Identity Manager-Komponenten können je nach Bedarf in einem privaten oder einem öffentlichen Netzwerk bereitgestellt werden. Abbildung 15-1 veranschaulicht ein Beispiel einer Bereitstellung, das in den folgenden Abschnitten herangezogen wird.
Abbildung 15-1 Bereitstellung von Identity Manager unter Microsoft Azure
Identity Manager-Komponenten können in unterschiedlichen Kombinationen unter Microsoft Azure bereitgestellt werden. Es hängt davon ab, wie die Komponenten auf verschiedenen Servern verteilt sind. Der Bereitstellungsvorgang ist jedoch für alle Szenarien gleich.
Das Bereitstellungsverfahren umfasst die folgenden Schritte:
NetIQ empfiehlt, eine Ressourcengruppe zu erstellen und die erforderlichen Ressourcen zur Gruppe hinzuzufügen, um sie mit Identity Manager zu verwenden. Führen Sie zum Erstellen einer neuen Ressourcengruppe die folgenden Schritte aus:
Melden Sie sich beim Azure-Portal an.
Klicken Sie auf Ressourcengruppen.
Klicken Sie auf Create (Erstellen).
In der Registerkarte Grundlagen:
Wählen Sie in der Dropdown-Liste Ihr Abonnement aus.
Geben Sie einen neuen Namen für die Ressourcengruppe ein.
Wählen Sie in der Dropdown-Liste Region den Speicherort. Beispiel: Zentralindien
Klicken Sie auf Weiter: Tags >.
Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.
Klicken Sie auf der Registerkarte Überprüfen + Erstellen auf Erstellen.
Melden Sie sich beim Azure-Portal an.
Geben Sie virtuelles Netzwerk in die Suche ein.
Wählen Sie unter Dienste Virtuelle Netzwerke.
Klicken Sie auf Create (Erstellen).
Geben Sie auf der Registerkarte Grundlagen die folgenden Details an:
Feld |
Beschreibung |
---|---|
Abonnement |
Wählen Sie in der Dropdown-Liste Ihr Abonnement. |
Ressourcengruppe |
Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe. |
Name |
Geben Sie den Namen für das virtuelle Netzwerk an. |
Region |
Wählen Sie in der Dropdown-Liste den Speicherort. Beispiel: Zentralindien |
Klicken Sie auf Weiter: IP-Adressen >.
Klicken Sie auf der Registerkarte IP-Adressen auf Teilnetz hinzufügen.
Klicken Sie auf Teilnetz hinzufügen.
Geben Sie den Namen für das Teilnetz an. Beispiel: Standard.
Geben Sie den Teilnetz-Adressbereich an. Beispiel: 10.1.0.0/24.
Klicken Sie auf Hinzufügen.
Klicken Sie auf Weiter: Sicherheit >.
Behalten Sie auf der Registerkarte Sicherheit die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Tags >.
Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.
Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.
Melden Sie sich beim Azure-Portal an.
Klicken Sie auf Ressource erstellen.
Gehen Sie zu Kategorien > Networking > Anwendungs-Gateway.
Geben Sie auf der Registerkarte Grundlagen die folgenden Details an:
Feld |
Beschreibung |
---|---|
Abonnement |
Wählen Sie in der Dropdown-Liste Ihr Abonnement. |
Ressourcengruppe |
Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe. |
Name des Anwendungs-Gateways |
Geben Sie den Namen des Anwendungs-Gateways an. |
Region |
Wählen Sie in der Dropdown-Liste den Speicherort. Beispiel: Zentralindien |
Ebene |
Wählen Sie die gewünschte Ebene. Beispiel: Standard V2. |
Min. Anzahl Instanzen |
Geben Sie den Wert 0 an. |
Max. Anzahl Instanzen |
Geben Sie den Wert 10 an. |
Virtuelles Netzwerk |
Wählen Sie das virtuelle Netzwerk und das entsprechende erstellte Teilnetz. Weitere Informationen hierzu finden Sie in Erstellen eines virtuellen Netzwerks und Teilnetzes. |
Behalten Sie die Standardwerte für die übrigen Felder bei und klicken Sie auf Weiter: Frontends >.
Auf der Registerkarte Frontends:
Wählen Sie Öffentlich.
Klicken Sie unter Öffentliche IP-Adresse auf Neue hinzufügen.
Geben Sie den Namen der öffentlichen IP-Adresse an. Beispiel: idmgateway.centralindia.cloudapp.azure.com.
Klicken Sie auf OK.
Klicken Sie auf Weiter: Backends >
Auf der Registerkarte Backends:
Klicken Sie auf Backend-Pool hinzufügen.
Geben Sie den Namen des Backend-Pools an.
Wählen Sie Ja, um einen Backend-Pool ohne Ziele hinzuzufügen.
Klicken Sie auf Hinzufügen.
Klicken Sie auf Weiter: Konfiguration >.
Auf der Registerkarte Konfiguration:
Klicken Sie unter Routing-Regeln auf Routing-Regel hinzufügen.
Geben Sie den Namen der Regel an.
Geben Sie auf der Registerkarte Listener die folgenden Details an:
Feld |
Beschreibung |
---|---|
Listener-Name |
Geben Sie den Namen des Listeners an. |
Frontend-IP |
Wählen Sie in der Dropdown-Liste die Option Öffentlich. |
Protokoll |
Wählen Sie HTTP. |
Port |
Geben Sie den Wert 80 an. |
Behalten Sie die Standardwerte für die restlichen Felder bei.
Geben Sie auf der Registerkarte Backend-Ziele die folgenden Details an:
Feld |
Beschreibung |
---|---|
Backend-Ziel |
Wählen Sie in der Dropdown-Liste das Backend-Ziel. |
HTTP-Einstellungen |
Klicken Sie auf Neue hinzufügen und geben Sie den Namen der HTTP-Einstellungen an. Behalten Sie die Standardwerte für alle Felder bei und klicken Sie dann auf Hinzufügen. |
Klicken Sie auf Hinzufügen.
Klicken Sie auf Weiter: Tags >.
Klicken Sie auf der Registerkarte Tags auf Weiter: Überprüfen + Erstellen >.
Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.
HINWEIS:Weitere Informationen über die Konfiguration des Anwendungs-Gateways finden Sie unter Konfigurieren des Anwendungs-Gateways.
Erstellen Sie eine separate virtuelle Maschine zum Hosten der Identity Manager-Komponenten.
Melden Sie sich beim Azure-Portal an.
Geben Sie virtuelle Maschinen in die Suche ein.
Wählen Sie unter Dienste Virtuelle Maschinen.
Klicken Sie auf Erstellen und wählen Sie dann Virtuelle Maschine.
In der Registerkarte Grundlagen:
Wählen Sie in der Dropdown-Liste Ihr Abonnement aus.
Wählen Sie in der Dropdown-Liste eine vorhandene Ressourcengruppe (weitere Informationen finden Sie unter Erstellen einer Ressourcengruppe).
Geben Sie den Namen der virtuellen Maschine an.
Wählen Sie in der Dropdown-Liste Region den Speicherort. Beispiel: Zentralindien
Wählen Sie in der Dropdown-Liste Image den gewünschten Windows Server. Beispiel: Windows Server 2019.
Wählen Sie in der Dropdown-Liste Größe die Größe der virtuellen Maschine.
Geben Sie den Benutzernamen und das Passwort an und wählen Sie Passwort bestätigen.
Wählen Sie unter Lizenzierung die Option Windows Server-Lizenz und dann zur Bestätigung die berechtigte Windows Server-Lizenz mit Software Assurance.
Behalten Sie die Standardwerte für die restlichen Felder bei.
Klicken Sie auf Weiter: Konfiguration > Datenträger.
Auf der Registerkarte Datenträger:
Wählen Sie in der Dropdown-Liste BS-Datenträgertyp den Datenträgertyp. Beispiel: Premium SSD.
Wählen Sie in der Dropdown-Liste den erforderlichen Verschlüsselungstyp.
Klicken Sie auf Weiter: Networking >.
Auf der Registerkarte Networking:
Wählen Sie das virtuelle Netzwerk und das entsprechende erstellte Teilnetz. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks und Teilnetzes.
Wählen Sie unter der Netzwerksicherheitsgruppe die Option Erweitert.
Wählen Sie in der Dropdown-Liste eine vorhandene Netzwerksicherheitsgruppe.
(Bedingt) Wenn die Netzwerksicherheitsgruppe nicht verfügbar ist, klicken Sie auf Neu erstellen.
Geben Sie den Namen der Netzwerksicherheitsgruppe an.
Klicken Sie auf Eingangsrolle hinzufügen und geben Sie die erforderlichen Details an.
Klicken Sie auf Ausgangsrolle hinzufügen und geben Sie die erforderlichen Details an.
Klicken Sie auf OK.
Behalten Sie die Standardwerte für die restlichen Felder bei.
Klicken Sie auf Weiter: Verwaltung >.
Behalten Sie auf der Registerkarte Verwaltung die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Erweitert >.
Behalten Sie auf der Registerkarte Erweitert die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Tags >.
Behalten Sie auf der Registerkarte Tags die Standardwerte für alle Felder bei und klicken Sie dann auf Weiter: Überprüfen + Erstellen >.
Überprüfen Sie Ihre Einstellungen auf der Registerkarte Überprüfen + Erstellen und klicken Sie dann auf Erstellen.
Auf die Identity Manager-Komponente kann mit dem öffentlichen DNS-Namen des Anwendungs-Gateways oder mit dem Alias-DNS-Datensatz zugegriffen werden. Damit die Identity Manager-Komponenten miteinander kommunizieren können, bearbeiten Sie die Host-Dateien auf jeder VM und fügen Sie einen Eintrag zur Auflösung des Hostnamens hinzu.
Tabelle 15-1 Aktualisieren von Host-Einträgen
Komponenten |
Beschreibung |
---|---|
Identity-Engine |
Navigieren Sie in der Identity Engine-VM zur Datei hosts. Beispiel: C:\Windows\System32\drivers\etc\hosts Bearbeiten Sie die Hostdatei mit folgendem Eintrag: <IP-Adresse der Identity Engine-VM> <Privater DNS-Name der Identity Engine-VM> Beispiel: 10.0.1.1 identityengine.example.com <IP-Adresse der Identity Applications-VM> <Öffentlicher DNS-Name des Anwendungs-Gateways> Beispiel: 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com |
Identity Applications |
Navigieren Sie in der Identity Engine-VM zur Datei hosts. Beispiel: C:\Windows\System32\drivers\etc\hosts Bearbeiten Sie die Hostdatei mit folgendem Eintrag: <IP-Adresse der Identity Engine-VM> <Privater DNS-Name der Identity Engine-VM> Beispiel: 10.0.1.1 identityengine.example.com <IP-Adresse der Identity Applications-VM> <Öffentlicher DNS-Name des Anwendungs-Gateways> Beispiel: 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com |
Weitere Informationen zum Aktualisieren der Host-Einträge für Identity Reporting und iManager finden Sie in unter Identity ApplicationsTabelle 15-1.
HINWEIS:Weitere Informationen zur Installation der Identity Manager-Komponenten finden Sie unter Installationsverfahren.
Starten Sie eine Instanz der virtuellen Maschine in einem öffentlichen Teilnetz. Weitere Informationen finden Sie unter Erstellen einer VM-Instanz.
Verwenden Sie für die Windows-Sicherheitsgruppe nur den Port rdesktop. Beispiel: 3389.
Installieren Sie Designer. Weitere Informationen finden Sie in Abschnitt IV, Installation von Designer.
Konfigurieren Sie das Anwendungs-Gateway, damit externe Netzwerke die Identity Manager-Komponenten verwenden können, die auf den virtuellen Maschinen gehostet werden.
Konfigurieren Sie einen separaten Backend-Pool für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting.
Klicken Sie in Backend-Pools auf Hinzufügen.
Geben Sie die folgenden Informationen an:
Feld |
Beschreibung |
---|---|
Name |
Geben Sie den Namen eines Backend-Pools zur Kennzeichnung der Identity Manager-Komponente an. |
Typ |
Geben Sie den Typ auf eine der folgenden Arten an:
|
Klicken Sie auf OK.
Wiederholen Sie diesen Schritt, um weitere Backend-Pools zu erstellen.
Konfigurieren Sie separate HTTP-Einstellungen für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting.
HINWEIS:Vergewissern Sie sich, dass Sie das öffentliche Zertifikat für die erforderlichen Identity Manager-Komponenten exportiert haben.
Klicken Sie unter HTTP-Einstellungen auf Hinzufügen.
Geben Sie die folgenden Informationen an:
Feld |
Beschreibung |
---|---|
Name |
Geben Sie den Namen einer HTTP-Einstellung zur Kennzeichnung der Identity Manager-Komponente an. |
Protokoll |
Wählen Sie HTTPS aus. |
Port |
Geben Sie den Port der Identity Manager-Komponente an. Beispiel:
|
Zertifikate für die Backend-Authentifizierung |
|
Klicken Sie auf OK.
Wiederholen Sie diesen Schritt, um weitere HTTP-Einstellungen zu konfigurieren.
Konfigurieren Sie einen separaten Listener für die Identity Manager-Komponente wie iManager, Identity Applications, Formulare und Identity Reporting.
HINWEIS:Vergewissern Sie sich, dass Sie das .PFX-Zertifikat aus dem Identitätsdepot exportiert haben.
Klicken Sie unter Listener auf Einfach.
Geben Sie die folgenden Informationen an:
Feld |
Beschreibung |
---|---|
Name |
Geben Sie den Namen des Listener zur Kennzeichnung der Identity Manager-Komponente an. |
Frontend-IP-Konfiguration |
|
Protokoll |
Wählen Sie HTTPS aus. |
Zertifikat |
|
Klicken Sie auf OK.
Wiederholen Sie diesen Schritt, um weitere Listener zu konfigurieren.
Erstellen Sie eine Basisregel für die Identity Manager-Komponenten wie iManager, Identity Applications, Formulare und Identity Reporting und verknüpfen Sie diese Regel mit dem entsprechenden Backend-Pool, dem Listener und der HTTP-Einstellung.
Klicken Sie unter Regel auf Hinzufügen.
Geben Sie die folgenden Informationen an:
Feld |
Beschreibung |
---|---|
Name |
Geben Sie den Namen einer Regel an, durch die die Identity Manager-Komponente erkannt wird. |
Listener |
Wählen Sie den in Schritt 3 erstellten entsprechenden Listener aus. |
Backend-Pool |
Wählen Sie den in Schritt 1 erstellten entsprechenden Backend-Pool aus. |
HTTP-Einstellung |
Wählen Sie die in Schritt 2 erstellte entsprechende HTTP-Einstellung aus. |
Klicken Sie auf OK.
Wiederholen Sie diesen Schritt, um weitere Regeln zu erstellen.