Dieser Abschnitt erläutert die Systemanforderungen und Voraussetzungen für die Installation von Identity Console als Docker-Container.
Identity Console kann als Docker-Container ausgeführt werden. Weitere Informationen zu den Systemanforderungen und unterstützten Plattformen für diesen Installationstyp von Identity Console finden Sie in der Docker-Dokumentation.
Installieren Sie Docker 20.10.9-ce oder höher. Weitere Informationen zum Installieren von Docker finden Sie im Abschnitt Docker Installation (Installation von Docker) in der Docker-Dokumentation.
Sie benötigen ein pkcs12-Serverzertifikat mit dem privaten Schlüssel, um den Datenaustausch zwischen dem Identity Console-Server und dem Backend-Server zu verschlüsseln/entschlüsseln. Dieses Serverzertifikat wird zur Absicherung der HTTP-Verbindung verwendet. Sie können von einer externen ZS generierte Serverzertifikate verwenden. Weitere Informationen finden Sie unter Creating Server Certificate Objects (Serverzertifikatsobjekte erstellen). Das Serverzertifikat muss den alternativen Antragstellernamen mit IP-Adresse und DNS des Identity Console-Servers enthalten. Nachdem das Serverzertifikatsobjekt erstellt wurde, müssen Sie es im PFX-Format exportieren.
Sie benötigen für alle Bäume ein Zertifizierungsstellenzertifikat im PEM-Format, um die Zertifizierungsstellensignatur der im vorherigen Schritt erhaltenen Serverzertifikate zu überprüfen. Dieses Zertifikat der Stammzertifizierungsstelle gewährleistet außerdem das Einrichten einer gesicherten LDAP-Kommunikation zwischen dem Client und dem Identity Console-Server. Sie können beispielsweise das eDirectory-Zertifizierungsstellenzertifikat (SSCert.pem) aus /var/opt/novell/eDirectory/data/SSCert.pem abrufen.
(Optional) Mit One SSO Provider (OSP) können Sie die Single Sign-On-Authentifizierung für Ihre Benutzer am Identity Console-Portal aktivieren. Sie müssen OSP installieren, bevor Sie Identity Console installieren. Um OSP für Identity Console zu konfigurieren, befolgen Sie die Aufforderungen auf dem Bildschirm und geben Sie die erforderlichen Werte für die Konfigurationsparameter an. Weitere Informationen finden Sie in OSP-Container bereitstellen. Um Identity Console bei einem vorhandenen OSP-Server zu registrieren, fügen Sie Folgendes manuell zur Datei ism-configuration.properties im Ordner /opt/netiq/idm/apps/tomcat/conf/ hinzu:
com.netiq.edirapi.clientID = identityconsole com.netiq.edirapi.redirect.url = https://<Identity Console Server IP>:<Identity Console Listener Port>/eDirAPI/v1/<eDirectory Tree Name>/authcoderedirect com.netiq.edirapi.logout.url = https://<Identity Console Server IP>:<Identity Console Listener Port>/eDirAPI/v1/<eDirectory Tree Name>/logoutredirect com.netiq.edirapi.logout.return-param-name = logoutURL com.netiq.edirapi.response-types = code,token com.netiq.edirapi.clientPass._attr_obscurity = NONE com.netiq.edirapi.clientPass = novell
HINWEIS:Mit OSP können Sie nur eine Verbindung zu einem einzigen eDirectory-Baum herstellen, da OSP nicht mehrere eDirectory-Bäume unterstützt.
Stellen Sie sicher, dass ein gültiger DNS-Eintrag mit vollständigem Hostnamen für Ihren Hostcomputer in /etc/hosts vorhanden ist.
Wenn Sie Identity Console im Edge-Browser verwenden möchten, müssen Sie die neueste Version von Microsoft Edge herunterladen, um die volle Funktionalität zu erhalten.
HINWEIS:Bei Verwendung von Identity Console in Mozilla Firefox kann die Fehlermeldung Origin Mismatch (Ursprungskonflikt) angezeigt werden. Führen Sie die folgenden Schritte aus, um das Problem zu beheben:
Aktualisieren Sie Firefox auf die neueste Version.
Geben Sie in Firefox im URL-Feld about:config ein und drücken Sie die Eingabetaste.
Suchen Sie nach „Origin“.
Doppelklicken Sie auf network.http.SendOriginHeader und ändern Sie den Wert in 1.
Unter Umständen müssen Sie eine Konfigurationsdatei mit bestimmten Parametern erstellen. Wenn Sie Identity Console mit OSP konfigurieren möchten, müssen Sie die OSP-spezifischen Parameter in der Konfigurationsdatei angeben. Erstellen Sie beispielsweise die folgende Datei edirapi.conf mit OSP-Parametern:
HINWEIS:Sie müssen den eDirectory-Baumnamen im Feld osp-redirect-url angeben.
listen = ":9000" ldapserver = "2.168.1.1:636" ldapuser = "cn=admin,ou=sa,o=system" ldappassword = "novell" pfxpassword = "novell" ospmode = "true" osp-token-endpoint = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/getattributes" osp-authorize-url = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/grant" osp-logout-url = "https://10.10.10.10:8543/osp/a/idm/auth/app/logout" osp-redirect-url = "https://10.10.10.10:9000/eDirAPI/v1/edirtree/authcoderedirect" osp-client-id = "identityconsole" ospclientpass = "novell" ospcert = "/etc/opt/novell/eDirAPI/cert/SSCert.pem" bcert = "/etc/opt/novell/eDirAPI/cert/" loglevel = "error" check-origin = "true" origin = "https://10.10.10.10:9000,https://192.168.1.1:8543"
Falls Sie Identity Console ohne OSP konfigurieren möchten, erstellen Sie eine Konfigurationsdatei ohne OSP-Parameter:
listen = ":9000" pfxpassword = "novell" ospmode = "false" bcert = "/etc/opt/novell/eDirAPI/cert/"
HINWEIS:Wenn Sie Identity Console mit mehreren eDirectory-Bäumen konfigurieren möchten, können Sie die Parameter „ldapserver“, „ldapuser“ und „ldappassword“ überspringen und die Konfigurationsdatei erstellen.
Tabelle 1-1 Beschreibung der Konfigurationsparameter in der Konfigurationsdatei
|
Konfigurationsparameter |
Beschreibung |
|---|---|
|
listen |
Geben Sie den Port 9000 als Listener-Port im Container für den Identity Console-Server an. |
|
ldapserver |
Geben Sie die IP-Adresse des eDirectory-Hostservers und die Portnummer an. |
|
ldapuser |
Geben Sie den Benutzernamen des eDirectory-Benutzers an. Dieser Parameter wird als Berechtigungsnachweis zum Initiieren von LDAP-Aufrufen an eDirectory mithilfe der Proxyautorisierungssteuerung im Falle einer OSP-Anmeldung verwendet. Der LDAP-Benutzer muss über Supervisor-Rechte für den eDirectory-Baum verfügen. |
|
ldappassword |
Geben Sie das Passwort für den LDAP-Benutzer an. |
|
pfxpassword |
Geben Sie das Passwort für die pkcs12-Serverzertifikatdatei an. |
|
ospmode |
Legen Sie true (wahr) fest, um OSP mit Identity Console zu integrieren. Wenn Sie diesen Parameter auf false (falsch) festlegen, verwendet Identity Console die LDAP-Anmeldung. |
|
osp-token-endpoint |
Diese URL wird zum Abrufen bestimmter Attribute vom OSP-Server verwendet, um die Gültigkeit des Authentifizierungs-Tokens zu überprüfen.. |
|
osp-authorize-url |
Diese URL wird vom Benutzer verwendet, um den Berechtigungsnachweis zum Abrufen eines Authentifizierungs-Tokens anzugeben.. |
|
osp-logout-url |
Mit dieser URL wird die Sitzung zwischen dem Benutzer und dem OSP-Server beendet.. |
|
osp-redirect-url |
Der OSP-Server leitet den Benutzer nach dem Gewähren des Authentifizierungs-Tokens zu dieser URL um.. HINWEIS:Stellen Sie sicher, dass Sie den eDirectory-Baumnamen beim Konfigurieren von Identity Console in Kleinbuchstaben angeben. Falls der Baumname nicht in Kleinbuchstaben angegeben wird, kann bei der Anmeldung beim Identity Console-Server ein Fehler auftreten. |
|
osp-client-id |
Geben Sie die OSP-Client-ID an, die zur Registrierung von Identity Console bei OSP verwendet wurde.. |
|
ospclientpass |
Geben Sie das OSP-Client-Passwort an, das zur Registrierung von Identity Console bei OSP verwendet wurde.. |
|
ospcert |
Geben Sie den Speicherort des ZS-Zertifikats des OSP-Servers an.. |
|
bcert |
Geben Sie den Speicherort des ZS-Zertifikats von Identity Console an. |
|
loglevel |
Geben Sie an, welcher Protokollumfang in der Protokolldatei enthalten sein soll. Dieser Parameter kann auf „fatal“ (schwerwiegende Fehler), „error“ (Fehler), „warn“ (Warnungen) oder „info“ (Infos) gesetzt werden. |
|
check-origin |
Wenn dieser Parameter auf true (wahr) festgelegt wird, vergleicht der Identity Console-Server den Ursprungswert der Anforderungen. Die verfügbaren Optionen sind true (wahr) und false (falsch). Der Parameter origin (Ursprung) ist bei Verwendung der DNS-Konfiguration auch dann obligatorisch, wenn der Wert des Parameters check-origin auf false (falsch) gesetzt ist. |
|
origin |
Identity Console vergleicht den Ursprungswert von Anforderungen mit den in diesem Feld angegebenen Werten. HINWEIS:Ab Identity Console 1.4 ist dieser Parameter unabhängig vom Parameter check-origin und ist obligatorisch, wenn die DNS-Konfiguration verwendet wird. |
|
maxclients |
Maximale Anzahl an Clients, die gleichzeitig auf IDConsole zugreifen können. Alle zusätzlichen Clients über diese Anzahl hinaus müssen in der Warteschlange warten. |
HINWEIS:
Sie sollten den Konfigurationsparameter ospmode nur verwenden, wenn Sie OSP mit Identity Console integrieren möchten.
Wenn Identity Applications (Identity Apps) in Ihrer Identity Manager-Einrichtung im Clustermodus konfiguriert ist, müssen Sie den DNS-Namen des Lastausgleichservers in den Feldern osp-token-endpoint, osp-authorize-url und osp-logout-url in der Konfigurationsdatei angeben. Falls Sie in diesen Feldern die OSP-Serverdetails angeben, kann die Anmeldung bei Identity Console nicht ausgeführt werden.
Wenn Identity Console mit derselben OSP-Instanz wie Identity Apps und Identity Reporting konfiguriert ist, wird der Single Sign-On-Authentifizierungsdienst wirksam, sobald Sie sich beim Identity Console-Portal anmelden.
Für Identity Console 1.4 und höhere Versionen sollte die HTTPS-URL von OSP mit Zertifikaten bestätigt werden, die einen 2048-Bit-Schlüssel enthalten.
Wenn Sie den Zugriff auf das Identity Console-Portal von anderen Domänen einschränken möchten, legen Sie den Parameter samesitecookie auf strict fest. Wenn Sie den Zugriff auf das Identity Console-Portal von anderen Domänen zulassen möchten, legen Sie den Parameter samesitecookie auf lax fest. Wenn der Parameter während der Konfiguration nicht angegeben wird, werden standardmäßig die Browsereinstellungen berücksichtigt.
Nachdem Sie die Konfigurationsdatei vorbereitet haben, fahren Sie mit der Bereitstellung des Containers fort. Weitere Informationen finden Sie im Identity Console als Docker-Container bereitstellen.