13.2 为 Identity Manager 安装单点登录

13.2.1 使用向导安装 One SSO Provider

以下过程介绍了如何使用安装向导在 Windows 平台上安装 OSP。要执行无提示或无人照管安装,请参见部分 13.2.2, 以无提示模式安装 One SSO Provider。要准备安装,请查看部分 13.1.1, 单点登录组件的核对清单中列出的先决条件和系统要求。

  1. 以管理员身份登录到要安装 OSP 的服务器。

  2. 停止 Tomcat 服务器。

  3. (视情况而定)如果您已获取 Identity Manager 安装包的 .iso 映像文件,请导航到包含 OSP 安装文件的目录(默认为 products\CommonApplication\osp_install 目录)。

  4. (视情况而定)如果您已下载 OSP 安装文件,请完成以下步骤:

    1. 导航到所下载映像的 win.zip 文件。

    2. 将该文件的内容解压缩到本地计算机上的某个目录中。

  5. 从包含安装文件的目录中运行 osp-install-win.exe 文件。

  6. 阅读并接受许可协议,然后单击下一步

  7. 指定安装文件的路径。

  8. 使用以下参数完成引导式过程:

    • Tomcat 细节

      表示 Tomcat 服务器的用户主目录。例如 C:\NetIQ\idm\apps\tomcat\。安装过程会将 OSP 的一些文件添加到此文件夹中。

    • Tomcat Java 主目录

      表示 Java 在 Tomcat 服务器上的主目录。例如,C:\NetIQ\idm\jre。安装过程会将 OSP 的一些文件添加到此目录中。

    • 应用程序地址

      表示用户连接 Tomcat 服务器上的 OSP 时所需的 URL 的设置。例如,https://myserver.mycompany.com:8543

      协议

      指定是要使用 http 还是 https。要使用安全套接字层 (SSL) 进行通讯,请指定 https

      主机名

      指定要安装 OSP 的服务器的 DNS 名称或 IP 地址。请不要使用 localhost

      端口

      指定您希望服务器在与客户端计算机通讯时所使用的端口。

    • 登录屏幕自定义

      指定要在用户登录屏幕上显示的自定义名称。默认值为 Identity Access

      注:仅支持 Latin1 标准字符集

    • 鉴定细节

      表示与包含可登录应用程序的用户列表的鉴定服务器连接时需要满足的要求。有关鉴定服务器的详细信息,请参见部分 4.5.1, 了解使用 One SSO Provider 进行鉴定的方法

      LDAP 主机

      指定 LDAP 鉴定服务器的 DNS 名称或 IP 地址。请不要使用 localhost

      LDAP 端口

      指定您希望 LDAP 鉴定服务器在与 Identity Manager 通讯时所使用的端口。例如,指定 389 作为非安全端口,或者为 SSL 连接指定 636

      使用 SSL

      指定是否要为身份库与鉴定服务器之间的连接使用安全套接字层协议。

      JRE 可信证书存储区 (cacerts) 文件

      仅当您要为 LDAP 连接使用 SSL 时才适用。

      指定证书的路径。例如,C:\NetIQ\idm\apps\jre\lib\security\cacerts

      JRE 可信证书存储区口令

      仅当您要为 LDAP 连接使用 SSL 时才适用。

      指定 cacerts 文件的口令。

      管理员 DN

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器管理员帐户的 DN。例如:cn=admin,ou=sa,o=system

      管理员口令

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器管理员帐户的口令。

      用户容器

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器中要储存可登录 Access Review 的用户帐户的容器。例如:o=data

      管理员容器

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器中要储存管理员帐户的容器。例如:ou=sa,o=system

      身份库

      指定您的身份库。

      密钥储存区口令

      仅在安装新鉴定服务器时适用。

      指定要为 LDAP 鉴定服务器的新密钥存储区创建的口令。

      该口令必须至少包含六个字符。

    • 审计细节 (OSP)

      表示用于审计鉴定服务器中发生的 OSP 事件的设置。

      (视情况而定)对 OSP 启用审计

      指定是否要将 OSP 事件发送到审计服务器。

      如果选择此设置,则还需指定审计日志超速缓存的位置。

      审计日志超速缓存文件夹

      仅当为 OSP 启用了审计时才适用。

      指定要用于审计的超速缓存目录的位置。例如 C:\NetIQ\idm\naudit\jcache

      指定现有证书/生成证书

      指定是要使用 NAudit 服务器的现有证书,还是创建新的证书。

      输入公共密钥

      仅当您要使用现有证书时才适用。

      列出您希望 NAudit 服务用来鉴定审计讯息的自定义公共密钥证书。

      输入 RSA 密钥

      仅当您要使用现有证书时才适用。

      指定您希望 NAudit 服务用来鉴定审计讯息的自定义私用密钥文件的路径。

  9. 要安装 SSPR,请继续部分 14.0, 安装口令管理组件

    有关配置忘记口令管理的详细信息,请参见部分 15.7.8, 配置忘记口令管理

13.2.2 以无提示模式安装 One SSO Provider

无提示(非交互式)安装不显示用户界面,也不向用户提出任何问题。

  1. 以管理员身份登录到要安装这些组件的计算机。

  2. 停止 Tomcat。

  3. (视情况而定)如果您已获取 Identity Manager 安装包的 .iso 映像文件,请导航到包含 OSP 安装文件的目录(默认为 osp 目录)。

  4. (视情况而定)如果您已从 NetIQ 下载网站下载了安装文件,请完成以下步骤:

    1. 导航到所下载映像的 .zip 文件。

    2. 将该文件的内容解压缩到本地计算机上的某个文件夹中。

  5. osp.configure.properties 文件复制到您有权写入的位置,然后编辑此文件。

    有关安装设置的详细信息,请参见步骤 7步骤 8

  6. 要运行无提示安装,请发出以下命令:

    osp-install-win.exe -i silent -f path_to_silent.properties_file

    在此命令中,请指定文件的绝对路径。例如:

    osp-install-win.exe -i silent -f c:\NetIQ\idm\apps\osp\osp.silent.properties

  7. 安装 SSPR。有关详细信息,请参见部分 14.0, 安装口令管理组件

13.2.3 配置单点登录访问

在安装 OSP 后,需要立即执行一些操作来配置单点登录访问。但是,最终的配置过程需要您先安装 Identity Applications。有关详细信息,请参见部分 VIII, 在 Identity Manager 中配置单点登录访问

注:在无提示模式下配置 One SSO Provider 时,请务必在 osp.silent.properties 文件中指定正确的安装、Java、Tomcat 和 SSL 密钥存储区文件夹路径。例如:

安装文件夹: USER_INSTALL_DIR=C:\NetIQ\idm\apps\osp

Tomcat 文件夹: NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Windows: NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Java 文件夹: NETIQ_JAVA_HOME=C:\NetIQ\idm\apps\jre

SSL 密钥存储区文件夹: USER_INSTALL_DIR=C:\NetIQ\idm\apps\jre\lib\security\cacerts