응용 프로그램 계층 성능

목차
sm1252sp1kkr
목차
2
정책 서버는 응용 프로그램 계층의 정책과 데이터 계층의 사용자 자격 증명 및 특성을 평가하여 리소스를 보호합니다. 응용 프로그램 계층의 성능을 조정할 때 다음 지침을 고려하십시오.
  • 사용자를 인증하는 데 필요한 시스템 리소스의 양은 성능에 영향을 미칩니다.
  • 사용자에게 권한을 부여하는 데 필요한 시스템 리소스의 양은 성능에 영향을 미칩니다.
  • 인증 및 권한 부여 중에 수행되는 사용자 디렉터리에 대한 정책 서버 요청의 수는 성능에 영향을 미칩니다.
정책 설계 및 성능
Single Sign-On
 정책은 사용자가 리소스와 상호 작용하는 방법을 정의합니다. 관리 UI에서 정책을 생성할 때 사용자, 리소스 및 리소스와 연결된 작업을 식별하는 개체를 함께 연결(바인딩)해야 합니다.
특정 구성 요소를 구성하는 방식을 통해 또는 선택적 기능을 활성화하도록 선택하여 성능을 향상시키거나 저하시킬 수 있습니다. 성능 전략은 다음과 같습니다.
  • 성능에 영향을 미칠 수 있는 정책 개체 식별
  • 사용자 인증에 영향을 미치는 매개 변수 및 기능 식별
  • 사용자 권한 부여에 영향을 미치는 매개 변수 및 기능 식별
엔터프라이즈의 비즈니스 규칙 및 보안 요구 사항이 궁극적으로 정책 설계에 반영되어야 합니다. 다음은 이러한 요구 사항을 충족하는 동시에
Single Sign-On
성능의 균형을 유지하는 데 사용할 수 있는 지침입니다.
Single Sign-On
정책 개체 및 성능 로드맵
Single Sign-On
에서는 핵심 정책 개체를 특정한 순서로 구성해야 합니다. 다음 다이어그램은 이러한 순서를 나타내며 여기에서 음영으로 표시된 항목은 사용자 인증 또는 권한 부여 중에 성능에 영향을 미치는 개체를 나타냅니다.
참고:
HCO(호스트 구성 개체) 및 ACO(에이전트 구성 개체)는 웹 계층의 성능에 영향을 미칩니다.
auth and az policy components
응용 프로그램
응용 프로그램을 구성하는 방식에 따라 인증 및 권한 부여 동안의 성능이 향상되거나 저하될 수 있습니다.
응용 프로그램은 하나 이상의 관련 웹 서비스에 대한 완전한 보안 정책을 정의하는 정책 서버 개체입니다. 응용 프로그램은 웹 서비스 리소스를 사용자 역할과 연결하여 웹 서비스 사용자별로 액세스할 수 있는 웹 서비스 응용 프로그램 리소스를 결정하는 권한 정책을 지정합니다.
응용 프로그램을 생성할 때는 정책 서버가 사용자 인증을 시도하는 하나 이상의 사용자 디렉터리 연결에 해당 응용 프로그램을 바인딩합니다. 따라서 디렉터리 연결의 수와 디렉터리 연결이 나열되는 순서는 인증하는 동안
Single Sign-On
성능에 직접적인 영향을 미칩니다.
응용 프로그램에 보호된 리소스로 정의된 웹 서비스 포트 및 작업의 수는 권한 부여 중의
Single Sign-On
성능과 관련이 있습니다.
리소스를 하나 이상의 응답에 바인딩할 수 있습니다. 리소스가 액세스될 때는 연결된 응답이 사용자 특성, DN 특성, 정적 텍스트, 사용자 지정 활성 응답 등의 정보를 에이전트에 반환합니다.
웹 서비스 리소스에 바인딩하는 응답의 유형은 권한 부여 중의
Single Sign-On
성능과 직접적으로 관련이 있습니다.
도메인
도메인을 구성하는 방식에 따라 인증할 때 성능이 향상되거나 저하될 수 있습니다.
Single Sign-On
정책 도메인은 하나 이상의 사용자 디렉터리와 연결된 리소스를 논리적으로 그룹화한 것입니다. 도메인을 생성할 때는 하나 이상의 사용자 디렉터리 연결을 도메인에 바인딩합니다.
정책 서버는 이 디렉터리 연결을 사용하여 사용자 인증을 시도합니다. 따라서 디렉터리 연결의 수와 디렉터리 연결이 나열되는 순서는 인증하는 동안
Single Sign-On
의 성능과 직접적인 관련이 있습니다.
영역
영역을 구성하는 방식에 따라 인증할 때의 성능이 향상되거나 저하될 수 있습니다.
도메인의 리소스를 하나 이상의 영역으로 그룹화합니다. 영역은 공통된 보안(인증) 요구 사항을 갖는 리소스(URL) 집합입니다. 사용자가 정의하는 리소스 필터 및 선택하는 인증 체계는 인증하는 동안의 성능과 직접적인 관련이 있습니다.
  • 리소스 필터는 보호된 리소스의 루트 역할을 합니다. 요청된 리소스가 보호되는지 확인하려면 정책 서버에서 리소스 필터를 평가해야 합니다(IsProtected?).
  • 영역과 연결된 인증 체계에 따라 사용자가 영역의 리소스에 액세스하기 위해 제시해야 하는 자격 증명의 유형이 결정됩니다(IsAuthenticated?).
또한 영역 설정에 따라 다음이 결정됩니다.
  • Single Sign-On
    이 사용자 세션을 처리하는 방법.
    Single Sign-On
    은 사용자가 인증되는 영역의 컨텍스트에서 사용자 세션을 생성합니다.
  • 인증 도중 작업을 제어하기 위해 영역을 사용할 수 있는지 여부.
규칙 및 규칙 그룹
영역을 구성하는 방식에 따라 권한을 부여할 때의 성능이 향상되거나 저하될 수 있습니다.
규칙 또는 규칙 그룹은 영역의 컨텍스트에서 생성합니다. 규칙
  • 보호가 필요한 영역 내에서 특정 리소스를 식별합니다.
  • 특정 인증 또는 권한 부여 이벤트에 기반하여 리소스에 대한 액세스를 허용하거나 거부하기 위해 사용할 수 있습니다.
규칙에 정의하는 리소스 필터(영역 필터가 접두어로 추가됨)는 보호가 필요한 리소스를 식별합니다.
정책 서버는 규칙을 평가하여 요청된 리소스와 가장 일치하는 리소스 필터를 결정합니다. 일치할 경우 정책 서버는 규칙이 바인딩된 정책을 실행하여 사용자에게 리소스에 액세스할 권한이 있는지 확인합니다.
영역 내에 있는 규칙의 수와 각 리소스 필터를 정의하는 방식은 권한 부여를 수행하는 동안
Single Sign-On
의 성능과 직접적인 관련이 있습니다.
응답
응답을 구성하는 방식에 따라 권한을 부여하는 동안의 성능이 향상되거나 저하될 수 있습니다.
응답 또는 응답 그룹은 특정한 규칙 또는 규칙 그룹에 바인딩됩니다. 규칙이 실행될 때 응답은 다음을 수행할 수 있습니다.
  • 사용자 세션이 유효한 상태로 유지되는 시간을 사용자 지정합니다.
  • 사용자를 다른 리소스로 리디렉션합니다.
  • 사용자 디렉터리에 포함된 특성에 기반하여 사용자가 받는 콘텐츠를 사용자 지정합니다.
  • 정적 텍스트, 사용자 특성, DN 특성, 사용자 지정된 활성 응답 또는 정의된 변수의 런타임 값을 정책 서버에서 에이전트로 전달합니다.
  • WSS 에이전트에 WS-Security 헤더 및 SAML 세션 티켓을 생성하도록 지시하십시오.
정책 규칙을 하나 이상의 응답에 바인딩할 수 있습니다. 정책 규칙에 바인딩하는 응답의 유형은 권한을 부여하는 동안
Single Sign-On
의 성능과 직접적인 관련이 있습니다.
인증 지침
인증(IsAuthenticated?) 단계 중
Single Sign-On
의 성능은 일반적으로 다음과 관련이 있습니다.
  • 인증 요청을 처리하는 데 사용되는 시스템 리소스
  • 정책 서버가 인증 요청을 처리하기 위해 사용자 디렉터리에 수행하는 읽기/쓰기(통칭하여 요청)의 수
정책 개체 및 성능 로드맵
특정 정책 개체를 구성하는 방식을 통해 또는 그러한 개체와 연결된 선택적 기능을 활성화하도록 선택하여 인증 성능을 향상시키거나 저하시킬 수 있습니다.
Single Sign-On
에서는 핵심 정책 개체를 특정한 순서로 구성해야 합니다. 다음 다이어그램은 이러한 순서를 나타내며 여기에서 음영으로 표시된 항목은 사용자 인증 시 성능에 영향을 미치는 개체를 나타냅니다.
policy objects and authentication performance
사용자 디렉터리 및 인증 성능
도메인을 구성하려면 하나 이상의 사용자 디렉터리 연결을 도메인에 바인딩해야 합니다. 정책 서버는 사용자 디렉터리 연결에 지정된 검색 조건을 사용하여 인증 단계에서 사용자 자격 증명을 확인합니다.
디렉터리 수준에서 사용자 인증 성능에 영향을 미치는 요소는 다음과 같습니다.
  • 검색 식 및 쿼리 - LDAP 식 또는 ODBC 쿼리가 복잡할수록 정책 서버가 사용자를 인증하기 위해 조건을 확인하는 데 걸리는 시간이 길어집니다.
  • 암호 서비스 - 사용자 디렉터리에 암호 정책을 적용할 수 있습니다. 암호 정책을 구현하기 전에 다음 사항을 고려하십시오.
    • 정책 서버는 암호 정책에 연결된 특성을 읽고 이를 업데이트해야 할 수 있습니다. 특성을 업데이트하려면 정책 서버는 사용자 디렉터리에 써야 합니다.
    • 암호 정책이 로그인 상세 정보를 추적하도록 구성된 경우에는 인증할 때마다 추가적인 사용자 디렉터리 쓰기가 필요합니다.
    • 정책 서버는 전체 디렉터리보다 디렉터리 내 특정 사용자 그룹에만 적용되는 암호 정책을 확인하는 데 더 많은 시간을 소비합니다.
Single Sign-On
웹 서비스 보안 인증 체계 및 인증 성능
각 웹 서비스 보안 인증 체계는 서로 다른 수준의 WSS 에이전트 처리 오버헤드를 발생시키며 이는 WSS 에이전트 유형 간에도 달라질 수 있습니다.
일반적으로 디지털 서명 확인 또는 페이로드 기밀성이 필요하지 않은 인증 체계의 경우에 인증 처리량이 더 높습니다.
디지털 서명 확인은 웹 서버용 WSS 에이전트에서 더 많은 CPU와 데이터를 사용하지만 응용 프로그램 서버용 WSS 에이전트에도 약간의 영향을 미칩니다.
도메인 및 인증 성능
도메인(또는 전체 응용 프로그램 개체) 수준에서 사용자 인증 성능에 영향을 미치는 요소는 다음과 같습니다.
  • 도메인의 디렉터리 연결 수 - 정책 서버는 사용자 자격 증명의 유효성을 확인할 수 있을 때까지 도메인의 각 사용자 디렉터리를 검색합니다. 사용자 디렉터리 연결의 수가 많을수록 정책 서버가 사용자를 인증하는 데 걸리는 시간이 길어집니다.
    도메인의 디렉터리 연결 수를 줄이는 방법을 찾아서 불필요한 정책 서버 요청을 방지하십시오. 다음 사항을 고려하십시오.
    • 도메인 내의 리소스를 요청하는 사용자 및 해당 정보가 저장된 디렉터리
    • 조직을
      Single Sign-On
      배포에 추가할 때 사용자 디렉터리를 결합
  • 사용자 디렉터리 연결이 나열되는 순서 - 정책 서버는 사용자 디렉터리를 도메인에서 나열하는 순서대로 검색합니다. 연결 순서를 결정할 때는 인증 우선 순위를 평가하십시오. 다음 사항을 고려하십시오.
    • 특정 디렉터리에서 응용 프로그램에 액세스하는 사용자의 비율이 더 높은지 여부
    • 인증 우선 순위가 더 높은, 더 작은 규모의 사용자 그룹이 있는지 여부
영역 및 인증 성능
영역(또는 응용 프로그램 개체 구성 요소) 수준에서 사용자 인증 성능에 영향을 미치는 요소는 다음과 같습니다. 영역을 구성할 때 다음 사항을 고려하십시오.
  • 자격 증명 수집 - 영역은 특정한 인증 체계와 연관되며 일부 인증 체계에는 자격 증명 수집기를 사용해야 합니다. 이러한 유형의 인증 체계를 사용하여 리소스를 보호하는 에이전트는 사용자를 자격 증명 수집기로 리디렉션하여 자격 증명을 수집합니다. 자격 증명을 수집하면 인증 프로세스에 추가적인 단계가 추가됩니다.
  • 영구 세션 -
    Single Sign-On
    이 사용자를 인증할 때 정책 서버는 세션 티켓을 발행합니다. 세션 티켓에는 사용자에 대한 기본 정보와 사용자의 인증 컨텍스트가 포함됩니다. 기본적으로
    Single Sign-On
    은 에이전트가 사용자 웹 브라우저의 쿠키에 세션 티켓을 쓰는 비영구 세션을 통해 세션 관리를 구현합니다.
    일부
    Single Sign-On
    기능에는 영구 세션이 필요합니다. 영구 세션에 대한 영역을 구성할 수 있습니다. 이 영역의 리소스를 보호하는 에이전트는
    Single Sign-On
    세션 저장소에 세션 티켓을 쓰기 때문에 각 인증마다 세션 저장소에 대한 추가적인 요청이 생성됩니다.
    중요!
    영구 세션은 성능에 큰 영향을 미칠 수 있습니다.
  • 인증 이벤트 - 기본적으로 영역은 인증 이벤트를 처리하도록 구성됩니다. 이 설정을 통해 사용자가 인증되거나 인증에 실패할 경우 실행할 규칙을 정의할 수 있습니다. 정책 평가 논리는 인증 이벤트를 처리하도록 구성된 모든 영역에 적용됩니다. 이 논리는 시스템 리소스를 소비하며 사용자 디렉터리 요청을 생성할 수 있습니다.
    사용자가 리소스에 대한 액세스를 얻기 위해 인증할 때 발생하는 이벤트 작업의 필요성을 평가하십시오. 인증 작업이 필요하지 않은 경우 영역의 인증 이벤트가 사용되지 않도록 설정하여 인증 단계의 속도를 높이십시오.
권한 부여 지침
권한 부여 단계 도중
Single Sign-On
의 성능은 일반적으로 다음과 관련이 있습니다.
  • 권한 부여 요청을 처리하는 데 사용되는 시스템 리소스
  • 정책 서버가 권한 부여 요청을 처리하기 위해 사용자 디렉터리에 수행하는 읽기/쓰기(통칭하여 요청)의 수
Single Sign-On
정책 설계의 복잡성이 이러한 각 영역에 영향을 미칩니다.
정책 개체 및 성능
특정 정책 개체를 구성하는 방식을 통해 또는 이러한 개체와 연결된 선택적 기능을 활성화하도록 선택하여 인증 성능을 향상시키거나 저하시킬 수 있습니다. 다음 정책 개체는 사용자 권한 부여 과정에서 성능에 영향을 미칠 수 있습니다.
규칙 및 권한 부여 성능
규칙(또는 응용 프로그램 개체 리소스) 수준에서 사용자 권한 부여 성능에 영향을 미치는 요소는 다음과 같습니다.
  • 단일 영역에서 규칙 수가 많으면 권한 부여 결정 속도가 느려질 수 있습니다. 사용자가 특정 영역에 대해 인증된 경우 정책 서버는 사용자가 요청하는 특정 리소스(URL)와 가장 일치하는 리소스 필터를 확인하기 위해 영역 내의 모든 규칙을 평가해야 합니다.
  • 리소스 필터의 유형은 정책 서버가 리소스 일치를 평가하는 속도에 영향을 미칩니다.
다음 필터는 성능에 미치는 영향이 가장 작은 순서대로 나열한 것입니다.
정확히 일치 - 특정 리소스를 사용하여 리소스 필터를 정의하면 성능에 미치는 영향이 가장 적습니다. 정책 서버는 리소스 필터를 요청된 리소스의 URL과 비교하기만 하면 됩니다.
예:
회사에서 사용자 지정 영역(/customer)을 생성하고 포털 응용 프로그램의 특정 페이지(lending_home.html)를 사용하여 규칙을 지정합니다. 그 결과 생성되는 리소스 필터는 /customer/lending_home.html입니다. 이 경우 요청된 리소스와 규칙 간의 일치를 평가하려면 정책 서버가 요청된 리소스를 리소스 필터와 비교하여 일치 여부를 확인하기만 하면 됩니다.
  • 정확한 접두사 - 접두사를 사용하여 리소스 필터를 정의하면 정확한 일치에 비해 성능에 더 큰 영향을 미칩니다. 정책 서버는 요청된 리소스가 리소스의 루트(영역) 내에 포함되어 있는지 여부를 확인해야 하기 때문입니다.
    예:
    회사에서 직원 영역(/employee)을 생성하고 "*.html"을 사용하여 규칙을 지정합니다. * 접두사는 직원 영역의 모든 html 파일이 보호된다는 것을 나타냅니다. 그 결과 생성되는 리소스 필터는 /employee /*.html입니다. 이 경우 요청된 리소스와 리소스 필터 간의 일치를 평가하려면 정책 서버는 요청된 리소스가 직원 디렉터리의 일부이고 HTML 파일인지를 평가해야 합니다.
  • 정규식 - 정규식을 사용하여 리소스 필터를 정의하면 성능에 가장 큰 영향을 미칩니다. 정책 서버는 식을 평가하여 그 결과를 요청된 리소스와 비교해야 합니다. 식이 복잡할수록 성능에 미치는 영향이 더 큽니다.
응답 및 권한 부여 성능
Single Sign-On
정책의 규칙에 바인딩된 응답 특성의 유형은 성능에 영향을 미칩니다. 다음 응답 유형은 성능에 미치는 영향이 가장 작은 순서대로 나열한 것입니다.
  • 정적 - 정적 특성을 정의하면 일관된 데이터가 반환됩니다.
  • 사용자 특성 - 사용자 특성을 정의하면 사용자 디렉터리에 있는 사용자 항목의 프로필 정보가 반환됩니다.
    참고:
    이러한 유형의 응답을 위해서는 정책 서버가 사용자 디렉터리를 검색해야 합니다.
  • DN 특성 - DN 특성을 정의하면 사용자가 연관된 디렉터리 개체와 연결된 정보가 반환됩니다. 특성을 DN 특성으로 취급할 수 있는 디렉터리 개체의 예로는 사용자가 속한 그룹과 사용자 DN의 일부인 조직 단위(OU)가 있습니다.
    참고:
    이러한 유형의 응답을 위해서는 정책 서버가 사용자 디렉터리를 검색해야 합니다.
정책 구성원 자격 및 권한 부여 성능
정책 구성원 자격은 정책에 적용할 사용자를 지정하는
Single Sign-On
정책의 일부입니다. 정책은 도메인에 저장되므로 정책 구성원 자격을 도메인에 바인딩된 사용자 디렉터리에 저장된 모든 사용자에게 적용하려면 필터를 사용합니다. 정의하는 필터의 유형에 따라 정책 서버가 정책 구성원 자격을 평가하는 방법이 결정됩니다.
다음 필터는 성능에 미치는 영향이 가장 작은 순서대로 나열한 것입니다.
  • 모두 - "모두"는 성능에 가장 작은 영향을 미칩니다.
    Single Sign-On
    이 사용자를 인증할 때 정책 서버는 세션 티켓을 발행합니다. 세션 티켓은 사용자가 저장되어 있는 사용자 디렉터리를 식별합니다. 정책 서버는 정책이 사용자에게 적용되는지 결정할 때 정책에 바인딩된 디렉터리에 세션 티켓을 비교하기만 하면 됩니다.
  • 고유 이름 - DN(고유 이름)은 "모두"보다 성능에 더 큰 영향을 미칩니다.
    인증된 사용자의 DN이 포함된 조직 또는 조직 단위는 세션 티켓에 저장됩니다. 정책 서버는 세션 티켓 정보와 정책 구성원 자격 필터를 비교하여 정책이 사용자에게 적용되는지 여부를 확인해야 합니다.
  • 그룹 구성원 자격 또는 검색 식 - 이러한 유형의 필터는 고유 이름에 비해 성능에 더 큰 영향을 미칩니다. 그룹 구성원 자격 및 검색 식은 추가적인 시스템 리소스를 소비하며 사용자 디렉터리 검색을 수행해야 합니다. 정책 서버는 다음을 수행해야 합니다.
    1. 그룹 구성원 자격 또는 검색 식을 확인합니다.
    2. 사용자 디렉터리를 검색하여 정책이 사용자에게 적용되는지 확인합니다.
  • 중첩된 그룹 - 중첩된 그룹을 사용하여 정책 구성원 자격을 정의하면 성능에 가장 큰 영향을 미칩니다.
    정책 서버는 정책이 사용자에게 적용되는지 확인할 때 디렉터리의 각 사용자 그룹 및 모든 하위 그룹을 검색해야 합니다.
    중요!
    디렉터리의 그룹 계층 구조가 깊으면 정책 서버가 정책 구성원 자격을 평가할 때 걸리는 시간에 영향이 미칠 수 있습니다.
참고:
사용자 권한 부여 캐시를 활성화하면 정책 서버가 정책 구성원 자격을 확인하기 위해 사용자 디렉터리에 수행하는 요청의 수를 줄일 수 있습니다.
사용자 권한 부여 캐시
사용자 권한 부여 캐시는 사용자와 정책 간의 관계를 저장하여 정책 구성원 자격을 확인하기 위한 사용자 디렉터리 요청의 수를 감소시킵니다.
참고:
사용자 권한 부여 캐시는 사용자에 대한 데이터를 저장하거나, 사용자 특성 값을 저장하거나, 사용자 항목을 캐시하지 않습니다.
예를 들어 사용자 A가 속한 "Administrator" 그룹에 세 개의 정책이 적용되도록 구성되어 있습니다. 정책 서버는 처음으로 정책 구성원 자격을 평가할 때 그룹 구성원 자격을 확인하고 사용자 디렉터리에 세 번의 요청을 수행하여(각 정책마다 한 번씩) 각 정책이 적용되는지 확인해야 합니다.
정책 서버는 이 결과를 사용자 권한 부여 캐시에 씁니다. 이후의 정책 평가에서는 정책 서버가 사용자 디렉터리 요청을 수행할 필요가 없습니다. 그 대신 정책 서버는 캐시된 권한 부여 정보를 사용하여 정책 구성원 자격을 확인합니다.
참고:
정책 서버는 주기적으로 정책 업데이트를 폴링합니다. 기본 간격은 60초입니다. 정책 구성원 자격이 변경되면 정책 서버는 정책을 다시 로드하고 업데이트된 정책과 관련된 캐시 항목을 제거합니다.
사용자 권한 부여 캐시 효율성
사용자 권한 부여 캐시는 다음과 같은 경우에 가장 효율적입니다.
  • 세션 중에 모든 사용자 요청이 일관되게 동일한 서버로 전송(지속)됩니다.
  • 모든 에이전트가 라운드 로빈 부하 분산이 아니라 정책 서버 장애 조치를 위해 구성되어 있습니다.
이러한 요소가 충족되지 않으면 사용자 권한 부여 캐시의 효율이 감소합니다.
예: 라운드 로빈 부하 분산을 위해 구성된 사용자 권한 부여 캐시 및 에이전트
에이전트 라운드 로빈 풀에 있는 정책 서버의 수가 많을수록 사용자 권한 부여 캐시의 효율이 감소할 가능성이 높아집니다.
단일 에이전트가 두 개의 정책 서버 간에 라운드 로빈되도록 구성된 경우 보호된 리소스에 대한 첫 번째 요청에 따라 정책 서버 중 하나에 사용자 권한 부여 캐시 항목이 생성됩니다. 캐시 항목이 없는 정책 서버가 두 번째 요청을 처리해야 하는 확률은 약 50%입니다. 하지만 더 진행되면 두 정책 서버 모두가 이후 요청을 위해 데이터를 캐시하게 됩니다.
이제 10개의 정책 서버 간에 라운드 로빈되도록 구성된 단일 에이전트의 효과에 대해 생각해 보겠습니다. 정책 서버가 사용자에게 권한을 부여하고 결과를 권한 부여 캐시에 입력한 후에 동일한 정책 서버가 다음 요청을 처리해야 하는 확률은 10%에 불과합니다. 이 구성에서 캐시 적중 확률이 50%가 되려면 5건의 캐시 누락이 발생해야 합니다.
참고:
정책 서버 클러스터는 사용자 권한 부여 캐시에 대한 라운드 로빈 부하 분산의 효과를 줄일 수 있습니다.
사용자 권한 부여 캐시의 크기 추정
사용자 권한 부여 캐시의 기본 크기는 10 MB입니다. 사용자 권한 부여 캐시에 필요한 공간을 추정하고 정책 서버 관리 콘솔을 사용하여 기본 크기를 조정할 수 있습니다.
사용자 권한 부여 캐시의 크기를 추정하려면
  1. 캐시 항목의 개수를 추정하려면 다음 공식을 사용하십시오.
    expected_users
    *
    number_of_policies_per_session = entries
    • expected_users
      Single Sign-On
      이 보호하는 응용 프로그램에 대하여 인증되는 총 사용자 수를 지정합니다.
    • number_of_policies_per_session
      세션 중에 사용자에게 적용되는 정책의 평균 개수를 지정합니다.
      참고:
      각 정책이 사용자 권한 부여 캐시에 고유한 항목을 입력할 가능성이 있습니다.
    • entries
      권한 부여가 생성할 수 있는 캐시 항목 수를 지정합니다.
  2. 캐시의 크기를 추정하려면 다음 공식을 사용하십시오.
    (
    entries
    * .000062) + 1
    참고:
    .000062는 대략적인 캐시 항목의 크기(MB 단위)를 나타냅니다.
감사 및 성능
기본적으로 정책 서버는 감사 이벤트를 텍스트 파일에 쓰며 이 파일을 정책 서버 로그라고 합니다. 원하는 경우 이벤트를 감사 데이터베이스에 로깅하도록 정책 서버를 구성할 수 있습니다.
이벤트를 감사 데이터베이스에 로깅하도록 결정한 경우에는 다음 사항을 고려하십시오.
  • Single Sign-On
    은 모든 인증 및 권한 부여 결정을 데이터베이스에 로깅하므로 인증 및 권한 부여와 관련된 성능에 영향을 미칩니다.
  • (선택 사항) 동기식 로깅 - 영역 수준에서 동기식 로깅을 구성할 수 있습니다. 이를 구성하면 정책 서버는 레코드가 감사 데이터베이스에 저장될 때까지 각 인증 및 권한 부여 요청의 결과를 차단합니다. 레코드가 저장되기 전에는 사용자가 인증되거나 권한을 부여받지 않습니다.
응용 프로그램 계층 부하 분산
다양한 에이전트 매개 변수를 조정하고
Single Sign-On
정책 설계 지침을 따르더라도 정책 서버가 인증 및 권한 부여 요청을 처리하는 데 걸리는 시간이 크게 향상되지 않을 수 있습니다.
에이전트와 정책 서버가 여러 개인 경우 동적 부하 분산을 적용하면 에이전트가 요청을 모든 정책 서버로 분산하므로 지연 시간이 감소하고 처리량이 향상됩니다.