複数のPingDS（ディレクトリサーバー）インスタンスが存在する環境でPingAM 8.0.2をアップグレードする場合、データの整合性を確保し、アップグレードが失敗したり不安定になったりした場合に即座にロールバックできるようにするための慎重な戦略が必要です。6 PingAMの「ロールバック計画」および「複製環境でのアップグレード」ドキュメントによると、推奨される安全対策として、データストアノードの1つを分離し、アップグレード前の状態の「タイムカプセル」として機能させることが挙げられます。手順は以下のとおりです。
レプリケーションの停止：アップグレードを開始する前に、管理者はPingDSノード間のレプリケーションを無効化または停止する必要があります。これにより、AMアップグレード中に行われたスキーマ変更やデータ変更がバックアップノードに伝播されるのを防ぎます。
ノードの分離：PingDS インスタンスの 1 つがシャットダウンされるか、ロードバランサーのローテーションから除外されます。このインスタンスは元の正常な状態のままです。
アップグレードの実行：PingAM のアップグレードは、残りのアクティブな PingDS インスタンスに対して実行されます。アップグレードにスキーマの更新が含まれる場合（バージョン 8.0.2 への移行ではよくあることです）、アクティブノードのデータのみが変更されます。
ロールバックパス：アップグレードに失敗した場合、管理者は「破損した」アップグレード環境をシャットダウンし、分離されたPingDSインスタンスと元のPingAM WARファイルを再起動するだけで済みます。レプリケーションが停止されているため、分離されたノードには元の設定とユーザーデータが残っています。
オプションDは、この「セーフティネット」アーキテクチャを正しく特定する唯一の回答です。オプションAは、アップグレードに失敗すると両方のインスタンスが破損するため、リスクがあります。オプションCは、アップグレード後にシャットダウンしたインスタンスを単に「起動」するだけでは、アップグレード済みノードとアップグレードされていないノード間の不一致をどのように処理するかが考慮されていないため、不完全です。目標は、シャットダウンしたインスタンスを有効な、変更されていないリカバリポイントとして維持することです。

PingAM 8.0.2 のセッションアップグレードは、ユーザーの現在の認証済みセッションをより高い認証レベル（認証レベル）に「昇格」させるメカニズムです。これは通常、ステップアップ認証の要件によってトリガーされます。ステップアップ認証とは、ユーザーが最初のログイン時に使用した認証方法よりも強力な認証方法（MFA など）を必要とする機密性の高いリソースにアクセスしようとする場合に発生します。
PingAMの「セッションアップグレードの結果」に関するドキュメントによると、このプロセスは既存のセッションを単に変更するだけではありません。ユーザーが追加の認証要件（「アドバイス」）を正常に完了すると、次のようになります。
新しいセッションの作成：PingAM は新しい認証済みセッションを生成します。この新しいセッションには、完了したツリーまたはモジュールに応じて、より高い認証レベルが割り当てられます。
プロパティのコピー：シームレスなユーザーエクスペリエンスを確保するため、PingAM はセッションプロパティ（属性、定数、その他のメタデータ）を元の下​​位レベルセッションから新しい上位レベルセッションにコピーします。これにより、最初のログイン時に収集された情報がアプリケーションで引き続き利用可能になります。
トークンの置き換え：セッションIDはセッショントークン（SSOトークン）の一部であるため、新しいセッションは新しいトークンを意味します。PingAMはクライアントに新しいセッショントークンを渡して、元のトークンを置き換えます。クライアント（ブラウザまたはアプリケーション）は、以降のリクエストでこの新しいトークンを使用する必要があります。
レルムがサーバー側セッション用に構成されている場合、新しいセッションはコアトークンサービス（CTS）に保存されます。クライアント側セッション用に構成されている場合、署名済み/暗号化された新しいJWTがCookieとしてクライアントに送信されます。重要な違いは、トークンが変更され、プロパティはコピーによって保持される点です。そのため、オプションBはAM内部ライフサイクルの正しい技術的説明となります。

PingAM 8.0.2 では、「アフィニティモード」（またはセッションアフィニティ）という用語は、ロードバランシング（オプション B）と厳密に関連しています。これは、ロードバランサーが特定のユーザーセッションに属するすべてのリクエストを、クラスター内の同じ PingAM サーバーインスタンスに一貫してルーティングすることを保証する構成を指します。
「負荷分散」および「展開計画」のドキュメントによると、次のようになります。
アフィニティは、ステートフルなデプロイメントにおけるパフォーマンスにとって非常に重要です。PingAMは、リクエストごとにコアトークンサービス（CTS）からセッションを取得することで「ステートレス」な動作も可能ですが、これは不要なオーバーヘッドを生み出します。アフィニティモードにより、AMサーバーはローカルの「インメモリ」セッションキャッシュを使用してリクエストに対応できます。
PingAM のドキュメントでは、主に 2 つのレベルのアフィニティについて説明されています。
クライアントと AM 間のアフィニティ: 通常、ユーザーを同じ AM ノード上に維持するために、Cookie (AMLB Cookie など) を使用してロード バランサーによって処理されます。
AM-DS アフィニティ: AM が CTS (PingDS) に接続するときに使用されます。これにより、AM サーバーは常に同じディレクトリサーバーノードと通信するようになり、「レプリケーションラグ」を回避できます。「レプリケーションラグ」とは、セッションが 1 つの DS ノードに書き込まれても、別の DS ノードにはまだ表示されていない状態を指します。
アフィニティがない場合、システムはCTSのおかげで機能し続けますが、すべてのリクエストがネットワークをまたいだデータベース検索を必要とするため、パフォーマンスが低下します。したがって、アフィニティは負荷分散と高可用性アーキテクチャの中核となる概念です。

PingAM 8.0.2では、OAuth 2.0 トークン交換（RFC 8693）は、委任と偽装という2つの主要なパターンをサポートしています。これらの違いを理解することは、安全なマイクロサービスアーキテクチャを構築する上で非常に重要です。
PingAM ドキュメントの「偽装のデモンストレーション」セクションによると、偽装とは、下流のリソース サーバーがサブジェクトの ID のみを認識する方法で、クライアント (「アクター」) が別の ID (「サブジェクト」) として動作するパターンです。
文Aは正解です。偽装フローでは、クライアント（ユーザーによって承認されているか、信頼できるサービス）がトークンを要求し、実質的には別のサービスとやり取りするための「サブジェクト」になります。下流のサービスは、そのリクエストをサブジェクトから直接送信されたかのように扱い、多くの場合、同じ権限セットを使用します。
記述Dは正解です。偽装のためのトークン交換を実行するには、クライアントは/oauth2/access_tokenエンドポイントに特定のパラメータを提供する必要があります。このパラメータは、subject_token（偽装対象のIDを表す）とactor_token（偽装を実行するクライアント/サービスのIDを表す）を提供します。PingAMは両方のトークンを検証し、「アクター」が「サブジェクト」を偽装する権限を持っていることを確認します。その他の記述が間違っている理由：記述Bは委任（アクターがサブジェクトに代わって行動するが、actクレームでは自身のIDを保持する）について説明しています。記述Cは誤りです。トークン交換は本質的に、要求元（アクター）が誰であるか、そしてアクターが誰を代表しているか（サブジェクト）を証明する必要があるためです。両方のトークンがなければ、AMサーバーは偽装に必要な認可関係を検証できません。したがって、記述AとDの組み合わせは、PingAM 8.0.2の偽装パターンを正確に反映しています。

PingAM 8.0.2のツリーデザイナーは、洗練されたログインジャーニーを構築するための視覚的なドラッグ＆ドロップツールです。非常に柔軟でありながら、認証エンジンが予測通りにロジックを実行できるよう、特定の構造ルールに従っています。
声明の分析:
文Aは真です。ツリーは必ず何らかの結果で終了しなければなりません。成功ノードと失敗ノードは標準です。さらに、内部ツリー評価ノードにより、あるツリーから別の「子」ツリーに処理を引き継ぐことができます。
記述Cは正しい：デザイナーは拡張可能です。管理者は独自のJavaノードまたはスクリプトノードを開発できます。また、Ping Identity Marketplaceでは、インストール後にデザイナーパレットに表示される、幅広いサードパーティ製ノード（生体認証プロバイダーや特殊なリスクエンジン用など）を提供しています。
ステートメント D は正しいです。「内部ツリー」はサポートされている概念であり、共通ロジック (MFA など) を一度構築して複数の親ツリーから呼び出すことができるモジュール性を実現します。
ステートメントBは「正しくない」ステートメントです。デザイナーは複雑なロジックとループ（例：パスワードが間違っている場合にユーザー名プロンプトに戻る）を許可していますが、ツリー内でのノードのネストはサポートしていません。PingAMアーキテクチャでは、ノードはフラットなキャンバス上に配置されたアトミックコンポーネントです。ビジュアルデザイナーでは、ノードを別のノードの構成内に「ネスト」することはできません。複雑さは、これらのアトミックノードの分岐とリンクによって実現されます。ロジックを「ネスト」またはグループ化する必要がある場合は、別のツリーを作成し、それを内部ツリーと呼ぶことで実現します。この構造上の制限を理解することは、モジュール型認証フレームワークを設計するアーキテクトにとって重要です。