Architektura Proxy Idp

Proxy IdP je postavena na strojích virtualizační platformy CESNET.

Jako kritická komponenta je postavena v režimu High availability:
  • Cluster tvořen trojicí strojů login[1-3].cesnet.cz, které jsou geograficky rozděleny.
  • Každý ze strojů je monitorován systémem Nagios provozovaný Metacentrem.
  • Stav komponenty Proxy IdP i systému Perun je dostupný zde
  • Jednotlivé stroje jsou zálohované.

Diagram Proxy IdP spolu s napojením na ostatní systémy

Popis jednotlivých komponent

Základní komponenty Proxy IdP

1. SimpleSAMLphp - SSP

Komponenta zajišťující autentizaci pro služby pomocí protokolu SAML2.

2. MITREid Connect - MITREid

Komponenta zajišťující autentizaci pro služby pomocí protokolu OpenId Connect. Autentizace uživatelů je řešena pomocí SimpleSAMLphp.

3. Databázový cluster - DB

Slouží ke sběru dat pro statistiky a také pro provoz komponenty MITREid.

Externí komponenty

4. Perun LDAP

Základní rozhraní použité pro získávání dat ze systému Perun. Jde o komponentu, která není závislá na běhu systému Perun.

Pomocí rozhraní LDAP dochází ke čtení všech atributů potřebných pro úspěšné přihlášení uživatele.

V případě výpadku dojde k získávání dat z repliky LDAPu.

5. Perun RPC

Rozhraní systému Perun, které je použité pro získávání atributů, které nejsou dostupné v LDAPu, dále pro aktualizaci hodnot jednotlivých atributů.

Výpadek rozhraní Perun RPC má rozlišný důsledek na jednotlivé komponenty:

SAML2
Během výpadku systému Perun a rozhraní Perun RPC dojde k omezení funkčnosti Proxy IdP pro služby pomocí protokolu SAML2:
  • Proces přihlášení uživatele může trvat delší dobu, jelikož dochází k volání rozhraní Perun RPC, které čekají na timeout
  • Nemožnost předávání filtrů na WAYF, které jsou uloženy v systému Perun
  • Nemožnost registrace uživatelů
  • Může dojít k nevydání určitých atributů
  • V době výpadku nedochází k omezení přístupu na službu dle nastavených skupin.

I v době výpadku se však uživatelé mohou přihlásit ke službám.

OIDC

Komponenta OIDC je momentálně plně závislá na rozhraní Perun RPC. V případě výpadku tak není možné se ke službám pomocí protokolu OIDC přihlásit.

6. CESNET LDAP

Napojení Proxy IdP na CESNET LDAP slouží pro získání dat potřebných pro výpočet atributu isCesnetEligible.

V době výpadku komponenty CESNET LDAP nebude docházet k aktualizaci hodnoty atributu isCesnetEligible a bude předávána poslední známá hodnota.

architektura_proxy.png (77.6 KB) Pavel Vyskočil, 07/13/2019 06:29 PM