15.2 Procédure de déploiement

Les composants Identity Manager peuvent être déployés sur un réseau privé ou public en fonction de vos besoins. La Figure 15-1 illustre un exemple de déploiement utilisé dans les sections suivantes.

Figure 15-1 Déploiement d'Identity Manager sur Microsoft Azure

Les composants Identity Manager peuvent être déployés sur Microsoft Azure selon différentes combinaisons en fonction de la façon dont les composants sont répartis entre les différents serveurs. Cependant, la procédure de déploiement est la même pour tous les scénarios.

La procédure de déploiement comporte les étapes suivantes :

15.2.1 Création d'un groupe de ressources

NetIQ vous recommande de créer un groupe de ressources et d'y ajouter les ressources nécessaires dans le cadre de l'utilisation d'Identity Manager. Pour créer un nouveau groupe de ressources, procédez comme suit :

Connectez-vous au portail Azure.
Cliquez sur Groupes de ressources.
Cliquez sur Créer.
Sous l'onglet De base :
1. Sélectionnez votre abonnement dans la liste déroulante.
2. Entrez un nom pour le nouveau groupe de ressources.
3. Sélectionnez l'emplacement dans la liste déroulante Région. Par exemple, Inde centrale.
4. Cliquez sur Suivant : Balises >.
Sous l'onglet Balises, cliquez sur Suivant : Examiner + Créer >.
Sous l'onglet Examiner + Créer, cliquez sur Créer.

15.2.2 Création d'un réseau virtuel et d'un sous-réseau

Connectez-vous au portail Azure.
Indiquez réseau virtuel dans le champ de recherche.
Sous Services, sélectionnez Réseaux virtuels.
Cliquez sur Créer.

Sous l'onglet De base, spécifiez les détails suivants :

Champ	Description
Abonnement	Sélectionnez votre abonnement dans la liste déroulante.
Groupe de ressources	Sélectionnez un groupe de ressources existant dans la liste déroulante.
Nom	Spécifiez le nom du réseau virtuel.
Région	Sélectionnez l'emplacement géographique dans la liste déroulante. Par exemple, Inde centrale.

Cliquez sur Suivant : Adresses IP>.

Sous l'onglet Adresses IP, cliquez sur Ajouter un sous-réseau.
1. Cliquez sur Ajouter un sous-réseau.
  1. Indiquez le nom du sous réseau. Par exemple, default (valeur par défaut).
  2. Spécifiez la plage d'adresses du sous-réseau. Par exemple, 10.1.0.0/24.
  3. Cliquez sur Ajouter.
2. Cliquez sur Suivant : Sécurité >.
Sous l'onglet Sécurité, laissez les valeurs par défaut de tous les champs, puis cliquez sur Suivant : Balises >.
Sous l'onglet Balises, cliquez sur Suivant : Examiner + Créer >.
Sous l'onglet Examiner + Créer, vérifiez vos paramètres, puis cliquez sur Créer.

15.2.3 Création d'une passerelle d'application

Connectez-vous au portail Azure.
Cliquez sur Créer une ressource.
Accédez à Catégories > Réseautique > Passerelle d'application.

Sous l'onglet De base, spécifiez les détails suivants :

Champ	Description
Abonnement	Sélectionnez votre abonnement dans la liste déroulante.
Groupe de ressources	Sélectionnez un groupe de ressources existant dans la liste déroulante.
Nom de la passerelle d'application	Spécifiez le nom de la passerelle d'application.
Région	Sélectionnez l'emplacement géographique dans la liste déroulante. Par exemple, Inde centrale.
Niveau	Sélectionnez le niveau requis. Par exemple, Standard V2.
Nombre minimum d'instances	Spécifiez la valeur 0.
Nombre maximum d'instances	Spécifiez la valeur 10.
Réseau virtuel	Sélectionnez le réseau virtuel et le sous-réseau correspondant déjà créés. Reportez-vous à la section Création d'un réseau virtuel et d'un sous-réseau.

Laissez les valeurs par défaut pour le reste des champs, puis cliquez sur Suivant : Serveurs frontaux >.

Sous l'onglet Serveurs frontaux :
1. Sélectionnez Public.
2. Sous Adresse IP publique, cliquez sur Ajouter.
  1. Spécifiez le nom de l'adresse IP publique. Par exemple, idmgateway.centralindia.cloudapp.azure.com.
  2. Cliquez sur OK.
3. Cliquez sur Suivant : Principaux.
Sous l'onglet Principaux :
1. Cliquez sur Ajoutez un pool principal.
  1. Spécifiez le nom du pool principal.
  2. Sélectionnez Oui pour ajouter un pool principal sans cibles.
  3. Cliquez sur Ajouter.
2. Cliquez sur Suivant : Configuration >.

Sous l'onglet Configuration :

Sous Règles de routage, cliquez sur Ajouter une règle de routage.
Indiquez le nom de la règle.

Sous l'onglet Écouteur, spécifiez les détails suivants :

Champ	Description
Nom de l'écouteur	Indiquez le nom de l'écouteur.
Adresse IP frontale	Sélectionnez Publique dans la liste déroulante.
Protocole	Sélectionnez HTTP.
Port	Spécifiez la valeur 80.

Laissez les valeurs par défaut dans les autres champs.

Sous l'onglet Backend targets (Cibles principales), spécifiez les détails suivants :

Champ	Description
Backend target (Cible principale)	Sélectionnez la cible principale dans la liste déroulante.
Paramètres HTTP	Cliquez sur Ajouter, spécifiez le nom des paramètres HTTP. Laissez les valeurs par défaut dans les autres champs, puis cliquez sur Ajouter.

Cliquez sur Ajouter.

Cliquez sur Suivant : Balises >.

Sous l'onglet Balises, cliquez sur Examiner + Créer >.
Sous l'onglet Examiner + Créer >, vérifiez vos paramètres, puis cliquez sur Créer.

REMARQUE :pour plus d'informations sur la configuration de la passerelle d'application, reportez-vous à la section Configuration de la passerelle d'application.

15.2.4 Création d'une instance de machine virtuelle

Créez une machine virtuelle distincte pour héberger les composants Identity Manager.

Connectez-vous au portail Azure.
Indiquez machines virtuelles dans le champ de recherche.
Sous Services, sélectionnez Machines virtuelles.
Cliquez sur Créer, puis sélectionnez Machine virtuelle.
Sous l'onglet De base :
1. Sélectionnez votre abonnement dans la liste déroulante.
2. Sélectionnez le groupe de ressources existant dans la liste déroulante (voir Création d'un groupe de ressources).
3. Spécifiez le nom de la machine virtuelle.
4. Sélectionnez l'emplacement dans la liste déroulante Région. Par exemple, Inde centrale.
5. Sélectionnez le Serveur Windows requis dans la liste déroulante Image. Par exemple, Windows Server 2019.
6. Sélectionnez la taille de la machine virtuelle dans la liste déroulante Taille.
7. Spécifiez le nom d'utilisateur , le mot de passe, puis cliquez sur Confirmer le mot de passe.
8. Sous Licences, sélectionnez Licence Windows Server, puis sélectionnez la licence Windows Server éligible avec Software Assurance pour confirmer.
9. Laissez les valeurs par défaut dans les autres champs.
10. Cliquez sur Suivant : Disques >.
Sous l'onglet Disques :
1. Sélectionnez le type de disque dans la liste déroulante Type de disque du système d'exploitation. Par exemple, SSD Premium.
2. Sélectionnez le type de chiffrement dans la liste déroulante.
3. Cliquez sur Suivant : Réseautique >.
Sous l'onglet Réseautique :
1. Sélectionnez le réseau virtuel et le sous-réseau correspondant déjà créés. Reportez-vous à la section Création d'un réseau virtuel et d'un sous-réseau.
2. Sous le groupe de sécurité réseau, sélectionnez Avancé.
3. Sélectionnez le groupe de sécurité réseau existant dans la liste déroulante.
  1. (Conditionnel) Si le groupe de sécurité réseau n'est pas disponible, cliquez sur Nouveau.
  2. Spécifiez le nom du groupe de sécurité réseau.
  3. Cliquez sur Ajouter un rôle entrant, puis spécifiez les détails requis.
  4. Cliquez sur Ajouter un rôle sortant, puis spécifiez les détails requis.
  5. Cliquez sur OK.
4. Laissez les valeurs par défaut dans les autres champs.
5. Cliquez sur Suivant : Gestion >.
Sous l'onglet Gestion, laissez les valeurs par défaut de tous les champs, puis cliquez sur Suivant : Avancé >.
Sous l'onglet Avancé , laissez les valeurs par défaut de tous les champs, puis cliquez sur Suivant : Balises >.
Sous l'onglet Balises, laissez les valeurs par défaut pour tous les champs, puis cliquez sur Suivant : Examiner + Créer >.
Sous l'onglet Examiner + Créer , vérifiez vos paramètres, puis cliquez sur Créer.

15.2.5 Mise à jour des entrées de l'hôte dans la machine virtuelle

Vous pouvez accéder aux composants Identity Manager à l'aide du nom DNS public de la passerelle d'application ou de l'ensemble d'enregistrements d'alias DNS. Pour permettre aux composants Identity Manager de communiquer entre eux, modifiez les fichiers hosts sur chaque machine virtuelle et ajoutez une entrée pour résoudre son nom d'hôte.

Tableau 15-1 Mise à jour des entrées de l'hôte

Composants	Description
Moteur Identity	Accédez au fichier hosts sur la machine virtuelle du moteur Identity. Exemples : C:\Windows\System32\drivers\etc\hosts Modifiez le fichier hosts avec l'entrée suivante : <Adresse IP de la machine virtuelle du moteur Identity > <Nom DNS privé de la machine virtuelle du moteur Identity> Par exemple : 10.0.1.1 Identityengine.example.com <Adresse IP de la machine virtuelle d'Identity Applications> <Nom DNS public de la passerelle d'application> Par exemple : 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com
Identity Applications	Accédez au fichier hosts sur la machine virtuelle du moteur Identity. Exemples : C:\Windows\System32\drivers\etc\hosts Modifiez le fichier hosts avec l'entrée suivante : <Adresse IP de la machine virtuelle du moteur Identity > <Nom DNS privé de la machine virtuelle du moteur Identity> Par exemple : 10.0.1.1 Identityengine.example.com <Adresse IP de la machine virtuelle d'Identity Applications> <Nom DNS public de la passerelle d'application> Par exemple : 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Composants

Description

Moteur Identity

Accédez au fichier hosts sur la machine virtuelle du moteur Identity. Exemples :

C:\Windows\System32\drivers\etc\hosts

Modifiez le fichier hosts avec l'entrée suivante :

Par exemple :

10.0.1.1 Identityengine.example.com

Par exemple :

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Identity Applications

Accédez au fichier hosts sur la machine virtuelle du moteur Identity. Exemples :

C:\Windows\System32\drivers\etc\hosts

Modifiez le fichier hosts avec l'entrée suivante :

Par exemple :

10.0.1.1 Identityengine.example.com

Par exemple :

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Pour mettre à jour les entrées de l'hôte pour Identity Reporting et iManager, reportez-vous à la section Identity Applications dans le Tableau 15-1.

REMARQUE :pour l'installation des composants Identity Manager, reportez-vous à la section Procédures d'installation.

15.2.6 Configuration de Designer

Sur un sous-réseau public, lancez une instance de machine virtuelle prise en charge. Reportez-vous à la section Création d'une instance de machine virtuelle.

Pour le groupe de sécurité Windows, utilisez uniquement le port rdesktop. Par exemple, 3389.
Installez Designer. Reportez-vous à la Section IV, Installation de Designer.

15.2.7 Configuration de la passerelle d'application

Configurez la passerelle d'application pour permettre aux réseaux externes d'utiliser les composants Identity Manager hébergés sur les machines virtuelles.

Configurez un pool principal distinct pour les composants Identity Manager, par exemple, iManager, Identity Applications, les formulaires et Identity Reporting.

Dans Pools principaux, cliquez sur Ajouter.

Spécifiez les informations suivantes :

Champ	Description
Nom	Spécifiez le nom d'un pool principal qui permet d'identifier le composant Identity Manager.
Type	Sélectionnez le type de l'une des manières suivantes : Adresse IP ou FQDN : spécifiez l'adresse IP ou le FQDN du composant Identity Manager requis. Machine virtuelle : sélectionnez la machine virtuelle qui héberge le composant Identity Manager requis.

Cliquez sur OK.

Répétez cette étape pour configurer d'autres pools principaux.

Configurez des paramètres HTTP distincts pour les composants Identity Manager, par exemple, iManager, Identity Applications, les formulaires et Identity Reporting.

REMARQUE :vérifiez que vous avez exporté le certificat public pour les composants Identity Manager requis.

Dans Paramètres HTTP, cliquez sur Ajouter.

Spécifiez les informations suivantes :

Champ	Description
Nom	Spécifiez le nom d'un paramètre HTTP pour identifier le composant Identity Manager.
Protocole	Sélectionnez HTTPS.
Port	Spécifiez le port du composant Identity Manager. Par exemple : iManager : 8443 Identity Applications : 8543 Formulaires : 8600 Identity Reporting : 8643
Certificats d'authentification backend	Sélectionnez Créer. Spécifiez le nom du certificat. Parcourez et téléchargez le certificat public exporté pour le composant Identity Manager correspondant. Cliquez sur Ajouter un certificat.

Cliquez sur OK.

Répétez cette étape pour configurer des paramètres HTTP supplémentaires.

Configurez un écouteur distinct pour chaque composant Identity Manager, par exemple, iManager, Identity Applications, les formulaires et Identity Reporting.

REMARQUE :vérifiez que vous avez exporté le certificat .pfx à partir du coffre-fort d'identité.

Dans Écouteurs, cliquez sur De base.

Spécifiez les informations suivantes :

Champ	Description
Nom	Spécifiez le nom de l'écouteur pour identifier le composant Identity Manager.
Configuration d'adresse IP frontale	Sélectionnez le réseau virtuel et le sous-réseau précédemment crées. Reportez-vous à la section Création d'un réseau virtuel et d'un sous-réseau. Spécifiez le nom et le numéro de port de l'application. Par exemple : iManager : 8443 Identity Applications : 8543 Formulaires : 8600 Identity Reporting : 8643
Protocole	Sélectionnez HTTPS.
Certificat	Parcourez et téléchargez le certificat PFX. Spécifiez le nom et le mot de passe du certificat.

Cliquez sur OK.

Répétez cette étape pour configurer des écouteurs supplémentaires.

Créez une règle de base pour les composants Identity Manager, par exemple, iManager, Identity Applications, les formulaires et Identity Reporting. Ensuite, associez respectivement cette règle au pool principal, à l'écouteur et au paramètre HTTP.

Dans Règle, cliquez sur Ajouter.

Spécifiez les informations suivantes :

Champ	Description
Nom	Spécifiez le nom d'une règle qui permet d'identifier le composant Identity Manager.
Écouteur	Sélectionnez l'écouteur respectif créé à l'Étape 3.
Pool principal	Sélectionnez le pool principal respectif créé à l'Étape 1.
Paramètre HTTP	Sélectionnez le paramètre HTTP respectif créé à l'Étape 2.

Cliquez sur OK.

Répétez cette étape pour configurer des règles supplémentaires.