15.2 Bereitstellungsverfahren

Identity Manager-Komponenten können je nach Bedarf in einem privaten oder einem öffentlichen Netzwerk bereitgestellt werden. Abbildung 15-1 veranschaulicht ein Beispiel einer Bereitstellung, das in den folgenden Abschnitten herangezogen wird.

Abbildung 15-1 Bereitstellung von Identity Manager unter Microsoft Azure

Identity Manager-Komponenten können in unterschiedlichen Kombinationen unter Microsoft Azure bereitgestellt werden. Es hängt davon ab, wie die Komponenten auf verschiedenen Servern verteilt sind. Der Bereitstellungsvorgang ist jedoch für alle Szenarien gleich.

Das Bereitstellungsverfahren umfasst die folgenden Schritte:

15.2.1 Erstellen einer Ressourcengruppe

NetIQ empfiehlt, eine Ressourcengruppe zu erstellen und die erforderlichen Ressourcen zur Gruppe hinzuzufügen, um sie mit Identity Manager zu verwenden. Führen Sie zum Erstellen einer neuen Ressourcengruppe die folgenden Schritte aus:

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Ressourcengruppen.

  3. Klicken Sie auf Create (Erstellen).

  4. In der Registerkarte Grundlagen:

    1. Wählen Sie in der Dropdown-Liste Ihr Abonnement aus.

    2. Geben Sie einen neuen Namen für die Ressourcengruppe ein.

    3. Wählen Sie in der Dropdown-Liste Region den Speicherort. Beispiel: Zentralindien

    4. Klicken Sie auf Weiter: Tags >.

  5. Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.

  6. Klicken Sie auf der Registerkarte Überprüfen + Erstellen auf Erstellen.

15.2.2 Erstellen eines virtuellen Netzwerks und Teilnetzes

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie virtuelles Netzwerk in die Suche ein.

  3. Wählen Sie unter Dienste Virtuelle Netzwerke.

  4. Klicken Sie auf Create (Erstellen).

  5. Geben Sie auf der Registerkarte Grundlagen die folgenden Details an:

    Feld

    Beschreibung

    Abonnement

    Wählen Sie in der Dropdown-Liste Ihr Abonnement.

    Ressourcengruppe

    Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe.

    Name

    Geben Sie den Namen für das virtuelle Netzwerk an.

    Region

    Wählen Sie in der Dropdown-Liste den Speicherort. Beispiel: Zentralindien

    1. Klicken Sie auf Weiter: IP-Adressen >.

  6. Klicken Sie auf der Registerkarte IP-Adressen auf Teilnetz hinzufügen.

    1. Klicken Sie auf Teilnetz hinzufügen.

      1. Geben Sie den Namen für das Teilnetz an. Beispiel: Standard.

      2. Geben Sie den Teilnetz-Adressbereich an. Beispiel: 10.1.0.0/24.

      3. Klicken Sie auf Hinzufügen.

    2. Klicken Sie auf Weiter: Sicherheit >.

  7. Behalten Sie auf der Registerkarte Sicherheit die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Tags >.

  8. Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.

  9. Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.

15.2.3 Erstellen eines Anwendungs-Gateways

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Ressource erstellen.

  3. Gehen Sie zu Kategorien > Networking > Anwendungs-Gateway.

  4. Geben Sie auf der Registerkarte Grundlagen die folgenden Details an:

    Feld

    Beschreibung

    Abonnement

    Wählen Sie in der Dropdown-Liste Ihr Abonnement.

    Ressourcengruppe

    Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe.

    Name des Anwendungs-Gateways

    Geben Sie den Namen des Anwendungs-Gateways an.

    Region

    Wählen Sie in der Dropdown-Liste den Speicherort. Beispiel: Zentralindien

    Ebene

    Wählen Sie die gewünschte Ebene. Beispiel: Standard V2.

    Min. Anzahl Instanzen

    Geben Sie den Wert 0 an.

    Max. Anzahl Instanzen

    Geben Sie den Wert 10 an.

    Virtuelles Netzwerk

    Wählen Sie das virtuelle Netzwerk und das entsprechende erstellte Teilnetz. Weitere Informationen hierzu finden Sie in Erstellen eines virtuellen Netzwerks und Teilnetzes.

    1. Behalten Sie die Standardwerte für die übrigen Felder bei und klicken Sie auf Weiter: Frontends >.

  5. Auf der Registerkarte Frontends:

    1. Wählen Sie Öffentlich.

    2. Klicken Sie unter Öffentliche IP-Adresse auf Neue hinzufügen.

      1. Geben Sie den Namen der öffentlichen IP-Adresse an. Beispiel: idmgateway.centralindia.cloudapp.azure.com.

      2. Klicken Sie auf OK.

    3. Klicken Sie auf Weiter: Backends >

  6. Auf der Registerkarte Backends:

    1. Klicken Sie auf Backend-Pool hinzufügen.

      1. Geben Sie den Namen des Backend-Pools an.

      2. Wählen Sie Ja, um einen Backend-Pool ohne Ziele hinzuzufügen.

      3. Klicken Sie auf Hinzufügen.

    2. Klicken Sie auf Weiter: Konfiguration >.

  7. Auf der Registerkarte Konfiguration:

    1. Klicken Sie unter Routing-Regeln auf Routing-Regel hinzufügen.

    2. Geben Sie den Namen der Regel an.

    3. Geben Sie auf der Registerkarte Listener die folgenden Details an:

      Feld

      Beschreibung

      Listener-Name

      Geben Sie den Namen des Listeners an.

      Frontend-IP

      Wählen Sie in der Dropdown-Liste die Option Öffentlich.

      Protokoll

      Wählen Sie HTTP.

      Port

      Geben Sie den Wert 80 an.

    4. Behalten Sie die Standardwerte für die restlichen Felder bei.

    5. Geben Sie auf der Registerkarte Backend-Ziele die folgenden Details an:

      Feld

      Beschreibung

      Backend-Ziel

      Wählen Sie in der Dropdown-Liste das Backend-Ziel.

      HTTP-Einstellungen

      Klicken Sie auf Neue hinzufügen und geben Sie den Namen der HTTP-Einstellungen an. Behalten Sie die Standardwerte für alle Felder bei und klicken Sie dann auf Hinzufügen.

      1. Klicken Sie auf Hinzufügen.

    6. Klicken Sie auf Weiter: Tags >.

  8. Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.

  9. Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.

HINWEIS:Weitere Informationen über die Konfiguration des Anwendungs-Gateways finden Sie unter Konfigurieren des Anwendungs-Gateways.

15.2.4 Erstellen einer VM-Instanz

Erstellen Sie eine separate virtuelle Maschine zum Hosten der Identity Manager-Komponenten.

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie virtuelle Maschinen in die Suche ein.

  3. Wählen Sie unter Dienste Virtuelle Maschinen.

  4. Klicken Sie auf Erstellen und wählen Sie dann Virtuelle Maschine.

  5. In der Registerkarte Grundlagen:

    1. Wählen Sie in der Dropdown-Liste Ihr Abonnement aus.

    2. Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe (weitere Informationen finden Sie unter Erstellen einer Ressourcengruppe).

    3. Geben Sie den Namen der virtuellen Maschine an.

    4. Wählen Sie in der Dropdown-Liste Region den Speicherort. Beispiel: Zentralindien

    5. Wählen Sie in der Dropdown-Liste Image den gewünschten Windows Server. Beispiel: Windows Server 2019.

    6. Wählen Sie in der Dropdown-Liste Größe die Größe der virtuellen Maschine.

    7. Geben Sie den Benutzernamen und das Passwort an und wählen Sie Passwort bestätigen.

    8. Wählen Sie unter Lizenzierung die Option Windows Server-Lizenz und dann zur Bestätigung die berechtigte Windows Server-Lizenz mit Software Assurance.

    9. Behalten Sie die Standardwerte für die restlichen Felder bei.

    10. Klicken Sie auf Weiter: Konfiguration > Datenträger.

  6. Auf der Registerkarte Datenträger:

    1. Wählen Sie in der Dropdown-Liste BS-Datenträgertyp den Datenträgertyp. Beispiel: Premium SSD.

    2. Wählen Sie in der Dropdown-Liste den erforderlichen Verschlüsselungstyp.

    3. Klicken Sie auf Weiter: Networking >.

  7. Auf der Registerkarte Networking:

    1. Wählen Sie das virtuelle Netzwerk und das entsprechende erstellte Teilnetz. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks und Teilnetzes.

    2. Wählen Sie unter der Netzwerksicherheitsgruppe die Option Erweitert.

    3. Wählen Sie in der Dropdown-Liste eine vorhandene Netzwerksicherheitsgruppe.

      1. (Bedingt) Wenn die Netzwerksicherheitsgruppe nicht verfügbar ist, klicken Sie auf Neu erstellen.

      2. Geben Sie den Namen der Netzwerksicherheitsgruppe an.

      3. Klicken Sie auf Eingangsrolle hinzufügen und geben Sie die erforderlichen Details an.

      4. Klicken Sie auf Ausgangsrolle hinzufügen und geben Sie die erforderlichen Details an.

      5. Klicken Sie auf OK.

    4. Behalten Sie die Standardwerte für die restlichen Felder bei.

    5. Klicken Sie auf Weiter: Verwaltung >.

  8. Behalten Sie auf der Registerkarte Verwaltung die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Erweitert >.

  9. Behalten Sie auf der Registerkarte Erweitert die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Tags >.

  10. Behalten Sie auf der Registerkarte Tags die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Überprüfen + Erstellen >.

  11. Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.

15.2.5 Aktualisieren von Host-Einträgen in der VM

Auf die Identity Manager-Komponente kann mit dem öffentlichen DNS-Namen des Anwendungs-Gateways oder mit dem Alias-DNS-Datensatz zugegriffen werden. Damit die Identity Manager-Komponenten miteinander kommunizieren können, bearbeiten Sie die Host-Dateien auf jeder VM und fügen Sie einen Eintrag zur Auflösung des Hostnamens hinzu.

Tabelle 15-1 Aktualisieren von Host-Einträgen

Komponenten

Beschreibung

Identity-Engine

Navigieren Sie in der Identity Engine-VM zur Datei hosts. Beispiel:

C:\Windows\System32\drivers\etc\hosts

Bearbeiten Sie die Hostdatei mit folgendem Eintrag:

<IP-Adresse der Identity Engine-VM> <Privater DNS-Name der Identity Engine-VM>

Beispiel:

10.0.1.1 identityengine.example.com

<IP-Adresse der Identity Applications-VM> <Öffentlicher DNS-Name des Anwendungs-Gateways>

Beispiel:

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Identity Applications

Navigieren Sie in der Identity Engine-VM zur Datei hosts. Beispiel:

C:\Windows\System32\drivers\etc\hosts

Bearbeiten Sie die Hostdatei mit folgendem Eintrag:

<IP-Adresse der Identity Engine-VM> <Privater DNS-Name der Identity Engine-VM>

Beispiel:

10.0.1.1 identityengine.example.com

<IP-Adresse der Identity Applications-VM> <Öffentlicher DNS-Name des Anwendungs-Gateways>

Beispiel:

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Weitere Informationen zum Aktualisieren der Host-Einträge für Identity Reporting und iManager finden Sie in unter Identity ApplicationsTabelle 15-1.

HINWEIS:Weitere Informationen zur Installation der Identity Manager-Komponenten finden Sie unter Installationsverfahren.

15.2.6 Einrichten von Designer

  1. Starten Sie eine Instanz der virtuellen Maschine in einem öffentlichen Teilnetz. Weitere Informationen finden Sie unter Erstellen einer VM-Instanz.

    Verwenden Sie für die Windows-Sicherheitsgruppe nur den Port rdesktop. Beispiel: 3389.

  2. Installieren Sie Designer. Weitere Informationen finden Sie in Abschnitt IV, Installation von Designer.

15.2.7 Konfigurieren des Anwendungs-Gateways

Konfigurieren Sie das Anwendungs-Gateway, damit externe Netzwerke die Identity Manager-Komponenten verwenden können, die auf den virtuellen Maschinen gehostet werden.

  1. Konfigurieren Sie einen separaten Backend-Pool für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting.

    1. Klicken Sie in Backend-Pools auf Hinzufügen.

    2. Geben Sie die folgenden Informationen an:

      Feld

      Beschreibung

      Name

      Geben Sie den Namen eines Backend-Pools zur Kennzeichnung der Identity Manager-Komponente an.

      Typ

      Geben Sie den Typ auf eine der folgenden Arten an:

      • IP-Adresse oder FQDN: Geben Sie die IP-Adresse oder den FQDN der erforderlichen Identity Manager-Komponente an.

      • Virtuelle Maschine: Wählen Sie die virtuelle Maschine aus, auf der die erforderliche Identity Manager-Komponente gehostet wird.

    3. Klicken Sie auf OK.

    Wiederholen Sie diesen Schritt, um weitere Backend-Pools zu erstellen.

  2. Konfigurieren Sie separate HTTP-Einstellungen für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting.

    HINWEIS:Vergewissern Sie sich, dass Sie das öffentliche Zertifikat für die erforderlichen Identity Manager-Komponenten exportiert haben.

    1. Klicken Sie unter HTTP-Einstellungen auf Hinzufügen.

    2. Geben Sie die folgenden Informationen an:

      Feld

      Beschreibung

      Name

      Geben Sie den Namen einer HTTP-Einstellung zur Kennzeichnung der Identity Manager-Komponente an.

      Protokoll

      Wählen Sie HTTPS aus.

      Port

      Geben Sie den Port der Identity Manager-Komponente an.

      Beispiel:

      • iManager: 8443

      • Identity Applications: 8543

      • Formulare: 8600

      • Identity Reporting: 8643

      Zertifikate für die Backend-Authentifizierung

      1. Wählen Sie "Neu erstellen" aus.

      2. Geben Sie den Namen des Zertifikats an.

      3. Navigieren Sie zum exportierten öffentlichen Zertifikat für die entsprechende Identity Manager-Komponente und laden Sie sie herauf.

      4. Klicken Sie auf "Zertifikat hinzufügen".

    3. Klicken Sie auf OK.

    Wiederholen Sie diesen Schritt, um weitere HTTP-Einstellungen zu konfigurieren.

  3. Konfigurieren Sie einen separaten Listener für die Identity Manager-Komponente wie iManager, Identity Applications, Formulare und Identity Reporting.

    HINWEIS:Vergewissern Sie sich, dass Sie das .PFX-Zertifikat aus dem Identitätsdepot exportiert haben.

    1. Klicken Sie unter Listener auf Einfach.

    2. Geben Sie die folgenden Informationen an:

      Feld

      Beschreibung

      Name

      Geben Sie den Namen des Listener zur Kennzeichnung der Identity Manager-Komponente an.

      Frontend-IP-Konfiguration

      1. Wählen Sie das virtuelle Netzwerk und das vorher erstellte Teilnetz aus. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks und Teilnetzes.

      2. Geben Sie den Namen und die Portnummer der Anwendung an. Beispiel:

        iManager: 8443

        Identity Applications: 8543

        Formulare: 8600

        Identity Reporting: 8643

      Protokoll

      Wählen Sie HTTPS aus.

      Zertifikat

      1. Navigieren Sie zum PFX-Zertifikat und laden Sie es herauf.

      2. Geben Sie den Namen und das Passwort des Zertifikats an.

    3. Klicken Sie auf OK.

    Wiederholen Sie diesen Schritt, um weitere Listener zu konfigurieren.

  4. Erstellen Sie eine Basisregel für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting und verknüpfen Sie diese Regel mit dem entsprechenden Backend-Pool, dem Listener und der HTTP-Einstellung.

    1. Klicken Sie unter Regel auf Hinzufügen.

    2. Geben Sie die folgenden Informationen an:

      Feld

      Beschreibung

      Name

      Geben Sie den Namen einer Regel an, durch die die Identity Manager-Komponente erkannt wird.

      Listener

      Wählen Sie den in Schritt 3 erstellten entsprechenden Listener aus.

      Backend-Pool

      Wählen Sie den in Schritt 1 erstellten entsprechenden Backend-Pool aus.

      HTTP-Einstellung

      Wählen Sie die in Schritt 2 erstellte entsprechende HTTP-Einstellung aus.

    3. Klicken Sie auf OK.

    Wiederholen Sie diesen Schritt, um weitere Regeln zu erstellen.