29.3 Voraussetzungen und Überlegungen für die Installation der Identitätsanwendungen

Es ist eine unterstützte Version der folgenden Identity Manager-Komponenten erforderlich:

Weitere Informationen zu den erforderlichen Versionen und Patches für diese Komponenten finden Sie in den aktuellen Versionshinweisen.

Installieren Sie die folgenden Bestandteile des Rahmenwerks, bevor Sie die Identitätsanwendungen installieren:

(Bedingt) Wenn Sie die Identitätsanwendungen auf einem SUSE Linux Enterprise Server (SLES) installieren, verwenden Sie nicht das mit SLES mitgelieferte IBM-JDK. Diese Version ist mit einigen Aspekten der Installation für die Benutzeranwendung nicht kompatibel. Laden Sie stattdessen das Oracle-JDK herunter.

(Optional) NetIQ empfiehlt, das SSL-Protokoll (Secure Sockets Layer) für die Kommunikation zwischen den Identity Manager-Komponenten zu aktivieren. Zur Verwendung des SSL-Protokolls müssen Sie SSL in Ihrer Umgebung aktivieren und https während der Installation angeben. Weitere Informationen zum Aktivieren von SSL finden Sie unter „Enabling SSL in a Production Environment“ (Aktivieren von SSL in einer Produktionsumgebung) im User Application: Administration Guide (Benutzeranwendung: Administrationshandbuch).

Erstellen Sie den Benutzeranwendungstreiber, bevor Sie den Rollen- und Ressourcenservice-Treiber erstellen. Der Rollen- und Ressourcenservice-Treiber referenziert den Rollendepotcontainer (RoleConfig.AppConfig) im Benutzeranwendungstreiber.

Der Rollen- und Ressourcenservice-Treiber kann nicht zusammen mit dem Remote Loader genutzt werden, da der Treiber jClient verwendet.

Setzen Sie die Umgebungsvariable JAVA_HOME so, dass sie auf das JDK verweist, das mit den Identitätsanwendungen verwendet werden soll. Sie können JAVA_HOME außer Kraft setzen; geben Sie hierzu den Pfad manuell während der Installation ein.

Der Installationsvorgang legt die Programmdateien standardmäßig im Verzeichnis C:\NetIQ\IDM oder /opt/netiq/idm ab. Wenn die Benutzeranwendung in einem nicht standardmäßigen Speicherort installiert werden soll, muss das neue Verzeichnis den folgenden Voraussetzungen entsprechen, bevor Sie den Installationsvorgang beginnen können:

Jede Benutzeranwendungsinstanz kann nur jeweils einen einzigen Benutzercontainer verarbeiten. Sie können beispielsweise Benutzer nur zu dem Container hinzufügen, der mit der Instanz verknüpft ist, die Benutzer nur in diesem Container suchen und eine Abfrage nur für diesen Container durchführen. Außerdem sollte die Verknüpfung eines Benutzeranwendungscontainers mit einer Anwendung dauerhaft sein.

(Bedingt) Wenn Sie planen, mit der externen Passwortverwaltung zu arbeiten, muss Ihre Umgebung den folgenden Voraussetzungen entsprechen:

Weitere Informationen zum Aktivieren von SSL für Tomcat finden Sie unter SSL Configuration HOW-TO (Anweisungen zur SSL-Konfiguration). Weitere Informationen zum Aktivieren von SSL für JBoss und WebSphere finden Sie in der Dokumentation für diese Produkte.

Weitere Informationen zur Datei IDMPwdMgt.war finden Sie in Abschnitt 35.6, Konfigurieren der „Passwort vergessen“-Verwaltung.

(Optional) Sollen Autorisierungen von verwalteten Systemen abgerufen werden, installieren Sie mindestens einen Identity Manager-Treiber.

Bevor die Benutzer auf die Identitätsanwendungen zugreifen können, müssen Sie die folgenden Schritte ausführen:

Sobald Sie SSO in Ihrer Identity Manager-Umgebung aktivieren, können die Benutzer nicht mehr als Gast oder als anonymer Benutzer auf die Identitätsanwendungen zugreifen. Stattdessen werden die Benutzer aufgefordert, sich an der Benutzeroberfläche anzumelden. Weitere Informationen finden Sie in Abschnitt XIII, Konfiguration des Single-Sign-On-Zugriffs in Identity Manager.

Konfigurieren Sie das Identitätsdepot so, dass bei der ersten Anmeldung eines Benutzers die NMAS-Anmeldung verwendet wird. So ist sichergestellt, dass die Universalpasswort-Funktion in Identity Manager erzwungen wird.

(Bedingt) Um Berichte ausführen zu können, müssen die Komponenten für die Identitätsberichterstellung in Ihrer Umgebung installiert sein. Weitere Informationen finden Sie in Abschnitt XI, Installieren der Komponenten für die Identitätsberichterstellung.

Während des Installationsvorgangs legt das Installationsprogramm Protokolldateien im Installationsverzeichnis ab. Diese Dateien enthalten Informationen über Ihre Konfiguration. Nach erfolgter Konfiguration der Identitätsanwendungen sollten Sie diese Dateien löschen oder an einem sicheren Speicherort aufbewahren. Während des Installationsvorgangs können Sie angeben, dass das Datenbankschema in eine Datei geschrieben werden soll. Da diese Datei beschreibende Informationen über Ihre Datenbank enthält, sollten Sie sie nach Abschluss der Installation an einem sicheren Speicherort aufbewahren.

(Bedingt) Soll eine Revision der Identitätsanwendungen erfolgen, müssen die Identitätsberichterstellung und ein Event Auditing Service (EAS) in der Umgebung installiert und für die Erfassung von Ereignissen konfiguriert sein. Sie müssen außerdem die Identitätsanwendungen für die Revision konfigurieren. Weitere Informationen hierzu finden Sie im Identity Reporting Module Guide (Handbuch zum Identitätsberichterstellungsmodul).

(Optional) Sie können die Identitätsanwendungen für die Verwendung von NetIQ Access Manager 4.0 über die SAML 2.0-Authentifizierung konfigurieren. Weitere Informationen finden Sie in Abschnitt 46.0, Single Sign-On per SAML-Authentifizierung mit NetIQ Access Manager.

Auf dem Anwendungsserver muss das Java Development Kit (JDK) oder die Java Runtime Environment (JRE) ausgeführt werden. Weitere Informationen zu den unterstützten Versionen finden Sie in Abschnitt 29.4, Systemanforderungen für die Identitätsanforderungen.

Stellen Sie die Umgebungsvariable JAVA_HOME so ein, dass sie auf das JDK verweist, das mit der Benutzeranwendung verwendet werden soll. Sie können JAVA_HOME außer Kraft setzen; geben Sie hierzu den Pfad manuell während der Installation ein.

(Bedingt) Bei Bedarf können Sie Ihr eigenes Tomcat-Installationsprogramm anstelle des Programms im Installations-Kit von Identity Manager verwenden. Wenn Sie allerdings den Apache Log4j-Dienst zusammen mit Ihrer Tomcat-Version nutzen möchten, überprüfen Sie, ob die entsprechenden Dateien installiert sind. Weitere Informationen finden Sie in Abschnitt 27.6, Protokollieren von Anmelde- und Passwortereignissen mit dem Apache-Log4j-Dienst.

(Bedingt) Wenn mehrere Anwendungsserver mit einer Bereitstellung der Identitätsanwendungen installiert werden sollen, muss für jede Bereitstellung ein eigener Benutzeranwendungstreiber vorliegen, sofern Sie die Benutzeranwendungen nicht auf Schwesterknoten in demselben JBoss-Cluster installieren. Weitere Informationen finden Sie in Abschnitt 29.3.4, Voraussetzungen für die Installation der Identitätsanwendungen in einer Cluster-Umgebung. Weitere Informationen zum Konfigurieren einer Cluster-Umgebung finden Sie in Abschnitt 32.0, Vorbereiten der Umgebung auf die Identitätsanwendungen.

(Bedingt) Sollen digital signierte Dokumente aufbewahrt werden, müssen Sie die Identitätsanwendungen auf einem JBoss- oder Tomcat-Anwendungsserver installieren und Novell Identity Audit verwenden. Dokumente mit Digitalsignatur werden nicht mit Workflow-Daten in der Benutzeranwendungsdatenbank gespeichert, sondern in der Protokollierungsdatenbank. Außerdem muss die Protokollierung aktiviert sein, damit diese Dokumente aufbewahrt werden. Weitere Informationen finden Sie unter „Setting Up Logging“ (Einrichten der Protokollierung) im User Application: Administration Guide (Benutzeranwendung: Administrationshandbuch).

(Bedingt) In Umgebungen, in denen umfangreiche Benutzerdaten protokolliert werden oder der Verzeichnisserver zahlreiche Objekte enthält, sollten Sie mehrere Anwendungsserver für eine Bereitstellung der Identitätsanwendungen nutzen. Weitere Informationen zum Konfigurieren im Hinblick auf die optimale Leistung finden Sie unter „Performance Tuning“ (Leistungssteigerung) im User Application: Administration Guide (Benutzeranwendung: Administrationshandbuch).

(Bedingt) Wenn Sie einen JBoss- oder Tomcat-Anwendungsserver verwenden, starten Sie den Server erst dann, wenn die Installation abgeschlossen ist.

(Bedingt) Wenn Sie planen, mit der externen Passwortverwaltung zu arbeiten, aktivieren Sie das SSL-Protokoll (Secure Sockets Layer) wie folgt:

Weitere Informationen zum Aktivieren von SSL für Tomcat finden Sie unter SSL Configuration HOW-TO (Anweisungen zur SSL-Konfiguration). Weitere Informationen zum Aktivieren von SSL für JBoss und WebSphere finden Sie in der Dokumentation für diese Produkte.

Weitere Informationen zur Datei IDMPwdMgt.war finden Sie in Abschnitt 35.6, Konfigurieren der „Passwort vergessen“-Verwaltung und im User Application Administration Guide (Benutzeranwendung: Administrationshandbuch).

Je nach dem zu verwendenden Anwendungsserver bearbeitet der Installationsvorgang für die Identitätsanwendungen einige Einträge zur JRE-Zuordnung in der Datei setenv.sh:

Die Einträge JAVA_HOME und JRE_HOME auf einem Tomcat-Server werden hiermit nicht verändert. Standardmäßig legt das Schnellinstallationsprogramm für Tomcat die Datei setenv.sh im Verzeichnis /opt/netiq/idm/apps/tomcat/bin/ ab. Die Installation konfiguriert außerdem den JRE-Speicherort in der Datei.

Der Cluster muss einen eindeutigen Clusterpartitionsnamen, eine Multicast-Adresse und einen Multicast-Port aufweisen. Mithilfe dieser eindeutigen Kennungen werden mehrere Cluster voneinander unterschieden, sodass Leistungsprobleme und ungewöhnliches Verhalten vermieden werden.

Die Uhren der Server im Cluster müssen synchronisiert werden. Wenn die Serveruhren nicht synchronisiert sind, kann eine frühzeitige Zeitüberschreitung von Sitzungen eintreten, sodass das HTTP-Sitzungs-Failover nicht einwandfrei funktioniert.

NetIQ rät davon ab, mehrere Anmeldungen auf verschiedenen Browser-Registerkarten oder in verschiedenen Browser-Sitzungen auf demselben Host zu verwenden. Bei einigen Browsern werden die Cookies übergreifend über alle Registerkarten und Prozesse verwendet, sodass mehrere Anmeldungen zu Problemen beim HTTP-Sitzungs-Failover führen können (neben dem Risiko einer unbeabsichtigten Authentifizierung, wenn mehrere Benutzer an einem einzigen Computer arbeiten).

(Bedingt) Bei JBoss-Clustern starten Sie jeden Server mit demselben Partitionsnamen und derselben Partitions-UDP-Gruppe. Jeder Server in einem Cluster muss eine eindeutige Engine-ID verwenden. Außerdem müssen alle Knoten im JBoss-Cluster auf dieselbe Datenbankinstanz zugreifen. Weitere Informationen zum Konfigurieren der JBoss-Systemeigenschaften finden Sie in Abschnitt 32.3, Vorbereiten eines Clusters für die Benutzeranwendung.

Zum Konfigurieren einer Datenbank für die Verwendung mit einem Anwendungsserver müssen Sie einen JDBC-Treiber erstellen. Die Identitätsanwendungen greifen über Standard-JDBC-Aufrufe auf die Datenbank zu und nehmen auch die Aktualisierung der Datenbank über diese Aufrufe vor. Die Identitätsanwendungen stellen über eine JDBC-Datenquelle, die an den JNDI-Baum gebunden ist, eine Verbindung mit der Datenbank her.

Es muss eine Datenquellendatei vorhanden sein, die auf die Datenbank verweist. Je nach Installationsumgebung müssen Sie diese Datei zunächst erstellen oder konfigurieren:

Vergewissern Sie sich, dass Ihnen die folgenden Informationen vorliegen:

Die Datenbankinstanz kann sich auf dem lokalen Computer oder auf einem verbundenen Server befinden.

Der Datenbank-Zeichensatz muss die Unicode-Kodierung nutzen. So ist beispielsweise UTF-8 ein Zeichensatz, der die Unicode-Kodierung verwendet, Latin-1 hingegen verwendet keine Unicode-Kodierung. Weitere Informationen zum Festlegen des Zeichensatzes finden Sie in Abschnitt 31.3.1, Konfigurieren des Zeichensatzes oder Abschnitt 31.1, Konfigurieren einer Oracle-Datenbank.

Bei der Sortierung muss zwischen Groß- und Kleinschreibung unterschieden werden, damit keine Fehler durch doppelte Schlüssel entstehen. Wenn ein Fehler durch doppelte Schlüssel auftritt, müssen Sie die Sortierung überprüfen und korrigieren. Installieren Sie anschließend die Identitätsanwendungen erneut.

(Bedingt) Soll eine Datenbankinstanz sowohl für die Revision als auch für die Identitätsanwendungen herangezogen werden, empfiehlt NetIQ, die Datenbank auf einem separaten dedizierten Server zu installieren, also nicht auf dem Server, auf dem der Anwendungsserver gehostet wird, auf dem wiederum die Identitätsanwendungen ausgeführt werden.

(Bedingt) Wenn Sie auf eine neue Version der Identitätsanwendungen migrieren, müssen Sie dieselbe Datenbank verwenden wie in der bisherigen Installation.

Die Datenbankserver ermöglichen jeweils das Datenbank-Clustering. NetIQ führt keine offiziellen Tests von Cluster-Datenbankkonfigurationen durch, da das Clustering unabhängig von der Funktionsfähigkeit des Produkts erfolgt. Cluster-Datenbankserver werden daher nur mit den folgenden Warnhinweisen unterstützt: