11.10 Identity Reportingの設定

Identity Reportingのインストール後でも、さまざまなインストールプロパティを変更できます。変更するには、設定更新ユーティリティ(configupdate.sh)ファイルを実行します。

環境設定ツールでIdentity Reportingの設定を変更した場合、変更を反映するにはTomcatを再起動する必要があります。ただし、Identity ReportingのWebユーザインタフェースで変更を加えた場合は、サーバの再起動は必要ありません。

11.10.1 Identity Data Collection Services (アイデンティティデータ収集サービス)ページへのデータソースの手動追加

  1. Identity Reportingアプリケーションにログインします。

  2. データソースをクリックします。

  3. 追加をクリックします。

  4. データソースの追加ダイアログボックスで、事前定義リストから選択しますラジオボタンをクリックします。

  5. IDMDCSDataSourceを選択します。

  6. 保存をクリックします。

11.10.2 Oracleデータベースでのレポートの実行

Identity Reportingは、リモートのOracleデータベースに対してレポートを実行できます。Oracleデータベースを実行しているサーバにojbc.jarファイルが存在することを確認します。

サポートされているOracleデータベースの詳細については、セクション 8.6.4, Identity Reportingのシステム要件を参照してください。

11.10.3 データベーススキーマの手動生成

インストール後にデータベーススキーマを手動で生成するには、データベースについて次のいずれかの手順を実行します。

PostgreSQLデータベースに対するCreate_rpt_roles_and_schemas.sqlスキーマの設定

  1. /mnt/reporting/sqlにあるSQL、create_dcs_roles_and_schemas.sqlおよびcreate_rpt_roles_and_schemas.sqlを使用して、データベースに必要な役割を追加します。

    1. postgresユーザとしてPGAdminにログインします。

    2. クエリツールを実行します。

    3. Create_rpt_roles_and_schemasおよびCreate_dcs_roles_and_schemasプロシージャを作成するには、これらのSQLからクエリツールにコンテンツをコピーして、接続されているデータベースに対して実行します。

    4. IDM_RPT_DATA、IDM_RPT_CFG、およびIDMRPTUSER役割を作成するには、次のコマンドを指定された順序で実行します。

      Select CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>');
      Select CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>', '<Set pwd for IDMRPTUSER>’);

    5. IDM_RPT_DATAスキーマを作成するには、/mnt/reporting/sqlからクエリツールにget_formatted_user_dn.sqlのコンテンツをコピーして、接続されているデータベースに対して実行します。

Oracleデータベースに対するCreate_rpt_roles_and_schemas.sqlスキーマの設定

  1. /mnt/reporting/sqlからcreate_dcs_roles_and_schemas-orcale.sqlおよびcreate_rpt_roles_and_schemas-orcale.sqlを使用して、データベースに必要な役割を追加します。

    1. データベース管理者ユーザとしてSQL Developerにログインします。

    2. Create_rpt_roles_and_schemasおよびCreate_dcs_roles_and_schemasプロシージャを作成するには、これらのSQLからSQL Developerにコンテンツをコピーして、接続されているデータベースに対して実行します。

    3. IDM_RPT_DATA、IDM_RPT_CFG、およびIDMRPTUSER役割を作成するには、次のコマンドを指定された順序で実行します。

      begin
CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>');
end;

begin
CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>', '<Set pwd for IDMRPTUSER>');
end;

    4. IDM_RPT_DATAスキーマを作成するには、get_formatted_user_dn-oracle.sqlのコンテンツを/mnt/reporting/sqlからSQL Developerにコピーして、接続されているデータベースに対して実行します。

11.10.4 データベースチェックサムのクリア

  1. /opt/netiq/idm/apps/IDMReporting/sqlで次の.sqlファイルを見つけます。

    • DbUpdate-01-run-as-idm_rpt_cfg.sql

    • DbUpdate-02-run-as-idm_rpt_cfg.sql

    • DbUpdate-03-run-as-idm_rpt_data.sql

    • DbUpdate-04-run-as-idm_rpt_data.sql

    • DbUpdate-05-run-as-idm_rpt_data.sql

    • DbUpdate-06-run-as-idm_rpt_cfg.sql

  2. データベースチェックサムをクリアします。

    1. .sqlでclearchsumコマンドを実行するには、各ファイルの初めに次の行を追加します。

      update DATABASECHANGELOG set MD5SUM = NULL;

      変更されたコンテンツは次のようになるはずです。

      -- *********************************************************************
-- Update Database Script
-- *********************************************************************
-- Change Log: IdmDcsDataDropViews.xml
-- Ran at: 2/23/18 5:17 PM
-- Against: IDM_RPT_CFG@jdbc:oracle:thin:@192.99.170.20:1521/orcl
-- Liquibase version: 3.5.1
-- *********************************************************************
update databasechangelog set md5sum = null;

    2. 対応するユーザで各.sqlを実行します。

  3. データベースに変更をコミットします。

11.10.5 Identity Reporting用のREST APIの展開

Identity Reportingには、レポーティング機能内でさまざまな機能を可能にする複数のREST APIが組み込まれています。これらのREST APIは認証にOAuth2プロトコルを使用します。

Tomcatでは、Identity Reportingがインストールされるときに、rptdoc warおよびdcsdoc warが自動的に展開されます。

11.10.6 リモートPostgreSQLデータベースへの接続

PostgreSQLデータベースが別のサーバにインストールされている場合は、リモートデータベースのpostgresql.confおよびpg_hba.confファイルのデフォルト設定を変更する必要があります。

  1. postgresql.confファイルのリスニングアドレスを変更します。

    デフォルトでは、PostgreSQLはlocalhost接続をリスンできます。リモートTCP/IP接続は許可されません。リモートTCP/IP接続を許可するには、/opt/netiq/idm/postgres/data/postgresql.confファイルに次のエントリを追加します。

    listen_addresses = '*'

    サーバ上に複数のインタフェースがある場合は、リスンされる特定のインタフェースを指定できます。

  2. pg_hba.confファイルにクライアント認証エントリを追加します。

    デフォルトで、PostgreSQLはlocalhostからの接続のみを受諾します。リモート接続は拒否します。これは、有効なパスワード(md5キーワード)を入力したユーザにはIPアドレスからのログインを許可する、アクセス制御ルールを適用することによって制御されます。リモート接続を受け入れるには、/opt/netiq/idm/postgres/data/pg_hba.confファイルに次のエントリを追加します。

    host all all 0.0.0.0/0 md5

    たとえば、192.168.104.24/26 trustです。

    これはIPv4アドレスに対してのみ機能します。IPv6アドレスの場合、次のエントリを追加します。 

    host all all ::0/0 md5

    特定のネットワーク上にある複数のクライアントコンピュータからの接続を許可する場合は、このエントリにCIDRアドレス形式でネットワークアドレスを指定します。

    pg_hba.confファイルは、次のクライアント認証形式をサポートしています。

    • ローカルデータベースユーザ認証方法[認証オプション]

    • ホストデータベースユーザCIDRアドレス認証方法[認証オプション]

    • hostsslデータベースユーザCIDRアドレス認証方法[認証オプション]

    • hostnosslデータベースユーザCIDRアドレス認証方法[認証オプション]

    CIDRアドレス形式の代わりに、次の形式を使用して別のフィールドにIPアドレスとネットワークマスクを指定できます。

    • ホストデータベースユーザIPアドレスIPマスク認証方法[認証オプション]

    • hostsslデータベースユーザIPアドレスIPマスク認証方法[認証オプション]

    • hostnosslデータベースユーザIPアドレスIPマスク認証方法[認証オプション]

  3. リモート接続をテストします。

    1. リモートPostgreSQLサーバを再起動します。

    2. ユーザ名とパスワードを使用してリモートでサーバにログインします。