6.7 Configuration de l'environnement d'exécution pour la collecte de données

Cette section fournit des informations à propos des étapes de configuration supplémentaires vous permettant de vous assurer que votre environnement d'exécution fonctionne correctement. Elle indique également des techniques de dépannage, ainsi que des informations sur les tables de base de données qui peuvent vous être utiles.

Cette procédure implique les opérations suivantes :

Si vous rencontrez des problèmes avec un ou plusieurs des pilotes et que vous ne savez pas comment les résoudre, reportez-vous à la section Troubleshooting the Drivers (Dépannage des pilotes) du manuel NetIQ Identity Reporting Module Guide (Guide du module NetIQ Identity Reporting).

6.7.1 Configuration du pilote du service de collecte de données (DSC) afin de collecter des données à partir d'Identity Applications

Pour qu'Identity Applications puisse fonctionner correctement avec Identity Reporting, vous devez configurer le pilote DCS pour qu'il prenne en charge le protocole OAuth.

REMARQUE :

  • Si vous utilisez Identity Reporting dans votre environnement, il vous suffit d'installer et de configurer le pilote DCS.

  • Si plusieurs pilotes DCS sont configurés pour votre environnement, vous devez effectuer les étapes suivantes pour chacun d'eux.

  1. Connectez-vous à Designer.

  2. Ouvrez votre projet dans Designer.

  3. (Facultatif) Si vous n'avez pas encore mis à niveau votre pilote DCS vers la version de correctif prise en charge, effectuez les étapes suivantes :

    1. Téléchargez la dernière version du fichier de correctif pour le pilote DCS.

    2. Lancez l'extraction du fichier de correctif dans un répertoire sur votre serveur.

    3. Depuis un terminal, accédez à l'emplacement où le RPM du correctif a été extrait pour votre environnement et exécutez la commande suivante :

      rpm -Uvh novell-DXMLdcs.rpm

    4. Redémarrez le coffre-fort d'identité.

    5. Dans Designer, assurez-vous que la version du paquetage Data Collection Service Base installé est prise en charge. Si nécessaire, installez la dernière version avant de poursuivre. Pour plus d'informations sur la configuration logicielle requise, reportez-vous à la section Considérations pour l'installation des composants Identity Reporting.

    6. Redéployez et redémarrez le pilote DCS dans Designer.

  4. Dans la vue Mode plan, cliquez avec le bouton droit de la souris sur le pilote DCS, puis sélectionnez Propriétés.

  5. Cliquez sur Configuration du pilote.

  6. Cliquez sur l'onglet Paramètres du pilote.

  7. Cliquez sur Show connection parameters (Afficher les paramètres de connexion), puis sélectionnez show (Afficher).

  8. Cliquez sur SSO Service Support (Support du service SSO), puis sélectionnez Oui.

  9. Indiquez l'adresse IP et le port d'Identity Reporting.

  10. Indiquez un mot de passe pour le client du service SSO. Le mot de passe par défaut est driver.

  11. Cliquez sur Appliquer, puis sur OK.

  12. Dans la vue Modélisateur, cliquez avec le bouton droit de la souris sur le pilote DCS, puis sélectionnez Pilote > Déployer.

  13. Cliquez sur Déployer.

  14. Si vous êtes invité à redémarrer le pilote DCS, cliquez sur Oui.

  15. Cliquez sur OK.

6.7.2 Migration du pilote du service de collecte de données

Pour permettre la synchronisation des objets avec l'entrepôt d'informations d'identité, vous devez effectuer la migration du pilote du service de collecte de données.

  1. Connectez-vous à iManager.

  2. Dans le panneau Présentation relatif au pilote du service de collecte de données, sélectionnez Migrer depuis le coffre-fort d'identité.

  3. Sélectionnez les arborescences contenant des données pertinentes, puis cliquez sur Démarrer.

    REMARQUE :en fonction du volume de données, la migration peut prendre plusieurs minutes. Veillez à attendre que la migration soit terminée avant de poursuivre.

  4. Attendez la fin de la procédure de migration.

  5. Les tables idmrpt_identity et idmrpt_acct fournissent des informations sur les identités et comptes figurant dans le coffre-fort d'identité. Assurez-vous qu'elles comportent les types d'informations suivants :

  6. Dans le navigateur LDAP, vérifiez que la procédure de migration a ajouté les références suivantes pour les attributs DirXML-Association :

    • Pour chaque utilisateur, vérifiez les types d'informations suivants :

    • Pour chaque groupe, vérifiez les types d'informations suivants :

  7. Assurez-vous que les données de la table idmrpt_group sont semblables à ce qui suit :

    Cette table présente le nom de chaque groupe et l'indicateur associé permettant de savoir s'il s'agit d'un groupe dynamique ou imbriqué. Elle indique également si le groupe a fait l'objet d'une migration. L'état de la synchronisation (idmrpt_syn_state) peut être défini sur 0 si un objet a été modifié dans l'application utilisateur mais que sa migration n'a pas encore été effectuée. Par exemple, si un utilisateur a été ajouté à un groupe mais que la migration du pilote n'a pas encore eu lieu, la valeur indiquée sera 0.

  8. (Facultatif) Vérifiez les données dans les tables suivantes :

    • idmrpt_approver

    • idmrpt_association

    • idmrpt_category

    • idmrpt_container

    • idmrpt_idv_drivers

    • idmrpt_idv_prd

    • idmrpt_role

    • idmrpt_resource

    • idmrpt_sod

  9. (Facultatif) La table idmrpt_ms_collect_state contient les informations relatives à l'état de la collecte des données pour le pilote de la passerelle système gérée. Vérifiez qu'elle comporte désormais des lignes.

    Cette table indique notamment quels sont les noeuds d'extrémité REST qui ont été exécutés pour les systèmes gérés. À ce stade, elle ne doit comporter aucune ligne puisque vous n'avez pas démarré le processus de collecte pour ce pilote.

6.7.3 Prise en charge des attributs et objets personnalisés

Vous pouvez configurer le pilote du service de collecte de données afin qu'il recueille et conserve les données relatives aux attributs et objets personnalisés qui ne font pas partie du modèle de collecte de données par défaut. Pour ce faire, vous devez modifier le filtre du pilote du service de collecte de données. La modification du filtre ne déclenche pas immédiatement la synchronisation des objets. En effet, les objets et attributs qui viennent d'être ajoutés sont envoyés vers les services de collecte de données lorsque des événements d'ajout, de modification ou de suppression surviennent au niveau du coffre-fort d'identité.

Pour prendre en charge des attributs et des objets personnalisés, vous devez modifier les rapports afin d'inclure des informations sur les attributs et objets étendus. Les vues suivantes fournissent des données actuelles et historiques sur les objets et les attributs étendus :

  • idm_rpt_cfg.idmrpt_ext_idv_item_v

  • idm_rpt_cfg.idmrpt_ext_item_attr_v

Cette procédure implique les opérations suivantes :

Configuration du pilote pour les objets étendus

Vous pouvez ajouter n'importe quel objet ou attribut à la stratégie du filtre du service de collecte de données. Lorsque vous ajoutez un objet ou un attribut, vous devez vous assurer que vous assignez le GUID (avec synchronisation du canal Abonné) et la classe d'objet (avec notification du canal Abonné) comme indiqué dans l'exemple suivant :

<filter-class class-name="Device" publisher="ignore" publisher-create-homedir="true" publisher-track-template-member="false" subscriber="sync"> 
<filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> 
<filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceModel" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceType" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
</filter-class>

Inclusion d'un nom et d'une description dans la base de données

Si vous souhaitez que l'objet soit associé à un nom et à une description dans la base de données, vous devez ajouter une stratégie d'assignation de schéma pour _dcsName et _dcsDescription. La stratégie d'assignation de schéma permet d'associer les valeurs d'attribut de l'instance d'objet aux colonnes idmrpt_ext_idv_item.item_name et idmrpt_ext_idv_item.item_desc. Si vous n'ajoutez pas de stratégie d'assignation de schéma, les attributs seront indiqués dans la table enfant idmrpt_ext_item_attr.

Exemple :

<attr-name class-name="Device"> 
<nds-name>CN</nds-name> 
<app-name>_dcsName</app-name> 
</attr-name> 
<attr-name class-name="Device"> 
<nds-name>Description</nds-name> 
<app-name>_dcsDescription</app-name> 
</attr-name>

L'exemple de code SQL suivant vous permet d'afficher ces valeurs d'objets et d'attributs dans la base de données :

SELECT        
    item.item_dn, 
    item.item_name, 
    item.item_desc, 
    attr.attribute_name, 
    itemAttr.attribute_value, 
    item.idmrpt_deleted as item_deleted, 
    itemAttr.idmrpt_deleted as attr_deleted, 
    item.item_desc, 
    obj.object_class 
FROM 
    idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj 
WHERE 
    item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id 
ORDER BY 
    item.item_dn, item.item_name

Ajout d'attributs étendus à des types d'objets connus

Si un attribut est ajouté à la stratégie du filtre pour le pilote du service de collecte de données et qu'il n'est pas explicitement assigné à la base de données de création de rapports dans le fichier de référence XML (IdmrptIdentity.xml), la valeur correspondante est indiquée (et mise à jour) dans la table idmrpt_ext_item_attr, avec la référence d'attribut dans la table idmrpt_ext_attr.

L'exemple de code SQL suivant permet d'afficher ces attributs étendus :

SELECT 
    acct.idv_acct_dn, 
    attrDef.attribute_name,   
    attribute_value, 
    attrVal.idmrpt_valid_from, 
    cat_item_attr_id, 
    attrVal.idmrpt_deleted, 
    attrVal.idmrpt_syn_state 
FROM 
    idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct 
WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY'

En plus de l'objet User, vous pouvez ajouter des attributs étendus à la stratégie du filtre pour les objets suivants et alimenter la base de données avec ces attributs :

  • nrfRole

  • nrfResource

  • Conteneurs

    REMARQUE :le produit installé prend en charge les conteneurs organizationUnit, Organization et Domain. Les types de conteneur sont tenus à jour dans la table idmrpt_container_types.

  • Groupe

  • nrfSod

Vous pouvez voir l'association entre les attributs étendus et l'objet ou la table parent en examinant la colonne idmrpt_cat_item_types.idmrpt_table_name. Cette colonne indique comment joindre la colonne idm_rpt_data.idmrpt_ext_item_attr.cat_item_id à la clé primaire de la table parent.

6.7.4 Prise en charge de plusieurs ensembles de pilotes

Le paquetage relatif à la définition de l'étendue du service de collecte de données (NOVLDCSSCPNG) fournit un ensemble de fonctions permettant la définition statique ou dynamique de l'étendue pour les environnements d'entreprise disposant de plusieurs ensembles de pilotes et paires associant un pilote de service de collecte de données et un pilote de passerelle système gérée.

Pendant ou après l'installation, vous devez déterminer le rôle du pilote du service de collecte de données pour lequel ce paquetage est installé. Vous devez sélectionner l'un des rôles suivants :

  • Primaire : le pilote synchronise tout, à l'exception des sous-arborescences des autres ensembles de pilotes. Un pilote de service de collecte de données primaire peut tout à fait traiter un coffre-fort d'identité dans son ensemble ou fonctionner en association avec un ou plusieurs pilotes secondaires.

  • Secondaire : le pilote synchronise uniquement son propre ensemble de pilotes et rien d'autre. Un pilote de service de collecte de données secondaire nécessite généralement qu'un pilote primaire s'exécute sur un autre ensemble de pilotes ou aucune donnée hors de l'ensemble de pilotes local n'est envoyée au service de collecte de données.

  • Personnalisé : permet à l'administrateur d'indiquer des règles pour définir une étendue personnalisée. La seule étendue implicite correspond à l'ensemble de pilotes local ; tout le reste n'est pas pris en compte, sauf ajout explicite à la liste des étendues personnalisées. Une étendue personnalisée correspond à un conteneur dont le nom distinctif est indiqué en utilisant des barres obliques. Il s'agit d'un conteneur figurant dans le coffre-fort d'identité, dont la sous-arborescence ou les subordonnés doivent être synchronisés.

Le paquetage de définition de l'étendue est uniquement requis dans certains scénarios de configuration, comme décrit ci-dessous :

  • Un seul serveur, avec un seul ensemble de pilotes, pour le coffre-fort d'identité : dans ce scénario, vous n'avez pas besoin de définir l'étendue et, par conséquent, il n'est pas nécessaire d'installer le paquetage correspondant.

  • Plusieurs serveurs, avec un seul ensemble de pilotes, pour le coffre-fort d'identité : avec un tel scénario, vous devez suivre les instructions ci-dessous :

    • Assurez-vous que le serveur Identity Manager contient les répliques de toutes les partitions à partir desquelles les données doivent être collectées.

    • Dans ce scénario, il n'est pas nécessaire de définir l'étendue, vous n'avez donc pas besoin d'installer le paquetage correspondant.

  • Plusieurs serveurs, avec plusieurs ensembles de pilotes, pour le coffre-fort d'identité : avec un tel scénario, il existe deux configurations basiques possibles :

    • Tous les serveurs disposent d'une réplique de toutes les partitions à partir desquelles les données doivent être collectées.

      Avec une telle configuration, vous devez suivre les instructions ci-dessous :

      • Il est nécessaire de définir l'étendue pour éviter qu'une même modification soit traitée par plusieurs pilotes DCS.

      • Vous devez installer le paquetage de définition de l'étendue sur tous les pilotes DCS.

      • Vous devez sélectionner un pilote DCS comme pilote primaire.

      • Vous devez configurer tous les autres pilotes DCS comme pilotes secondaires.

    • Tous les serveurs ne disposent pas d'une réplique de toutes les partitions à partir desquelles les données doivent être collectées.

      Avec une telle configuration, il y a deux cas possibles :

      • Toutes les partitions à partir desquelles les données doivent être collectées figurent sur un seul serveur Identity Manager

        Dans ce cas, vous devez suivre les instructions ci-dessous :

        • Il est nécessaire de définir l'étendue pour éviter qu'une même modification soit traitée par plusieurs pilotes DCS.

        • Vous devez installer le paquetage de définition de l'étendue sur tous les pilotes DCS.

        • Vous devez configurer tous les pilotes DCS comme pilotes primaires.

      • Toutes les partitions à partir desquelles les données doivent être collectées ne figurent pas sur un seul serveur Identity Manager (certaines partitions figurent sur plusieurs serveurs Identity Manager).

        Dans ce cas, vous devez suivre les instructions ci-dessous :

        • Il est nécessaire de définir l'étendue pour éviter qu'une même modification soit traitée par plusieurs pilotes DCS.

        • Vous devez installer le paquetage de définition de l'étendue sur tous les pilotes DCS.

        • Vous devez configurer tous les pilotes DCS comme pilotes personnalisés.

          Vous devez définir des règles d'étendue personnalisée pour chaque pilote et vous assurer de ne pas créer des étendues qui se chevauchent.

6.7.5 Configuration des pilotes pour une exécution en mode distant avec SSL

Dans le cadre d'une exécution en mode distant, vous pouvez configurer le pilote du service de collecte de données et celui de la passerelle système gérée afin qu'ils utilisent SSL. Cette section présente les étapes de configuration permettant d'exécuter des pilotes en mode distant avec SSL.

Pour configurer SSL en utilisant un Keystore pour le pilote de la passerelle système gérée :

  1. Créez un certificat de serveur dans iManager.

    1. Dans la vue Roles and Tasks (Rôles et tâches), cliquez sur NetIQ Certificate Server > Create Server Certificate (Créer un certificat de serveur).

    2. Recherchez et sélectionnez l'objet serveur sur lequel le pilote de la passerelle système gérée est installé.

    3. Indiquez le surnom que vous souhaitez attribuer au certificat.

    4. Sélectionnez Standard comme méthode de création, puis cliquez sur Suivant.

    5. Cliquez sur Terminer, puis sur Fermer.

  2. Exportez le certificat du serveur en utilisant iManager.

    1. Dans la vue Roles and Tasks (Rôles et tâches), cliquez sur NetIQ Certificate Server > Server Certificates (Certificats de serveur).

    2. Sélectionnez le certificat créé à l'Étape 1 et cliquez sur Exporter.

    3. Dans le menu Certificats, sélectionnez le nom de votre certificat.

    4. Assurez-vous que l'option Export private key (Exporter la clé privée) est cochée.

    5. Entrez le mot de passe et cliquez sur Suivant.

    6. Cliquez sur Save the exported certificate (Enregistrer le certificat exporté) et enregistrez le certificat pfx exporté.

  3. Importez dans le Keystore Java le certificat pfx exporté à l'Étape 2.

    1. Utilisez le keytool mis à disposition avec Java. Vous devez utiliser JDK 6 ou une version ultérieure.

    2. À l'invite, entrez la commande suivante :

      keytool -importkeystore -srckeystore pfx certificate -srcstoretype
PKCS12 -destkeystore Keystore Name

      Exemple :

      keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12
-destkeystore msgw.jks

    3. Entrez le mot de passe lorsque vous y êtes invité.

  4. Modifiez la configuration du pilote de la passerelle système gérée afin d'utiliser le keystore avec iManager.

    1. Dans Présentation d'Identity Manager, cliquez sur l'ensemble de pilotes qui contient le pilote de la passerelle système gérée.

    2. Cliquez sur l'icône d'état du pilote, puis sélectionnez Modifier les propriétés > Configuration du pilote.

    3. Activez l'option Show Connection Parameters (Afficher les paramètres de connexion) et indiquez qu'il s'agit du mode distant dans le champ Driver configuration mode (Mode de configuration du pilote).

    4. Entrez le chemin d'accès complet du fichier keystore et le mot de passe.

    5. Enregistrez les modifications et redémarrez le pilote.

  5. Modifiez la configuration du pilote du service de collecte de données afin d'utiliser le keystore avec iManager.

    1. Dans Présentation d'Identity Manager, cliquez sur l'ensemble de pilotes qui contient le pilote de la passerelle système gérée.

    2. Cliquez sur l'icône d'état du pilote, puis sélectionnez Modifier les propriétés > Configuration du pilote.

    3. Sous l'en-tête Managed System Gateway Registration (Enregistrement de la passerelle système gérée), indiquez qu'il s'agit du mode distant dans le champ Managed System Gateway Driver Configuration Mode (Mode de configuration du pilote de passerelle système gérée).

    4. Entrez le chemin d'accès complet du fichier keystore, le mot de passe et l'alias indiqué à l'Étape 1.c.

    5. Enregistrez les modifications et redémarrez le pilote.