14.2 Identity Manager用パスワード管理のインストール

このセクションでは、SSPRのインストールプロセスについて説明します。OSPコンポーネントがインストールされる同一サーバまたは別のサーバにこれらのプログラムをインストールできます。

メモ:古い方法である「パスワードを忘れた場合」を使用する場合、SSPRのインストールは必要ありません。詳細については、セクション 4.4.2, レガシパスワード管理プロバイダの理解を参照してください。

14.2.1 ウィザードを使用したSelf Service Password Resetのインストール

次の手順では、インストールウィザードを使用してWindowsプラットフォームにSSPRをインストールする方法について説明します。無人のサイレントインストールを実行するには、セクション 14.2.2, Self Service Password Resetのサイレントインストールを参照してください。インストールの準備をするために、セクション 14.1.1, パスワード管理コンポーネントをインストールするためのチェックリストに記載されている前提条件とシステム要件を確認します。

  1. SSPRをインストールするサーバに管理者としてログインします。

  2. Tomcatサーバを停止します。

  3. (状況によって実行) Identity Managerインストールパッケージの.isoイメージファイルがある場合は、SSPRのインストールファイルが保存されているディレクトリへ移動します。デフォルトの場所はproducts\CommonApplication\sspr_installディレクトリです。

  4. (状況によって実行) SSPRのインストールファイルをダウンロードした場合は、次の手順を実行します。

    1. ダウンロードしたイメージのwin.zipファイルのある場所に移動します。

    2. このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。

  5. インストールファイルが保存されているディレクトリから、sspr-install-win.exeファイルを実行します。

  6. 使用許諾契約書の条項を確認して同意し、次へをクリックします。

  7. インストールするファイルのパスを指定します。

  8. 次のパラメータを使用して、ガイド付きプロセスを実行します。

    • Tomcatの詳細

      Tomcatサーバのホームディレクトリを指定します。たとえば、C:\NetIQ\idm\apps\tomcatです。インストールプロセス中にSSPR用の複数のファイルがこのフォルダに追加されます。

    • Tomcatの接続

      ユーザがTomcatサーバ上のSSPRに接続するために必要なURLの設定を指定します。たとえば、https://myserver.mycompany.com:8080を指定します。

      メモ:次の考慮事項が当てはまる場合は、外部認証サーバに接続するを選択し、外部サーバの値も指定する必要があります。

      • SSPRをインストールする場合。

      • OSPをSSPRとは異なるサポートされているアプリケーションサーバのインスタンスで実行する場合。

      プロトコル

      httpまたはhttpsのどちらを使用するのかを指定します。SSL (Secure Sockets Layer)を使用して通信する場合はhttpsを指定します。

      Host Name (ホスト名)

      SSPRをインストールするサーバのDNS名またはIPアドレスを指定します。localhostは使用しないでください。

      ポート

      サーバがクライアントコンピュータとの通信に使用するポートを指定します。

      Connect to an external authentication server (外部認証サーバへの接続)

      Tomcatの異なるインスタンスが認証サーバ(OSP)をホストするかどうかを指定します。認証サーバには、SSPRにログイン可能なユーザのリストが保存されています。

      この設定を選択する場合は、認証サーバのプロトコルホスト名、およびポートも指定する必要があります。

    • Tomcat Javaホーム

      Tomcatサーバ上のJavaのホームディレクトリを指定します。たとえば、C:\NetIQ\idm\jreです。インストールプロセス中にOSP用の複数のファイルがこのディレクトリに追加されます。

    • 認証の詳細

      アプリケーションにログイン可能なユーザのリストが保存されている認証サーバに接続するための要件を指定します。認証サーバの詳細については、セクション 4.5.1, One SSO Providerによる認証の理解を参照してください。

      LDAPホスト

      LDAP認証サーバのDNS名またはIPアドレスを指定します。localhostは使用しないでください。

      LDAPポート

      LDAP認証サーバがIdentity Managerとの通信に使用するポートを指定します。たとえば、セキュアポート以外を使用する場合は389、SSL接続を使用する場合は636を指定します。

      SSLを使用

      識別ボールトと認証サーバ間の接続にSecure Sockets Layerプロトコルを使用するかどうかを指定します。

      JREトラストストア(cacerts)ファイル

      LDAP接続にSSLを使用する場合にのみ適用されます。

      証明書のパスを指定します。たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacertsです。

      JREトラストストアパスワード

      LDAP接続にSSLを使用する場合にのみ適用されます。

      cacertsファイルのパスワードを指定します。

      管理者DN

      新しい認証サーバをインストールする場合にのみ適用されます。

      LDAP認証サーバの管理者アカウントのDNを指定します。たとえば、cn=admin,ou=sa,o=systemです。

      管理者パスワード

      新しい認証サーバをインストールする場合にのみ適用されます。

      LDAP認証サーバの管理者アカウントのパスワードを指定します。

      ユーザコンテナ

      新しい認証サーバをインストールする場合にのみ適用されます。

      Access Reviewにログイン可能なユーザアカウントを保存するLDAP認証サーバ内のコンテナを指定します。たとえば、o=dataです。

      管理者コンテナ

      新しい認証サーバをインストールする場合にのみ適用されます。

      Access Reviewの管理者アカウントを保存するLDAP認証サーバ内のコンテナを指定します。たとえば、ou=sa,o=systemです。

      キーストアパスワード

      新しい認証サーバをインストールする場合にのみ適用されます。

      LDAP認証サーバの新しいキーストア用に作成するパスワードを指定します。

      パスワードは6文字以上にする必要があります。

    • SSPRの詳細

      SSPRを設定するために必要な設定を指定します。

      設定パスワード

      管理者がSSPRを設定する場合に使用するパスワードを作成するよう指定します。

      デフォルトでは、SSPRに設定パスワードは設定されていません。パスワードを設定しないと、SSPRにログイン可能なユーザであれば誰でも設定を変更できます。

      SSPR redirect URL (SSPRのリダイレクトURL)

      SSPRでパスワード変更や秘密の質問などの操作が完了したときにクライアントをリダイレクトする絶対URLを指定します。たとえば、ダッシュボードに転送します。

      使用するフォーマットは、protocol://server:port/pathです。たとえば、http://idm_userapp_server_ip:port_no/idmdash/#/landingと指定します。

    • 認証サーバの詳細

      SSPRサービスがサーバ上のOSPクライアントへ接続時に使用するために作成するパスワードを指定します。クライアントシークレットととも呼ばれます。

      インストール後にこのパスワードを変更するには、RBPM環境設定ユーティリティを使用します。

    • 監査の詳細(SSPR)

      認証サーバで発生するSSPRイベントを監査するための設定を指定します。

      (状況によって実行) SSPRの監査を有効にする

      SSPRイベントを監査サーバに送信するかどうかを指定します。

      この設定を選択する場合は、syslogサーバの設定も指定する必要があります。

      Syslogのホスト名

      SSPRに対して監査を有効にする場合にのみ適用されます。

      SyslogサーバをホストするサーバのDNSまたはIPアドレスを指定します。localhostは使用しないでください。

      Syslogのポート

      SSPRに対して監査を有効にする場合にのみ適用されます。

      Syslogサーバをホストするサーバのポートを指定します。

  9. SSPRを使用するように識別情報アプリケーションおよびIdentity Reportingを設定するため、セクション 15.0, Identity Applicationsのインストールに進みます。

  10. 設定更新ユーティリティで、SSOクライアントパラメータを更新します。詳細については、セルフサービスパスワードリセットを参照してください。

    パスワードを忘れた場合の管理の詳細については、セクション 15.7.8, パスワードを忘れた場合の管理の設定を参照してください。

14.2.2 Self Service Password Resetのサイレントインストール

サイレント(非対話型)インストールでは、ユーザインタフェースは表示されず、ユーザに対する質問も行われません。

  1. コンポーネントをインストールするコンピュータに管理者としてログインします。

  2. Tomcatを停止します。

  3. (状況によって実行) Identity Managerインストールパッケージの.isoイメージファイルがある場合は、SSPRのインストールファイルが保存されているディレクトリへ移動します。デフォルトの場所はssprディレクトリです。

  4. (状況によって実行)インストールファイルをNetIQ DownloadsのWebサイトからダウンロードした場合は、次の手順を実行します。

    1. ダウンロードしたイメージの.zipファイルのある場所に移動します。

    2. ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

  5. sspr-silent.propertiesファイルをSSPRのインストール用に編集します。このファイルは、デフォルトではインストールスクリプトと同じディレクトリにあります。

    インストール用の設定の詳細については、ステップ 7およびステップ 8を参照してください。

  6. サイレントインストールを実行するには、次のコマンドを実行します。

    sspr-install-win.exe -i silent -f path_to_silent.properties_file

  7. 設定更新ユーティリティで、SSOクライアントパラメータを更新します。詳細については、セルフサービスパスワードリセットを参照してください。

14.2.3 インストール後のタスク

インストールにエラーがないことの確認

SSPRのインストール後、デフォルトプロファイルのLDAPグループDNにおける管理者許可の変更や、転送URLの変更などの環境設定を変更できます。また、インストールプロセス中に作成されたURLを確認し、必要に応じてそれらを変更することもお勧めします。

  1. SSPRログインページを開くには、ブラウザで次のURLを入力します。

    protocol://server:port/web-context

    次に例を示します。

    http://192.168.0.1:8080/sspr/

  2. SSPRログインページの右上隅で、リストからConfiguration Editor (環境設定エディタ)を選択します。

  3. 設定パスワードを指定し、Sign In (サインイン)をクリックします。

  4. ツリービューから、デフォルト設定を選択し、LDAP Vendor Default Settings (LDAPベンダのデフォルト設定)リストでNetIQ IDM/OAuth Integration (NetIQ IDM/OAuth統合)が選択されていることを確認します。

  5. ツリービューから、LDAP > LDAPディレクトリ > デフォルト > 接続 > LDAP Certificates (LDAP証明書)の順にクリックし、Import From Server (サーバからインポート)をクリックして、証明書をインポートします。

    (状況によって実行)同じページでTest LDAP Profile (LDAPプロファイルをテスト)をクリックし、すべての設定済みLDAPサーバにアクセス可能であることを確認します。

  6. ツリービューから、モジュール > Authenticated (認証済み) > 管理の順にクリックして、管理者許可がデフォルトプロファイルのLDAPグループDNに割り当てられていることを確認します。

    SSPRの新規インストールを実行している場合は、リストが空になっています。iManagerで新しいグループを作成し、そのグループにadminユーザを追加する必要があります。

  7. ツリービューから、設定 > アプリケーション > アプリケーションの順にクリックし、Forward URL (URLの転送)http://<Server:Port>/idmdash/#/landingに設定されていることを確認します。

    たとえば、http:/192.168.0.1:8080/idmdash/#/landingです。

  8. ツリービューから、設定 > ユーザインタフェース > Look & Feel (ルックアンドフィール)の順にクリックし、Interface Theme (インタフェーステーマ)Micro Focus (mdefault) (Micro Focus (mdefault))に変更します(まだ指定していない場合)。

  9. ツリービューから、設定 > Single Sign On (SSO) Client (シングルサインオン(SSO)クライアント) > OAuthの順にクリックし、次のパラメータに対して値が正しく指定されていることを確認します。

    OAuthログインURL

    OAuthサーバログインのURLを指定します。ユーザがログインすると、このURLはOSPで認証するためにユーザをリダイレクトします。

    例: http://192.168.0.1:8080/osp/a/idm/auth/oauth2/grant

    OAuthコード解決サービスのURL

    OAuthコード解決サービスのURLを指定します。SSPRはこのWebサービスURLを使用して、OAuth IDサーバが戻すアーティファクトを解決します。

    例: http://192.168.0.1:8080/osp/a/idm/auth/oauth2/authcoderesolve

    OAuthプロファイルサービスURL

    ユーザから属性データを戻すためにIdentity Managerが提供するWebサービスのURLを指定します。

    例: http://192.168.0.1:8080/osp/a/idm/auth/oauth2/getattributes

    OAUTH Webサービスサーバ証明書

    (状況によって実行) HTTPSが有効な場合は、OAuth Webサービスサーバの証明書をインポートします。

    OAuthクライアントID

    OAuthクライアントのクライアントIDを指定します。たとえば、ssprです。

    OAuth共有シークレット

    OAuth共有シークレットのパスワードを指定します。このパスワードは、OSPとSSPRアプリケーション間で共有されます。

    OAuthユーザ名/DNログイン属性

    OAuthサーバをリクエストするためにSSPRが使用するユーザ属性を指定することで、ユーザをローカルで認証します。たとえば、nameです。

  10. ページの右上隅からをクリックして、設定を保存します。

  11. SSPRログインページの右上隅で、リストからConfiguration Manager (環境設定マネージャ)を選択します。

  12. Restrict Configuration (設定の制限)をクリックします。

ユーザコンテナへのユニバーサルパスワードポリシーの割り当て

ユーザコンテナにユニバーサルパスワードポリシーを割り当てるには、次の手順を実行します。

  1. iManagerにログインします。

  2. Roles and Tasks (役割とタスク) > パスワードポリシーの順に選択し、パスワードポリシーを選択します。

  3. 管理者権限を持つユーザを選択するには、次の手順を実行します。

    1. ユニバーサルパスワード > Configuration Options (環境設定オプション) > Universal Password Retrieval (ユニバーサルパスワードの取得)の順にクリックします。

    2. Allow admin to retrieve passwords (管理者がパスワードを取得することを許可)またはAllow the following to retrieve passwords (パスワードを取得するために以下を許可)を選択し、OKをクリックします。

      たとえば、cn=uaadmin,ou=sa,o=dataです。

  4. Policy Assignment (ポリシー割り当て)をクリックし、ユーザが存在するコンテナにcontainerを割り当てます。

    たとえば、o=dataまたは管理者ユーザです。

pwmResponseSet属性への権利の付与

認証された権利を持つユーザは、ユーザの接続に関連付けられている許可に基づいて操作を実行します。認証されたユーザは、自身のユーザエントリに対する次の権利が必要です。

  • [エントリ権]に対するブラウズ権

  • pwmResponseSetに対する読み込み権、比較権、および書き込み権

pwmResponseSet属性に権利を付与するには、次の手順を実行します。

  1. iManagerにログインします。

  2. をクリックします。

  3. iManagerサーバ>iManagerの設定の順にクリックします。

  4. その他>Enable [this] ([これ]を有効にする)をクリックします。

  5. をクリックします。

  6. ツリービューから、ディレクトリ内のすべてのユーザのトップレベルコンテナを選択します。

  7. current level (現在のレベル)チェックボックスをオンにし、アクション>トラスティの変更の順にクリックします。

  8. リストから[This] ([この])をクリックし、Add Trustee (トラスティの追加)をクリックします。

  9. 適用をクリックします。

  10. [This] ([この])トラスティのAssigned Rights (割り当てられた権利)をクリックします。

  11. プロパティの追加をクリックし、スキーマ内のすべてのプロパティを表示するチェックボックスをオンにします。

  12. リストからpwmResponseSetを選択します。

    書き込み、比較、読み込み、および継承オプションが選択されていることを確認します。

  13. 完了をクリックします。

14.2.4 クラスタリング用のOSPとSSPRの設定

Identity Managerは、Tomcatクラスタ環境のSSPR設定をサポートします。

クラスタリングをサポートするためのSSPRの設定

別のコンピュータ上にすでに存在しているSSPRを設定するには、次の手順を実行します。

  1. セクション 14.1.1, パスワード管理コンポーネントをインストールするためのチェックリストで前提条件とシステム要件を確認します。

  2. セクション 14.2.1, ウィザードを使用したSelf Service Password Resetのインストールの手順に従って、次の手順がインストールプロセス中に考慮されていることを確認します。

      1. アプリケーションサーバの接続ページで、Connect to external authentication server (外部認証サーバへの接続)を選択し、ロードバランサがインストールされているサーバのDNS名を入力します。

      2. [認証の詳細]ページで、Identity ManagerエンジンサーバのIPアドレスとポートを入力します。CA証明書のパスワードは「changeit」です。

      3. SSPRのインストールを完了した後で、SSL設定を更新します。詳細については、セクション 29.8, セルフサービスパスワードリセットのSSL設定の更新を参照してください。

  3. クラスタの1番目のノードでSSPR情報を更新するには、C:\NetIQ\idm\apps\UserApplication\configupdate.batから設定ユーティリティを起動します。

    表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントIDパスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。

クラスタノード上でのタスクの設定

クラスタノード上で次の設定タスクを実行します。

  1. SSPR IPアドレスで[パスワードを忘れた場合]リンクを更新するには、1番目のノードでユーザアプリケーションにログインし、管理 > パスワードを忘れた場合をクリックします。

    SSPR設定の詳細については、セクション 15.7.8, パスワードを忘れた場合の管理の設定を参照してください。

  2. [パスワードの変更]リンクを変更するには、分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。

  3. [パスワードを忘れた場合]および[パスワードの変更]リンクがクラスタの他のノードのSSPR IPアドレスで更新されていることを確認します。

    メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。

  4. 1番目のノードで、Tomcatを終了し、次のコマンドを使用してロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。

    C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"

    例: C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。

  5. (状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。

    C:NetIQ\idm\apps\jre\bin\keytool -list -v -keystore osp.jks -storepass changeit

  6. C:\NetIQ\idm\apps\ospにある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルは、手順3で作成されています。

  7. 1番目のノードからクラスタ内の他のユーザアプリケーションノードのすべてに、C:\NetIQ\idm\apps\osp\にある新しいosp.jksファイルをコピーします。

  8. 1番目のノードで設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。

    1. 設定ユーティリティで変更を保存します。

    2. クラスタの他のすべてのノードにこの変更を反映させるには、1番目のノードから他のユーザアプリケーションノードのすべてに、\TOMCAT_INSTALLED_HOME\confにあるism-configuration propertiesファイルをコピーします。

      メモ:1番目のノードから、クラスタ内の他のノードにism.propertiesファイルをコピーしています。ユーザアプリケーションのインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードで設定更新ユーティリティを使用して修正されていることを確認します。

      このシナリオでは、OSPとユーザアプリケーションの両方が同じサーバにインストールされます。したがって、同じDNS名がリダイレクトURLに使用されます。

      OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これにより、すべてのOSP要求がOSPクラスタDNS名にロードバランサを介してディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。

  9. \TOMCAT_INSTALLED_HOME\bin\ディレクトリのsetenv.batファイルで次のアクションを実行します。

    1. mcast_addr バインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。 これを実行するには、すべてのノードのsetenv.batファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。

    2. 1番目のノードのsetenv.batファイルに「-Dcom.novell.afw.wf.Engine-id=Engine」を追加します。

      エンジン名は固有である必要があります。1番目のノードのインストール中に指定された名前を提供します。名前が指定されてない場合、デフォルト名は「エンジン」です。

      同様に、クラスタ内の他のノードに固有のエンジン名を追加します。たとえば、2番目のノードの場合、エンジン名はEngine2にできます。

  10. ユーザアプリケーションでクラスタリングを有効にします。詳細については、ステップ 10を参照してください。

  11. クラスタリングのパーミッションインデックスを有効にします。詳細については、セクション 15.4.2, クラスタリングのパーミッションインデックスの有効化を参照してください。

  12. Tomcatクラスタを有効にします。詳細については、セクション 15.4.3, 識別情報アプリケーションを実行するアプリケーションサーバの準備の手順9を参照してください。

  13. すべてのノードでTomcatを再起動します。

  14. クラスタリング用のユーザアプリケーションドラバを設定します。詳細については、セクション 15.6.2, クラスタリング用のユーザアプリケーションドライバの環境設定を参照してください。