このセクションでは、次のコンポーネントの更新を含む、Identity Applicationsおよびサポートするソフトウェアのアップグレードについて説明します。
Identity Managerユーザアプリケーション
OSP (One SSO Provider)
Self-Service Password Reset (SSPR)
Tomcat、JDK、およびActiveMQ
Identity Reporting
NetIQでは、これらのコンポーネントをアップグレードするためのアップグレードプログラムを用意しています。このプログラムは、Identity Managerインストールパッケージのproducts\CommonApplication\ディレクトリにあります。ApplicationUpgrade.exeファイルを含むディレクトリに移動します。
アップグレード後は、コンポーネントが次のバージョンにアップグレードされます。
Tomcat – 8.5.27
ActiveMQ – 5.15.2
Java – 1.80_162
One SSO Provider – 6.2.1
セルフサービスパスワードリセット – 4.2.0.4
Identity Applications – 4.7.0
Identity Reporting – 6.0.0
このセクションでは、次のトピックについて説明します。
アップグレードプロセスは、既存のコンポーネントから設定値を読み込みます。この情報には、ism-configuration.properties、server.xml、SSPRConfiguration.xml、および他の設定ファイルが含まれます。これらの設定ファイルを使用して、アップグレードプロセスにより、コンポーネントのアップグレードプログラムが内部的に起動します。また、このプログラムは現在のインストールのバックアップも作成します。
アップグレードを実行する前に、次の考慮事項を確認してください。
Identity Managerはバージョン4.5.6にアップグレードされている: 4.5.6より前のバージョンから4.7のバージョンにアップグレードすることはできません。Identity Manager 4.5へのアップグレード方法の詳細については、『NetIQ Identity Managerセットアップガイド』の「Identity Managerのアップグレード」を参照してください。
システム要件: アップグレードプロセスでは、現在の設定およびアップグレード中に作成した一時ファイルを保存するために最低3GBの空きディスク容量が必要です。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。
Windowsサーバでは、アップグレードプログラムは%TEMP%環境変数で指定されたディレクトリに一時ファイルを保存します。このディレクトリに必要な容量がない場合は、TEMPおよびTMP環境変数を、ファイルシステム上の十分な空き容量があるディレクトリに設定します。これにより、そのディレクトリにファイルを保存するようアップグレードプログラムがリダイレクトされます。
これらの環境変数を別のディレクトリに設定するには、アップグレードを開始する前に次の手順を実行してください。
コマンドプロンプトを開いて、次のコマンドを入力します。
SET TMP=D:\custom_tmp
SET TEMP=D:\custom_tmp
ここでD:\custom_tmpは、十分な空きディスク容量を持つディレクトリへのパスです。
メモ:クラスタ環境の場合、Identity Applications証明書(cacerts)をバックアップします。
コマンドラインからアップグレードプログラムを起動します。
アプリケーションサーバとしてのTomcat: このバージョンのIdentity Managerは、アプリケーションサーバとしてTomcatのみをサポートします。
メモ:以前のインストール中に、簡易インストーラを使用してTomcatアプリケーションサーバがインストールされていることを確認します。アップグレードプロセスでは、簡易インストーラを使用してインストールされたTomcatのみをアップグレードできます。
データベースプラットフォームがアップグレードされている: このプログラムでは、アイデンティティアプリケーションのデータベースプラットフォームはアップグレードされません。データベースの現在のバージョンを、サポートされているバージョンに手動でアップグレードします。PostgreSQLデータベースのアップグレードについては、PostgreSQLデータベースのアップグレードを参照してください。
Identity ApplicationsおよびIdentity Reportingのドライバがアップグレードされている: Identity ApplicationsおよびIdentity Reportingの次のドライバがアップグレードされていることを確認します。
ユーザアプリケーションドライバ
役割とリソースドライバ
管理対象システムゲートウェイドライバ
データ収集サービスドライバ
詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「Upgrading Installed Packages」を参照してください。
管理者ユーザが最高のアクセス権を持っている: 管理者ユーザに最高のアクセス権を付与します。
ユーザアカウント制御設定が[通知しない]に変更されている: コントロールパネル > ユーザアカウントの順に移動し、ユーザアカウント制御設定の変更を通知しないに設定します。
セルフサービスパスワードリセット: SSPR 4.0からアップグレードしている場合は、更新されたCATALINA_OPTSプロパティと-Dsspr.application.Pathが、SSPR設定の格納フォルダに設定されていることを確認します。
例: set CATALINA_OPTS="-Dsspr.applicationPath=C:\sspr_data
アップグレードする前にSSPR LocalDBをバックアップします。LocalDBをエクスポートまたはダウンロードするには、次の手順を実行します。
SSPRポータルに管理者としてログインします。
ドロップダウンメニューからYourID > Configuration Manager (環境設定マネージャ)の順に移動します。
LocalDBをクリックします。
Download LocalDB (LocalDBをダウンロード)をクリックします。
重要:アップグレードプロセスは、データベースのサイズによって時間がかかる場合があります。したがって、それに応じてアップグレードを計画してください。
サーバ上で実行されているPostgreSQLサービスを停止します。
C:\Netiq\idm\appsのpostgresディレクトリの名前を変更します。
たとえば、postgresの名前をpostgresql_9_3に変更します。
ご使用のオペレーティングシステムでサポートされているPortgreSQLバージョンをインストールします。
PostgreSQLの現在のインストール場所以外を選択する必要があります。
Identity_Manager_4.7_Windows.isoイメージファイルをマウントし、PostgreSQLインストールファイルが保存されているproducts\CommonApplication\postgre_tomcat_installディレクトリへ移動します。
TomcatPostgreSQL.exeファイルを実行して、PostgreSQLアプリケーションをインストールします。
インストール中にPostgreSQLオプションのみを選択します。
メモ:PostgreSQLの詳細ページにデータベース詳細を入力しないでください。データベースログインアカウントの作成および空のデータベースの作成の選択が解除されていることを確認します。
新たにインストールされたPostgreSQLサービスを停止します。サービスに移動し、PostgreSQL 9.6サービスを検索して、サービスを停止します。
メモ:適切な権限を持つユーザは、有効な認証情報を入力した後で、停止操作を実行できます。
次のアクションを実行して、新たにインストールされたPostgreSQLディレクトリの許可を変更します。
postgresユーザを作成します。
コントロールパネル > ユーザアカウント > ユーザアカウント > アカウントの管理の順に移動します。
ユーザアカウントの追加をクリックします。
[ユーザの追加]ページで、ユーザ名としてpostgresを指定し、そのユーザのパスワードを入力します。
postgresユーザに、既存のPostgreSQLディレクトリおよび新たにインストールされたPostgreSQLディレクトリへの許可を付与します。
PostgreSQLディレクトリを右クリックして、プロパティ > セキュリティ > 編集の順に移動します。
ユーザに完全な許可を付与するには、フルコントロールを選択します。
適用をクリックします。
postgresユーザとしてPostgreSQLディレクトリにアクセスします。
postgresユーザとしてサーバにログインします。
ログインする前に、このユーザに対してリモート接続が許可されているかどうかを確認することで、postgresがWindowsサーバに接続できることを確認します。
コマンドプロンプトを開き、次のコマンドを使用して、PGPASSWORDを設定します。
set PGPASSWORD=<your pg password>
新たにインストールされたPostgreSQLディレクトリに移動します。
たとえば、C:\Users\postgres>cd C:\NetIQ\idm\apps1\postgresql962\binです。
新しいPostgreSQL binディレクトリからPostgreSQLをアップグレードします。次のコマンドを実行して、Enterをクリックします。
pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"
アップグレードされたPostgreSQLデータベースサービスを開始します。
サービスに移動し、PostgreSQL 9.6サービスを検索して、サービスを開始します。
メモ:適切な権限を持つユーザは、有効な認証情報を入力した後で、開始操作を実行できます。
古いPostgreSQLサービスを無効にして、そのサービスが自動的に開始されないようにします。
(オプション)新たにインストールされたPostgreSQLサービスのbinディレクトリから古いデータファイルを削除します。
postgresユーザとしてログインします。
binディレクトリに移動し、analyze_new_cluster.batおよびdelete_old_cluster.batファイルを実行します。
たとえば、C:\NetIQ\idm\apps1\postgresql961\binです。
メモ:この手順は、古いデータファイルを削除する場合にのみ実行する必要があります。
アップグレードプロセスにより、インストールされたコンポーネントの現在の設定のバックアップが作成されます。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。
このセクションでは、ユーザアプリケーションドライバ、役割およびリソースサービスドライバのパッケージを最新バージョンに更新する方法について説明します。Identity Applicationsをアップグレードする前に、このタスクを実行する必要があります。
Designerで現在のプロジェクトを開きます。
パッケージカタログ > パッケージのインポートの順に右クリックします。
適切なパッケージを選択します。たとえば、User Application Driver Base package (ユーザアプリケーションドライバベースパッケージ)です。
OKをクリックします。
[開発者]ビューでドライバを右クリックし、プロパティをクリックします。
プロパティページでパッケージタブに移動します。
右上隅のパッケージを追加(+)記号をクリックします。
パッケージを選択し、OKをクリックします。
展開してドライバを再起動します。
役割およびリソースサービスドライバのパッケージをアップグレードするには、同様の手順を繰り返します。
メモ:
アップグレードされたIdentity Managerに、ユーザアプリケーションドライバ、役割およびリソースサービスドライバが接続されていることを確認します。
ユーザアプリケーションドライバパッケージのアップグレード時に通知テンプレートをインストールする場合は、デフォルト通知コレクションオブジェクトをIdentity Managerサーバに展開します。
次の手順では、ウィザードを使用してIdentity Applications、OSP、SSPR、Tomcat、ActiveMQ、およびIdentity Reportingをアップグレードする方法について説明します。
アップグレードプロセスを実行するサーバにログインします。
.isoイメージファイルをマウントし、アップグレード用の実行ファイルが置かれているディレクトリ(デフォルトではproducts\CommonApplication\ディレクトリ)に移動します。
アップグレードプログラムを起動します。ApplicationUpgrade.exeを右クリックして管理者として実行を選択します。
はじめにページで、アップグレード可能なIdentity Managerコンポーネントを表示できます。次へをクリックします。
使用許諾契約書の条項を確認して同意し、次へをクリックします。
Deployed Applications·(導入したアプリケーション)ページを確認して、次へをクリックします。
このページでは、現在インストールされているコンポーネントとそのバージョンを一覧表示します。他のアプリケーションがサーバに導入される場合、アップグレードプロセスで、アップグレード後にこれらのアプリケーションが適切に動作しない場合があることを示す警告が表示されます。
アップグレードプロセスによって作成されたバックアップから手動でこれらを復元する必要があります。
アップグレードを続行するには、次へをクリックします。
次のパラメータを使用してガイド付きプロセスを完了します。このプログラムは、既存のコンポーネントの値を自動的に入力します。正しい値がパラメータに指定されていることを確認します。
One SSO Provider Installation folder (One SSO Providerインストールフォルダ)
アップグレードプログラムがOSP用にアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、OSPがインストールされているパスを参照します。
SSPR Installation folder (SSPRインストールフォルダ)
アップグレードプログラムがSSPR用のアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、SSPRがインストールされているパスを参照します。
User Application Installation folder (ユーザアプリケーションインストールフォルダ)
アップグレードプログラムがユーザアプリケーション用のアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、ユーザアプリケーションがインストールされているパスを参照します。
Database Connection
ユーザアプリケーションデータベースに接続するための設定を表します(アイデンティティアプリケーションもこのデータベースに接続します)。アップグレードプログラムには、ユーザアプリケーション設定ファイルにこれらの詳細が含まれます。
ユーザアプリケーションデータベースのプラットフォームを表します。
ユーザアプリケーションをホストするサーバの名前またはIPアドレスを指定します。
データベースサーバがユーザアプリケーションとの通信に使用するポートを指定します。
データベースプラットフォームのJARファイルを指定します。
ドライバJARファイルは、データベースベンダーにより提供され、データベースサーバのjarを表します。たとえば、PostgreSQLの場合はpostgresql-9.4-1212.jdbc42.jarを指定します。このファイルは、デフォルトではC:\NetIQ\idm\apps\postgresにあります。また、データベースプラットフォームの適切なjarファイルを指定します。
(状況によって実行) Reporting Database Connection (Reportingデータベース接続)
Identity Reportingデータベースに接続するための設定を表します。
ユーザアプリケーションをホストするサーバの名前またはIPアドレスを指定します。
データベースサーバがユーザアプリケーションとの通信に使用するポートを指定します。
データベースの名前を指定します。デフォルトでは、データベース名はidmrptdbです。
(状況によって実行) Reporting Database Credentials (Reportingデータベース資格情報)
ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカウント名を指定します。デフォルトでは、データベースユーザ名はpostgresです。
指定したユーザ名のパスワードを指定します。
今すぐデータベースをアップグレード: アップグレードプログラムは、アップグレードプロセスの一環としてReportingデータベーステーブルのスキーマをアップデートします。
アプリケーションの開始時にデータベースをアップグレード: アップグレードプログラムは、アップグレード後にユーザアプリケーションを初めて起動するときに、データベーステーブルのスキーマをアップデートするための手順を書き残します。
SQLをファイルに書き込む: データベース管理者がデータベースをアップデートするために実行できるSQLスクリプトを生成します。このオプションを選択する場合、スキーマファイルに名前を指定する必要もあります。設定はSQL出力ファイル環境設定内にあります。環境内にデータベースを作成または変更する許可がない場合は、このオプションを選択する必要があります。このファイルを使用してテーブルを作成する方法の詳細については、セクション 15.7.2, 手動によるデータベーススキーマの作成を参照してください。
データベースプラットフォームのJARファイルを指定します。
ドライバJARファイルは、データベースベンダーにより提供され、データベースサーバのjarを表します。たとえば、PostgreSQLの場合はpostgresql-9.4-1212.jdbc42.jarを指定します。このファイルは、デフォルトではC:\NetIQ\idm\apps\postgresにあります。また、データベースプラットフォームの適切なjarファイルを指定します。
データベースのアップグレード
アップグレードプログラムは、アップグレードプロセスの一環としてデータベーステーブルのスキーマをアップデートします。
アップグレードプログラムは、アップグレード後にユーザアプリケーションを初めて起動するときに、データベーステーブルのスキーマをアップデートするための手順を書き残します。
データベース管理者がデータベースをアップデートするために実行できるSQLスクリプトを生成します。このオプションを選択する場合、スキーマファイルに名前を指定する必要もあります。設定はSQL出力ファイル環境設定内にあります。環境内にデータベースを作成または変更する許可がない場合は、このオプションを選択する必要があります。このファイルを使用してテーブルを作成する方法の詳細については、セクション 15.7.2, 手動によるデータベーススキーマの作成を参照してください。
データベース管理者
データベース管理者の名前とパスワードを表します。
データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。
データベース管理者のパスワードを指定します。
Reporting Database Connection (Reportingデータベース接続)
データベース管理者のホスト名とパスワードを表します。
データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。
データベース管理者のパスワードを指定します。
アップグレード前の概要ページを確認して、インストールをクリックします。
アップグレードプロセスにより、Tomcatサービスが停止し、アップグレードが開始されます。この処理は完了するまでしばらく時間がかかる場合があります。
アップグレードプロセスが完了したら、/tmp/rbpm_upgrade/からアップグレードログファイルを確認し、いくつかの設定を手動で更新する必要があります。セクション 32.5.7, アップグレード後のタスクを参照してください。
コンポーネントをインストールした場所に応じて、プロセスによりその場所にバックアップディレクトリが作成され、バックアップしたディレクトリに(バックアップの時間を示す)タイムスタンプが付加されます。
次に例を示します。
Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634
OSPおよびSSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634
ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634
ユーザアプリケーション - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634
Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634
Identity Applicationsをアップグレードした後で、次の操作を確実に実行します。
Tomcat、SSPR、OSP、またはIdentity Applicationsのカスタマイズされた設定を手動で復元する必要もあります。
必要なコンポーネントについてアップグレード後の手順を実行します。
新しいJREのアップグレード場所にある証明書(jre\lib\security\cacerts)を古いJREの場所を使用して確認します。証明書がない場合は、cacertsに手動でインポートします。
keytoolコマンドを使用して、java cacertsをインポートします。
keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts
メモ:アップグレード後、JREはアイデンティティアプリケーションのインストール場所に保存されます。たとえば、C:\NetIQ\idm\apps\jreです。
JREホームの場所がtomcat\bin\setenv.batであることを確認します。
設定更新ユーティリティを起動し、cacertsのパスを確認します。
(状況によって実行)アップグレードプロセスによって前に作成されたバックアップからカスタマイズされたファイルを復元するには、次のタスクを実行します。
カスタマイズされたHTTPS証明書を復元します。これらの証明書を復元するには、バックアップしたserver.xmlから\tomcat\confディレクトリの新しいserver.xmlファイルにJava Secure Socket Extension (JSSE)のコンテンツをコピーします。
バックアップしたTomcatディレクトリから新しいTomcatディレクトリに設定ファイルをコピーしないでください。新しいバージョンのデフォルトの設定から開始し、必要に応じて変更します。詳細については、ApacheのWebサイトを参照してください。
新しいserver.xmlファイルに、次のエントリがあることを確認します。
<Connector port="8543" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="path_to_keystore_file" keystorePass="keystore_password" /> <!-- <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/> -->
または
<Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="path_to_keystore_file" keystorePass="keystore_password" /> <!-- <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/> -->
メモ:クラスタ環境で、server.xmlのClusterタグを手動でコメント解除して、C:\netiq\idm\apps\osp_backup_<date>にある最初のノードからすべてのノードにosp.jksをコピーします。
カスタマイズしたキーストアファイルがある場合は、新しいserver.xmlファイルに正しいパスを含めてください。
Identity Applicationsの証明書を、C:\NetIQ\eDirectory\jre\lib\security\cacertsにあるアイデンティティボールトにインポートします。
たとえば、次のkeytoolコマンドを使用して、証明書をアイデンティティボールトにインポートすることができます。
keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts
(状況によって実行)ユーザアプリケーションに移動し、バックアップした設定を読み取ることにより、カスタマイズされた設定を手動で復元します。
アップグレードプロセス中に作成したバックアップからカスタマイズされたIdentity Applicationsの設定を復元します。
Identity Managerを4.5.6バージョンからアップグレードする場合、Identity Managerダッシュボードでのユーザのソート用に、各属性の複合インデックスを手動で作成する必要があります。複合インデックスの作成を参照してください。
configupdateユーティリティ(configupdate.bat)ファイルを起動します。
configupdate.bat.propertiesファイルで、use_consoleの値がfalseに設定されていることを確認します。
アイデンティティボールトサーバに接続し、eDirectory証明書を受け入れます。
SSOクライアントタブで、RBPMに移動して、詳細オプションの表示をクリックします。
RBPMからeDirectory SAMLへの設定を[自動]に設定します。
デフォルトでは、logevent.confファイルにあるLogHostエントリは、localhostに設定されています。
LogHostエントリを変更するには、アップグレードプロセス時に作成したバックアップからカスタマイズされたOSP設定を手動で復元します。
SSPRをアップグレードした後で、設定更新ユーティリティを使用してSSOクライアントパラメータを更新します。詳細については、「セクション 15.8.5, SSO Clients Parameters (SSOクライアントパラメータ)」の「セルフサービスパスワードリセット」を参照してください。
SSPR設定の詳細を更新するには、次の手順を実行します。
SSPRポータルに管理者としてログインします。
監査サーバの詳細を更新するには、次の手順を実行します。
YourID > Configuration Editor (環境設定エディタ)の順に移動して、設定パスワードを指定します。
設定 > Auditing > Audit Forwarding > Syslog Audit Server Certificatesの順に選択します。
サーバからこれらの証明書をインポートして、保存をクリックします。
SSPRにLocalDBをインポートします。
ドロップダウンメニューからYourID > Configuration Manager (環境設定マネージャ)の順に移動します。
LocalDBをクリックします。
Import (Upload) LocalDB Archive File (LocalDBアーカイブファイルのインポート(アップロード))をクリックします。
(状況によって実行) SSPRの設定を制限するには:
リストからYourID > Configuration Manager (環境設定マネージャ)の順に移動します。
Restrict Configuration (設定の制限)をクリックします。
SSPRの管理者許可を設定します。セクション 14.2.3, インストール後のタスクを参照してください。
アップグレードが正常に完了したことを確認するには、アップグレードしたコンポーネントを起動します。
たとえば、Identity Managerダッシュボードを起動し、バージョン情報をクリックします。アプリケーションが4.7.0などの新しいバージョンを示しているかどうかを確認します。
アップグレードユーティリティにより、コンピュータ上に新しいTomcatフォルダが作成されます。keytabやKerberos_login.configなどのKerberosファイルが古いTomcatフォルダ上にある場合は、バックアップしたフォルダから新しいTomcatフォルダにこれらのファイルをコピーします。