RADIUSスループットおよびスケーリング
下のベンチマーキングの結果を使用して、お使いの環境で対応できる1分当たりのピーク認証イベントのサポートに必要なサーバー(複数可)のタイプを決定できます。
Okta RADIUS ServerエージェントはAWS t2.medium インスタンスでベンチマークされています(https://aws.amazon.com/ec2/instance-types/を参照)。これはハードウェア スペックの妥当なベースラインを表します(2つのvCPUコア、4GiBメモリ)。ベンチマークは、ほとんどの典型的な顧客にとって適切なOkta RADIUS Serverエージェントのデフォルト設定で実施されました。
これらのベンチマークはJMeterを使用して実行され、Web VPNログイン(ブラウザー)>[Cisco ASA]>[RADIUS Server Agent]>[Okta]を介した実際のエンドユーザー ログインフローをシミュレートしました。
システム仕様:Amazon EC2 t2.medium(2つのvCPU、4 GiBメモリ)、Windows Server 2012、Okta RADIUS Serverエージェントv.2.7.0(スレッド数:15、接続プールサイズ:20)
到着レート(毎秒) | 要素 | エラーレート%(プライマリ/MFA) | CPU %(ピーク) | メモリ使用率MB(ピーク) |
6.5 | Okta Verify(プッシュあり) | 0 / 0 | 3 | 20 |
25 | セキュリティ質問 | 0 / 0 | 3 | 20 |
RADIUS Agentはワーカースレッドのプールを持ち、キューを介して受信要求を受け入れます。スループットはエージェント内部および外部多くの要素に依存するため(ワーカープールにいくつの認証スレッドが存在するか、Oktaサービスへの各リクエストにどれだけの時間がかかるか、エンドユーザーがプッシュMFA通知へ応答するのにどれだけの時間がかかるかなど)、実際の結果は大きく異なります。自身のデプロイメントでスループットをテストし、お使いの環境で発揮できるパフォーマンスに応じてエージェントを調整することが重要です。
RADIUSエージェントはREST APIを介してOktaサービスに接続し、他のHTTPクライアントと同じレート制限を受けます。容量要件が高い場合、RADUISエージェントを追加し負荷を分散することで水平方向にスケーリングすることもできますが、Oktaサービスで許容されるAPI呼び出しの合計数に対してそれぞれが独自にカウントされることにご注意ください。詳しくはhttps://help.okta.com/en/prev/Content/Topics/Security/API.htm#api_rate_limitingを参照してください。RADIUSエージェントにレート制限がある場合、それらのリクエストに対してACCESS-REJECT応答が返されます。