NetIQ vous recommande de consulter les conditions préalables et la configuration système requise pour les applications d'identité avant de lancer la procédure d'installation. Pour plus d'informations sur la configuration de l'environnement de l'application utilisateur, reportez-vous au NetIQ Identity Manager - User's Guide to the Identity Applications (Guide de l'utilisateur des applications d'identité de NetIQ Identity Manager).
Les considérations suivantes s'appliquent à l'installation des applications d'identité.
Veillez à utiliser une version prise en charge des composants Identity Manager suivants :
Designer
Coffre-fort d'identité
Moteur Identity Manager
Chargeur distant
One SSO Provider
Pour plus d'informations sur les versions et les correctifs requis pour ces composants, reportez-vous aux dernières notes de version.
Vérifiez que le coffre-fort d'identité inclut le module SecretStore, et que ce dernier est configuré. Pour plus d'informations, reportez-vous à la Section 12.1.2, Ajout de SecretStore au schéma du coffre-fort d'identité.
Vérifiez que le coffre-fort d'identité inclut les pilotes d'application utilisateur et de service de rôles et de ressources créés et déployés. Pour plus d'informations, reportez-vous au Section 38.0, Création et déploiement des pilotes pour les applications d'identité.
Installez les éléments suivants avant d'installer les applications d'identité :
Un serveur d'applications sur l'ordinateur local. Pour plus d'informations, reportez-vous à la Section 33.3.3, Conditions préalables et considérations relatives au serveur d'applications.
Une base de données sur l'ordinateur local ou un serveur connecté. Pour plus d'informations, reportez-vous à la Section 33.3.5, Conditions préalables à l'installation de la base de données pour les applications d'identité.
(Conditionnel) Lors de l'installation des applications d'identité sur des plates-formes SUSE Linux Enterprise Server (SLES), n'utilisez pas le JDK IBM fourni avec SLES. Cette version n'est pas compatible avec certaines parties de l'installation de l'application utilisateur. À la place, téléchargez le JDK Oracle.
(Conditionnel) Pour une installation interactive sur un serveur exécutant SLES 12 SP1 ou des plates-formes ultérieures, assurez-vous que les bibliothèques libXtst6-32bit-1.2.1-4.4.1.x86_64, libXrender-32bit et libXi6-32bit soient installées sur le serveur.
(Facultatif) NetIQ vous recommande d'activer le protocole SSL (Secure Sockets Layer) pour la communication entre les composants Identity Manager. Pour utiliser le protocole SSL, vous devez activer SSL dans votre environnement et spécifier https lors de l'installation. Pour plus d'informations sur l'activation de SSL, reportez-vous à la section Configuring Security in the Identity Applications (Configuration de la sécurité des applications d'identité) du NetIQ Analyzer for Identity Manager Administration Guide (Guide d'administration de NetIQ Analyzer pour Identity Manager).
Installez le pilote d'application utilisateur avant de créer celui des rôles et des ressources. Le pilote de rôles et de ressource fait référence au conteneur du coffre-fort de rôle (RoleConfig.Appconfig) dans le pilote d'application utilisateur.
Vous ne pouvez pas utiliser le pilote du service de rôles et de ressources avec le chargeur distant étant donné que le pilote utilise jClient.
Définissez la variable d'environnement JAVA_HOME de façon à ce qu'elle pointe vers le JDK à utiliser avec les applications d'identité. Pour remplacer JAVA_HOME, spécifiez manuellement le chemin d'accès lors de l'installation.
Par défaut, le processus d'installation place les fichiers du programme dans le répertoire C:\NetIQ\IDM ou /opt/netiq/idm. Si vous envisagez d'installer l'application utilisateur à un emplacement autre que celui par défaut, le répertoire doit répondre aux conditions suivantes avant de lancer le processus d'installation :
Le répertoire existe et est accessible en écriture.
Pour les environnements Linux, le répertoire est accessible en écriture par des utilisateurs non-root.
Chaque instance de l'application utilisateur ne peut traiter qu'un seul conteneur utilisateur. Par exemple, vous pouvez ajouter des utilisateurs qui ne peuvent effectuer des recherches et introduire des requêtes que pour le conteneur associé à l'instance. En outre, l'association d'un conteneur d'utilisateurs à une application est censée être permanente.
(Conditionnel) Si vous prévoyez d'utiliser une gestion des mots de passe externe, votre environnement doit respecter la configuration suivante :
Activez le protocole SSL (Secure Sockets Layer) pour les instances Tomcat sur lesquelles vous déployez les applications d'identité et le fichier IDMPwdMgt.war.
Veillez à ce que le port SSL soit ouvert dans votre pare-feu.
Pour plus d'informations sur l'activation de SSL pour Tomcat, reportez-vous à la Section 52.4, Mise à jour des paramètres SSL pour le serveur d'applications.
Pour plus d'informations sur le fichier IDMPwdMgt.war, reportez-vous à la Section 39.6, Configuration de la gestion des mots de passe oubliés.
Pour garantir la prise en charge des recherches LDAP avec les contrôles d'affichage de la liste virtuelle (Virtual List View - VLV) et de tri côté serveur (Server Side Sort - SSS), appliquez le Hot Fix 2 à eDirectory 9.0.2 ou eDirectory 8.8.8 Patch 9. Pour plus d'informations, reportez-vous à la Section 11.0, Application du Hot Fix 2 au coffre-fort d'identité.
Cette zone de réacheminement dynamique (Hot Fix) n'est pas nécessaire si vous avez installé eDirectory avec le programme d'installation intégré. Le programme d'installation intégré installe une version mise à jour d'eDirectory dans laquelle ce Hot Fix est appliqué.
(Facultatif) Pour récupérer des autorisations des systèmes gérés, installez un ou plusieurs pilotes Identity Manager.
Vous devez utiliser des pilotes pris en charge par Identity Manager 3.6.1, 4.0 ou des versions ultérieures. Pour plus d'informations sur l'installation des pilotes, reportez-vous aux guides des pilotes appropriés sur le site Web de documentation des pilotes NetIQ Identity Manager.
Pour gérer les pilotes, vous devez avoir installé Designer ou les plug-ins appropriés d'iManager. Pour plus d'informations, reportez-vous à la Section 22.3, Présentation de l'installation des plug-ins d'iManager.
Les considérations suivantes s'appliquent à la configuration et à l'utilisation initiale des applications d'identité.
Pour que les utilisateurs puissent accéder aux applications d'identité, vous devez effectuer les opérations suivantes :
Assurez-vous que tous les pilotes Identity Manager nécessaires sont installés.
Vérifiez que les index pour le coffre-fort d'identité sont en mode en ligne. Pour plus d'informations sur la configuration d'un index lors de l'installation, reportez-vous à la Section 40.2.9, Divers.
Activez les cookies dans tous les navigateurs. Les applications ne fonctionnent pas si les cookies sont désactivés.
Lorsque vous activez l'authentification unique dans votre environnement Identity Manager, les utilisateurs ne peuvent plus accéder aux applications d'identité en tant qu'invité ou utilisateur anonyme. Ils sont invités à se connecter à l'interface utilisateur. Pour plus d'informations, reportez-vous à la Section XV, Configuration de l'accès Single Sign-on dans Identity Manager.
Pour qu'Identity Manager applique le mot de passe universel, configurez le coffre-fort d'identité de façon à ce qu'il utilise la connexion NMAS comme processus de connexion initiale d'un utilisateur.
Linux : ajoutez les commandes suivantes à la fin du script /opt/novell/eDirectory/sbin/pre_ndsd_start :
NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST
Windows : ajoutez NDSD_TRY_NMASLOGIN_FIRST avec la valeur de chaîne true à la clé de registre HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment.
(Conditionnel) Pour exécuter les rapports, les composants Identity Reporting doivent être installés dans votre environnement. Pour plus d'informations, reportez-vous au Administrator Guide to NetIQ Identity Reporting (Guide de l'administrateur de NetIQ Identity Reporting).
Au cours de l'installation, le programme d'installation écrit des fichiers journaux dans le répertoire d'installation. Ces fichiers contiennent des informations relatives à votre configuration. Une fois que vous avez configuré votre environnement d'applications d'identité, envisagez de supprimer ces fichiers journaux ou de les stocker à un emplacement sécurisé. Au cours de l'installation, vous avez la possibilité d'écrire le schéma de base de données dans un fichier. Étant donné que ce fichier contient des informations descriptives sur votre base de données, il est conseillé de le déplacer vers un emplacement sécurisé une fois le processus d'installation terminé.
(Conditionnel) Pour auditer les applications d'identité, Identity Reporting et un service d'audit doivent être installés dans votre environnement et configurés pour capturer les événements. Vous devez également configurer les applications d'identité à des fins d'audit. Pour plus d'informations, consultez la
(Facultatif) Vous pouvez configurer les applications d'identité de sorte qu'elles fonctionnent avec NetIQ Access Manager à l'aide de l'authentification SAML. Pour plus d'informations, reportez-vous au Section 49.0, Utilisation de l'authentification SAML avec NetIQ Access Manager pour Single Sign-on.
Les applications d'identité nécessitent que Tomcat soit installé en tenant compte des aspects suivants :
Tomcat doit fonctionner avec JDK (Java Development Kit) ou JRE (Java Runtime Environment). Pour plus d'informations sur les versions compatibles, reportez-vous à la Section 33.4, Configuration système requise pour les applications d'identité.
Définissez la variable d'environnement JAVA_HOME de façon à ce qu'elle pointe vers le JDK à utiliser avec l'application utilisateur. Pour remplacer JAVA_HOME, spécifiez manuellement le chemin d'accès lors de l'installation.
(Facultatif) Vous pouvez utiliser votre propre programme d'installation Tomcat, plutôt que celui fourni dans le kit d'installation d'Identity Manager. Toutefois, afin d'utiliser le service Apache Log4j avec votre version de Tomcat, assurez-vous d'avoir installé les fichiers appropriés. Pour plus d'informations, reportez-vous à la Section 29.4, Utilisation du service Apache Log4j pour consigner les événements de connexion.
(Conditionnel) Pour protéger les documents portant une signature numérique, vous devez installer les applications d'identité sur un serveur d'applications Tomcat et utiliser Novell Identity Audit. Les documents comportant une signature numérique ne sont pas stockés avec les données de workflow dans la base de données de l'application utilisateur. Ils sont enregistrés dans la base de données de consignation. Vous devez également activer la fonction de consignation pour conserver ces documents. Pour plus d'informations, reportez-vous à la section Setting Up Logging in the Identity Applications (Configuration de la consignation dans les applications d'identité) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur des applications d'identité).
(Conditionnel) Si vous consignez une grande quantité de données utilisateur dans votre environnement ou si votre répertoire de serveur contient un grand nombre d'objets, vous pouvez choisir plusieurs applications serveur avec un déploiement des applications d'identité. Pour plus d'informations sur la configuration permettant d'obtenir des performances optimales, reportez-vous à la section Tuning the Performance of the Applications (Optimisation des performances des applications d'identité) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur des applications d'identité).
(Conditionnel) Si vous utilisez un serveur d'applications Tomcat, ne démarrez pas le serveur avant d'avoir terminé le processus d'installation.
(Conditionnel) Pour utiliser une gestion des mots de passe externe, vous devez procéder comme suit pour activer le protocole SSL (Secure Sockets Layer) :
Activez SSL pour les instances de Tomcat sur lesquelles déployer les applications d'identité et le fichier IDMPwdMgt.war.
Veillez à ce que le port SSL soit ouvert dans votre pare-feu.
Pour plus d'informations sur le fichier IDMPwdMgt.war, reportez-vous à la section Configuration de la gestion des mots de passe oubliés et au NetIQ Identity Manager - Administrator's Guide to the Identity Applications (Guide de l'administrateur des applications d'identité de NetIQ Identity Manager).
La procédure d'installation ne modifie pas les entrées JAVA_HOME ou JRE_HOME sur un serveur Tomcat. Par défaut, le programme d'installation de Tomcat place le fichier setenv.sh dans le répertoire /opt/netiq/idm/apps/tomcat/bin/. L'installation configure également l'emplacement JRE dans le fichier.
Vous pouvez installer la base de données des applications d'identité dans un environnement pris en charge par les grappes Tomcat, en tenant compte des considérations suivantes :
La grappe doit porter un nom de partition de grappe, une adresse de multidiffusion et un port de multidiffusion uniques. L'utilisation d'identifiants uniques permet de séparer plusieurs grappes pour éviter les problèmes de performances et les comportements anormaux.
Pour chaque membre de la grappe, vous devez indiquer le même numéro de port d'écoute pour la base de données des applications d'identité.
Pour chaque membre de la grappe, vous devez indiquer le même nom d'hôte ou l'adresse IP du serveur qui héberge la base de données des applications d'identité.
Vous devez synchroniser les horloges des serveurs de la grappe. Si les horloges des serveurs ne sont pas synchronisées, les sessions peuvent expirer prématurément et entraver le basculement correct de session HTTP.
NetIQ recommande de ne pas utiliser d'identifiants multiples dans les onglets ou les sessions de navigateur sur le même hôte. Certains navigateurs partagent des cookies dans les onglets et les processus ; dès lors, l'utilisation de plusieurs identifiants risque de causer des problèmes de basculement de session HTTP (outre le risque d'erreur d'authentification inattendue si plusieurs utilisateurs partagent le même ordinateur).
Les noeuds de la grappe résident sur le même sous-réseau.
Un proxy de basculement ou une solution d'équilibrage de charge est installé sur un ordinateur distinct.
Pour plus d'informations sur la configuration des applications d'identité dans un environnement de grappe, reportez-vous au Section 36.0, Préparation de votre environnement pour les applications d'identité.
La base de données stocke les informations de configuration et les données de l'application d'identité.
Avant d'installer l'instance de base de données, vérifiez que les conditions préalables suivantes sont remplies :
Pour configurer une base de données à utiliser avec Tomcat, vous devez créer un pilote JDBC. Les applications d'identité utilisent des appels JDBC standard pour accéder à la base de données et la mettre à jour. Les applications d'identité utilisent un fichier de source de données JDBC liée à l'arborescence JNDI pour ouvrir une connexion à la base de données.
Vous devez disposer d'un fichier de source de données qui pointe vers la base de données. Le programme d'installation de l'application utilisateur crée une entrée de source de données pour Tomcat dans les fichiers server.xml et context.xml qui pointe vers la base de données.
Vérifiez que vous disposez des informations suivantes :
Hôte et port du serveur de base de données.
Nom de la base de données à créer. La base de données par défaut pour les applications d'identité est idmuserappdb.
Nom d'utilisateur et mot de passe de la base de données. Le nom d'utilisateur de la base de données doit représenter un compte d'administrateur ou disposer des autorisations suffisantes pour créer des tables sur le serveur de base de données. Par défaut, l'administrateur de l'application utilisateur est idmadmin.
Fichier de pilote .jar livré par le fournisseur de base de données pour la base utilisée. NetIQ ne prend pas en charge les fichiers JAR de pilote fournis par d'autres fournisseurs.
L'instance de base de données peut être sur l'ordinateur local ou un serveur connecté.
Le jeu de caractères de la base de données doit utiliser le codage Unicode. Ainsi, UTF-8 est un exemple de jeu de caractères employant ce codage, alors que Latin1 ne l'utilise pas. Pour plus d'informations sur la spécification du jeu de caractères, reportez-vous à la Section 35.3.1, Configuration du jeu de caractères ou à la Section 35.1, Configuration d'une base de données Oracle.
Pour éviter les erreurs de clés en double au cours de la migration, utilisez un classement sensible à la casse. Si le problème se pose, vérifiez le classement et corrigez-le, puis réinstallez les applications d'identité.
(Conditionnel) Pour utiliser la même instance de base de données à des fins d'audit et pour les applications d'identité, NetIQ recommande d'installer la base de données sur un serveur dédié distinct du serveur qui héberge l'instance Tomcat qui exécute les applications.
(Conditionnel) Si vous effectuez une migration vers une nouvelle version des applications d'identité, vous devez utiliser la même base de données que celle utilisée pour l'installation précédente.
La mise en grappe de bases de données est une caractéristique propre à chaque serveur de base de données. NetIQ n'effectue officiellement pas de test avec les configurations de base de données en grappe, car la mise en grappe est indépendante de la fonctionnalité du produit. Par conséquent, nous prenons en charge les serveurs de base de données en grappe avec les mises en garde suivantes :
Par défaut, le nombre maximal de connexions est défini sur 100. Toutefois, cette valeur peut être insuffisante pour gérer la charge de requêtes de workflow dans une grappe. Le cas échéant, le message d'exception suivant peut s'afficher :
(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections."
Pour augmenter le nombre maximal de connexions, augmentez la valeur de la variable max_connections dans le fichier my.cnf.
Certains aspects ou fonctionnalités de votre serveur de base de données en grappe devront peut-être être désactivés. Par exemple, la réplication transactionnelle doit être désactivée dans certaines tables en raison de violations de contraintes en cas de tentative d'insertion d'une clé dupliquée.
Nous ne fournissons pas d'aide pour l'installation, la configuration ou l'optimisation de la base de données mise en grappe, y compris l'installation de nos produits dans un serveur de base de données en grappe.
Nous mettons tout en oeuvre pour résoudre les éventuels problèmes qui pourraient survenir lors de l'utilisation de nos produits dans un environnement de base de données en grappe. Les méthodes de dépannage dans un environnement complexe nécessitent souvent un travail coopératif pour résoudre les problèmes. NetIQ fournit son savoir-faire en matière d'analyse, de planification et de dépannage pour les produits NetIQ. Le client doit quant à lui fournir une expertise d'analyse, de planification et de dépannage pour les produits tiers. Nous demandons aux clients de reproduire ou d'analyser le comportement des composants dans un environnement non mis en grappe pour mieux distinguer les éventuels problèmes liés à la configuration des grappes des problèmes liés aux produits NetIQ.