CAFe website
Space shortcuts
Child pages
  • Como configurar em seu ambiente mais de um IdP para alta disponiblidade do serviço
Skip to end of metadata
Go to start of metadata

Informação

Essa página foi criada com a intenção de ajudar as instituições clientes da CAFe com a dúvida sobre como manter em seu ambiente mais de um instância do IdP em funcionamento. Essa vem sendo um prática importante dentro das instituições que visam a alta disponiblidade do serviço em questão.


Começando...

Primeiro passo:

Como pré requisito básico, a instituição precisa já ser aderente a CAFe e possuir um IdP configurado.

Segundo passo:

Duplicar a sua atual VM, a atual VM possui todos os arquivos necessários do Shibboleth para o funcionamento correta da instância. Duplicar o contéudo atual, que está em produção, para dentro da sua nova instância alvo, reconfigurando a rede com novo IP, NETMASK, GATEWAY e DNS se necessário. 

Terceiro passo:

Criar um Load Balancer com regras de distribuição de tráfego para os dois IdPs ou mais. O LB deve responder pela URL original do IdP cadastrado na CAFe, ou seja, o Load Balancer deverá responder diretamente as requisições feitas quando acionado o IdP da instituição na CAFe. Esse Load Balancer poderá ser por exemplo, um proxy Apache ou Nginx ou outro serviço de LB.

Quarto passo:

Configurar os IP do Load Balancer no DNS para que ele assuma as respostas das requisições vindas do IdP institucional.  

Essas orientações visam exemplificar o procedimento recomendado pela equipe de operação e suporte da CAFe RNP aos clientes. Existem diversas formas e ferramentas que podem ser usadas para auxiliar, como respositorios, Load Balancers, etc... 

Desta forma a operação orienta os passos necessários para ativação de uma alta disponiblidade no serviço do IdP, porém cada cliente possui seus recursos específicos que deverão ser adaptados para essa demanda.  


Cenário 1:

1 Idp Local configurado em um domínio instituicional com um servidor de diretório local dentro do mesmo domínio local institucional. Ambos se comunicam dentro do mesmo domínio.

+ 1 IdP Externo configurado na nuvem em um domínio externo, esse IdP precisa ser capaz de se comunicar com o servidor de diretório que está dentro do domínio local da instituição.


Cenário 2:

1 IdP Local configurado em um domínio institucional com um servidor de diretório local dentro do mesmo domínio local institucional. Ambos se comunicam dentro do mesmo domínio.

+ 1 IdP Externo configurado na nuvem em um domínio externo com um servidor de diretório externo dentro do mesmo domínio em nuvem. 

Atenção !

Os servidores de diretório, Local e em Nuvem devem se comunicar e sincronizar seus dados para que não ocorra problemas na autenticação. Isso é importante porque com o LB ativo a autenticação irá ser encaminhada para aquele IdP com maior disponiblidade, logo os dois diretórios precisam sempre estar com as bases idênticas.


  

Artigos relacionados