14.2 Procédure de déploiement

Les composants Identity Manager peuvent être déployés sur un réseau privé ou public en fonction de vos besoins. La Figure 14-1, Déploiement d'Identity Manager sur AWS EC2 illustre un exemple de déploiement utilisé dans les sections suivantes.

Figure 14-1 Déploiement d'Identity Manager sur AWS EC2

Les composants Identity Manager peuvent être déployés selon différentes combinaisons en fonction de la façon dont les composants sont distribués sur différents serveurs. Cependant, la procédure de déploiement est la même pour tous les scénarios.

La procédure de déploiement comporte les étapes suivantes :

14.2.1 Préparation du cloud privé virtuel AWS

Cette section décrit les étapes générales pour configurer le cloud privé virtuel (Virtual Private Cloud, VPC) AWS à utiliser avec Identity Manager. Pour plus d'informations, consultez la documentation Amazon Elastic Compute Cloud.

Effectuez les étapes suivantes pour créer des services AWS VPC :

  1. Connectez-vous à la console de gestion AWS.

  2. Cliquez sur Services et créez les services suivants :

    Service

    Étapes

    VPC

    1. Cliquez sur Services > VPC sous Networking & Content Delivery (Mise en réseau et diffusion de contenu).

    2. Cliquez sur Start VPC Wizard (Démarrer l'assistant VPC).

    3. Sélectionnez un type de configuration VPC et cliquez sur Select (Sélectionner).

    4. Spécifiez les détails dans le formulaire, puis cliquez sur Create VPC (Créer un VPC).

      Cela crée un réseau privé de la taille spécifiée. La création d'un VPC et de sous-réseaux utilise la notation CIDR pour les plages d'adresses. La plus grande taille de VPC est un réseau /16.

    Pour plus d'informations, reportez-vous à la documentation d'Amazon VPC.

    IMPORTANT :la création d'un VPC à l'aide de l'option Start VPC Wizard (Démarrer l'assistant VPC) crée des sous-réseaux, des passerelles Internet et une table de routage pour le VPC. Vous pouvez afficher ou modifier ces éléments comme suit :

    Sous-réseaux

    Pour déployer des composants Identity Manager comme indiqué à la Figure 14-1, créez trois sous-réseaux dans le VPC. Par exemple, SRprivé, SRpublic1 et SRpublic2.

    Pour créer un sous-réseau, procédez comme suit :

    1. Dans le menu de gauche, cliquez sur Subnets (Sous-réseau).

    2. Cliquez sur Create Subnet (Créer un sous-réseau).

    3. Spécifiez la valeur Name tag (Étiquette de nom) pour identifier le sous-réseau.

    4. Spécifiez IPv4 CIDR block (Bloc CIDR IPv4) dans le VPC.

      Par exemple : 10.0.0.0/24

      Vous devez créer des sous-réseaux publics dans différentes zones de disponibilité.

    5. Cliquez sur Yes > Create (Oui > Créer).

    6. (Conditionnel) Pour les sous-réseaux publics, activez l'assignation automatique d'adresse IP publique :

      1. Sélectionnez Subnet Actions > Modify auto-assign IP settings (Opérations de sous-réseau > Modifier les paramètres d'assignation automatique d'adresse IP).

      2. Sélectionnez l'option Enable auto-assign public IPv4 address (Activer l'assignation automatique d'adresse IPv4 publique).

      3. Cliquez sur Enregistrer.

    Répétez ces étapes pour créer des sous-réseaux supplémentaires.

    Passerelles Internet

    1. Dans le menu de gauche, cliquez sur Internet Gateways (Passerelles Internet).

    2. Cliquez sur Create Internet Gateway (Créer une passerelle Internet).

    3. Spécifiez la valeur Name tag (Étiquette de nom), puis cliquez sur Create (Créer).

    4. Sélectionnez la passerelle Internet nouvellement créée et attachez-la au VPC :

      1. Sélectionnez Actions > Attach to VPC (Opérations > Attacher à VPC).

      2. Sélectionnez le VPC dans la liste et cliquez sur Attach (Attacher).

    Table de routage

    1. Dans le menu de gauche, cliquez sur Route Tables (Tables de routage).

    2. Sélectionnez la table de routage qui a été créée automatiquement pour ce VPC.

    3. Sous l'onglet Routes :

      1. Cliquez sur Edit (Éditer).

      2. Cliquez sur Add another route (Ajouter une autre route).

      3. Dans Destination, spécifiez 0.0.0.0/0.

      4. Dans Target (Cible), sélectionnez la table de passerelle Internet associée à ce VPC. Reportez-vous à la section Passerelles Internet.

      5. Cliquez sur Save (Enregistrer).

    4. Sous l'onglet Subnet Association (Association de sous-réseau) :

      1. Cliquez sur Edit (Éditer).

      2. Localisez le sous-réseau que vous souhaitez associer à ce VPC et cliquez sur Save (Enregistrer).

    (Facultatif) Zones hébergées

    Si vous possédez un domaine enregistré, vous pouvez l'utiliser pour héberger les composants Identity Manager en effectuant les opérations suivantes :

    1. Cliquez sur Services > Route 53 > Hosted Zones (Services > Route 53 >Zones hébergées).

    2. Cliquez sur Create Hosted Zone (Créer une zone hébergée) et spécifiez les détails tels que les suivants :

      • Domain Name (Nom du domaine) : spécifiez le nom du domaine.

      • Comment (Commentaire) : ajoutez un commentaire.

      • Type : spécifiez le type de zone hébergée.

    3. Cliquez sur Create (Créer).

    Adresse IP Elastic

    1. Cliquez sur Services > EC2.

    2. Dans le menu de gauche, sélectionnez Elastic IPs (Adresses IP Elastic).

    3. Cliquez sur Allocate New address (Allouer une nouvelle adresse).

    4. Cliquez sur Allocate (Allouer).

      Le système alloue une adresse IPv4 statique qui n'est utilisée par aucune autre ressource.

    5. Cliquez sur Close (Fermer).

14.2.2 Création et déploiement d'instances

Cette section décrit les étapes à suivre afin de créer et de déployer des instances pour une configuration de base d'Identity Manager, qui comprend le moteur Identity Manager, iManager, Identity Applications, la création de rapports, la base de données de l'application utilisateur et la base de données de création de rapports.

Effectuez les étapes suivantes afin de créer des instances pour les composants Identity Manager.

  1. Cliquez sur Services > EC2.

  2. Cliquez sur Launch Instance (Lancer l'instance).

  3. Sélectionnez l'image SLES 12 SPx ou RHEL 7.x.

  4. Sélectionnez le type d'instance qui répond aux exigences du système d'exploitation de base et du déploiement des composants Identity Manager. Reportez-vous au document System Requirements (Configuration système requise).

  5. Cliquez sur Next: Configure Instance Details (Suivant : configurer les détails de l'instance).

    Assurez-vous que l'instance utilise le bon VPC et le bon sous-réseau. Cette page remplit automatiquement les paramètres de sous-réseau.

    Champ

    Opération

    Auto-assign Public IP (Assigner automatiquement une adresse IP publique)

    Définissez cette option sur Enable (Activer) pour un sous-réseau public. Ainsi configuré, le système remplit automatiquement les paramètres de sous-réseau. Pour un sous-réseau privé, définissez cette option sur Disable (Désactiver).

  6. Cliquez sur Next: Add Storage (Suivant : ajouter du stockage).

    La taille de stockage par défaut est de 10 Go. Modifiez la taille du stockage selon vos besoins. Reportez-vous au document System Requirements (Configuration système requise).

  7. Cliquez sur Next: Add Tags (Suivant : ajouter des étiquettes).

    Ajoutez les étiquettes comme souhaité. Les étiquettes vous permettent d'organiser les instances. Par exemple, vous pouvez ajouter les deux balises suivantes à chaque instance :

    • Une étiquette indiquant la finalité de l'instance

    • Une étiquette indiquant le propriétaire de la machine

  8. Cliquez sur Next: Configure Security Group (Suivant : configurer le groupe de sécurité).

    Les groupes de sécurité sont des règles de pare-feu virtuelles pour les groupes d'instances. Il est recommandé de créer un groupe de sécurité distinct pour chaque groupe d'instances ayant les mêmes exigences en matière de pare-feu.

    Par exemple, vous pouvez configurer un groupe de sécurité pour tous les noeuds du moteur Identity Manager, un groupe de sécurité pour tous les noeuds d'Identity Applications et un groupe de sécurité pour tous les noeuds d'Identity Reporting. Par défaut, un nouveau groupe de sécurité n'autorise le trafic entrant que sur le port 22, de sorte que vous ne pouvez vous connecter à l'instance qu'en utilisant SSH.

    Pour plus d'informations, reportez-vous au document Amazon EC2 Security Groups for Linux Instances (Groupes de sécurité Amazon EC2 pour les instances Linux).

  9. Créez un groupe de sécurité, puis spécifiez son nom et sa description.

    Ajoutez des règles de port supplémentaires avant d'installer les composants Identity Manager suivants :

    Composant

    Port

    Description

    LDAP pour le coffre-fort d'identité

    TCP 636

    Nécessaire pour la communication LDAP sécurisée.

    iManager

    TCP 8443

    Nécessaire pour la communication HTTPS afin d'accéder à iManager.

    Identity Applications

    TCP 8543

    Nécessaire pour la communication HTTPS afin d'accéder à Identity Applications.

    Identity Reporting

    TCP 8643

    Nécessaire pour la communication HTTPS afin d'accéder à Identity Reporting.

    Base de données PostgreSQL

    TCP 5432

    Nécessaire pour la communication de base de données sécurisée afin d'accéder à PostgreSQL.

  10. Cliquez sur Review and Launch (Vérifier et lancer).

  11. Après avoir examiné les détails, cliquez sur Launch (Lancer).

  12. Sélectionnez une paire de clés existante ou créez-en une.

    Cette paire de clés est utilisée pour l'accès SSH à l'instance. Vous pouvez utiliser la même paire de clés avec plusieurs machines.

  13. Cliquez sur Download Key Pair (Télécharger la paire de clés).

    IMPORTANT :vous pouvez vous connecter et gérer vos instances uniquement à l'aide de la clé privée. Par conséquent, ne la perdez pas après l'avoir téléchargée.

  14. Attachez l'adresse IP Elastic qui a été créée lors de l'initialisation de l'instance.

  15. Répétez les opérations depuis l'Étape 1 jusqu'à l'Étape 13 afin de créer d'autres instances.

14.2.3 Préparation des instances EC2

Lancez une instance et vérifiez les dépôts de logiciels. Pour vérifier les dépôts logiciels configurés, procédez comme suit :

  1. Connectez-vous à une instance à l'aide de la paire de clés.

  2. Changez d'utilisateur et choisissez l'identité root.

  3. Vérifiez que les mises à jour suivantes sont disponibles sur votre système d'exploitation :

    SLES12-SP3-Pool et SLES12-SP3-Updates sous SLES : pour vérifier, exécutez la commande zypper lr –n.

    rhui-REGION-rhel-server-releases/7Server/x86_64 sous RHEL : pour vérifier, exécutez la commande yum repolist.

    REMARQUE :si les dépôts ne sont pas présents dans votre système d'exploitation, vérifiez que l'adresse IP Elastic configurée est attachée à l'instance, puis redémarrez cette dernière.

  4. Installez les éléments prérequis suivants pour votre système d'exploitation :

    SLES

    Utilisez la commande zypper pour installer la bibliothèque glibc-32bit.

    Red Hat 

    Utilisez la commande yum install pour installer les éléments prérequis suivants :

    • unzip

    • ksh

    • bc

    • glibc-*.i686

    • libXau-1.0.8-2.1.el7.i686

    • libxcb.i686

    • libX11.i686

    • libXtst.i686

    • libXrender.i686

    • libgcc.i686

    • lsof

    Pour le moteur Identity Manager, vous pouvez modifier le script prerequisite.sh et supprimer les occurrences de compat-libstdc++-33.x86_64. Ce paquetage n'est plus nécessaire pour l'installation d'Identity Manager.

  5. Configurez /etc/hosts et hostname :

    1. Utilisez l'adresse IP privée de l'instance pour sécuriser les serveurs Identity Manager dans le pare-feu.

    2. Assignez un nom DNS à l'instance et mettez à jour le fichier hosts.

      Par exemple :

      # 10.0.0.1 identityEngine.example.com identityEngine

    3. Définissez hostname et domain name.

      SLES

      yast lan

      RHEL

      hostnamectl set-hostname idmengine.example.com

  6. (Conditionnel) Créez un volume EBS (Elastic Block Store) chiffré pour chiffrer les données dans le cloud.

    1. Cliquez sur Services > EC2.

    2. Dans Elastic Block Store, sélectionnez Volumes, puis cliquez sur Create Volume (Créer un volume).

    3. Spécifiez la taille requise pour votre volume.

    4. Sélectionnez Encrypt this volume (Chiffrer ce volume) et cliquez sur Create Volume (Créer un volume).

    5. Sélectionnez le volume récemment créé dans la liste.

    6. Dans Actions (Opérations), cliquez sur Attach Volume (Attacher le volume) pour attacher le volume à l'instance EC2.

    7. Répétez ces étapes pour chaque instance.

    Pour plus d'informations, reportez-vous au document relatif à Amazon EBS.

  7. Formatez le volume et montez la partition à l'aide des outils de votre système d'exploitation :

    SLES

    Exécutez la commande yast disk pour formater le volume.

    RHEL

    Exécutez mkfs pour formater le volume et ajouter la partition au fichier /etc/fstab. Pour plus d'informations, reportez-vous au manuel Red Hat Enterprise Linux Deployment Guide (Guide de déploiement de Red Hat Enterprise Linux).

    REMARQUE :

    • Montez la partition de données du moteur Identity Manager. Par défaut, la partition de données est /var/opt/novell/.

    • Montez d'autres composants Identity Manager dans /opt/netiq/.

  8. Mettez à jour le fichier /etc/hosts sur toutes les instances avec le nom DNS ou l'adresse IP de toutes les machines.

14.2.4 Configuration des composants Identity Manager

Avant d'installer les composants Identity Manager, effectuez les étapes suivantes :

  1. Téléchargez le fichier Identity_Manager_4.8_Linux.iso sur l'instance sur laquelle vous souhaitez installer le composant Identity Manager.

  2. Montez le fichier .iso téléchargé.

  3. (Conditionnel) Créez la base de données pour Identity Applications et Identity Reporting. Pour plus d'informations, reportez-vous à la section Configuration de la base de données pour Identity Applications et Identity Reporting.

  4. À partir du répertoire racine du fichier .iso, exécutez la commande ./install.sh.

  5. Lisez le contrat de licence et tapez y pour l'accepter.

  6. Sélectionnez l'option d'installation personnalisée, puis le composant que vous souhaitez installer sur l'instance. Configurez le composant. Pour plus d'informations, reportez-vous au Tableau 5-2, Configuration personnalisée.

  7. Exécutez configupdate.sh sur Identity Applications et sur Identity Reporting pour définir tous les clients.

14.2.5 Configuration de la base de données pour Identity Applications et Identity Reporting

Si vous souhaitez installer la base de données PostgreSQL pour Identity Applications et Identity Reporting sur un serveur externe, vous devez au préalable effectuer les étapes suivantes :

  1. Accédez à l'emplacement où vous avez monté le fichier Identity_Manager_4.8_Linux.iso.

  2. Localisez le répertoire /common/packages/postgres/ et installez PostgreSQL.

    rpm -ivh netiq-postgresql-9.6.6-0.noarch.rpm

  3. Associez le groupe à l'utilisateur postgres en exécutant la commande suivante :

    /usr/sbin/usermod -a -G postgres postgres

  4. Remplacez le chemin du répertoire privé de l'utilisateur postgres par /opt/netiq/idm/postgres/ dans le fichier /etc/passwd.

    1. Accédez au répertoire /etc/.

    2. Modifiez le fichier passwd.

      vi /etc/passwd

    3. Déplacez le répertoire privé de l'utilisateur postgres vers /opt/netiq/idm/postgres/.

  5. Connectez-vous en tant qu'utilisateur postgres.

    Par exemple :

    su - postgres

  6. Créez un répertoire data à l'emplacement d'installation de PostgreSQL.

    mkdir -p <répertoire_privé_POSTGRES>/data, où <répertoire_privé_POSTGRES> correspond à /opt/netiq/idm/postgres.

    Par exemple :

    mkdir -p /opt/netiq/idm/postgres/data

  7. Exportez le répertoire privé de PostgreSQL.

    export PGHOME=<chemin_répertoire_privé_postgres>

    Par exemple :

    export PG_HOME=/opt/netiq/idm/postgres

  8. Exportez le mot de passe PostgreSQL :

    export PGPASSWORD=<entrer mot de passe base de données>

  9. Initialisez la base de données.

    "LANG=en_US.UTF-8 <répertoire privé_POSTGRES>/bin/initdb -D <répertoire privé_POSTGRES>/data"

    Par exemple :

    "LANG=en_US.UTF-8 /opt/netiq/idm/postgres/bin/initdb -D /opt/netiq/idm/postgres/data"

  10. Créez une base de données pour les composants suivants dans le répertoire /opt/netiq/idm/postgres/.

    Identity Applications
    $ createdb idmuserappdb
$ psql -s idmuserappdb
# create user idmadmin password 'somepassword';
# GRANT ALL PRIVILEGES ON DATABASE idmuserappdb TO idmadmin;
# ALTER DATABASE idmuserappdb OWNER TO idmadmin;
    Identity Reporting
    $ createdb idmrptdb

  11. Déconnectez-vous de la session d'utilisateur postgres.

  12. Modifiez le fichier postgresql.conf pour permettre à l'instance PostgreSQL d'écouter sur les instances réseau autres que localhost.

    1. Accédez au répertoire /opt/netiq/idm/postgres/data/.

    2. Modifiez le fichier postgresql.conf :

      vi postgresql.conf

    3. Ajoutez la ligne suivante au fichier :

      listen_addresses = '*'

  13. Créez le répertoire pg_log sous <chemin_répertoire_privé_postgres>/data.

    Par exemple :

    mkdir -p /opt/netiq/idm/postgres/data/pg_log

  14. Modifiez les autorisations pour le répertoire pg_log.

    chown -R postgres:postgres <chemin_répertoire_postgres>/data/pg_log

    Par exemple :

    chown -R postgres:postgres /opt/netiq/idm/postgres/data/pg_log

  15. Démarrez le service PostgreSQL.

    systemctl start netiq-postgresql

    Cela lancera le nouveau service PostgreSQL.

14.2.6 Configuration de Designer

Pour l'utiliser, vous devez installer Designer sur une machine Windows.

  1. Sur un sous-réseau public, lancez une instance Windows prise en charge.

    Pour le groupe de sécurité Windows, utilisez uniquement le port rdesktop. Par exemple : 3389.

  2. Installez Designer sur une instance Windows. Pour plus d'informations, reportez-vous à la section Installation de Designer du Guide d'installation de NetIQ Identity Manager pour Windows.

14.2.7 Création d'un équilibreur de charge AWS EC2

Vous pouvez créer un équilibreur de charge pour équilibrer la charge de demandes entrantes entre les composants Identity Manager. L'équilibreur de charge permet de sécuriser les serveurs Identity Manager par rapport à l'accès public.

Les procédures suivantes expliquent les détails de configuration nécessaires afin de configurer un équilibreur de charge pour l'exemple de scénario de déploiement :

Création d'un certificat pour un équilibreur de charge afin d'utiliser une communication sécurisée

L'équilibreur de charge utilise ce certificat pour établir une communication sécurisée entre les composants Identity Manager. Vous pouvez créer un certificat pour un équilibreur de charge de trois façons :

Utilisation d'ACM (AWS Certificate Manager)

  1. Cliquez sur Services > Certificates Manager (Gestionnaire de certificats).

  2. Cliquez sur Request Certificate (Demander un certificat).

  3. Spécifiez le nom DNS pour lequel vous souhaitez créer un certificat.

  4. Vérifiez l'autorité DNS.

Téléchargement d'un certificat externe dans ACM

  1. Cliquez sur Services > Certificates Manager (Gestionnaire de certificats).

  2. Cliquez sur Import Certificate (Importer le certificat).

  3. Spécifiez les détails du certificat.

Téléchargement d'un certificat externe dans IAM

  1. Cliquez sur Services.

  2. Dans Security, Identity & Compliance (Sécurité, identité et conformité), cliquez sur IAM.

  3. Spécifiez les détails du certificat à l'aide de l'API IAM. Pour plus d'informations, reportez-vous au document Uploading Server Certificate Using IAM API (Téléchargement d'un certificat de serveur à l'aide de l'API IAM).

Création de groupes cibles

Un groupe cible permet d'associer l'équilibreur de charge aux adresses IP des instances (cibles) parmi lesquelles la charge sera distribuée.

Pour créer un groupe cible, procédez comme suit :

  1. Dans le tableau de bord EC2, cliquez sur Target Groups (Groupes cibles) sous LOAD BALANCING (ÉQUILIBRAGE DE LA CHARGE).

  2. Cliquez sur Create target group (Créer un groupe cible).

  3. Spécifiez les informations suivantes :

    Champ

    Description

    Target group name (Nom du groupe cible)

    Spécifiez un nom pour le groupe cible.

    Vous pouvez spécifier le nom d'un composant pour lequel ce groupe cible est configuré. Par exemple : Identity Applications, Identity Reporting ou iManager.

    Protocol (Protocole)

    Sélectionnez HTTPS.

    Port

    Spécifiez le port sur lequel le serveur est configuré pour l'écoute.

    Voici des exemples de valeurs de port utilisées pour différents composants Identity Manager :

    • Identity Applications : 8543

    • Identity Reporting : 8643

    • iManager : 8443

    Target type (Type de cible)

    Sélectionnez Instance.

    VPC

    Sélectionnez le même VPC que pour les instances des composants Identity Manager.

    Paramètres de vérification de l'état de santé

    Protocol (Protocole)

    Sélectionnez HTTPS.

    L'équilibreur de charge utilise ce protocole lors des vérifications de l'état de santé.

    Path (Chemin)

    Spécifiez le chemin de destination des vérifications de l'état de santé.

    Voici les chemins par défaut des composants Identity Manager pour l'exécution des vérifications de l'état de santé :

    • Identity Applications : /idmdash/index.html

    • Identity Reporting : /IDMRPT/index.html

    • iManager : /nps/login.html

    Paramètres avancés de vérification de l'état de santé

    Conservez les valeurs par défaut.

  4. Cliquez sur Create (Créer).

  5. Activez la persistance de session.

    1. Sélectionnez le groupe cible que vous avez créé.

    2. Sous l'onglet Description, cliquez sur Edit attributes (Éditer les attributs).

    3. Sélectionnez Enable (Activer) pour l'option Stickiness (Persistance).

  6. Répétez ces étapes afin de créer des groupes cibles pour chaque application.

REMARQUE :si SSPR est installé sur un serveur différent, créez un groupe cible distinct pour ce composant.

Création de l'équilibreur de charge

Pour créer un équilibreur de charge, procédez comme suit :

  1. Dans le menu de gauche, cliquez sur Load Balancers (Équilibreurs de charge).

  2. Cliquez sur Create Load Balancers (Créer des équilibreurs de charge).

  3. Cliquez sur Create (Créer) sous Application Load Balancer (Équilibreur de charge d'application).

  4. Spécifiez les informations suivantes :

    Champ

    Description

    Name (Nom)

    Spécifiez un nom pour l'équilibreur de charge.

    Scheme (Modèle)

    Sélectionnez internet-facing (accessible sur Internet).

    Listeners (Écouteurs)

    Pour ajouter d'autres écouteurs à votre équilibreur de charge, cliquez sur Add Listener (Ajouter un écouteur).

    Spécifiez les ports d'écoute comme suit :

    Pour iManager :

    • Load Balancer Protocol (Protocole de l'équilibreur de charge) : HTTPS

    • Load Balancer Port (Port de l'équilibreur de charge) : 8443

    Pour Identity Applications :

    • Load Balancer Protocol (Protocole de l'équilibreur de charge) : HTTPS

    • Load Balancer Port (Port de l'équilibreur de charge) : 8543

    Pour Identity Reporting 

    • Load Balancer Protocol (Protocole de l'équilibreur de charge) : HTTPS

    • Load Balancer Port (Port de l'équilibreur de charge) : 8643

    Availability Zones (Zones de disponibilité)

    1. Sélectionnez le même VPC que vous avez créé précédemment pour les composants Identity Manager.

    2. Sélectionnez la zone de disponibilité dans laquelle les sous-réseaux publics sont disponibles.

      REMARQUE :vous devez sélectionner au moins deux sous-réseaux.

    Tags (Étiquettes)

    (Facultatif) Vous pouvez ajouter une étiquette pour identifier votre équilibreur de charge.

  5. Cliquez sur Next: Configure Security Settings (Suivant : configurer les paramètres de sécurité).

  6. Spécifiez les détails du certificat pour utiliser le protocole HTTPS. Vous pouvez effectuer l'une des opérations suivantes :

  7. Cliquez sur Next: Configure Security Groups (Suivant : configurer les groupes de sécurité).

  8. Dans Assign a security group (Assigner un groupe de sécurité), sélectionnez Create a new security group (Créer un groupe de sécurité).

  9. (Facultatif) Spécifiez le nom et la description de l'équilibreur de charge.

  10. Ajoutez des règles au groupe de sécurité qui achemine le trafic vers les écouteurs configurés :

    Champ

    Description

    Type

    Sélectionnez Custom TCP Rule (Règle TCP personnalisée).

    Protocol (Protocole)

    Ce champ affiche le type de protocole utilisé pour la règle.

    Port Range (Plage de ports)

    Sélectionnez la plage de ports pour les composants Identity Manager :

    • iManager : 8443

    • Identity Applications : 8543

    • Identity Reporting : 8643

    Source

    Sélectionnez Anywhere (N'importe où) pour vous connecter à l'instance sur laquelle le composant Identity Manager est déployé.

  11. Cliquez sur Next: Configure Routing (Suivant : configurer le routage).

  12. Dans Target group (Groupe cible), spécifiez les détails suivants :

    Champ

    Description

    Target group (Groupe cible)

    Sélectionnez Existing target group (Groupe cible existant). Cette liste affiche les groupes cibles créés pour les composants Identity Manager à la section Création de groupes cibles.

    Name (Nom)

    Sélectionnez un groupe cible dans la liste.

    Vous ne pouvez sélectionner qu'un seul groupe cible ici. Par exemple, sélectionnez le groupe cible que vous avez créé pour Identity Applications.

    Après avoir créé l'équilibreur de charge, vous devrez modifier le port d'écoute 8443 pour utiliser le groupe cible configuré pour le protocole HTTPS. Reportez-vous à l'Étape 18 de cette section.

    Protocol (Protocole)

    Indique la valeur que vous avez configurée dans le groupe cible spécifié. Vérifiez-la pour vous assurer qu'elle est correctement répertoriée.

    Port

    Indique la valeur que vous avez configurée dans le groupe cible spécifié. Vérifiez-la pour vous assurer qu'elle est correctement répertoriée.

    Target type (Type de cible)

    Indique la valeur que vous avez configurée dans le groupe cible spécifié. Vérifiez-la pour vous assurer qu'elle est correctement répertoriée.

  13. Sous Health Checks (Vérifications de l'état de santé), vérifiez les détails suivants :

    Champ

    Description

    Protocol (Protocole)

    Indique HTTPS ou HTTP selon la configuration du groupe cible que vous avez sélectionné à l'Étape 12.

    Reportez-vous à la section Création de groupes cibles.

    Path

    Indique l'URL de l'état de santé que vous avez configuré dans le groupe cible sélectionné à l'Étape 12.

    Reportez-vous à la section Création de groupes cibles.

    Paramètres avancés de vérification de l'état de santé

    Conservez les valeurs par défaut.

  14. Cliquez sur Next: Register Targets (Suivant : enregistrer les cibles).

    Affiche la liste de toutes les cibles enregistrées auprès du groupe cible sélectionné. Vous ne pouvez modifier cette liste qu'après avoir créé l'équilibreur de charge.

  15. Cliquez sur Next: Review (Suivant : Vérifier).

  16. Vérifiez que les détails de l'équilibreur de charge sont corrects.

  17. Cliquez sur Create (Créer), puis sur Close (Fermer).

  18. (Conditionnel) Si vous avez ignoré l'étape de création de ports d'écoute pour les composants Identity Manager ou si vous souhaitez ajouter de nouveaux ports d'écoute, mettez à jour les ports d'écoute afin d'utiliser les groupes cibles appropriés :

    1. Sélectionnez l'équilibreur de charge que vous avez créé.

    2. Sélectionnez l'onglet Listeners (Écouteurs).

    3. Cliquez sur Add Listener (Ajouter un écouteur) et spécifiez les détails requis pour chaque écouteur. Reportez-vous à l'Étape 4.

    4. Sélectionnez le certificat utilisé pour l'équilibreur de charge. Reportez-vous à la section Création d'un certificat pour un équilibreur de charge afin d'utiliser une communication sécurisée.

    5. Cliquez sur Create (Créer).

      Si SSPR est configuré sur une machine séparée, vous devrez peut-être ajouter un écouteur.

    IMPORTANT :pour utiliser un seul équilibreur de charge dans une configuration distribuée, créez un enregistrement d'alias DNS séparé afin de différencier les serveurs dans la configuration. Sinon, créez un équilibreur de charge distinct pour chaque application Web.

14.2.8 (Facultatif) Création d'un alias DNS avec la zone hébergée enregistrée

Si vous avez un site enregistré, vous pouvez l'utiliser pour créer un ensemble d'enregistrements individuel pour chaque composant Identity Manager.

  1. Cliquez sur Services > Route 53.

  2. Dans le menu de gauche, cliquez sur Hosted Zones (Zones hébergées) et sélectionnez la zone hébergée qui est créée lors de la configuration des services AWS EC2. Reportez-vous à la section Préparation du cloud privé virtuel AWS.

  3. Cliquez sur Go to Record Sets (Accéder aux ensembles d'enregistrements).

  4. Cliquez sur Create Record Set (Créer un ensemble d'enregistrements) :

    Champ

    Description

    Name (Nom)

    Spécifiez un nom significatif pour votre ensemble d'enregistrements.

    Par exemple : nommez l'ensemble d'enregistrements Identity Applications rbpm.

    Type

    Sélectionnez A – IPv4 address (A – Adresse IPv4).

    Alias

    Sélectionnez Yes (Oui).

    Alias Target (Cible de l'alias)

    Sélectionnez l'équilibreur de charge configuré pour connecter les composants Identity Manager.

    Routing Policy (Stratégie de routage)

    Sélectionnez Simple.

  5. Cliquez sur Create (Créer).

  6. Répétez l'Étape 4 et l'Étape 5 pour créer un ensemble d'enregistrements pour chaque instance Identity Manager.

  7. Exécutez configupdate.sh sur les instances Identity Applications, Identity Reporting et OSP, et mettez à jour la configuration SSO avec le nom DNS public.

  8. Relancez Tomcat.

  9. Vérifier la configuration en accédant aux applications à l'aide du DNS public.

    https://<nom-DNS-public>:<port>/<nom-contexte-application>

14.2.9 Accès aux composants Identity Manager

Vous pouvez accéder aux instances Identity Manager à l'aide du nom DNS public de l'équilibreur de charge ou de l'ensemble d'enregistrements d'alias DNS. Pour permettre aux instances Identity Manager de communiquer entre elles, modifiez les fichiers /etc/hosts sur chaque instance et ajoutez une entrée pour résoudre son nom d'hôte selon son adresse IP privée.

Mettez à jour les instances suivantes pour accéder en interne aux autres instances.

Instance

Description

OSP

L'instance OSP nécessite un accès à l'instance SSPR pour réinitialiser les mots de passe.

Emplacement du fichier hôte : /etc/hosts

Modifiez le fichier hosts avec l'entrée suivante :

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

Par exemple :

10.0.1.5   sspr.privatedns.local sspr.publicdns.com

Identity Applications

L'instance Identity Applications nécessite un accès à l'instance OSP à des fins de connexion.

Emplacement du fichier hôte : /etc/hosts

Modifiez le fichier hosts avec l'entrée suivante :

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

Par exemple :

10.0.1.6   osp.privatedns.local osp.publicdns.com

Identity Reporting

L'instance Identity Reporting nécessite un accès à l'instance OSP à des fins de connexion.

Emplacement du fichier hôte : /etc/hosts

Modifiez le fichier hosts avec l'entrée suivante :

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

Par exemple :

10.0.1.6   osp.privatedns.local  osp.publicdns.comm