20.3 Identity ApplicationsとIdentity Reportingのトラブルシューティング

次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQの担当者にお問い合わせください。

項目

推奨されるアクション

ダッシュボードページの役割ウィジェットとセルフタスクウィジェットには、データは表示されません。ブラウザのコンソールでチェックする場合、404エラーが表示されます。この問題は、デフォルトのIDMProv展開コンテキストがカスタムコンテキストに変更された場合に発生します。

この問題を解決するには、影響を受けるウィジェットのREST API URLを変更する必要があります。次の手順を実行します。

  1. Identity Managerダッシュボードに管理者としてログインします。

  2. ダッシュボードページに移動して、ダッシュボードの管理をクリックします。

  3. 役割ウィジェットのウィジェット設定を編集するには、次の手順を実行します。

    1. をクリックします。

    2. URLフィールドで、デフォルトのIDMProvコンテキストを次のようにカスタムコンテキストに変更します: /<custom-context>/rest/access/assignments/advanced?nextIndex=1&sortBy=name&sortOrder=ASC&forceRefresh=true&searchScope=role&size=20

      ここで、<custom-context>はIdentity Manager展開で使用しているコンテキストです。

    3. 適用をクリックします。

  4. セルフタスクウィジェットのウィジェット設定を編集するには、次の手順を実行します。

    1. をクリックします。

    2. URLフィールドで、デフォルトのIDMProvコンテキストを次のようにカスタムコンテキストに変更します: /<custom-context>/rest/access/tasks/list?fromIndex=1&size=10&q=*&sortOrder=asc&sortBy=createTime&assignedTo=assignedTo&recipient=recipientAsMe&expireUnit=weeks&expireWithin=&proxyUser=&assignStatus=&delegatedTasks=false&status=

    3. 適用をクリックします。

  5. 編集完了をクリックします。

証明書サブジェクトで指定されたLDAPサーバ名とアプリケーション設定が異なる場合、Identity Managerのアップグレード後にIdentity Applicationsがアイデンティティボールトに接続できません。

JavaではLDAPS接続でエンドポイントを識別できるため、Identity Managerサーバへの接続時に指定したサーバ名と証明書で返されたサーバ名が同じであることが要求されます。サーバ名が異なる場合は、次の手順を実行します。

  1. /opt/netiq/idm/apps/configupdateディレクトリに移動します。

  2. 次のコマンドを実行して、設定更新ユーティリティを起動します。

    ./configupdate.sh

  3. ユーザアプリケーションタブに移動して、Identity Vault server (アイデンティティボールトサーバ)をクリックし、サーバ名をLDAPサーバ証明書サブジェクトで指定された名前に変更します。

    このアクションは、ism-configuration.propertiesファイルのDirectoryService/realms/jndi/params/AUTHORITY propertyを更新します。

  4. OKをクリックします。

Identity ApplicationsとIdentity Reportingが同じサーバにインストールされ、<reporting install folder>/binディレクトリにある設定更新ユーティリティを使用して設定変更を実行する場合は、Identity Managerダッシュボードが起動に失敗します。次のエラーがcatalina.outログファイルで報告されます。

EboPortalBootServlet [RBPM] +++++WARNING!!!! : This portal application context, IDMProv, does not match the portal.context property set in the PortalService-conf/config.xml file.Only one portal per database is allowed.Data has been loaded using the previous portal context.To correct this you must revert back to the previous portal name of, NoCacheFilter, please consult the documentation.

設定変更については、/opt/netiq/idm/apps/configupdate/ディレクトリにある設定更新ユーティリティを使用します。

設定更新ユーティリティを使用してプロパティのパスワードを変更することはできません。

次の手順を実行して、コマンドラインから、com.netiq.rpt.ssl-keystoreのようなプロパティのパスワードを変更することができます。

  1. パスワードを暗号化するには、次のユーティリティを使用します。

    /opt/netiq/common/jre/bin/java -jar tomcat/lib/obscurity-0.7.0-uber.jar <<Password>>

  2. /opt/netiq/idm/apps/tomcat/conf/ディレクトリにあるism-configuration.propertiesファイルに移動します。

  3. ism-configuration.propertiesファイルを変更して、com.netiq.rpt.ssl-keystore.pwdパラメータの手順2で指定された暗号化パスワードを追加します。

  4. ファイルを保存し、Tomcatを再起動します。

Identity Reportingがスタンドアロンサーバ上にインストールされていて、ダッシュボードからIdentity ReportingまたはIDM DCS URLを起動する場合、URLは起動に失敗します。

Identity ReportingまたはIDM DCS URLを起動した後で、次の手順を実行します。

  1. アドレスバーに移動します。

  2. URLを変更し、Identity Reportingがインストールされているサーバのホスト名とポートの詳細を手動で提供します。

それに加えて、Identity Applicationsがインストールされているサーバ上のconfigupdate.sh.propertiesファイルに移動して、sso_appsパラメータのrptと呼ばれるエントリを追加し、変更内容を保存します。例: sso_apps=ua,rpt

Identity ApplicationsとIdentity Reportingが同じサーバにインストールされ、OSPとIdentity ApplicationsのCEF監査が有効になっている場合、Reportingコンポーネントは起動に失敗します。

この問題を回避するには、次の手順を実行します。

  1. /opt/netiq/idm/apps/tomcat/confディレクトリにあるidmrptcore_logging.xmlファイルに移動します。

  2. <keystore file>パラメータを追加し、idmrptcore_logging.xmlファイルでキーストアファイルパスを指定します。たとえば、次の行を追加します。

    <keystore-file>/opt/netiq/idm/app/tomcat/conf/idm.jks</keystore-file>

  3. Tomcatを再起動します。

Identity ApplicationsおよびIdentity Reportingが同じサーバ上にインストールされている場合、データベース作成オプションとしてStartupを選択すると、いくつかの例外がログに記載されます。

これらの例外をクリアするには、Tomcatを手動で再起動します。

既存のIdentity ApplicationsまたはIdentity Reporting環境設定がポートなしで設定されている場合、Identity Managerにアップグレードしようとすると、設定更新ユーティリティの認証およびSSOクライアントタブに記載されているIPアドレスとポートに誤った値が表示されます。

Identity ApplicationsとIdentity Reportingをアップグレードしたら、以下の手順を実行します。

  1. /opt/netiq/idm/apps/configupdateディレクトリに移動します。

  2. 次のコマンドを実行します。

    ./configupdate.sh

  3. 認証タブで、OAuthサーバのホスト識別子およびOAuthサーバのTCPポートフィールドにそれぞれ正しいIPアドレスとポートを指定します。

  4. SSOクライアントタブで、IDM Administrator、Reporting、およびIDMデータ収集サービスのURLが正しい形式であることを確認します。

  5. Tomcatを再起動します。

インストール時に作成された次のユーザアプリケーション環境設定を1つまたは複数変更する必要がある。

  • 識別ボールトの接続および証明書

  • 電子メール設定

  • Identity Managerエンジンのユーザ識別情報とユーザグループ

  • Access ManagerまたはiChainの設定

インストーラとは別に、環境設定ユーティリティを実行します。

Linux: インストールディレクトリ(デフォルトでは/opt/netiq/idm/apps/configupdate/)から次のコマンドを実行します。

./configupdate.sh

Tomcatを起動すると次の例外が発生する。

port 8180 already in use

すでに実行されているTomcat (または他のサーバソフトウェア)のすべてのインスタンスをシャットダウンします。8180以外のポートを使用するようにTomcatを再設定する場合は、ユーザアプリケーションドライバのconfig設定を編集します。

Tomcatを起動すると、トラステッド証明書が見つからないと報告される。

ユーザアプリケーションのインストール時に指定したJDKを使用してTomcatを起動していることを確認します。

ポータル管理ページにログインできない。

ユーザアプリケーション管理者アカウントが存在することを確認します。このアカウントは、iManager管理者アカウントと同じではありません。

管理者アカウントを使用しても、新しいユーザを作成できない。

ユーザアプリケーション管理者は、最上位コンテナのトラスティである必要があり、スーパバイザ権が必要です。ユーザアプリケーション管理者の権利をLDAP管理者と同等の権利に設定することを試すことができます(iManagerを使用)。

アプリケーションサーバを起動すると、キーストアエラーが発生する。

アプリケーションサーバが、ユーザアプリケーションのインストール時に指定したJDKを使用しない。

次のようにkeytoolコマンドを使用して、証明書ファイルをインポートします。

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

  • aliasNameは、この証明書に選択した一意の名前に置き換えます。

  • certFileは、証明書ファイルのフルパスおよび名前に置き換えます。

  • デフォルトのキーストアパスワードは、changeitです(別のパスワードがある場合は、それを指定します)。

電子メール通知が送信されない。

configupdateユーティリティを実行して、ユーザアプリケーション環境設定パラメータの電子メールの送信者と電子メールホストに値を指定したかどうかを確認します。

Linux: インストールディレクトリ(デフォルトでは/opt/netiq/idm/apps/configupdate/)から次のコマンドを実行します。

./configupdate.sh

IG SSOクライアントタブは、設定更新ユーティリティに表示されません

configupdate.sh.propertiesファイルで、sso_appsパラメータにigのエントリを追加し、変更内容を保存します。sso_appsパラメータにすでにIdentity ApplicationsおよびIdentity Reportingのエントリが含まれている場合、Identity Governanceのエントリをリストに追加します。たとえば、sso_apps=ua,rpt,igを追加します。