20.3 Dépannage des problèmes liés à Identity Applications et à Identity Reporting

Le tableau suivant répertorie les problèmes susceptibles de se poser et les actions suggérées pour les résoudre. Si le problème persiste, contactez votre représentant NetIQ.

Problème

Actions suggérées

Les widgets Rôles et Mes tâches de la page Tableau de bord n'affichent aucune donnée. Si vous vérifiez dans la console de votre navigateur, une erreur 404 s'affiche. Ce problème se produit lorsque le contexte de déploiement IDMProv par défaut est remplacé par un contexte personnalisé.

Pour résoudre ce problème, vous devez modifier l'URL de l'API REST sur les widgets concernés. Procédez comme suit :

  1. Connectez-vous au tableau de bord Identity Manager en tant qu'administrateur.

  2. Accédez à la page Tableau de bord, puis cliquez sur Gérer le tableau de bord.

  3. Pour modifier la configuration du widget dans le widget Rôles :

    1. Cliquez sur .

    2. Dans le champ URL, remplacez le contexte IDMProv par défaut par un contexte personnalisé comme suit : /<contexte-personnalisé>/rest/access/assignments/advanced?nextIndex=1&sortBy=name&sortOrder=ASC&forceRefresh=true&searchScope=role&size=20

      <contexte-personnalisé> est le contexte que vous utilisez dans votre déploiement Identity Manager.

    3. Cliquez sur Appliquer.

  4. Pour modifier la configuration du widget dans le widget Mes tâches :

    1. Cliquez sur .

    2. Dans le champ URL, remplacez le contexte IDMProv par défaut par un contexte personnalisé comme suit :/<contexte-personnalisé>/rest/access/tasks/list?fromIndex=1&size=10&q=*&sortOrder=asc&sortBy=createTime&assignedTo=assignedTo&recipient=recipientAsMe&expireUnit=weeks&expireWithin=&proxyUser=&assignStatus=&delegatedTasks=false&status=

    3. Cliquez sur Appliquer.

  5. Cliquez sur Modification effectuée.

Si le nom du serveur LDAP spécifié dans l'objet du certificat et la configuration de l'application sont différents, Identity Applications ne parvient pas à se connecter au coffre-fort d'identité après la mise à niveau d'Identity Manager.

Java active l'identification des noeuds d'extrémité lors des connexions LDAPS et exige donc que le nom du serveur que vous spécifiez lors de la connexion au serveur Identity Manager et le nom du serveur renvoyé dans le certificat soient identiques. Si les noms de serveur sont différents, procédez comme suit :

  1. Accédez au répertoire /opt/netiq/idm/apps/configupdate.

  2. Exécutez la commande suivante pour lancer l'utilitaire de mise à jour de la configuration.

    ./configupdate.sh

  3. Accédez à l'onglet Application utilisateur, cliquez sur Serveur du coffre-fort d'identité, puis remplacez le nom du serveur par celui spécifié dans l'objet du certificat du serveur LDAP.

    Cette opération met à jour la propriété DirectoryService/realms/jndi/params/AUTHORITY property dans le fichier ism-configuration.properties.

  4. Cliquez sur OK.

Lorsqu'Identity Applications et Identity Reporting sont installés sur le même serveur et que vous apportez des changements à la configuration à l'aide de l'utilitaire de mise à jour de la configuration qui se trouve dans le répertoire <dossier installation reporting>/bin, le lancement du tableau de bord Identity Manager échoue. L'erreur suivante est signalée dans le fichier journal catalina.out :

EboPortalBootServlet [RBPM] +++++WARNING!!!!: This portal application context, IDMProv, does not match the portal.context property set in the PortalService-conf/config.xml file. Only one portal per database is allowed. Data has been loaded using the previous portal context. To correct this you must revert back to the previous portal name of, NoCacheFilter, please consult the documentation. (EboPortalBootServlet [RBPM] +++++AVERTISSEMENT !!!! : ce contexte d'application de portail, IDMProv, ne correspond pas à la propriété portal.context définie dans le fichier PortalService-conf/config.xml. Un seul portail est autorisé par base de données. Les données ont été chargées à l'aide du contexte de portail précédent. Pour résoudre ce problème, vous devez restaurer le nom de portail précédent, NoCacheFilter. Veuillez consulter la documentation.)

Pour tout changement de configuration, utilisez l'utilitaire de mise à jour de la configuration disponible dans le répertoire/opt/netiq/idm/apps/configupdate/.

Impossible de modifier le mot de passe d'une propriété à l'aide de l'utilitaire de mise à jour de la configuration.

Vous pouvez modifier le mot de passe d'une propriété, par exemple com.netiq.rpt.ssl-keystore à partir de la ligne de commande en effectuant les étapes suivantes :

  1. Employez l'utilitaire ci-dessous pour chiffrer votre mot de passe :

    /opt/netiq/common/jre/bin/java -jar tomcat/lib/obscurity-0.7.0-uber.jar <<mot de passe>>

  2. Accédez au fichier ism-configuration.properties situé dans le répertoire /opt/netiq/idm/apps/tomcat/conf.

  3. Modifiez le fichier ism-configuration.properties et ajoutez le mot de passe chiffré spécifié à l'étape 2 pour le paramètre com.netiq.rpt.ssl-keystore.pwd.

  4. Enregistrez le fichier et redémarrez Tomcat.

Si Identity Reporting est installé sur un serveur autonome et que vous lancez l'URL DCS IDM ou Identity Reporting à partir du tableau de bord, l'URL ne se lance pas.

Effectuez les étapes suivantes après avoir lancé l'URL DCS IDM ou Identity Reporting :

  1. Accédez à la barre d'adresse.

  2. Modifiez l'URL et spécifiez manuellement le nom d'hôte et les détails du port du serveur sur lequel Identity Reporting est installé.

En plus de cela, accédez au fichier configupdate.sh.properties sur le serveur qui héberge Identity Applications et ajoutez l'entrée intitulée rpt dans le paramètre sso_apps, puis enregistrez les modifications. Par exemple : sso_apps=ua,rpt

Si Identity Applications et Identity Reporting sont installés sur le même serveur et que l'audit CEF est activé pour OSP et Identity Applications, le composant de création de rapports ne se lance pas.

Procédez comme suit pour résoudre ce problème :

  1. Accédez au fichier idmrptcore_logging.xml situé dans le répertoire /opt/netiq/idm/apps/tomcat/conf.

  2. Ajoutez le paramètre <keystore file> et spécifiez le chemin du fichier keystore dans le fichier idmrptcore_logging.xml. Par exemple, ajoutez la ligne suivante :

    <keystore-file>/opt/netiq/idm/app/tomcat/conf/idm.jks</keystore-file>

  3. Relancez Tomcat.

Si Identity Applications et Identity Reporting sont installés sur le même serveur et que vous sélectionnez l'option Startup (Au démarrage) lors de la création de la base de données, vous remarquerez que le journal contient quelques exceptions.

Pour effacer les exceptions, redémarrez Tomcat manuellement.

Si votre configuration existante d'Identity Applications ou d'Identity Reporting ne précise pas de ports et que vous essayez d'effectuer la mise à niveau vers Identity Manager, l'adresse IP et les ports mentionnés sous les onglets Authentification et Clients SSO dans l'utilitaire de mise à jour de la configuration affiche des valeurs incorrectes.

Une fois Identity Applications et Identity Reporting mis à niveau, effectuez les étapes suivantes :

  1. Accédez au répertoire /opt/netiq/idm/apps/configupdate.

  2. Exécutez la commande suivante :

    ./configupdate.sh

  3. Sous l'onglet Authentification, spécifiez l'adresse IP et le port corrects dans les champs Identificateur de l'hôte du serveur OAuth et Port TCP du serveur OAuth respectivement.

  4. Sous l'onglet Clients SSO, assurez-vous que les URL pour les services d'administrateur IDM, de création de rapports et de collecte de données IDM présentent un format approprié.

  5. Relancez Tomcat.

Vous souhaitez modifier un ou plusieurs des paramètres de configuration suivants de l'application utilisateur créés pendant l'installation :

  • Connexions et certificats du coffre-fort d'identité

  • Paramètres de messagerie électronique

  • Groupes d'utilisateurs et identité de l'utilisateur du moteur Identity Manager

  • Paramètres Access Manager ou iChain

Exécutez l'utilitaire de configuration indépendamment du programme d'installation.

Linux : exécutez la commande suivante à partir du répertoire d'installation (par défaut, /opt/netiq/idm/apps/configupdate/) :

./configupdate.sh

Le démarrage de Tomcat provoque l'exception suivante :

port 8180 already in use

Arrêtez toutes les instances de Tomcat (ou autre logiciel de serveur) qui pourraient déjà être en cours d'exécution. Si vous reconfigurez Tomcat de façon à ce qu'il utilise un autre port que le port 8180, modifiez les paramètres config du pilote de l'application utilisateur.

Au démarrage de Tomcat, l'application signale qu'elle ne trouve pas de certificats approuvés.

Veillez à démarrer Tomcat en utilisant le JDK spécifié pendant l'installation de l'application utilisateur.

Impossible de se connecter à la page d'administration du portail.

Assurez-vous que le compte administrateur de l'application utilisateur existe bien. Ce compte est différent de votre compte administrateur iManager.

Impossible de créer de nouveaux utilisateurs, même avec le compte administrateur.

L'administrateur de l'application utilisateur doit être un ayant droit du conteneur maître et avoir des droits de superviseur. Vous pouvez essayer de configurer les droits de l'administrateur de l'application utilisateur pour qu'ils soient équivalents à ceux de l'administrateur LDAP (via iManager).

Le démarrage du serveur d'applications génère des erreurs de keystore.

Votre serveur d'applications n'utilise pas le JDK spécifié pendant l'installation de l'application utilisateur.

Utilisez la commande keytool pour importer le fichier de certificat :

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

  • Remplacez aliasName par un nom unique de votre choix pour ce certificat.

  • Remplacez certFile par le chemin complet et le nom de votre fichier de certificat.

  • Le mot de passe du keystore par défaut est changeit (si vous avez un mot de passe différent, indiquez-le).

La notification par message électronique n'est pas envoyée.

Exécutez l'utilitaire configupdate pour vérifier si vous avez fourni des valeurs pour les paramètres de configuration suivants de l'application utilisateur : Expéditeur du message électronique et Hôte du message électronique.

Linux : exécutez la commande suivante à partir du répertoire d'installation (par défaut, /opt/netiq/idm/apps/configupdate/) :

./configupdate.sh

L'onglet Clients SSO IG n'apparaît pas dans l'utilitaire de mise à jour de la configuration

Dans le fichier configupdate.sh.properties, ajoutez une entrée pour ig au paramètre sso_apps, puis enregistrez les modifications. Si le paramètre sso_apps contient déjà les entrées Identity Applications et Identity Reporting, ajoutez l'entrée Identity Governance à la liste. Par exemple : sso_apps=ua,rpt,ig