プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

17.7 マルチデータ・センターに関する推奨事項

この項では、マルチデータ・センター機能に関する推奨事項を示します。

17.7.1 共通ドメインの使用

Webゲートはドメイン・スコープ指定とし、すべてのWebゲートおよびOAM Server資格証明コレクタで1つの共通ドメインを推測できるようにすることをお薦めします。これで、Webゲートが、OAM Serverとの間で共有される暗号化GITO Cookieを設定できるようになります。

たとえば、Webゲートがapplications.abc.comで構成され、OAM Server資格証明コレクタがserver.abc.comで構成されている場合は、GITO Cookieの設定に使用される共通ドメインはabc.comです。共通ドメインを推測できないシナリオの場合は、GITO Cookieを設定することは意味がありません。あるデータ・センターが他のデータ・センターの最新ユーザー・セッションを認識していないこともあるためです。この結果として、そのデータ・センターは古いセッション・データに基づいてセッション・アイドル・タイムアウトを計算し、他にアクティブなセッションがどこかに存在しているとしても、ユーザーの再認証が必要になる可能性があります。

ノート:

SessionContinuationOnSyncFailureプロパティが設定されているときは、同様の問題がサーバー・フェイルオーバー時に発生します。期待される動作は、OAM_ID Cookieの内容からセッションを取り出すことです。実際の非アクティブ・タイムアウト値をGITO Cookieから取り出すことが不可能であるため、再認証が発生します。

WebゲートおよびOAMサーバーの共通Cookieドメインがないときは、アイドル・タイムアウトの問題に対処するために、構成を次のとおりに変更してください。

  • MDCGitoCookieDomainプロパティを入力プロパティ・ファイルから削除した後に、WLSTのenableMultiDataCentreModeコマンドを実行します。

  • 認可中はWebゲートCookieをリフレッシュできないため、WebゲートCookieの有効期間の値をセッション・アイドル・タイムアウト・プロパティの値よりも低く設定します。セッション・アイドル・タイムアウトの値が30分で、WebゲートCookieの有効期間の値が15分とすると、認証を行うデータ・センターでは15分ごとにセッションがリフレッシュされます。

    ノート:

    10g Webゲートの場合、トークンはWebゲートによって期限切れにならないため、ベースDC (認証DC)のセッションがアイドル・タイムアウトするまで、サーバーは引き続き10g WebゲートCookieを使用します。

17.7.2 DCCおよびOAM_GITOに関する事項

OAM_GITO Cookieは、DCCを使用する場合は適用されません。

理由は次のとおりです:

  • #MDCGitoCookieDomain=設定をコメント・アウトする必要があります。

  • SessionMustBeAnchoredToDataCenterServicingUserパラメータをfalseに設定する必要があります。

  • WebゲートCookieの有効期限の間隔の詳細は、「共通ドメインの使用」を参照してください。

17.7.3 外部ロード・バランサの使用

Access Managerでは、11g SDK APIを使用してセッション・データを取得しますが、このAPIでは、構成済プライマリ・サーバー・セット内でのSDKベースのロード・バランシングがサポートされていません。外部のTCPベースのロード・バランサを、高パフォーマンスが期待されているデータ・センター・ノードのOAPエンドポイントのフロント・エンドとして使用します。

ノート:

プライマリとセカンダリのOAMサーバー間のフェイルオーバーは、11g SDK APIの現行リリースでサポートされています。

17.7.4 最大セッション数の遵守

一般的なマルチデータ・センターのシナリオでは、ユーザーの認証は、そのユーザーが地理的にアフィニティを持つデータ・センターに対して行われます。まれなシナリオとして、特定のユーザーのユーザー認証とセッション作成が複数のメンバー・データ・センターにわたる場合は(地理的アフィニティと負荷スパイクを回避)、マルチデータ・センター・トポロジ全体でのそのユーザーの最大セッション数は遵守されません。

17.7.5 認可時にWebゲートCookieをリフレッシュできない

認可中はWebゲートCookieをリフレッシュできないため、WebゲートCookieの有効期間の値をセッション・アイドル・タイムアウト・プロパティの値よりも低く設定します。

セッション・アイドル・タイムアウトの値が30分で、WebゲートCookieの有効期間の値が15分とすると、認証を行うデータ・センターでは15分ごとにセッションがリフレッシュされます。WebゲートCookieの有効期限を2分未満に設定することをお薦めします。

ノート:

10G Webゲートのトークンの有効期限は、Webゲートではなくサーバーによって実行されるため、これは10G Webゲートでは機能しません。ベースDC (認証DC)のセッションがアイドル・タイムアウトするまで、サーバーは引き続き10g WebゲートCookieを使用します。ブラウザのCookieをクリアするこことで、ログアウトが機能します。関連するサーバー側セッションは、引き続き存在しますが、無害とみなされます。

前
 		次
目次へ移動
目次