RADIUSデプロイメントのアーキテクチャ

一般的に推奨されるRADIUSデプロイメントのアーキテクチャ

項目

Cisco ASAなどVPN背後のアクティブーパッシブ フェイルオーバー

これは最もシンプルなデプロイメントモデルであり、1台のアクティブなOkta RADUIS Serverエージェントが提供できる以上の高スループット要件を持たない環境では十分です。

このアプローチでは、VPNデバイスで1台のOkta RADUIS Serverエージェントをアクティブサーバーとして、別のOkta RADUIS サーバーをパッシブ フェイルオーバーとして構成します。合計スループットは、1台のRADUIS Serverエージェントが達成可能な最上限です。

ロードバランサー背後のアクティブーアクティブ – 高スループット

一部の例および条件では Cisco ASA VPNクライアント搭載のF5ロードバランサーを前提とします。

ベスト スループットと可用性のために、ロードバランサーの背後に2台以上のOkta RADUIS Serverエージェントをデプロイすることを推奨します。このアプローチでは追加のRADUIS Serverエージェントをロードバランシング プールに追加し、トラフィックの負荷を均一に分散することで水平スケーリングが可能です。RADIUS Serverエージェントの数は予想されるボリュームと1分当たりのピーク トランザクションによって異なります。

  • 仮想ネットワーク
  • RADIUSリクエストを送信する各デバイスに対し、個別に仮想サーバーをセットアップします。各仮想サーバーに対し、個別にサーバー プールを作成します。

  • セッション永続化
  • 特に二要素認証チャレンジでユーザー入力をオフバンドで待機する状況(Okta Verifyのプッシュなど)では、パフォーマンス最適化のため、エンドユーザーのVPNクライアントまたはIPに基づき、セッション永続化(別名「スティッキーセッション」)を使用してロードバランシングを行うべきです。Okta RADIUS Serverエージェントは発信元のRADIUSクライアントからのリクエストの重複除去を実施しますが、複数のエージェントの間で分散されていると、Oktaサービス側でのみ重複排除され、結果的に不要な負荷となります。詳しくは「ロードバランサー セッション永続化について」を参照してください。

    スティッキネスの推奨構成は、通常 Calling-Station-IDとFramed-IPを組み合わせて使用することです。多くのVPNでは、Calling-Station-IDは発信元クライアントのクライアントIPアドレスです。別のRADIUS属性がクライアントIPアドレスを格納している場合、代わりにその属性を使用するようロードバランサーを設定します。

  • ロードバランシングの方法
  • アクティブなRADIUS Serverエージェントで負荷分散が可能な場合、ロードバランシングを最小接続方式で設定するよう推奨します。

  • 正常性チェック
  • ロードバランサーの正常性チェック機能を合成ログインと一緒に使用して、RADIUS Serverエージェントに問題がある場合、シームレスにフェイルオーバーが発生してユーザーへの影響を最小限にすることができます。各仮想サーバーは各ポートに対して独自の正常性チェックを行う必要があります。ロードバランサーまたはRADIUSクライアントが正常性チェックを行うよう設定するには、この用途のためだけに使用されるユーザー アカウントを作成します。以下を推奨します。

    1. グループの割り当てがなく、アプリケーションのアクセス権を持たず、基礎的なユーザー アカウント以上の権限を持たないユーザーを作成します。
    2. ユーザー アカウントの正常性チェックのために強力かつ一意なパスワードを作成します。

      注:パスワードおよびユーザー名にハッシュ文字 (#) を含めることはできません

    3. このインバウンド正常性チェックをトリアージするためにカスタムRADIUSアプリケーションを作成します。
    4. このユーザーをRADIUSアプリケーションに割り当てます(アクセスを許可)。

    このアカウントの目的は、RADIUSクライアントがOktaサービスにアクセスでき、認証リクエストを適切に処理するか確認することです。通常、第二要素のトランザクションはユーザー入力やダイナミック応答の形式を要するため、正常性チェックはプライマリ認証のみ含まれます。

    連続して2回失敗した後、RADUISサーバーがローテーションから削除されるようロードバランサーを設定します。サーバーから1つの応答が成功した後、サーバーをローテーションに戻すようロードバランサーを設定します。

  • ロードバランサーの高可用性
  • 全体的なシステム可用性を最大にするため、単一の障害ポイントを回避するためにロードバランサーの冗長システム構成を検討します。推奨される構成はロードバランサーのベンダードキュメントを参照してください。

RADIUSロードバランシングのF5の全体的な推奨事項については、「F5 RADIUSロードバランシング 」資料を参照してください。F5はRADIUSボリュームの管理のためiAppをサポートします。このiAppは合成トランザクションを介した自動正常性チェックもサポートし、エンドユーザーが認証を実施できることを確認できます。