Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
この項では、マルチデータ・センター機能に関する推奨事項を示します。
Webゲートはドメイン・スコープ指定とし、すべてのWebゲートおよびOAM Server資格証明コレクタで1つの共通ドメインを推測できるようにすることをお薦めします。これで、Webゲートが、OAM Serverとの間で共有される暗号化GITO Cookieを設定できるようになります。
たとえば、Webゲートがapplications.abc.comで構成され、OAM Server資格証明コレクタがserver.abc.comで構成されている場合は、GITO Cookieの設定に使用される共通ドメインはabc.comです。共通ドメインを推測できないシナリオの場合は、GITO Cookieを設定することは意味がありません。あるデータ・センターが他のデータ・センターの最新ユーザー・セッションを認識していないこともあるためです。この結果として、そのデータ・センターは古いセッション・データに基づいてセッション・アイドル・タイムアウトを計算し、他にアクティブなセッションがどこかに存在しているとしても、ユーザーの再認証が必要になる可能性があります。
ノート:
SessionContinuationOnSyncFailure
プロパティが設定されているときは、同様の問題がサーバー・フェイルオーバー時に発生します。期待される動作は、OAM_ID Cookieの内容からセッションを取り出すことです。実際の非アクティブ・タイムアウト値をGITO Cookieから取り出すことが不可能であるため、再認証が発生します。
WebゲートおよびOAMサーバーの共通Cookieドメインがないときは、アイドル・タイムアウトの問題に対処するために、構成を次のとおりに変更してください。
MDCGitoCookieDomainプロパティを入力プロパティ・ファイルから削除した後に、WLSTのenableMultiDataCentreMode
コマンドを実行します。
認可中はWebゲートCookieをリフレッシュできないため、WebゲートCookieの有効期間の値をセッション・アイドル・タイムアウト・プロパティの値よりも低く設定します。セッション・アイドル・タイムアウトの値が30分で、WebゲートCookieの有効期間の値が15分とすると、認証を行うデータ・センターでは15分ごとにセッションがリフレッシュされます。
ノート:
10g Webゲートの場合、トークンはWebゲートによって期限切れにならないため、ベースDC (認証DC)のセッションがアイドル・タイムアウトするまで、サーバーは引き続き10g WebゲートCookieを使用します。
OAM_GITO
Cookieは、DCCを使用する場合は適用されません。
理由は次のとおりです:
#MDCGitoCookieDomain=
設定をコメント・アウトする必要があります。
SessionMustBeAnchoredToDataCenterServicingUser
パラメータをfalse
に設定する必要があります。
WebゲートCookieの有効期限の間隔の詳細は、「共通ドメインの使用」を参照してください。
。ノート:
プライマリとセカンダリのOAMサーバー間のフェイルオーバーは、11g SDK APIの現行リリースでサポートされています。
認可中はWebゲートCookieをリフレッシュできないため、WebゲートCookieの有効期間の値をセッション・アイドル・タイムアウト・プロパティの値よりも低く設定します。
セッション・アイドル・タイムアウトの値が30分で、WebゲートCookieの有効期間の値が15分とすると、認証を行うデータ・センターでは15分ごとにセッションがリフレッシュされます。WebゲートCookieの有効期限を2分未満に設定することをお薦めします。
ノート:
10G Webゲートのトークンの有効期限は、Webゲートではなくサーバーによって実行されるため、これは10G Webゲートでは機能しません。ベースDC (認証DC)のセッションがアイドル・タイムアウトするまで、サーバーは引き続き10g WebゲートCookieを使用します。ブラウザのCookieをクリアするこことで、ログアウトが機能します。関連するサーバー側セッションは、引き続き存在しますが、無害とみなされます。