認証情報のキャッシュのクラスタ プロパティ

以下のクラスタ プロパティは、 の認証情報のキャッシュを設定します。
gateway90
以下のクラスタ プロパティは、
Layer7 API Gateway
の認証情報のキャッシュを設定します。
時間関連プロパティに使用できる有効な時間単位のリストについては、「クラスタ プロパティ」の「時間単位」を参照してください。
プロパティ
説明
authCache.failureCacheSize
Layer7 API Gateway
ノードごとの、メモリにキャッシュする失敗した認証の数。 キャッシュがいっぱいになると、最も長く使用されていない失敗した認証が破棄されます。 この値は、authCache.successCacheSize に対する比率です。失敗した認証がユーザ、スクリプト、または攻撃者によってどれくらい頻繁に再試行されたかによって変更します。 たとえば、失敗キャッシュのデフォルト値は、成功キャッシュのデフォルト サイズの 10% です。 このサイズを 15% にする場合は、このクラスタ プロパティを「300」に設定します。 キャッシュを無効にするには、ゼロを入力します。
デフォルト:
200
変更を有効にするには、
Layer7 API Gateway
を再起動する必要があります。
authCache.groupMembership
CacheSize
グループ メンバシップのキャッシュ サイズ。 グループ メンバシップ情報は、認証に成功したアイデンティティに対してのみキャッシュされます。 メンバシップのキャッシュ サイズを決定するには、以下の標準ルールを使用します。
(Groups + Failed_Tests) * Users
説明
  • Groups
    = 同時にアクティブになる可能性があるグループの最大数。
  • Failed_Tests
    = ユーザが任意のポリシー パスで失敗する可能性があるグループ メンバシップ テストの最大数。
  • Users
    = 同時にアクティブになる可能性があるユーザ数。
デフォルト:
5000
authCache.maxFailureTime
これらの認証操作に失敗した後に、自分のアカウントを使用するためにユーザが待つ必要がある最大時間。
  • アカウントのロック解除
  • アカウントの作成
  • アカウント パスワード リセット
デフォルト:
30000 ms
authCache.maxSuccessTime
パスワードが変更されるか、アカウントがロックされている場合に、これらのアカウントにアクセスするためにユーザが待つ必要がある最大時間。
デフォルト:
60000 ms
authCache.successCacheSize
Layer7 API Gateway
ノードごとの、メモリにキャッシュする成功した認証の数。 キャッシュがいっぱいになると、直近に使用された認証結果が破棄されます。 これには、このクラスタ(ロード バランサ ノード アフィニティは未使用)またはこのノード(ノード アフィニティを使用)を頻繁に使用するユーザ セッションの最大数に設定します。
デフォルト:
2000
principalSessionCache.cacheSize
グループ メンバシップ情報をキャッシュする同時ユーザの最大数。 キャッシュにこの情報があることにより、パフォーマンスは向上します。 同時ユーザ数がこのクラスタ プロパティ値を上回った場合、
Layer7 API Gateway
が直近に使用されたユーザのグループ メンバシップ情報を新しいグループ情報で置き換えてキャッシュを更新するため、パフォーマンスが少し低下します。
デフォルト:
1000
最適なパフォーマンスを得るには、このキャッシュ サイズを調整して、予想される同時ユーザ数に一致させます。
principalSessionCache.
maxPrincipalGroups
各ユーザに対してキャッシュするグループの最大数。
: 「50」に設定した場合、ユーザが属する最初の 50 のグループをダウンロードします。 ユーザが許可を必要とする Policy Manager のアクションを実行する場合、ダウンロードされたグループに適切なロールが割り当てられているかが確認されます。 そのユーザが 51 番目のグループに属し、目的のアクションが 51 番目のグループに割り当てられているロールの権限を必要とする場合、ユーザはそのアクションを実行する権限を拒否されます。また、51 番目のグループに含まれる権限に依存するその他のアクションも拒否されます。
デフォルト:
1000
principalSessionCache.maxTime
ロールおよび権限のユーザのグループ メンバシップをチェックする頻度を制御します。 デフォルトの 5 分では、セキュリティとパフォーマンスのバランスがある程度保たれています。 0 の値は、ユーザによるすべてのアクションに対してグループ メンバシップを確認するため、最も安全です。 ただし、この設定は Policy Manager のレスポンスを低下させます(
Layer7 API Gateway
のパフォーマンスには影響しません)。
デフォルト:
300000 ms