Identity Reportingのインストール後でも、さまざまなインストールプロパティを変更できます。変更するには、設定更新ユーティリティ(configupdate.sh)ファイルを実行します。
環境設定ツールでIdentity Reportingの設定を変更した場合、変更を反映するにはTomcatを再起動する必要があります。ただし、Identity ReportingのWebユーザインタフェースで変更を加えた場合は、サーバの再起動は必要ありません。
インストーラは、Identity Reporting用のデータ収集サービス用ドライバおよびManaged System Gateway Driverを作成して設定します。
Managed System Gateway Driverが設定されたら、KMOをSSL EC Certificate DNS (SSL EC証明書DNS)に変更することをお勧めします。KMOを変更するには、次の手順を実行します。
iManagerにログインします。
Identity Manager Administration (Identity Managerの管理) >Identity Managerの概要の順にクリックします。
ドライバセットオブジェクトを参照して選択し、検索をクリックします。
Managed System Gateway Driverアイコンの右上隅で、プロパティの編集をクリックします。
ドライバ環境設定タブで、次の手順を実行します。
Show connection parameters (接続パラメータの表示)フィールドからshow (表示)を選択します。
KMO Name (KMO名)フィールドで、値をSSL CertificateDNS (SSL証明書DNS)からSSL EC Certificate DNS (SSL EC証明書DNS)に変更します。
適用をクリックし、OKをクリックします。
Identity Reportingアプリケーションにログインします。
データソースをクリックします。
追加をクリックします。
データソースの追加ダイアログボックスで、事前定義リストから選択しますラジオボタンをクリックします。
IDMDCSDataSourceを選択します。
保存をクリックします。
Identity Reportingは、リモートのOracleデータベースに対してレポートを実行できます。Oracleデータベースを実行しているサーバにojbc8.jarファイルがあることを確認します。
インストール後にデータベーススキーマを手動で生成するには、データベースについて次のいずれかの手順を実行します。
/opt/netiq/idm/apps/IDMReporting/sql/にあるSQL、create_dcs_roles_and_schemas.sqlおよびcreate_rpt_roles_and_schemas.sqlを使用して、データベースに必要な役割を追加します。
postgresユーザとしてPGAdminにログインします。
クエリツールを実行します。
Create_rpt_roles_and_schemasおよびCreate_dcs_roles_and_schemasプロシージャを作成するには、これらのSQLからクエリツールにコンテンツをコピーして、接続されているデータベースに対して実行します。
IDM_RPT_DATA、IDM_RPT_CFG、およびIDMRPTUSER役割を作成するには、次のコマンドを指定された順序で実行します。
Select CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>', '<Set pwd for IDMRPTUSER>');Select CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>');
たとえば、IDM_RPT_DATA、IDMRPTUSER、およびIDM_RPT_CFGのパスワードが、それぞれpassword、password1、およびpassword2の場合、以下のコマンドを実行する必要があります。
Select CREATE_DCS_ROLES_AND_SCHEMAS('password', 'password1');Select CREATE_RPT_ROLES_AND_SCHEMAS('password2');get_formatted_user_dn.sqlのコンテンツを/opt/netiq/idm/apps/IDMReporting/sql/からクエリツールにコピーし、接続されたデータベースに対して実行します。
メモ:データベーススキーマ作成オプションとしてFileを選択した場合、get_formatted_user_dn.sql関数を手動で追加する必要があります。データベーススキーマ作成オプションとしてNowまたはStartupを選択した場合、インストーラはこの関数をデータベースに追加します。
/opt/netiq/idm/apps/IDMReporting/sql/からcreate_dcs_roles_and_schemas-orcale.sqlおよびcreate_rpt_roles_and_schemas-orcale.sqlを使用して、データベースに必要な役割を追加します。
データベース管理者(sysdba)ユーザとしてSQL Developerにログインします。
Create_rpt_roles_and_schemasおよびCreate_dcs_roles_and_schemasプロシージャを作成するには、これらのSQLからSQL Developerにコンテンツをコピーして、接続されているデータベースに対して実行します。
IDM_RPT_DATA、IDM_RPT_CFG、およびIDMRPTUSER役割を作成するには、次のコマンドを指定された順序で実行します。
begin
CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>', '<Set pwd for IDMRPTUSER>');
end;
begin
CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>');
end;
たとえば、IDM_RPT_DATA、IDMRPTUSER、およびIDM_RPT_CFGのパスワードが、それぞれpassword、password1、およびpassword2の場合、以下のコマンドを実行する必要があります。
begin
CREATE_DCS_ROLES_AND_SCHEMAS('password', 'password1');
end;
begin
CREATE_RPT_ROLES_AND_SCHEMAS('password2');
end; 次の許可を割り当てます。
GRANT CREATE PUBLIC SYNONYM to IDM_RPT_CFG;
get_formatted_user_dn-oracle.sqlのコンテンツを/opt/netiq/idm/apps/IDMReporting/sql/からSQL Developerにコピーし、接続されたデータベースに対して実行します。
メモ:データベーススキーマ作成オプションとしてFileを選択した場合、get_formatted_user_dn-oracle.sql関数を手動でデータベースに追加する必要があります。データベーススキーマ作成オプションとしてNowまたはStartupを選択した場合、インストーラはこの関数をデータベースに追加します。
delete_create_dcs_roles_and_schemas-mssql.sqlおよびdelete_get_formatted_user_dn-mssql.sqlを実行します。
/opt/netiq/idm/apps/IDMReporting/sql/からcreate_dcs_roles_and_schemas.mssqlおよびcreate_rpt_roles_and_schemas.mssqlを使用して、データベースに必要な役割を追加します。
データベース管理者ユーザとしてSQL Developerにログインします。
Create_rpt_roles_and_schemasおよびCreate_dcs_roles_and_schemasプロシージャを作成するには、コンテンツをcreate_dcs_roles_and_schemas.mssqlおよびcreate_rpt_roles_and_schemas.mssqlからSQL Developerにコピーし、接続されたデータベースに対して実行します。
IDM_RPT_DATA、IDM_RPT_CFG、およびIDMRPTUSER役割を作成するには、次のコマンドを指定された順序で実行します。
execute CREATE_DCS_ROLES_AND_SCHEMAS '<Set pwd for IDM_RPT_DATA>', '<Set pwd for IDMRPTUSER>'
execute CREATE_RPT_ROLES_AND_SCHEMAS \'<Set pwd for IDM_RPT_CFG>\'
get_formatted_user_dn.sqlのコンテンツを/opt/netiq/idm/apps/IDMReporting/sql/からSQL Developerにコピーし、接続されたデータベースに対して実行します。
/opt/netiq/idm/apps/IDMReporting/sqlで次の.sqlファイルを見つけます。
DbUpdate-001-run-as-idm_rpt_data.sql
DbUpdate-01-run-as-idm_rpt_cfg.sql
DbUpdate-02-run-as-idm_rpt_cfg.sql
DbUpdate-03-run-as-idm_rpt_data.sql
DbUpdate-04-run-as-idm_rpt_data.sql
DbUpdate-05-run-as-idm_rpt_data.sql
DbUpdate-06-run-as-idm_rpt_cfg.sql
データベースチェックサムをクリアします。
各.sqlでclearchsumコマンドを実行するには、各ファイルの初めに次の行を追加します。
update DATABASECHANGELOG set MD5SUM = NULL go
変更されたコンテンツは次のようになるはずです。
-- ********************************************************************* -- Update Database Script -- ********************************************************************* -- Change Log: IdmDcsDataDropViews.xml -- Ran at: 2/23/18 5:17 PM -- Against: IDM_RPT_CFG@jdbc:oracle:thin:@192.168.0.1:1521/orcl -- Liquibase version: 3.5.1 -- ********************************************************************* update databasechangelog set md5sum = null go
対応するユーザで各.sqlを実行します。
データベースに変更をコミットします。
以前のバージョンのIdentity Managerでは、文字制限により、長いデータフィールドでIdentity Reportingサーバとデータを同期できませんでした。Identity Manager 4.8では、次のテーブルおよびその各カラムに対して、PostgreSQL、Oracle、およびMS SQLデータベースでの文字制限を増やすオプションが提供されています。
|
テーブルの名前 |
カラムの名前 |
|---|---|
|
idm_rpt_data.idmrpt_idv_ent_bindings |
ent_param_str |
|
idm_rpt_data.idmrpt_idv_ent_bindings |
ent_param_val |
|
idm_rpt_data.idmrpt_idv_identity_trust |
idv_ent_ref |
|
idm_rpt_data.idmrpt_idv_identity_trust |
trust_params |
|
idm_rpt_data.idmrpt_idv_ent_bindings_hist |
ent_param_str |
|
idm_rpt_data.idmrpt_idv_ent_bindings_hist |
ent_param_val |
|
idm_rpt_data.idmrpt_idv_identity_trust_hist |
idv_ent_ref |
|
idm_rpt_data.idmrpt_idv_identity_trust_hist |
trust_params |
PostgreSQLの場合、Identity Manager 4.8では、上記のテーブルで示すすべてのフィールドに対して文字制限が自動的に増やされています。
Oracleの場合、/opt/netiq/idm/apps/IDMReporting/sql/ディレクトリからalter_column_length-oracle.sqlスクリプトを実行して、上記のテーブルで示すすべてのカラムに対して文字制限を増やす必要があります。
MS SQLの場合、/opt/netiq/idm/apps/IDMReporting/sql/ディレクトリからalter_column_length-mssql.sqlスクリプトを実行して、インデックス付きカラムのみに文字制限を増やす必要があります。この場合、ENT_PARAM_STRは、テーブルidmrpt_idv_ent_bindingsの下の唯一のインデックス付きカラムです。
Identity Reportingには、レポーティング機能内でさまざまな機能を可能にする複数のREST APIが組み込まれています。これらのREST APIは認証にOAuth2プロトコルを使用します。
Tomcatでは、Identity Reportingがインストールされるときに、rptdoc warおよびdcsdoc warが自動的に展開されます。
PostgreSQLデータベースが別のサーバにインストールされている場合は、リモートデータベースのpostgresql.confおよびpg_hba.confファイルのデフォルト設定を変更する必要があります。
postgresql.confファイルのリスニングアドレスを変更します。
デフォルトでは、PostgreSQLはlocalhost接続をリスンできます。リモートTCP/IP接続は許可されません。リモートTCP/IP接続を許可するには、/opt/netiq/idm/postgres/data/postgresql.confファイルに次のエントリを追加します。
listen_addresses = '*'
サーバ上に複数のインタフェースがある場合は、リスンされる特定のインタフェースを指定できます。
pg_hba.confファイルにクライアント認証エントリを追加します。
デフォルトで、PostgreSQLはlocalhostからの接続のみを受諾します。リモート接続は拒否します。これは、有効なパスワード(md5キーワード)を入力したユーザにはIPアドレスからのログインを許可する、アクセス制御ルールを適用することによって制御されます。リモート接続を受け入れるには、/opt/netiq/idm/postgres/data/pg_hba.confファイルに次のエントリを追加します。
host all all 0.0.0.0/0 md5
たとえば、192.168.104.24/26 trustです。
これはIPv4アドレスに対してのみ機能します。IPv6アドレスの場合、次のエントリを追加します。
host all all ::0/0 md5
特定のネットワーク上にある複数のクライアントコンピュータからの接続を許可する場合は、このエントリにCIDRアドレス形式でネットワークアドレスを指定します。
pg_hba.confファイルは、次のクライアント認証形式をサポートしています。
ローカルデータベースユーザ認証方法[認証オプション]
ホストデータベースユーザCIDRアドレス認証方法[認証オプション]
hostsslデータベースユーザCIDRアドレス認証方法[認証オプション]
hostnosslデータベースユーザCIDRアドレス認証方法[認証オプション]
CIDRアドレス形式の代わりに、次の形式を使用して別のフィールドにIPアドレスとネットワークマスクを指定できます。
ホストデータベースユーザIPアドレスIPマスク認証方法[認証オプション]
hostsslデータベースユーザIPアドレスIPマスク認証方法[認証オプション]
hostnosslデータベースユーザIPアドレスIPマスク認証方法[認証オプション]
リモート接続をテストします。
リモートPostgreSQLサーバを再起動します。
ユーザ名とパスワードを使用してリモートでサーバにログインします。