieDomain=<sub domain>	検証できない(リモートDCが停止しているため)	いいえ(リモートDCが停止しているため)	終了できない(リモート・データ・センターが停止しているため)	はい
アクティブ/スタンバイ	SessionMustBeAnchoredToDataCenterServicingUser=true SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= true MDCGitoCookieDomain=<sub domain>	検証できない(リモート・データ・センターが停止しているため)	いいえ(リモート・データ・センターが停止しているため)	終了できない(リモート・データ・センターが停止しているため)	いいえ有効なCookie内の詳細情報を使用してローカル・セッションを作成することにより、シームレスなアクセスを提供