11.3 Mise à niveau d'Identity Applications

Cette section fournit des informations sur la mise à niveau d'Identity Applications et des logiciels de prise en charge, ce qui inclut la mise à jour des composants suivants :

  • Application utilisateur Identity Manager

  • One SSO Provider (OSP)

  • Self Service Password Reset (SSPR)

  • Tomcat, JDK et ActiveMQ

Après la mise à niveau, les composants sont mis à niveau vers les versions suivantes :

  • Tomcat – 8.5.40

  • ActiveMQ – 5.15.9

  • Java 8 Update 222

  • One SSO Provider – 6.3.4

  • Self Service Password Reset – 4.4.0.3

  • Identity Applications – 4.8

  • Identity Reporting – 6.5

Cette section fournit des informations concernant les rubriques suivantes :

11.3.1 Présentation du programme de mise à niveau

La procédure de mise à niveau lit les valeurs de configuration à partir des composants existants. Ces informations incluent les fichiers ism-configuration.properties, server.xml, SSPRConfiguration.xml ainsi que d'autres fichiers de configuration. À l'aide de ces fichiers de configuration, la procédure de mise à niveau appelle en interne le programme de mise à niveau des composants. Ce programme crée en outre une sauvegarde de l'installation actuelle.

11.3.2 Conditions préalables à la mise à niveau

Si votre base de données est configurée sur SSL, remplacez ssl=true par sslmode=require dans le fichier server.xml à partir de la variable PATH située à l'emplacement C:\NetIQ\idm\apps\tomcat\conf.

Par exemple, remplacez

jdbc:postgresql://<postgres db>:5432/idmuserappdb?ssl=true

par

jdbc:postgresql://<postgres db>:5432/idmuserappdb?sslmode=require

11.3.3 Configuration système requise

La procédure de mise à niveau crée une sauvegarde de la configuration actuelle des composants installés. Assurez-vous que votre serveur dispose de suffisamment d'espace pour stocker la sauvegarde et d'espace libre supplémentaire pour la mise à niveau.

11.3.4 Mise à niveau de la base de données PostgreSQL

IMPORTANT :la procédure de mise à niveau peut prendre un certain temps en fonction de la taille de la base de données. Par conséquent, planifiez votre mise à niveau en conséquence.

  1. Arrêtez le service PostgreSQL en cours d'exécution sur votre serveur.

  2. Renommez le répertoire postgres à partir de l'emplacement C:\Netiq\idm\apps.

    Par exemple, modifiez postgres pour le renommer postgresql_old.

  3. Supprimez l'ancien service en exécutant la commande suivante :

    sc delete <nom du service postgres>

  4. Installez la version de PostgreSQL prise en charge sur votre système d'exploitation.

    Vous devez choisir un emplacement différent de l'emplacement d'installation actuel de PostgreSQL.

    1. Montez le fichier image Identity_Manager_4.8_Windows.iso et accédez au répertoire \common\postgres_tomcat.

    2. Exécutez le fichier TomcatPostgreSQL.exe.

      Sélectionnez uniquement l'option PostgreSQL pendant l'installation.

    REMARQUE :

    • N'indiquez pas les détails de la base de données sur la page Détails de PostgreSQL. Assurez-vous que les options Créer un compte de connexion à la base de données et Créer une base de données vide sont désélectionnées.

    • Assurez-vous de disposer des privilèges d'administrateur pour l'ancien et le nouveau répertoires d'installation PostgreSQL.

  5. Arrêtez le service PostgreSQL que vous venez d'installer. Accédez à Services, recherchez le service <numéro version PostgreSQL>, puis arrêtez-le.

    REMARQUE :les utilisateurs appropriés peuvent effectuer des opérations d'arrêt après avoir procédé à une authentification valide.

  6. Modifiez les autorisations pour le répertoire PostgreSQL qui vient d'être installé en effectuant les opérations suivantes :

    Créez un utilisateur postgres :

    1. Accédez à Panneau de configuration > Comptes d'utilisateurs > Comptes d'utilisateurs > Gérer les comptes.

    2. Cliquez sur Ajouter un compte d'utilisateur.

    3. Sur la page Ajouter un utilisateur, spécifiez postgres en tant que nom d'utilisateur et indiquez un mot de passe pour l'utilisateur.

    Octroyez des autorisations sur les répertoires PostgreSQL existants et récemment installés à l'utilisateur postgres :

    1. Cliquez avec le bouton droit sur le répertoire PostgreSQL et accédez à Propriétés > Sécurité > Modifier.

    2. Sélectionnez Contrôle total pour l'utilisateur afin de fournir des autorisations complètes.

    3. Cliquez sur Appliquer.

  7. Accédez au répertoire PostgreSQL en tant qu'utilisateur postgres.

    1. Connectez‑vous au serveur en tant qu'utilisateur postgres.

      Avant de vous connecter, vérifiez que l'utilisateur postgres peut se connecter au serveur Windows en vérifiant si une connexion à distance est autorisée pour cet utilisateur.

    2. Supprimez le répertoire de données du nouvel emplacement d'installation de postgres. Par exemple : C:\NetIQ\idm\apps\postgres\data

    3. Ouvrez une invite de commande et définissez PGPASSWORD à l'aide de la commande suivante :

      set PGPASSWORD=<your pg password>

    4. Accédez au répertoire PostgreSQL que vous venez d'installer.

    5. Exécutez initdb en tant qu'utilisateur de base de données postgres.

      initdb.exe -D <nouveau_répertoire_données> -E UTF8 -U postgres

      Exemples :

      initdb.exe -D C:\NetIQ\idm\apps\postgres\data -E UTF8 -U postgres

  8. Mettez à niveau PostgreSQL à partir du nouveau répertoire bin PostgreSQL. Exécutez la commande suivante, puis cliquez sur Entrée.

    REMARQUE :veillez à remplacer le type Méthode md5 par trust dans le fichierpg_hba.conf situé dans le répertoire C:\NetIQ\idm\apps\postgres\data\.

    pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"

  9. Une fois la mise à niveau réussie, remplacez les fichiers pg_hba.conf et postgresql.conf situés dans le nouveau répertoire de données postgres (C:\NetIQ\idm\apps\postgres\data) par ceux de l'ancien répertoire postgres.

  10. Démarrez le service de base de données PostgreSQL mis à niveau.

    Accédez à Services, recherchez le service <numéro version PostgreSQL>, puis démarrez-le.

    REMARQUE :les utilisateurs appropriés peuvent effectuer des opérations de démarrage après avoir procédé à une authentification valide.

  11. Désactivez l'ancien service PostgreSQL pour veiller à ce que le service ne démarre pas automatiquement.

  12. (Facultatif) Supprimez les anciens fichiers de données du répertoire bin du nouveau service PostgreSQL installé.

    1. Connectez-vous en tant qu'utilisateur postgres.

    2. Accédez au répertoire bin et exécutez les fichiers analyze_new_cluster.bat et delete_old_cluster.bat.

      Par exemple : C:\NetIQ\idm\apps\postgresql\bin

    REMARQUE :vous ne devez exécuter cette étape que si vous souhaitez supprimer les anciens fichiers de données.

11.3.5 Mise à niveau des paquetages de pilotes pour Identity Applications

Vous devez arrêter Tomcat et mettre à jour les paquetages du pilote d'application utilisateur et des pilotes du service de rôles et de ressources vers la dernière version. Pour plus d'informations sur la mise à niveau des paquetages vers la dernière version, reportez-vous à la section Upgrading Installed Packages (Mise à niveau des paquetages installés) du manuel NetIQ Designer for Identity Manager Administration Guide (Guide d'administration de NetIQ Designer pour Identity Manager).

Après avoir mis à niveau les paquetages du pilote d'application utilisateur, vous devez ajouter manuellement le paquetage des modèles de workflow :

  1. Dans Designer, accédez à Pilote de l'application utilisateur > Propriétés.

  2. Cliquez sur Paquetages, puis sur .

  3. Sélectionnez l'option Créer des modèles de workflow.

  4. Cliquez sur OK, puis sur Terminer pour finir l'installation.

  5. Déployez le pilote d'application utilisateur.

IMPORTANT :si un modèle de notifications par message électronique est installé ou mis à niveau dans le cadre de la mise à niveau du pilote d'application utilisateur, vous devez déployer l'objet Collection de notification par défaut.

11.3.6 Mise à niveau d'Identity Applications

La procédure suivante décrit comment mettre à niveau les composants suivants :

  • Identity Applications

  • OSP

  • Tomcat

  • PostgreSQL

  • SSPR (s'il est installé sur le même ordinateur qu'Identity Applications)

  • ActiveMQ 

Procédez comme suit pour mettre à niveau Identity Applications :

  1. Téléchargez le fichier Identity_Manager_4.8_Windows.iso à partir du site Web de téléchargement de NetIQ.

  2. Montez le fichier .iso téléchargé.

  3. Accédez au dossier <emplacement installation ISO>\IdentityApplications et exécutez le fichier install.exe.

  4. Sélectionnez la langue à utiliser pour l'installation, puis cliquez sur OK.

  5. Sur la page Introduction, cliquez sur Suivant.

  6. Lisez et acceptez le contrat de licence, puis cliquez sur Suivant.

    Les composants installés et leurs versions sont affichés.

  7. Sélectionnez Identity Applications, puis cliquez sur Suivant.

  8. Spécifiez les paramètres de configuration d'Identity Applications. Pour plus d'informations, reportez-vous à la section Feuille de calcul de configuration pour Identity Applications.

    REMARQUE :

    • NetIQ vous recommande de créer la base de données de workflow à l'aide du programme d'installation d'Identity Manager si vous avez installé la base de données PostgreSQL sur le même serveur qu'Identity Applications.

    • Lors de la mise à niveau, vous devez spécifier manuellement le fichier JAR JDBC de la base de données. Par exemple, si vous utilisez la base de données PostgresQL, vous devez spécifier l'emplacement du fichier JAR de base de données qui se trouve en dehors du dossier tomcat\lib.

  9. Sur la page de résumé avant la mise à niveau, passez en revue les paramètres, puis cliquez sur Mettre à niveau.

En fonction de l'endroit où vous avez installé les composants, le processus crée le répertoire de sauvegarde à cet emplacement et ajoute un horodatage (indiquant le moment de la sauvegarde) au répertoire sauvegardé.

Exemples :

  • Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634

  • OSP et SSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634

  • ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634

  • Application utilisateur - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634

  • Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634

11.3.7 Tâches postérieures à la mise à niveau

Si Identity Applications et SSPR se trouvent sur des serveurs différents, vous devez importer le certificat approuvé de SSPR avec le CN défini sur Identity Applications dans le fichier cacerts du serveur Identity Applications.

Vous devez également restaurer manuellement les paramètres personnalisés pour Tomcat, SSPR, OSP ou Identity Applications.

Effectuez les opérations post-mise à niveau pour les composants requis :

Java

Vérifiez que les certificats situés à l'emplacement du nouveau JRE mis à niveau (jre/lib/security/cacerts) correspondent à ceux se trouvant à l'emplacement de l'ancien JRE. Importez manuellement les certificats manquants dans votre fichier cacerts.

  1. Importez le fichier java cacerts à l'aide de la commande keytool :

    keytool -import -trustcacerts -file Certificate_Path -alias ALIAS_NAME -keystore cacerts

    REMARQUE :après la mise à niveau, JRE est stocké à l'emplacement d'installation des applications identité. Par exemple : C:\NetIQ\idm\apps\jre.

  2. Redémarrez le coffre-fort d'identité.

  3. Vérifiez que l'emplacement d'origine de JRE est tomcat\bin\setenv.bat.

  4. Lancez l'utilitaire de mise à jour de la configuration et vérifiez le chemin de votre fichier cacerts.

Tomcat

  1. (Conditionnel) Pour restaurer les fichiers personnalisés à partir de la sauvegarde effectuée précédemment dans le cadre de la procédure de mise à niveau, effectuez les tâches suivantes :

    • Restaurez les certificats https personnalisés. Pour restaurer ces certificats, copiez le contenu Java Secure Sockets Extension (JSSE) du fichier server.xml sauvegardé vers le nouveau fichier server.xml situé dans le répertoire \tomcat\conf.

    • Ne copiez pas les fichiers de configuration présents dans le répertoire Tomcat sauvegardé vers le nouveau répertoire Tomcat. Commencez avec la configuration par défaut de la nouvelle version et procédez aux éventuelles modifications nécessaires. Pour plus d'informations, reportez-vous au site Web d'Apache.

      Vérifiez que le nouveau fichier server.xml comporte les entrées suivantes :

      <Connector port="8543" protocol="HTTP/1.1" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      ou

      <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      REMARQUE :dans un environnement en grappe, supprimez manuellement le commentaire de la balise Cluster dans le fichier server.xml et copiez le fichier osp.jks sur tous les noeuds à partir du premier noeud situé à l'emplacement C:\netiq\idm\apps\osp_backup_<date>.

    • Si vous disposez de fichiers Keystore personnalisés, incluez le chemin d'accès correct dans le nouveau fichier server.xml.

    • Importez les certificats Identity Applications dans le coffre-fort d'identité à l'emplacement C:\NetIQ\eDirectory\jre\lib\security\cacerts.

      Par exemple, vous pouvez utiliser la commande keytool suivante pour importer des certificats dans le coffre-fort d'identité :

      keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  2. (Conditionnel) Accédez à l'application utilisateur et restaurez les paramètres personnalisés manuellement en consultant la configuration sauvegardée.

Identity Applications

Lors de la mise à niveau d'Identity Applications de la version 4.6 SP4 vers la version 4.8, vous devez vous assurer que le paramètre Dcom.novell.afw.wf.engine-id=IDMProv est présent dans le fichier setenv dans le dossier tomcat/bin. Si ce paramètre est manquant après la mise à niveau d'Identity Applications, vous devez ajouter manuellement le paramètre au fichier setenv et redémarrer le serveur Tomcat.

One SSO Provider

Par défaut, l'entrée LogHost située dans le fichier logevent.conf est définie sur localhost.

Pour modifier l'entrée LogHost, restaurez manuellement les configurations OSP personnalisées à partir de la sauvegarde effectuée pendant la procédure de mise à niveau.

Self Service Password Reset

Après la mise à niveau de SSPR, mettez à jour le paramètre de client SSO à l'aide de l'utilitaire de mise à jour de configuration. Pour plus d'informations, reportez-vous à la section Paramètres des clients SSO.

Pour mettre à jour les détails de configuration de SSPR, procédez comme suit :

  1. Connectez-vous au portail SSPR en tant qu'administrateur.

  2. Mettez à jour les détails du serveur d'audit :

    1. Accédez à YourID > Configuration Editor (Éditeur de configuration) et spécifiez le mot de passe de configuration.

    2. Sélectionnez Settings > Auditing > Audit Forwarding > Syslog Audit Server Certificates (Paramètres > Audit > Réacheminement d'audit > Certificats de serveur d'audit Syslog).

    3. Importez ces certificats depuis le serveur, puis cliquez sur Save (Enregistrer).

  3. Importez LocalDB dans SSPR :

    1. Accédez à YourID > Configuration Manager (Votre ID > Gestionnaire de configuration) dans le menu déroulant.

    2. Cliquez sur LocalDB.

    3. Cliquez sur Import (Upload) LocalDB Archive File (Importer [Télécharger] le fichier d'archive LocalDB).

  4. (Conditionnel) Pour restreindre la configuration de SSPR :

    1. Accédez à YourID > Configuration Manager (Votre ID > Gestionnaire de configuration) dans la liste.

    2. Cliquez sur Restreindre la configuration.

  5. Pour configurer les autorisations de l'administrateur pour SSPR, reportez-vous à la section Étapes postérieures à l'installation.

Pour vérifier si la mise à niveau a réussi, lancez les composants mis à niveau.

Par exemple, lancez le tableau de bord Identity Manager, puis cliquez sur À propos de. Vérifiez si l'application affiche la nouvelle version, par exemple 4.8.0.

Kerberos

L'utilitaire de mise à niveau crée un nouveau dossier Tomcat sur votre ordinateur. Si des fichiers Kerberos tels que keytab et Kerberos_login.config se trouvaient dans l'ancien dossier Tomcat, copiez ces fichiers dans le nouveau dossier Tomcat à partir du dossier sauvegardé.