6.8 Configuration d'Identity Reporting

Une fois l'installation d'Identity Reporting terminée, vous avez toujours la possibilité de modifier de nombreuses propriétés de l'installation. Pour apporter des modifications, exécutez le fichier de l'utilitaire de mise à jour de la configuration (configupdate.sh).

Si vous utilisez l'outil de configuration pour modifier l'un des paramètres d'Identity Reporting, vous devez redémarrer Tomcat pour que les modifications soient prises en compte. Toutefois, vous n'avez pas à redémarrer le serveur après avoir effectué des modifications dans l'interface utilisateur Web pour Identity Reporting.

6.8.1 Configuration du pilote de la passerelle système gérée (MSG, Managed System Gateway)

Le programme d'installation crée et configure les pilotes du service de collecte de données et de la passerelle système gérée pour Identity Reporting.

Une fois le pilote de la passerelle système géré configuré, NetIQ vous recommande de modifier le KMO en SSL EC Certificate DNS (DNS du certificat EC SSL). Pour modifier le KMO, procédez comme suit :

  1. Connectez-vous à iManager.

  2. Cliquez sur Administration d'Identity Manager > Présentation d'Identity Manager.

  3. Recherchez et sélectionnez l'objet Ensemble de pilotes, puis cliquez sur Rechercher.

  4. Dans le coin supérieur droit de l'icône du pilote de la passerelle système géré, cliquez sur Modifier les propriétés.

  5. Dans l'onglet Configuration du pilote, procédez comme suit :

    1. Sélectionnez show (afficher) dans le champ Show connection parameters (Afficher les paramètres de connexion).

    2. Dans le champ KMO Name (Nom du KMO), remplacez la valeur SSL CertificateDNS (DNS du certificat SSL) par SSL EC Certificate DNS (DNS du certificat EC SSL).

    3. Cliquez sur Apply (Appliquer) puis sur OK (OK).

6.8.2 Ajout manuel de la source de données dans la page des services de collecte de données d'identité

  1. Connectez-vous à l'application Identity Reporting.

  2. Cliquez sur Sources de données.

  3. Cliquez sur Ajouter.

  4. Dans la boîte de dialogue Ajouter une source de données, cliquez sur le bouton d'option Effectuez la sélection à partir d'une liste prédéfinie.

  5. Sélectionnez IDMDCSDataSource.

  6. Cliquez sur Enregistrer.

6.8.3 Génération de rapports à partir d'une base de données Oracle

Identity Reporting offre la possibilité de générer des rapports à partir de bases de données Oracle à distance. Assurez-vous que le fichier ojbc8.jar est bien présent sur le serveur sur lequel vous exécutez la base de données Oracle.

6.8.4 Génération manuelle du schéma de base de données

Pour créer manuellement le schéma de base de données après l'installation, effectuez l'une des procédures suivantes pour votre base de données :

Configuration du schéma create_rpt_roles_and_schemas.sql pour la base de données PostgreSQL

  1. Ajoutez les rôles requis à la base de données à l'aide des fichiers SQL create_dcs_roles_and_schemas.sql et create_rpt_roles_and_schemas.sql situés dans /opt/netiq/idm/apps/IDMReporting/sql/.

  2. Connectez-vous à PGAdmin en tant qu'utilisateur postgres.

  3. Exécutez l'outil de requête.

  4. Pour créer les procédures Create_rpt_roles_and_schemas et Create_dcs_roles_and_schemas, copiez le contenu à partir de ces fichiers SQL vers l'outil de requête et exécutez-le sur la base de données connectée.

  5. Pour créer les rôles IDM_RPT_DATA, IDM_RPT_CFG et IDMRPTUSER, exécutez les commandes suivantes dans l'ordre indiqué :

    Select CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>', '<Set pwd for IDMRPTUSER>');
    Select CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>');

    Par exemple, si les mots de passe pour IDM_RPT_DATA, IDMRPTUSER et IDM_RPT_CFG sont password, password1 et password2 respectivement, vous devez exécuter les commandes suivantes :

    Select CREATE_DCS_ROLES_AND_SCHEMAS('password', 'password1');
    Select CREATE_RPT_ROLES_AND_SCHEMAS('password2');

  6. Copiez le contenu du fichier get_formatted_user_dn.sql depuis l'emplacement /opt/netiq/idm/apps/IDMReporting/sql/ vers l'outil de requête et exécutez-le sur la base de données connectée.

    REMARQUE :la fonction get_formatted_user_dn.sql doit être ajoutée manuellement lorsque vous sélectionnez l'option de création de schéma de base de données Fichier. Si vous sélectionnez l'option de création de schéma de base de données Maintenant ou Démarrage, le programme d'installation ajoutera cette fonction à la base de données.

Configuration du schéma create_rpt_roles_and_schemas.sql pour la base de données Oracle

  1. Ajoutez les rôles requis à la base de données à l'aide des fichiers create_dcs_roles_and_schemas orcale.sql et create_rpt_roles_and_schemas orcale.sql situés dans /opt/netiq/idm/apps/IDMReporting/sql/.

  2. Connectez-vous à SQL Developer en tant qu'administrateur de la base de données (sysdba).

  3. Pour créer les procédures Create_rpt_roles_and_schemas et Create_dcs_roles_and_schemas, copiez le contenu à partir de ces SQL dans SQL Developer et exécutez-le sur la base de données connectée.

  4. Pour créer les rôles IDM_RPT_DATA, IDM_RPT_CFG et IDMRPTUSER, exécutez les commandes suivantes dans l'ordre indiqué :

    begin
CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>', '<Set pwd for IDMRPTUSER>');
end;

begin
CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>');
end;

    Par exemple, si les mots de passe pour IDM_RPT_DATA, IDMRPTUSER et IDM_RPT_CFG sont password, password1 et password2 respectivement, vous devez exécuter les commandes suivantes :

    begin
CREATE_DCS_ROLES_AND_SCHEMAS('password', 'password1');
end;

begin
CREATE_RPT_ROLES_AND_SCHEMAS('password2');
end;

  5. Assignez l'autorisation suivante :

    GRANT CREATE PUBLIC SYNONYM to IDM_RPT_CFG;

  6. Copiez le contenu du fichier get_formatted_user_dn-oracle.sql vers SQL Developer à partir de /opt/netiq/idm/apps/IDMReporting/sql/ et exécutez-le sur la base de données connectée.

    REMARQUE :la fonction get_formatted_user_dn-oracle.sql doit être ajoutée manuellement à la base de données lorsque vous sélectionnez l'option de création de schéma de base de données Fichier. Si vous sélectionnez l'option de création de schéma de base de données Maintenant ou Démarrage, le programme d'installation ajoutera cette fonction à la base de données.

Configuration du schéma Create_rpt_roles_and_schemas.sql pour la base de données MS SQL

  1. Exécutez les fichiers delete_create_dcs_roles_and_schemas-mssql.sql et delete_get_formatted_user_dn-mssql.sql.

  2. Ajoutez les rôles requis à la base de données à l'aide des fichiers create_dcs_roles_and_schemas.mssql et create_rpt_roles_and_schemas.mssql situés dans /opt/netiq/idm/apps/IDMReporting/sql/.

  3. Connectez-vous à SQL Developer en tant qu'administrateur de la base de données.

  4. Pour créer les procédures Create_rpt_roles_and_schemas et Create_dcs_roles_and_schemas, copiez le contenu à partir des fichiers create_dcs_roles_and_schemas.mssql et create_rpt_roles_and_schemas.mssql vers SQL Developer et exécutez-le sur la base de données connectée.

  5. Pour créer les rôles IDM_RPT_DATA, IDM_RPT_CFG et IDMRPTUSER, exécutez les commandes suivantes dans l'ordre indiqué :

    execute CREATE_DCS_ROLES_AND_SCHEMAS '<mdp défini pour IDM_RPT_DATA>', '<mdp défini pour IDMRPTUSER>'

    execute CREATE_RPT_ROLES_AND_SCHEMAS \'<mdp défini pour IDM_RPT_CFG>\'

  6. Copiez le contenu du fichier get_formatted_user_dn.sql vers SQL Developer à partir de /opt/netiq/idm/apps/IDMReporting/sql/ et exécutez-le sur la base de données connectée.

Effacement des sommes de contrôle de la base de données

  1. Recherchez les fichiers .sql suivants dans /opt/netiq/idm/apps/IDMReporting/sql.

    • DbUpdate-001-run-as-idm_rpt_data.sql

    • DbUpdate-01-run-as-idm_rpt_cfg.sql

    • DbUpdate-02-run-as-idm_rpt_cfg.sql

    • DbUpdate-03-run-as-idm_rpt_data.sql

    • DbUpdate-04-run-as-idm_rpt_data.sql

    • DbUpdate-05-run-as-idm_rpt_data.sql

    • DbUpdate-06-run-as-idm_rpt_cfg.sql

  2. Effacez les sommes de contrôle de la base de données.

    1. Pour exécuter la commande clearchsum avec chaque .sql, ajoutez la ligne suivante au début de chaque fichier :

      update DATABASECHANGELOG set MD5SUM = NULL
go

      Le contenu modifié doit ressembler à ce qui suit :

      -- *********************************************************************
-- Update Database Script
-- *********************************************************************
-- Change Log: IdmDcsDataDropViews.xml
-- Ran at: 2/23/18 5:17 PM
-- Against: IDM_RPT_CFG@jdbc:oracle:thin:@192.168.0.1:1521/orcl
-- Liquibase version: 3.5.1
-- *********************************************************************
update databasechangelog set md5sum = null
go

    2. Exécutez chaque fichier .sql avec l'utilisateur correspondant.

  3. Validez les modifications apportées à la base de données.

(Facultatif) Augmentation de la taille des données de colonne

Dans les versions précédentes d'Identity Manager, la synchronisation des champs de données longs avec le serveur Identity Reporting échouait en raison de limitations de caractères. Identity Manager 4.8 propose une option afin d'augmenter la limitation de caractères avec les bases de données PostgreSQL, Oracle et MS SQL pour les tables suivantes et leurs colonnes respectives :

Nom de la table

Nom de la colonne

idm_rpt_data.idmrpt_idv_ent_bindings

ent_param_str

idm_rpt_data.idmrpt_idv_ent_bindings

ent_param_val

idm_rpt_data.idmrpt_idv_identity_trust

idv_ent_ref

idm_rpt_data.idmrpt_idv_identity_trust

trust_params

idm_rpt_data.idmrpt_idv_ent_bindings_hist

ent_param_str

idm_rpt_data.idmrpt_idv_ent_bindings_hist

ent_param_val

idm_rpt_data.idmrpt_idv_identity_trust_hist

idv_ent_ref

idm_rpt_data.idmrpt_idv_identity_trust_hist

trust_params

  • Pour PostgreSQL, la limitation de caractères a été augmentée automatiquement avec Identity Manager 4.8 pour tous les champs mentionnés dans le tableau ci-dessus.

  • Pour Oracle, vous devez exécuter le script alter_column_length-oracle.sql contenu dans le répertoire /opt/netiq/idm/apps/IDMReporting/sql/ afin d'augmenter la limitation de caractères pour toutes les colonnes mentionnées dans le tableau ci-dessus.

  • Pour MS SQL, vous devez exécuter le script alter_column_length-mssql.sql contenu dans le répertoire /opt/netiq/idm/apps/IDMReporting/sql/ afin d'augmenter la limitation de caractères pour les colonnes indexées uniquement. Dans ce cas, ENT_PARAM_STR est la seule colonne indexée sous la table idmrpt_idv_ent_bindings.

6.8.5 Déploiement des API REST pour Identity Reporting

Identity Reporting intègre plusieurs API REST qui permettent d'utiliser différentes fonctionnalités de création de rapports. Ces API REST utilisent le protocole OAuth2 pour l'authentification.

Sous Tomcat, les fichiers WAR rptdoc et WAR dcsdoc sont automatiquement déployés lorsque Identity Reporting est installé.

6.8.6 Connexion à une base de données PostgreSQL distante

Si votre base de données PostgreSQL est installée sur un serveur distinct, vous devez modifier les paramètres par défaut dans les fichiers postgresql.conf et pg_hba.conf dans la base de données distante.

  1. Modifiez l'adresse d'écoute dans le fichier postgresql.conf.

    Par défaut, PostgreSQL permet d'écouter la connexion de l'hôte local, mais n'autorise pas une connexion TCP/IP à distance. Pour autoriser une connexion TCP/IP à distance, ajoutez l'entrée suivante au fichier /opt/netiq/idm/postgres/data/postgresql.conf :

    listen_addresses = '*'

    Si vous disposez de plusieurs interfaces sur le serveur, vous pouvez spécifier une interface spécifique à écouter.

  2. Ajoutez une entrée d'authentification client au fichier pg_hba.conf.

    Par défaut, PostgreSQL accepte uniquement les connexions provenant de localhost (hôte local). Il refuse les connexions à distance. Cela est contrôlé par l'application d'une règle de contrôle d'accès qui permet à un utilisateur de se connecter à partir d'une adresse IP après avoir entré un mot de passe valide (mot clé md5). Pour accepter une connexion à distance, ajoutez l'entrée suivante au fichier /opt/netiq/idm/postgres/data/pg_hba.conf.

    host all all 0.0.0.0/0 md5

    Par exemple : 192.168.104.24/26 trust

    Cela fonctionne uniquement pour les adresses IPv4. Pour les adresses IPv6, ajoutez l'entrée suivante :

    host all all ::0/0 md5

    Si vous souhaitez autoriser la connexion à partir de plusieurs ordinateurs client sur un réseau spécifique, indiquez l'adresse réseau au format d'adresse CIDR dans cette entrée.

    Le fichier pg_hba.conf prend en charge les formats d'authentification client suivants.

    • local database user authentication-method [authentication-option]

    • host database user CIDR-address authentication-method [authentication-option]

    • hostssl database user CIDR-address authentication-method [authentication-option]

    • hostnossl database user CIDR-address authentication-method [authentication-option]

    Au lieu du format d'adresse CIDR, vous pouvez spécifier l'adresse IP et le masque de réseau dans des champs distincts à l'aide du format suivant :

    • host database user IP-address IP-mask authentication-method [authentication-option]

    • hostssl database user IP-address IP-mask authentication-method [authentication-option]

    • hostnossl database user IP-address IP-mask authentication-method [authentication-option]

  3. Testez la connexion à distance.

    1. Redémarrez le serveur PostgreSQL à distance.

    2. Connectez-vous au serveur à distance à l'aide du nom d'utilisateur et du mot de passe.