このセクションでは、識別情報アプリケーションとそのフレームワークをインストールした後に実行できるアクティビティの手順について説明します。
詳細については、「サーバのヘルスの確認」を参照してください。
識別情報アプリケーションをインストールする際、データベースへの接続またはデータベーステーブルの作成を後回しにできます。データベースに対する許可を持たないユーザは、このオプションを選択する必要がある場合があります。インストールプログラムは、ユーザがデータベーススキーマを作成するために使用できるSQLファイルを作成します。インストール後に、再インストールを行わずに、データベーステーブルを再作成することもできます。それには、識別情報アプリケーションのデータベースを削除して、それと同じ名前で新しいデータベースを作成します。
このセクションでは、ユーザがデータベーススキーマを生成するために使用できるSQLファイルをインストールプログラムが作成していると想定しています。このSQLファイルが存在しない場合は、データベーススキーマを生成するSQLファイルの手動による作成を参照してください。
メモ:このSQLファイルをSQL*Plusで実行しないでください。このファイルの行長は4000文字を超えています。
アプリケーションサーバを停止します。
データベースサーバにログインします。
識別情報アプリケーションが使用するデータベースを削除します。
ステップ 3で削除したデータベースと同じ名前で新しいデータベースを作成します。
インストールプロセスで作成されたSQLスクリプトのある場所に移動します。デフォルトでは、/installation_path/userapp/sqlディレクトリにあります。
データベース管理者に、ユーザアプリケーションデータベースを作成および設定するSQLスクリプトを実行させます。
Tomcatを再起動します。
インストール後に、SQLファイルがなくても、再インストールを行わずに、データベーステーブルを再作成できます。このセクションでは、SQLファイルを持たない場合にデータベーススキーマを作成する方法について説明します。
Tomcatを停止します。
識別情報アプリケーションデータベースをホストするサーバにログインします。
既存のデータベースを削除します。
ステップ 3で削除したデータベースと同じ名前で新しいデータベースを作成します。
テキストエディタでNetIQ-Custom-Install.logファイルを開きます。このファイルは、デフォルトでは、識別情報アプリケーションのインストールディレクトリのルートにあります。次に例を示します。
C:\NetIQ\idm\apps\UserApplication
NetIQ-Custom-Install.logファイルで次のコマンドを検索し、コピーします。
C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" -Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war --changeLogFile=DatabaseChangeLog.xml --url="jdbc:postgresql://localhost:5432/idmuserappdb" --contexts="prov,newdb" --logLevel=info --logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** --password=******** update
識別情報アプリケーションで使用するデータベースをインストールしたサーバにログインします。
端末でコピーしたコマンド文字列を貼り付けます。
メモ:正しいコマンドはupdateSQLです。updateだった場合はupdateSQLに変更してください。
コマンドでデータベースユーザ名とパスワードを表すアスタリスク(*)を、認証に必要な実際の値で置き換えます。また、SQLファイルの名前が一意であることを確認します。
コマンドを実行します。
(状況によって実行)インストールプロセスでデータベースにデータを設定せずにSQLファイルを生成した場合、データベース管理者にそのファイルを渡してデータベースサーバにインポートします。詳細については、SQLファイルによるデータベーススキーマの生成を参照してください。
データベース管理者がSQLファイルをインポートした後、Tomcatを起動します。
Identity ApplicationsおよびIdentity Reportingコンポーネントのカスタム証明書がある場合は、これらの証明書をC:\NetIQ\eDirectory\jre\lib\security\cacertsにあるアイデンティティボールトにインポートします。
たとえば、次のkeytoolコマンドを使用して、証明書をアイデンティティボールトにインポートすることができます。
keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts
ユーザアプリケーションサーバとは異なるサーバにSSPRをインストールする場合は、SSPRアプリケーション証明書がユーザアプリケーションcacertsに追加されていることを確認します。
インストールの後は速やかに暗号化マスタキーをコピーして、安全な場所に記録することをお勧めします。このインストールがクラスタの最初のメンバーである場合、クラスタの他のメンバーに識別情報アプリケーションをインストールする際にこの暗号化マスタキーを使用します。
警告:暗号化マスタキーのコピーは常に保持してください。 マスタキーを紛失した場合、暗号化データに再びアクセスするために暗号化マスタキーが必要になります。たとえば、機器が故障した後にこのキーが必要になる可能性があります。
識別情報アプリケーションは、識別ボールト内のオブジェクトとデータをやり取りできる必要があります。
識別情報アプリケーションのパフォーマンスを高めるために、eDirectory管理者はmanager、ismanager、およびsrvprvUUIDの各属性に値インデックスを作成する必要があります。これらの属性に値インデックスがない場合、識別情報アプリケーションユーザは、特にクラスタ化環境で、パフォーマンスの低下を感じる可能性があります。
RBPM設定ユーティリティで詳細 > Create eDirectory Indexes (eDirectoryインデックスの作成)を選択すると、インストール中に自動的にこれらの値インデックスを作成できます。Index Managerを使用して値インデックスを作成する方法の詳細については、『NetIQ eDirectory 管理ガイド』を参照してください。
デフォルトのコンテキスト名を使用するかわりに、組織の要件に基づいて新しいコンテキストを作成できます。次のアクションを実行して、コンテキスト名を変更できます。
services.mscファイルを使用して、Tomcatサービスを停止します。
ユーザアプリケーションディレクトリに移動します。このディレクトリの場所はC:\NetIQ\idm\apps\UserApplicationです。
GUIモードでconfigupdateユーティリティを起動します。
configupdate.bat.propertiesファイルで、use_consoleオプションがfalseに設定されていることを確認します。
ユーザアプリケーションタブで、詳細オプションの表示をクリックし、次の手順を実行します。
RBPMコンテキスト名の変更を選択します。
RBPMコンテキスト名でカスタムコンテキスト名を指定します。たとえば、IDMProvCustomです。
役割ドライバDNをブラウズして選択します。たとえば、cn=Role and Resource Service Driver,cn=Driver Set,o=systemです。
OKをクリックします。
warファイルの名前が変更されていることを確認します。
Tomcat webappsフォルダに移動し、IDMProvCustom.warエントリが更新されているかどうかを確認します。
\TOMCAT_INSTALLED_HOME\confにあるism-configurationプロパティファイルに移動し、portal.contextエントリが新しいコンテキスト名を指定しているかどうかを確認します。
C:\NetIQ\idm\apps\UserApplicationにあるupdate-context.batファイルを使用して、新しいコンテキスト名でデータベースを更新します。
次のコマンドを実行して、update-context.batファイルを実行します。
ua:C:\NetIQ\idm\apps\UserApplication # vi update-context.bat
画面に次のエントリが表示されるはずです。
# copy and paste or execute this script before changing context name
# Substitute your new context where indicated
#
C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=[New Context Here] -Ddriver.dn=[UA Driver DN] -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath= C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar: C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml --url="jdbc:postgresql://localhost:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug --username=******** --password=******** update
たとえば、PostgreSQLデータベースを使用している場合は、次のスクリプトを実行します。
C:\NetIQ\idm\apps\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProvCustom -Ddriver.dn= cn=Role and Resource Service Driver,cn=driverset1,o=system -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath= C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar: C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml --url="jdbc:postgresql://<Database Server:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug -–username=dbadmin --password=******** update
where
-Dwar.context.name=IDMProvCustomは、新しいコンテキストを指定します。
-Ddriver.dn ="cn=User Application Driver,cn=driverset1,o=system"は、ユーザアプリケーションドライバDNを指定します。
--username=dbadminは、データベーステーブル、ビュー、および他のアーティファクトを作成できるデータベース管理者ユーザ名を指定します。
重要:スクリプト内で、他のサポートされるデータベースのドライバ詳細を変更しないでください。
データベーステーブルに新しいコンテキスト名があることを確認します。
テーブル名 |
確認する列 |
---|---|
PORTALPRODUCERS |
producerid |
PORTALPRODUCERREGISTRY |
producerid |
PORTALREGISTRY |
producerid |
PORTALPORTLETSETTINGS |
producerid |
PORTALPORTLETHANDLES |
producerid |
PROFILEGROUPPREFERENCES |
elementid |
たとえば、次のSQLコマンドを実行して、PORTALPRODUCERSテーブルの新しいコンテキスト名を確認します。
Select * from PORTALPRODUCERS;
コマンドは新しいコンテキスト名のみを返すはずです。
services.mscファイルを使用して、Tomcatサービスを開始します。
識別情報アプリケーションのWARファイルを更新するには、RBPM設定ユーティリティを実行します。
このユーティリティを実行するには、インストールディレクトリでconfigupdate.batを実行します。
ユーティリティパラメータの詳細については、セクション 15.8, 識別情報アプリケーションの設定の管理を参照してください。
新しいWARファイルをアプリケーションサーバに展開します。
Tomcatの単一サーバでは、変更は展開されているWARに適用されます。
Identity Managerインストールには、忘れたパスワードをリセットするプロセスの管理に役立つセルフサービスパスワードリセットが含まれています。それとは別に、外部パスワード管理システムを使用する方法があります。
SSPRと識別情報アプリケーションをインストールすると、通常はパスワードを忘れた場合の管理を有効にできます。ただし、パスワードを変更した後にSSPRがユーザを転送する識別情報アプリケーションのランディングページのURLを指定していない場合があります。また、パスワードを忘れた場合の管理を有効にする必要がある場合もあります。この節では、次のトピックについて説明します。
このセクションでは、SSPRを使用するためにIdentity Managerを設定する方法について説明します。
識別情報アプリケーションをインストールしたサーバにログインします。
RBPM設定ユーティリティを実行します。詳細については、セクション 15.8.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。
ユーティリティで認証 > パスワードの管理の順に移動します。
パスワード管理プロバイダではSSPRを指定します。
パスワードを忘れた場合を選択します。
SSOクライアント > セルフサービスパスワードリセットの順に移動します。
OSP client ID (OSPクライアントID)では認証サーバに認識させるSSPRのシングルサインオンクライアントの名前を指定します。デフォルト値はssprです。
OSP client secret (OSPクライアントシークレット)ではSSPRのシングルサインオンクライアントのパスワードを指定します。
OSP redirect URL (OSPリダイレクトURL)では認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
次の形式を使用を使用します: protocol://server:port/path。たとえば、http://10.10.10.48:8180/sspr/public/oauthです。
変更を保存して、ユーティリティを閉じます。
このセクションでは、Identity Managerと一緒に使用するためにSSPRを設定する方法について説明します。たとえば、パスワードポリシーや秘密の質問の答えの質問を変更できます。
Identity Managerと一緒にSSPRをインストールしたときに、管理者がこのアプリケーションを設定するために使用できるパスワードを指定しました。SSPR設定を変更してから、管理者アカウントまたは管理者グループがSSPRを設定できるように指定することをお勧めします。設定パスワードの詳細については、セクション 14.2, Identity Manager用パスワード管理のインストールを参照してください。
インストール時に指定した設定パスワードを使用して、SSPRにログインします。
[設定]ページで、パスワードポリシーと秘密の質問の答えの質問の設定を変更します。SSPR設定のデフォルト値を設定する方法の詳細については、『NetIQ Self Service Password Reset Administration Guide』の「Configuring Self Service Password Reset」を参照してください。
SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。設定ファイルのロックの詳細については、SSPR設定のロックを参照してください。
(オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。
SSPRからログアウトします。
変更を有効にするには、Tomcatを再起動します。
http://<IP/DNS name>:<port>/ssprにアクセスします。SSPRポータルに移動します。
Identity Managerに管理者アカウントでログインするか、または既存のログイン資格情報でログインします。
ページ上部のConfiguration Manager (環境設定マネージャ)をクリックし、インストール時に指定した設定パスワードを指定します。
Configuration Editor (環境設定エディタ)をクリックし、設定 > LDAP Settings (LDAP設定)の順に移動します。
SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。
[Administrator Permission (管理者許可)]セクションで、識別ボールト内のSSPRに対する管理者権限を持つユーザまたはグループを表すフィルタをLDAPフォーマットで定義します。デフォルトでは、このフィルタはgroupMembership=cn=Admins,ou=Groups,o=exampleと設定されています。
たとえば、ユーザアプリケーション管理者の場合は「uaadmin (cn=uaadmin)」と設定します。
これにより、設定を変更するためのすべての権限を持つSSPR管理者ユーザを除いて、ユーザはSSPRで設定を変更できなくなります。
LDAPクエリが結果を返していることを確認するために、View Matches (一致の表示)をクリックします。
設定にエラーがある場合は、次の設定オプションに進めません。SSPRは問題のトラブルシューティングに役立つエラー詳細を表示します。
保存をクリックします。
ポップアップされる確認ウィンドウでOKをクリックします。
SSPRがロックされている間は、管理者ユーザが表示する管理インタフェースには、[Dashboard (ダッシュボード)]、[User Activity (ユーザアクティビティ)]、[Data Analysis (データ分析)]など、SSPRがロックされる前は表示されていなかった追加オプションが表示されます。
(オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。
SSPRからログアウトします。
ステップ 3で定義されている管理者ユーザとしてSSPRに再ログインします。
Close Configuration (設定を閉じる)をクリックし、OKをクリックして変更を確認します。
変更を有効にするには、Tomcatを再起動します。
パスワードを忘れた場合の管理機能に、SSPRではなく、Identity Managerのレガシプロバイダを使用できます。レガシプロバイダを選択する場合、SSPRをインストールする必要はありません。ただし、パスワード管理のための共有ページにアクセスする許可をユーザに再割り当てする必要があります。このセクションでは、次のアクティビティを実行する手順について説明します。
レガシプロバイダの詳細については、セクション 4.4.2, レガシパスワード管理プロバイダの理解を参照してください。共有ページおよび許可の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』のPage Administration
を参照してください。
識別情報アプリケーションをインストールしたサーバにログインします。
RBPM設定ユーティリティを実行します。詳細については、セクション 15.8.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。
ユーティリティで認証 > パスワードの管理の順に移動します。
パスワード管理プロバイダではユーザアプリケーション(レガシ)を指定します。
パスワードを忘れた場合では内部を指定します。
SSOクライアント > セルフサービスパスワードリセットの順に移動します。
OSP redirect URL (OSPリダイレクトURL)では、設定を空にする必要があります。
変更を保存して、ユーティリティを閉じます。
識別情報アプリケーションの設定は、インストール時にデフォルトでSSPRに設定されます。パスワードの管理のための共有ページにアクセスさせるユーザ、グループ、またはコンテナの許可の割り当てまたは再割り当てを実行する必要があります。ユーザにコンテナページまたは共有ページの表示許可を割り当てると、ユーザはそのページにアクセスできるようになり、使用可能なページのリストにそのページが表示されます。
Identity Managerがレガシプロバイダを使用していることを確認します。詳細については、パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定を参照してください。
ユーザアプリケーションにアプリケーション管理者としてログインします。たとえば、uaadminとしてログインします。
管理 > ページ管理の順に移動します。
共有ページパネルでパスワードの管理に移動します。
許可を指定するページを選択します。たとえば、[パスワードの変更]または[パスワード確認の回答]を選択します。
右側パネルで許可の割り当てをクリックします。
表示で、ページを割り当てるユーザ、グループ、またはコンテナを選択します。
(オプション)指定したページにアプリケーション管理者だけがアクセスできることを保証するには、表示許可を管理者のみに設定を選択します。
保存をクリックします。
ダッシュボードに戻るには、ホームアイコンを選択します。
アプリケーションに移動し、を選択します。
アプリケーションの管理ページで、SSPRへのリンクをUserApp PwdMgtへのリンクで置き換えます。
詳細については、分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新およびアイデンティティアプリケーションのヘルプを参照してください。
ログアウトしてからTomcatを再起動します。
外部システムを使用するには、パスワードを忘れた場合機能を含むWARファイルの場所を指定する必要があります。このプロセスには次の作業が含まれます。
インストール時にこの値を指定せずに、後で設定を変更する場合、RBPM設定ユーティリティを使用するか、ユーザアプリケーションで管理者として変更します。
(状況によって実行) RBPM設定ユーティリティで設定を変更するには、次の手順を実行します。
識別情報アプリケーションをインストールしたサーバにログインします。
RBPM設定ユーティリティを実行します。詳細については、セクション 15.8.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。
ユーティリティで認証 > パスワードの管理の順に移動します。
パスワード管理プロバイダではユーザアプリケーション(レガシ)を指定します。
(状況によって実行)ユーザアプリケーションで設定を変更するには、次の手順を実行します。
ユーザアプリケーションの管理者としてログインします。
管理 > アプリケーション環境設定 > パスワードモジュールのセットアップ > ログインの順に移動します。
[パスワードを忘れた場合]では、外部を指定します。
パスワードを忘れた場合]リンクでは、ログインページでユーザが[パスワードを忘れた場合]をクリックしたときに表示するリンクを指定します。ユーザがこのリンクをクリックすると、アプリケーションはユーザを外部パスワード管理システムに転送します。次に例を示します。
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
パスワードを忘れた場合の返信リンクでは、ユーザがパスワードを忘れた場合の手順の実行完了後に表示するリンクを指定します。このリンクをクリックすると、指定したリンクにリダイレクトされます。次に例を示します。
http://localhost/IDMProv
パスワードを忘れた場合のWebサービスURLでは、パスワードを忘れた場合の外部WARが識別情報アプリケーションを呼び戻すために使用するWebサービスのURLを指定します。次の形式を使用してください。
https://idmhost:sslport/idm/pwdmgt/service
識別情報アプリケーションに対してセキュアなWebサービス通信を保証するために、返信リンクではSSLを使用する必要があります。詳細については、アプリケーションサーバ間のSSL通信の設定を参照してください。
ExternalPwd.warを、外部パスワードWAR機能を実行するリモートアプリケーションサーバ展開ディレクトリに手動でコピーします。
外部パスワードWARファイルがあり、これにアクセスして[パスワードを忘れた場合]機能をテストする場合は、次の場所でアクセスできます。
ブラウザ内で直接アクセスします。外部パスワードWARファイルで[パスワードを忘れた場合]ページに移動します。たとえば、http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jspに移動します。
ユーザアプリケーションログインページで、パスワードを忘れた場合のリンクをクリックします。
外部パスワード管理システムを使用する場合、アイデンティティアプリケーションおよびパスワードを忘れた場合の外部管理WARファイルを展開しているTomcatインスタンス間にSSL通信を設定する必要があります。詳細については、Tomcatマニュアルを参照してください。
インストールプロセスは、識別情報アプリケーションおよびIdentity Reportingと同じアプリケーションサーバ上にSSPRが展開されていると想定しています。デフォルトでは、ダッシュボードのアプリケーションページにある組み込みリンクは、ローカルシステム上のSSPRを参照する相対URLフォーマットを使用します。たとえば、\sspr\private\changepasswordです。分散環境またはクラスタ化環境にアプリケーションをインストールする場合、SSPRリンクのURLを更新する必要があります。
詳細については、アイデンティティアプリケーションのヘルプを参照してください。
ダッシュボードに管理者としてログインします。たとえば、uaadminとしてログインします。
編集をクリックします。
[Edit Home Items (ホームアイテムの編集)]ページで、更新するアイテムの上にマウスを移動し、編集アイコンをクリックします。たとえば、マイパスワードの変更を選択します。
リンクでは絶対URLを指定します。たとえば、「http://10.10.10.48:8180/sspr/changepassword」と指定します。
保存をクリックします。
更新するSSPRリンクごとにこの手順を繰り返します。
終了したら、I'm done (完了)をクリックします。
ログアウトしてから一般ユーザとしてログインし、変更されているかどうかをテストします。