識別情報アプリケーションのインストールプロセスを開始する前に、その前提条件とコンピュータ要件をレビューすることをお勧めします。ユーザアプリケーション環境の設定の詳細については、『NetIQ Identity Manager - User’s Guide to the Identity Applications』を参照してください。
識別情報アプリケーションのインストールには次の検討事項が適用されます。
次のIdentity Managerコンポーネントのサポートされるバージョンが必要です。
Designer
識別ボールト
Identity Managerエンジン
リモートローダ
One SSO Provider
これらのコンポーネントの必要なバージョンとパッチの詳細については、最新のリリースノートを参照してください。
アイデンティティボールトにSecretStoreモジュールが含まれていて、そのモジュールが設定されていることを確認します。詳細については、セクション 12.1.2, アイデンティティボールトスキーマへのSecretStoreの追加を参照してください。
アイデンティティボールトに作成および展開されたユーザアプリケーション、および役割とリソースサービスドライバが含まれていることを確認します。詳細については、セクション 38.0, 識別情報アプリケーション用のドライバの作成と展開を参照してください。
識別情報アプリケーションをインストールする前に次のフレームワーク項目をインストールします。
ローカルコンピュータ上のアプリケーションサーバ。詳細については、セクション 33.3.3, アプリケーションサーバの前提条件と検討事項を参照してください。
ローカルコンピュータまたは接続されたサーバ上のデータベース。詳細については、セクション 33.3.5, 識別情報アプリケーションのデータベースをインストールする場合の前提条件を参照してください。
(状況によって実行) SUSE Linux Enterprise Server (SLES)プラットフォーム上にアイデンティティアプリケーションをインストールする場合、SLESに付属のIBM JDKを使用しないでください。このバージョンは、ユーザアプリケーションインストールの一部の機能との互換性がありません。かわりにOracle JDKをダウンロードします。
(状況によって実行) SLES 12 SP1以降のプラットフォームを実行しているサーバへのガイド付きインストールの場合は、サーバにlibXtst6-32bit-1.2.1-4.4.1.x86_64、libXrender-32bit、およびlibXi6-32bitライブラリがインストールされていることを確認します。
(オプション) Identity Managerコンポーネント間の通信では、SSL (Secure Sockets Layer)プロトコルを有効にすることをお勧めします。SSLプロトコルを使用するには、現在の環境でSSLを有効にして、インストール時にhttpsを指定する必要があります。SSLの有効化については、『NetIQ Analyzer for Identity Manager Administration Guide』のConfiguring Security in the Identity Applicationsを参照してください。
役割とリソースドライバを作成する前に、ユーザアプリケーションドライバを作成します。役割とリソースドライバは、ユーザアプリケーションドライバ内の役割ボールトコンテナ(RoleConfig.AppConfig)を参照します。
役割とリソースサービスドライバはjClientを使用するので、リモートローダと組み合わせて使用することはできません。
JAVA_HOME環境変数を、識別情報アプリケーションと一緒に使用するJDKを参照するように設定します。JAVA_HOMEを上書きするには、インストール時に手動でパスを指定します。
インストールプロセスはデフォルトで、このプログラムのファイルをC:\NetIQ\IDMまたは/opt/netiq/idmディレクトリに配置します。ユーザアプリケーションをデフォルト以外の新しいディレクトリにインストールする場合、そのディレクトリはインストールプロセス開始前に次の要件を満たしている必要があります。
ディレクトリが既存で、書き込み可能です。
Linux環境の場合、root以外のユーザがこのディレクトリに書き込み可能です。
各ユーザアプリケーションインスタンスは1つのユーザコンテナのみ処理できます。たとえば、インスタンスに関連付けられているコンテナに対してのみユーザの追加、検索、およびクエリを実行できます。また、アプリケーションとコンテナの関係は永続的なものと見なされます。
(状況によって実行)外部パスワード管理を使用する場合、現在の環境が次の要件を満たしている必要があります。
アイデンティティアプリケーションとIDMPwdMgt.warファイルを展開しているTomcatでSecure Sockets Layer (SSL)プロトコルを有効にします。
SSLポートがファイアウォール上で開いていることを確認します。
TomcatでSSLを有効化する方法の詳細については、セクション 52.4, アプリケーションサーバのSSL設定の更新を参照してください。
IDMPwdMgt.warファイルの詳細については、セクション 39.6, パスワードを忘れた場合の管理の設定を参照してください。
Virtual List View (VLV)およびServer Side Sort (SSS)コントロールを使用してLDAP検索をサポートするには、eDirectory 9.0.2またはeDirectory 8.8.8 Patch 9にHotfix 2を適用します。詳細については、セクション 11.0, アイデンティティボールトへのHotfix 2の適用を参照してください。
このホットフィックスは、統合インストールプログラムを使用してeDirectoryをインストールしている場合は必要ありません。統合されたインストーラでは、このホットフィックスが適用されているeDirectoryのアップデートされたバージョンがインストールされます。
(オプション)管理対象システムから認証を取得するには、Identity Managerの1つまたは複数のドライバをインストールします。
Identity Manager 3.6.1または4.0以降によりサポートされているドライバを使用する必要があります。ドライバのインストールの詳細については、NetIQ Identity ManagerドライバマニュアルのWebサイトで該当するドライバガイドを参照してください。
ドライバを管理するには、DesignerまたはiManagerの適切なプラグインがインストールされている必要があります。詳細については、セクション 22.3, iManagerプラグインのインストールの理解を参照してください。
識別情報アプリケーションを設定および初めて使用する際、次の検討事項が適用されます。
ユーザが識別情報アプリケーションにアクセスできるようにするには、次のアクティビティを完了する必要があります。
必要なすべてのIdentity Managerドライバがインストールされていることを確認します。
識別ボールトのインデックスがオンラインモードであることを確認します。インストール時にインデックスを設定する方法の詳細については、セクション 40.2.9, その他を参照してください。
すべてのブラウザでcookieを有効にします。cookieが無効な場合、アプリケーションは機能しません。
現在のIdentity Manager環境でSSOを有効にした後は、ユーザがゲストまたは匿名ユーザとして識別情報アプリケーションにアクセスできなくなります。かわりにユーザインタフェースにログインするようにメッセージが表示されます。詳細については、セクション XV, Identity Managerのシングルサインオンアクセスの設定を参照してください。
Identity Managerでユニバーサルパスワード機能が適用されることを保証するには、ユーザの初回ログインプロセスとしてNMASログインを使用するように識別ボールトを設定します。
Linux: /opt/novell/eDirectory/sbin/pre_ndsd_startスクリプトの最後に次のコマンドを追加します。
NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST
Windows: HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\EnvironmentレジストリキーにNDSD_TRY_NMASLOGIN_FIRSTとその文字列値trueを追加します。
(状況によって実行)レポートを実行するには、現在の環境にIdentity Reportingのコンポーネントがインストールされている必要があります。詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。
インストールプロセス中、インストールプログラムによりログファイルがインストールディレクトリに書き込まれます。これらのファイルには、設定に関する情報が含まれています。現在の識別情報アプリケーション環境を設定した後で、これらのログファイルを削除するか、安全な場所に保存することを検討する必要があります。インストールプロセス中、データベーススキーマをファイルに書き込むことも選択できます。このファイルにはデータベースについての説明的な情報が含まれているので、インストールプロセスが完了した後で、安全な場所に移動する必要があります。
(状況によって実行)アイデンティティアプリケーションを監査するには、現在の環境にIdentity Reportingと監査サービスがインストールされ、イベントをキャプチャするように設定されている必要があります。また、識別情報アプリケーションを監査用に設定する必要があります。詳細については、
(オプション) SAML 認証を使用してNetIQ Access Manager と連携するように識別情報アプリケーションを設定できます。詳細については、セクション 49.0, NetIQ Access ManagerでのSAML認証によるシングルサインオンを参照してください。
アイデンティティアプリケーションを使用するには、Tomcatがインストールされている必要がありますが、次の考慮事項があります。
Tomcatは、JDK (Java Development Kit)またはJRE (Java Runtime Environment)と一緒に実行されている必要があります。サポートされるバージョンの詳細については、セクション 33.4, 識別情報アプリケーションのシステム要件を参照してください。
JAVA_HOME環境変数を、ユーザアプリケーションと一緒に使用するJDKを参照するように設定します。JAVA_HOMEを上書きするには、インストール時に手動でパスを指定します。
(状況によって実行) Tomcatインストールプログラムは、Identity Managerインストールキットに同梱のものではなく、独自に用意したものを使用できます。ただし、独自のバージョンのTomcatでApache Log4jサービスを使用する場合は、適切なファイルがインストールされていることを確認します。詳細については、セクション 29.4, Apache Log4jサービスを使用したサインオンの記録を参照してください。
(状況によって実行)デジタル署名したドキュメントを保管するには、Tomcatのアプリケーションサーバ上に識別情報アプリケーションをインストールして、Novell Identity Auditを使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュメントを保管するには、ログ記録を有効にする必要もあります。詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Setting Up Logging in the Identity Applications」を参照してください。
(状況によって実行)大量のユーザデータをログ記録する環境やディレクトリサーバに大量のオブジェクトが置かれている環境では、複数のアプリケーションサーバを使用して識別情報アプリケーションを展開できます。最適なパフォーマンス設定の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Tuning·the·Performance·of·the·Applications」を参照してください。
(状況によって実行)アプリケーションサーバにTomcatを使用する場合、インストールプロセスを完了するまでアプリケーションサーバを起動しないでください。
(状況によって実行)外部パスワード管理を使用する場合、次の手順を実行して、SSLプロトコルを有効にする必要があります。
アイデンティティアプリケーションとIDMPwdMgt.warファイルを展開しているTomcatでSSLを有効にします。
SSLポートがファイアウォール上で開いていることを確認します。
IDMPwdMgt.warファイルの詳細については、パスワードを忘れた場合の管理の設定および『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』を参照してください。
Tomcatサーバでは、このインストールプロセスでJAVA_HOMEまたはJRE_HOMEのエントリが変更されることはありません。Tomcatの簡易インストーラはデフォルトで、setenv.shファイルを/opt/netiq/idm/apps/tomcat/bin/ディレクトリに配置します。同時に、このファイルのJREの場所も設定されます。
Tomcatがサポートする環境に識別情報アプリケーション用のデータベースをインストールできますが、次の検討事項があります。
クラスタには、固有のクラスタパーティション名、マルチキャストアドレス、およびマルチキャストポートが必要です。固有の識別子を使用して複数のクラスタを分離することによって、パフォーマンスの問題や異常な動作の発生を防ぎます。
クラスタの各メンバーで、識別情報アプリケーションのデータベースの待ち受けポートのポート番号として同一の値を指定する必要があります。
クラスタの各メンバーで、識別情報アプリケーションのデータベースをホストするサーバのホスト名またはIPアドレスとして同一の値を指定する必要があります。
クラスタ内のサーバの時刻を同期化する必要があります。サーバの時刻が同期していない場合、セッションタイムアウトが早期に発生し、HTTPセッションのフェールオーバーが正しく機能しない可能性があります。
同一ホストでは、複数のブラウザタブまたは複数のブラウザセッションで複数のログインを使用しないことをお勧めします。一部のブラウザはすべてのタブとプロセス間でcookieを共有します。そのため、複数のログインを行うと、(1台のコンピュータを複数ユーザが共有することで認証機能に予期しない動作が発生するおそれがあるだけでなく) HTTPセッションのフェールオーバーの際に問題が発生する可能性があります。
クラスタノードは同じサブネットに存在しています。
フェールオーバープロキシまたは負荷分散ソリューションは、別のコンピュータにインストールされています。
クラスタ環境で識別情報アプリケーションを設定する方法の詳細については、セクション 36.0, 識別情報アプリケーションを実行する環境の準備を参照してください。
このデータベースには、識別情報アプリケーションのデータと環境設定情報が格納されます。
データベースインスタンスをインストールする前に、次の前提条件をレビューします。
Tomcatでデータベースを使用するように設定するには、JDBCドライバを作成する必要があります。識別情報アプリケーションは標準のJDBCコールを使用してデータベースのアクセスや更新を行います。識別情報アプリケーションは、JNDIツリーにバインドされたJDBCデータソースファイルを使用して、データベースへの接続を開きます。
データベースを参照するデータソースファイルが既存である必要があります。ユーザアプリケーションのインストール プログラムは、データベースを参照するserver.xmlとcontext.xmlにTomcatのデータソースエントリを作成します。
次の情報を手元に用意します。
データベースサーバのホストとポート。
作成するデータベースの名前。識別情報アプリケーションのデフォルトのデータベースはidmuserappdbです。
データベースのユーザ名およびパスワード。データベースのユーザ名は、管理者アカウントを表すか、データベースサーバでテーブルを作成できる十分な許可を持っている必要があります。ユーザアプリケーションのデフォルトの管理者はidmadminです。
使用しているデータベース用にデータベースベンダーから提供されるドライバ.jarファイル。NetIQはサードパーティベンダーから提供されるドライバJARファイルをサポートしません。
データベースインスタンスは、ローカルコンピュータまたは接続されたサーバのどちらにも配置できます。
データベース文字セットはUnicodeエンコーディングを使用する必要があります。たとえば、UTF-8はUnicodeエンコード方式を使用する文字セットですが、Latin1はUnicodeエンコード方式を使用しません。文字セットの指定の詳細については、セクション 35.3.1, 文字セットの設定またはセクション 35.1, Oracleデータベースの設定を参照してください。
マイグレーション時に重複キーエラーが発生しないように、大文字と小文字を区別する照合を使用します。重複キーエラーが発生した場合は、照合を確認して修正してから、識別情報アプリケーションを再インストールします。
(状況によって実行) 1つのデータベースインスタンスを監査目的とアイデンティティアプリケーションの両方で使用する場合、アイデンティティアプリケーションを実行するTomcatをホストするサーバとは別の専用サーバにデータベースをインストールすることをお勧めします。
(状況によって実行)新しいバージョンの識別情報アプリケーションに移行する場合、移行前のインストールで使用していたデータベースと同じデータベースを使用する必要があります。
データベースクラスタリングは、個々のデータベースサーバの機能です。クラスタリングは本製品の機能とは無関係なので、NetIQはどのクラスタ化データベース設定についても公式なテストを実行していません。したがって、次の警告付きで、クラスタ化データベースサーバをサポートします。
デフォルトで、最大接続数は100に設定されます。この値は、クラスタ内のワークフロー要求を処理するには小さすぎる場合があります。次の例外が表示される場合があります。
(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections."
最大接続数を増やすには、my.cnfファイルにあるmax_connections変数をより高い値に設定してください。
クラスタ化データベースサーバの一部の機能または側面を無効にする必要がある場合があります。たとえば、トランザクションレプリケーションは、重複キーを挿入しようとしたときに制約違反になるので、特定のテーブルでは無効にする必要があります。
クラスタ化データベースサーバのインストール、設定、または最適化について、クラスタ化データベースサーバへの弊社製品のインストールも含めて、支援を提供することはありません。
クラスタ化データベース環境で弊社製品を使用する際に問題が発生した場合は、その解決に向けて最善の努力を尽くします。複雑な環境におけるトラブルシューティング方法の多くは、問題を解決するために連携作業を必要とします。NetIQは、自社製品の分析、プラニング、およびトラブルシューティングを実行するための専門知識を提供します。他のサードパーティ製品の分析、プラニング、およびトラブルシューティングを実行するための専門知識は、お客様から提供していただく必要があります。NetIQ製品の問題とクラスタ設定の潜在的な問題を切り分けるために、お客様には問題の再現または非クラスタ化環境におけるコンポーネントの動作の分析をお願いします。