ご機嫌いかがでしょうか、豊崎です。

先日、ポストした「OneLoginを使ってWorkSpacesでMFAをしてみた」の続きとなります。

OneLoginを使ってWorkSpacesでMFAをしてみた

前回の構成では、OneLoginのAD Connector5（以降OLADCと記載）がシングル構成だったため、単一障害点になっていました。 本番環境での利用を想定してOLADCを冗長化してみたいと思います。

前回の構成と冗長化ポイント

このエントリーでご紹介するのは赤枠で囲っている部分の冗長化になります。

※検証環境ではオフィス部分の環境は別VPCで作成し、Peeringで接続を行なっています。

次に、関連するリソースに絞った構成を見てみましょう。

前提として、OLADCでOneLogin、ActiveDirectory間で同期が行えている状況を想定しています。そこに、もう一台OLADCを追加して冗長構成として見たいと思います。追加する対象のEC2はWindowsサーバで既にLaunch済で、ドメインに参加している状態であるとします。また公式の手順では合計3台のOLADCで高可用性の構成を推奨としていましたが、ここでは2台構成とします。

OneLogin AD Connector5の冗長化をしてみた

まずはOneLoginの管理コンソールにログインしてUSERS＞Directoriesから対象のDirectoryを選択しましょう。

この段階で１台のOLADCが接続されており、USERの同期と認証の役割を担っています。

右上のプラスボタンを押してOLADCを追加していきます。

「New Active Directory Connector Instance」の画面で任意の名前をつけてSAVEしました。

すると、コンソール上に今設定したOLADCの行が追加されますので、追加された行をクリックします。

開いた画面からOLADCのダウンロードとインストール時に利用するトークンの確認がおこなえます。新たなOLADC用のEC2上でインストーラーとトークンを使用してOLADCのインストールを行います。

※インストールについては前回のブログをご参考ください。なお、既にOLADC用のユーザ がドメイン上に存在するはずなので、インストール時のドメインユーザ の指定はそちらを利用しましょう。

インストールが完了すると、STATUSが緑でConnectedとなります。

ここまできたら手動でのフェイルオーバーを試してみましょう。

以下をクリックします。

すると、ActiveDirectoryユーザ の同期を行うコネクターを切り替えますか？という警告がでます。フェイルオーバーをしたいので、CONTINUEをクリックします。

しばらくすると、同期を行うコネクターが切り替わったことがわかります。

これで手動フェイルオーバーのテストは完了なので、もう一度フェイルオーバーを行って元の状態に戻しておきます。

２台構成にはなったのですが、ここまでは自動フェイルオーバーは実行されません。 さらに設定が必要です。

Advancedタブから「Enable auto-switch sync failover」にチェックを入れましょう。これで同期を行なっているコネクターに障害が発生した時、自動でフェイルオーバーされます。簡単ですね。

そして、同期を行なっている側のコネクターのEC2を停止して自動的にフェイルオーバーされるか確認を行なってみました。

しばらくするとADC2が同期するコネクターになっているのがわかります。

比較的簡単にOLADCの冗長構成をとることができました。

さいごに

前回ポストしたブログの構成の単一障害点をなくすために冗長化を行なってみました。ステータスが変わった時に任意で通知を発報することもできるようですので、また試してからまとめたいと思います。この記事が誰かのお役にたてば幸いです。

参考

Installing Additional Active Directory Connectors for High Availabilit