Começando...

Primeiro passo:

Como pré requisito básico, a instituição precisa já ser aderente a CAFe e possuir um IdP configurado.

Segundo passo:

Duplicar o seu atual IDP. A atual VM IDP possui todos os arquivos necessários do Shibboleth para o funcionamento correta da instância. Duplicar o contéudo atual, que está em produção, para dentro da sua nova instância alvo, reconfigurando a rede com novo IP, NETMASK, GATEWAY.

Terceiro passo:

Criar um Load Balancer com regras de distribuição de tráfego para os dois IDPs. O LB deve responder pela URL original do IDP cadastrado na CAFe, ou seja, o Load Balancer deverá responder diretamente as requisições feitas quando acionado o IDP da instituição na CAFe. Esse Load Balancer poderá ser por exemplo, um proxy Apache ou Nginx ou outro serviço de LB.

Quarto passo:

Configurar os IP do Load Balancer no DNS para que ele assuma as respostas das requisições vindas do IdP institucional.

Considerações Finais:

Essas orientações visam exemplificar o procedimento recomendado pela equipe de operação e suporte da CAFe RNP aos clientes. Existem diversas formas e ferramentas que podem ser usadas para auxiliar, como respositorios, Load Balancers, etc...

Desta forma a operação orienta os passos necessários para ativação de uma alta disponiblidade no serviço do IdP, porém cada cliente possui seus recursos específicos que deverão ser adaptados para essa demanda.

Exemplo de um projeto em LB para o IDP da CAFe

1 IDP Local configurado em um domínio institucional com 1 LDAP local dentro do mesmo domínio local institucional. Ambos se comunicam dentro do mesmo domínio + 1 IDP Cloud configurado na nuvem em um domínio cloud com 1 LDAP Cloud dentro do mesmo domínio em nuvem.

Nessa topologia não foi apresentado a sincronização entre as bases LDAP, em domínios diferentes, mas é muito recomendado que seja feita essa sincroinzação entre as bases, pois isso pode gerar problemas na autenticação de seus usuários.