Openam负载均衡器

时间:2016-12-10 10:16:33

标签: asp.net iis-7.5 load-balancing openam

我是网络新手,我正面临着一个试图在负载均衡背后实施opensso的问题。负载均衡器使用IP地址,预计openam代理可以在运行asp.net应用程序的IIS服务器上运行。 Openam仅适用于DNS,但负载均衡器仅适用于IP且无法通信。 这是一个常见的情况,过去任何人都在处理此类问题,请提供指导。

1 个答案:

答案 0 :(得分:0)

您需要了解一些技术细节,尤其是https://tools.ietf.org/html/rfc6265(AKA" Cookie规范")。这就是为什么OpenAM BY DEFAULT只能在FQDN上工作的原因,但如果您了解技术基础,它只能用于IP。

默认情况下,代理会探测OpenAM URL(请参阅https://bugster.forgerock.org/jira/browse/OPENAM-3294)。

如果配置了OpenAM站点,则代理还会与为该站点配置的主站点URL(以及当OpenAM实例属于该站点时)进行通信,同时验证" user"的SSO令牌。并在发送政策决定请求时。

如果没有配置OpenAM站点,代理会与创建SSO会话的OpenAM实例的服务器URL进行通信(我称之为“权威的OpenAM实例”)。

OpenAM还需要知道它必须处理哪些FQDN。这可以通过OpenAM站点实现(了解WRT对代理通信的影响)或通过&#f; fqdn映射' (高级服务器属性com.sun.identity.server.fqdnMap [FQDN] = FQDN)

现在您还需要了解TCP / IP协议栈中的名称解析。

客户实际上首先在IP级别上进行通信(将较低级别放在一边)。

负载均衡器通常定义一个虚拟服务器'分配了VIP(条款令人困惑,因为在HTTP服务器上你也可能有像虚拟服务器这样的东西,但它可能在不同级别的网络堆栈上运行)。

所以你可以做(​​在你理解了技术基础之后)

  • 为LB的VIP创建名称解析到适当的FQDN
  • 利用该FQDN创建OpenAM站点
  • 将OpenAM实例分配给该网站
  • 将代理程序配置为使用OpenAM站点的FQDN作为LoginURL(并可能在代理程序引导文件中命名URL)
  • 可能在OpenAM平台服务中重新配置cookie域
  • 重新启动OpenAM