21.2 Procédure d'installation

Cette section explique de façon détaillée comment installer une nouvelle instance d'Identity Applications sur le serveur Tomcat et la configurer pour la mise en grappe.

Installez le moteur Identity Manager. Pour obtenir des instructions détaillées, reportez-vous à la section Procédures d'installation. Pour un déploiement en production, il est recommandé d'installer le moteur Identity Manager sur un serveur distinct.
Créez et déployez les pilotes suivants pour Identity Applications :
- Pilote d'application utilisateur
- Pilote de service de rôles et de ressources
Sur le noeud 1, installez les composants Identity Manager suivants :
1. Application utilisateur
  
  Pendant le processus d'installation, configurez les paramètres suivants :
  1. Sélectionnez Tomcat comme serveur d'applications.
  2. Sélectionnez PostgreSQL comme plate-forme de base de données.
    
    REMARQUE :vous pouvez utiliser n'importe quelle base de données prise en charge par Identity Manager 4.8.
  3. Spécifiez les informations requises à propos de la base de données sur les pages suivantes.
  4. Copiez le fichier JAR du pilote de base de données (postgresql-9.4.1212.jar) à partir du serveur PostgreSQL vers tous les noeuds d'application utilisateur de la grappe.
    
    REMARQUE :si vous utilisez une autre base de données prise en charge par Identity Manager 4.8, comme Oracle ou SQL Server, veillez à copier le fichier JAR du pilote correspondant depuis le serveur sur lequel la base de données est installée vers tous les noeuds d'application utilisateur de la grappe. Pour plus d'informations, reportez-vous à la section Configuration de la base de données d'Identity Applications.
  5. Recherchez et sélectionnez le fichier JAR du pilote de base de données copié.
  6. Sur la page de détails Nouvelle base de données ou base de données existante, sélectionnez l'option Nouvelle base de données.
  7. Sur la page Configuration d'Identity Manager, spécifiez un nom unique dans le champ ID du moteur de workflow. Par exemple, vous pouvez utiliser le nom unique Moteur1 pour Noeud1.
  8. Pour créer une nouvelle clé principale, sélectionnez Non sur la page Sécurité – Clé principale.
    
    Identity Applications chiffre les données sensibles à l'aide d'une clé principale. Comme il s'agit de la première instance d'Identity Applications dans une grappe, vous devez indiquer au programme d'installation de créer une nouvelle clé principale en sélectionnant Non. Dans une grappe, la mise en grappe de l'application utilisateur requiert que chaque instance de cette dernière utilise la même clé principale. Pour que la même clé principale soit utilisée, importez la clé existante en sélectionnant Oui lors de la configuration de ces instances.
Sur le noeud 2, effectuez les opérations suivantes :
1. Installez Tomcat à l'aide du programme d'installation fourni (sélectionnez uniquement Tomcat pendant le processus d'installation).
2. Installez OSP.
  
  Pendant le processus d'installation, spécifiez l'adresse IP et le numéro de port du serveur du moteur Identity Manager (eDirectory) sur la page Détails de l'authentification.
3. Installez l'application utilisateur.
  
  Pendant le processus d'installation, configurez les paramètres suivants :
  1. Sélectionnez Tomcat comme serveur d'applications.
  2. Sélectionnez PostgreSQL comme plate-forme de base de données.
    
    REMARQUE :vous pouvez utiliser n'importe quelle base de données prise en charge par Identity Manager 4.8.
  3. Spécifiez les informations requises à propos de la base de données sur les pages suivantes de la procédure d'installation.
  4. Copiez le fichier JAR du pilote de base de données (postgresql-9.4.1212.jar) à partir du serveur PostgreSQL vers le noeud 2.
    
    REMARQUE :si vous utilisez une autre base de données prise en charge par Identity Manager 4.8, comme Oracle ou SQL Server, veillez à copier le fichier JAR du pilote correspondant depuis le serveur sur lequel la base de données est installée vers tous les noeuds d'application utilisateur de la grappe.
  5. Recherchez et sélectionnez le fichier JAR du pilote de base de données copié.
  6. Sur la page de détails Nouvelle base de données ou base de données existante, sélectionnez l'option Base de données existante.
  7. Sur la page Configuration d'Identity Manager, spécifiez un nom unique dans le champ ID du moteur de workflow. Par exemple, vous pouvez utiliser le nom unique Moteur2 pour Noeud2.
  8. Pour créer une nouvelle clé principale sur la page Sécurité – Clé principale, sélectionnez Oui.
    
    La mise en grappe de l'application utilisateur requiert que chaque instance de cette dernière utilise la même clé principale. Pour que la même clé principale soit utilisée, importez la clé existante en sélectionnant Oui. Cette clé est créée lors de l'installation de la première instance de l'application utilisateur sur le noeud 1.
    
    Vous pouvez trouver la clé principale dans le fichier de propriété ism-configuration situé dans le répertoire C:\NetIQ\IDM\apps\tomcat\conf sur le noeud 1. Le paramètre contenant la clé principale est com.novell.idm.masterkey.
  9. Cliquez sur Terminer pour terminer l'installation.
REMARQUE :pour plus d'informations sur l'installation d'Identity Applications, reportez-vous à la section Procédures d'installation.
Sur le serveur de l'équilibreur de charge, démarrez une instance d'équilibreur de charge avec le numéro de port Identity Applications et une autre instance d'équilibreur de charge avec le numéro de port du moteur de rendu de formulaire pour tous les noeuds mis en grappe. Exemples :
- ./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543
- ./balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600
Installez SSPR sur un ordinateur distinct.

Prenez note des paramètres ci-dessous avant de procéder à l'installation et spécifiez-les au cours du processus d'installation :
1. Installez Tomcat. Pour les instructions d'installation, reportez-vous à l'étape 4a.
2. Installez SSPR.
  
  Lors de l'installation de SSPR, effectuez les opérations suivantes :
  1. Sur la page de connexion au serveur d'applications, sélectionnez Se connecter à un serveur d'authentification externe et spécifiez le nom DNS du serveur sur lequel est installé l'équilibreur de charge.
  2. Sur la page des détails d'authentification, spécifiez l'adresse IP et le port du serveur du moteur Identity Manager. Le mot de passe pour les certificats de l'autorité de certification est changeit.
3. Une fois SSPR installé, lancez-le (https://<IP>:<port>/sspr/private/config/ConfigEditor) et connectez-vous. Cliquez sur Configuration Editor (Éditeur de configuration) > Settings (Paramètres) > Security (Sécurité) > Redirect Whitelist (Liste blanche de redirection).
  1. Cliquez sur Add value (Ajouter une valeur) et spécifiez l'URL suivante :
    
    https:<DNS du basculement>:<port>/osp
  2. Enregistrez les modifications apportées.
  3. Sur la page de configuration de SSPR, cliquez sur Settings (Paramètres) > OAuth SSO (SSO OAuth) et modifiez les liens OSP en remplaçant les adresses IP par le nom DNS du serveur sur lequel le logiciel d'équilibrage de charge est installé.
  4. Cliquez sur Settings (Paramètres) > Application et mettez à jour les URL de réacheminement et de déconnexion en remplaçant les adresses IP par le nom DNS du serveur sur lequel le logiciel d'équilibrage de charge est installé.
4. Pour mettre à jour les informations de SSPR sur le noeud 1, lancez l'utilitaire de configuration situé à l'emplacement suivant : C:\NetIQ\idm\apps\UserApplication\configupdate.bat.
  
  Dans la fenêtre qui s'affiche, cliquez sur SSO clients (Clients SSO) > Self Service Password Reset et spécifiez des valeurs pour les paramètres Client ID (ID de client), Password (Mot de passe) et OSP Auth redirect URL (URL de redirection de l'authentification OSP).
REMARQUE :vérifiez que les valeurs de ces paramètres sont mises à jour sur le noeud 2.
Effectuez les opérations de configuration suivantes sur les noeuds de la grappe :
1. Redémarrez Tomcat sur tous les noeuds de la grappe.
2. Pour modifier le lien Modifier mon mot de passe, reportez-vous à la section Mise à jour des liens SSPR dans le tableau de bord pour un environnement distribué ou de grappe.
3. Vérifiez que les liens Mot de passe oublié et Modifier mon mot de passe ont été mis à jour avec l'adresse IP de SSPR sur le noeud 2.
  
  REMARQUE :si les liens Modifier mon mot de passe et Mot de passe oublié ont déjà été mis à jour avec l'adresse IP de SSPR, aucune modification n'est nécessaire.
Sur le noeud 1, arrêtez Tomcat et générez un nouveau fichier osp.jks en spécifiant le nom DNS du serveur de l'équilibreur de charge à l'aide de la commande suivante :

C:\NetIQ\Common\JRE\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <mot_de_passe> -keypass <mot_de_passe> -alias osp -validity 1800 -dname "cn=<IP/DNS_équilibreur_de_charge>"

Par exemple : C:NetIQ\idm\apps\jre\bin\ -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

REMARQUE :assurez-vous que le mot de passe de clé est identique à celui spécifié lors de l'installation d'OSP. Ce mot de passe, de même que le mot de passe Keystore, peut aussi être modifié à l'aide de l'utilitaire de mise à jour de configuration.
(Conditionnel) Pour vérifier si le fichier osp.jks a été mis à jour avec les modifications, exécutez la commande suivante :

C:\NetIQ\Common\JRE\bin\keytool -list -v -keystore osp.jks -storepass changeit
Effectuez une sauvegarde du fichier osp.jks d'origine situé à l'emplacement C:\NetIQ\idm\apps\osp et copiez le nouveau fichier osp.jks à cet emplacement. Le nouveau fichier osp.jks a été créé à l'étape 8.
Copiez le nouveau fichier osp.jks à partir du noeud 1 vers les autres noeuds d'application utilisateur de la grappe.

Sur chaque noeud mis en grappe :

Accédez au répertoire C:\netiq\idm\apps\sites et modifiez le fichier ServiceRegistry.json pour ajouter les détails de l'équilibreur de charge.
```
{"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]} 
```

Accédez au répertoire C:\netiq\idm\apps\sites\ et modifiez le fichier config.ini pour ajouter le DNS et le numéro de port de l'équilibreur de charge.

OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2
OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html
ClientID=forms
OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout

Lancez l'utilitaire de configuration sur le noeud 1 et, sous l'onglet Client SSO, remplacez l'ensemble des paramètres d'URL, notamment le lien URL vers la page de renvoi et l'URL de redirection OAuth, par le nom DNS de l'équilibreur de charge.
1. Enregistrez les modifications dans l'utilitaire de configuration. Vérifiez que les modifications sont prises en compte dans le fichier ism-configuration properties et apportez les corrections nécessaires si des URL pointent encore vers le DNS et le port du noeud 1.
2. Pour que cette modification soit prise en compte sur tous les autres noeuds de la grappe, copiez le fichier ism-configuration properties situé à l'emplacement C:\NetIQ\IDM\apps\tomcat\conf à partir du noeud 1 vers les autres noeuds d'application utilisateur de la grappe.
  
  REMARQUE :vous avez copié le fichier ism.properties depuis le noeud 1 vers les autres noeuds de la grappe. Si vous avez spécifié des chemins d'installation personnalisés lors de l'installation de l'application utilisateur, veillez à corriger les chemins d'accès référentiels en utilisant l'utilitaire de mise à jour de configuration sur les noeuds de la grappe.
  
  Dans ce scénario, OSP et l'application utilisateur sont installés sur le même serveur ; dès lors, le même nom DNS est utilisé pour les URL de redirection.
  
  Si OSP et l'application utilisateur sont installés sur des serveurs distincts, remplacez les URL d'OSP par un autre nom DNS pointant vers l'équilibreur de charge. Effectuez cette opération pour tous les serveurs sur lesquels OSP est installé, afin que toutes les requêtes OSP soient distribuées, via l'équilibreur de charge, vers le nom DNS de la grappe OSP. Cela implique d'avoir une grappe distincte pour les noeuds OSP.
Effectuez les opérations suivantes dans le fichier setenv.sh situé dans le répertoire /TOMCAT_INSTALLED_HOME/bin/ :
1. Pour vérifier la réussite de la liaison mcast_addr, JGroups requiert que la propriété preferIPv4Stack soit définie sur true (vrai). Pour ce faire, ajoutez la propriété JVM « -Djava.net.preferIPv4Stack=true » dans le fichier setenv.sh de tous les noeuds.
2. Ajoutez -Dcom.novell.afw.wf.Engine-id=Engine1 dans le fichier setenv.sh sur le noeud 1. De même, ajoutez un nom de moteur unique pour chaque noeud de la grappe. Par exemple, pour le noeud 2, vous pouvez ajouter le nom de moteur Moteur2.
Activez la mise en grappe dans l'application utilisateur.
1. Démarrez Tomcat sur le noeud 1.
  
  Ne démarrez aucun autre serveur.
2. Connectez-vous à l'application utilisateur en tant qu'administrateur de celle-ci.
3. Cliquez sur l'option Configuration > Mise en cache et grappe.
  
  L'application utilisateur affiche la page Gestion de la mise en cache.
4. Cliquez sur Configuration du cache de la grappe et sélectionnez Vrai pour la propriété Grappe activée.
5. Cliquez sur Enregistrer.
6. Relancez Tomcat.
REMARQUE :si vous avez sélectionné les paramètres d'activation locale, répétez cette procédure pour chaque serveur de la grappe.

La grappe d'application utilisateur utilise JGroups pour procéder à la synchronisation du cache sur les noeuds à l'aide du protocole par défaut UDP. Si vous souhaitez utiliser TCP plutôt que ce protocole, reportez-vous à la documentation Configuration de l'application utilisateur pour utiliser le protocole TCP.
Activez l'index des autorisations pour la mise en grappe. Pour plus d'informations, reportez-vous à la section Activation de l'index des autorisations pour la mise en grappe.
Activez la grappe Tomcat.

Ouvrez le fichier Tomcat server.xml situé dans /TOMCAT_INSTALLED_HOME/conf/ et supprimez le commentaire de la ligne ci-dessous dans ce fichier sur tous les noeuds de la grappe :

<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

Pour une configuration avancée de mise en grappe Tomcat, suivez les étapes du site Web de documentation d'Apache.
Redémarrez Tomcat sur tous les noeuds.
Configurez le pilote d'application utilisateur pour la mise en grappe.

Dans un environnement en grappe, vous pouvez utiliser un seul pilote d'application utilisateur avec plusieurs instances de l'application utilisateur. Le pilote stocke diverses informations (telles que la configuration de workflow et les informations sur la grappe) spécifiques de l'application. Vous devez configurer le pilote pour utiliser le nom d'hôte ou l'adresse IP du répartiteur ou de l'équilibreur de charge de la grappe.
1. Connectez-vous à l'instance d'iManager qui gère votre coffre-fort d'identité.
2. Dans le cadre de navigation, sélectionnez Identity Manager.
3. Sélectionnez Présentation d'Identity Manager.
4. Utilisez la page de recherche pour afficher l'aperçu Identity Manager de l'ensemble de pilotes contenant votre pilote d'application utilisateur.
5. Cliquez sur l'indicateur d'état arrondi du pilote dans l'angle supérieur droit de l'icône du pilote :
6. Sélectionnez Modifier les propriétés.
7. Dans Paramètres du pilote, définissez la propriété Hôte sur le nom d'hôte ou l'adresse IP de l'équilibreur de charge.
8. Cliquez sur OK.
9. Redémarrez le pilote.
Pour modifier l'URL du pilote de service de rôles et de ressources, répétez les étapes 19a à 19f, puis cliquez sur Configuration du pilote et mettez à jour l'URL de l'application utilisateur avec le nom DNS de l'équilibreur de charge.
Assurez-vous que la persistance de la session est activée pour la grappe créée dans le logiciel d'équilibrage de charge pour les noeuds d'application utilisateur.

La plupart des équilibreurs de charge incluent une fonctionnalité de vérification de l'état de santé qui permet de déterminer si un serveur HTTP est opérationnel et à l'écoute. L'application utilisateur inclut une URL qui peut être utilisée pour configurer des vérifications de l'état de santé du serveur HTTP sur votre équilibreur de charge. Cette URL est la suivante :

http://<IP_noeud>:port/IDMProv/jsps/healthcheck.jsp