10.7 Identity Applicationsのアップグレード

このセクションでは、次のコンポーネントの更新を含む、Identity Applicationsおよびサポートするソフトウェアのアップグレードについて説明します。

  • Identity Managerユーザアプリケーション

  • Self-Service Password Reset (SSPR)

  • Tomcat、JDK、およびActiveMQ

  • PostgreSQLデータベース

  • OSP (One SSO Provider)

    重要:Identity Manager 4.8では、Identity ApplicationsとOSPを同じコンピュータにインストールすることが要求されます。このバージョンにアップグレードする場合は、Identity Applicationsのアップグレード時にインストールされるOSPを使用し、既存のOSPサーバから新しいOSPサーバにOSP設定をコピーします。詳細については、Identity Applicationsコンポーネントのアップグレード後のタスクを参照してください。

このセクションでは、次のトピックについて説明します。

10.7.1 アップグレードに関する考慮事項

Identity Applicationsアップグレードプロセスは、Identity Applicationsコンポーネントのアップグレード方法によって異なる場合があります。Identity Applicationsをアップグレードする前に、次の考慮事項が適用されます。

  • Identity Applicationsのアップグレードプロセスを開始する前に、OracleまたはMS SQLデータベースを使用している場合はigaworkflowdbを作成し、すべての権限をidmadminユーザに割り当ててデータベースを所有する必要があります。

  • Identity ApplicationsとSSPRが異なるサーバにインストールされている場合は、SSPRを個別にアップグレードすることを選択できます。

  • アップグレード中は、データベース名と他のデフォルト値を確認し、必要に応じて変更してください。

  • Identity Managerは、Identity ApplicationsサーバでのOSPのローカルインストールをサポートしています。アップグレードプログラムは、このバージョンへのOSPのスタンドアロンアップグレードをサポートせず、Identity Applicationsのアップグレード中にOSPの新しいコピーをインストールします。既存のOSP設定を新しくインストールされたOSPに復元するには、Identity Applicationsコンポーネントのアップグレード後のタスクOne SSO Providerを参照してください。

    表 10-1 Identity Applicationsのアップグレードプロセス

    Identity Applicationsの展開

    アップグレードプロセス

    Identity Applications、SSPR、およびOSPは同じサーバにインストールされています。

    すべてのコンポーネントをアップグレードするには、Identity Applicationsのアップグレードの手順に従ってください。

    Identity ApplicationsとOSPは同じサーバにインストールされています。SSPRは別のサーバにインストールされています。

    1. Identity ApplicationsとOSPをアップグレードするには、Identity Applicationsのアップグレードの手順に従ってください。

    2. 別のサーバのSSPRをアップグレードするには、SSPRのアップグレードの手順に従ってください。

    Identity Applicationsは、SSPRおよびOSPとは異なるサーバにインストールされています。この場合、SSPRはIdentity Applicationsサーバまたは別のサーバにインストールできます。ただし、OSPはIdentity Applicationsサーバにインストールされている必要があります。

    1. Identity ApplicationsとOSPをアップグレードするには、Identity Applicationsのアップグレードの手順に従ってください。

    2. 別のサーバのSSPRをアップグレードするには、SSPRのアップグレードの手順に従ってください。

    3. 設定更新ユーティリティを起動し、OSPがインストールされている新しいサーバの詳細を指定します。この場合、新しいサーバはIdentity Applicationsがインストールされているサーバです。詳細については、SSO Clients Parameters (SSOクライアントパラメータ)を参照してください。

10.7.2 システム要件

アップグレードプロセスにより、インストールされたコンポーネントの現在の設定のバックアップが作成されます。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。詳細については、NetIQ Identity Managerの技術情報Webサイトを参照してください。

10.7.3 アップグレードプログラムについて

アップグレードプロセスは、既存のコンポーネントから設定値を読み込みます。この情報には、ism-configuration.propertiesserver.xmlSSPRConfiguration、および他の設定ファイルが含まれます。これらの設定ファイルを使用すると、アップグレードプロセスにより、指定されたコンポーネントのアップグレードプログラムが内部的に起動します。アップグレードプログラムは現在のインストールのバックアップも作成します。

10.7.4 PostgreSQLのアップグレード

PostgreSQLをアップグレードするには次の手順を実行します。

  1. NetIQダウンロードWebサイトからIdentity_Manager_4.8_Linux.isoをダウンロードして展開します。

  2. /common/scriptsディレクトリに移動します。

  3. 次のコマンドを実行します。

    ./pg-upgrade.sh

  4. 以下の詳細を指定して、インストールを完了します。

    既存のPostgresインストール場所: PostgreSQLがインストールされる場所を指定します。デフォルトの場所は、/opt/netiq/idm/postgresです。

    メモ:Postgresユーザに/opt/netiq/idm/postgresディレクトリに対する適切な許可があることを確認してください。

    既存のPostgresデータディレクトリ: PostgreSQLデータディレクトリの場所を指定します。デフォルトの場所は、/opt/netiq/idm/postgres/dataです。

    既存のPostgresデータベースパスワード: PostgreSQLパスワードを指定します。

    新しいPostgresデータディレクトリ: 新しいPostgreSQLデータディレクトリを指定します。たとえば、/opt/netiq/idm/postgres_new/dataを指定します。

10.7.5 Identity Applicationsのコンポーネントのアップグレード

Identity Applicationsのドライバパッケージのアップグレード

Tomcatを停止し、ユーザアプリケーションドライバ、役割およびリソースサービスドライバのパッケージを最新バージョンに更新する必要があります。パッケージを最新バージョンにアップグレードする方法については、『NetIQ Designer for Identity Manager Administration Guide』の「Upgrading Installed Packages」を参照してください。

ユーザアプリケーションドライバパッケージをアップグレードした後、ワークフローテンプレートパッケージを手動で追加する必要があります。

  1. Designerで、[ユーザアプリケーションドライバ] > [プロパティ]に移動します。

  2. [パッケージ]をクリックして、をクリックします。

  3. Show only applicable package versions (適用可能なパッケージバージョンのみを表示する)チェックボックスを選択します。

  4. ワークフローテンプレートの作成を選択します。

  5. OKをクリックしてから、完了をクリックしてインストールを完了します。

  6. ユーザアプリケーションドライバを展開します。

重要:ユーザアプリケーションドライバのアップグレードの一環として、電子メール通知テンプレートがインストールまたはアップグレードされる場合は、デフォルトの通知コレクションオブジェクトを展開する必要があります。

Identity Applicationsのアップグレード

次の手順では、Identity Applicationsをアップグレードする方法について説明します。

  1. NetIQダウンロードWebサイトからIdentity_Manager_4.8_Linux.isoをダウンロードします。

  2. ダウンロード済みの.isoをマウントします。

  3. 次のコマンドを実行します。

    ./install.sh

  4. 使用許諾契約を読みます。

  5. 使用許諾契約の条項を確認し、「y」と入力します。

  6. Identity Applicationsをアップグレードするかどうかを指定します。使用可能なオプションは、yおよびnです。

  7. アップグレードを続行する場合、次の詳細を指定します。

    バックアップ用のOSPインストールフォルダ

    これは、OSPとIdentity Applicationsが同じサーバ上にある場合にのみ適用されます。

    OSPバックアップデータを格納するOSPバックアップフォルダを指定します。

    SSPR Installation Folder (SSPRインストールフォルダ)

    これは、SSPRとIdentity Applicationsが同じサーバ上にある場合にのみ適用されます。

    SSPRインストールフォルダを指定します。

    SSPR not found on system.Do you want to install & configure it? (SSPRがシステムに見つかりません。インストールして設定しますか?)

    これは、Identity ApplicationsとSSPRが異なるサーバ上にある場合にのみ適用されます。

    yを選択すると、SSPRはIdentity Applicationsと同じサーバにインストールされます。既存のカスタマイズ設定を、新しいSSPRインストール済みのサーバにコピーする必要があります。

    • [SSPR設定パスワード]: SSPR設定パスワードを指定します。

    • [One SSO Server DNS/IPアドレス]: OSPがインストールされるサーバのIPアドレスを指定します。

    • [One SSO Server SSLポート]: OSP SSLポートを指定します。

    nを選択すると、SSPRはインストールされず、Identity Applicationsはアップグレードされます。

    User Application Installation Folder (ユーザアプリケーションインストールフォルダ)

    ユーザアプリケーションインストールフォルダを指定します。

    Identity Applications One SSO Service Password (Identity ApplicationsのOne SSO Serviceパスワード)

    One SSOパスワードを指定します。指定されたパスワードは、設定更新ユーティリティで設定したすべてのクライアントのクライアントシークレットを更新します。必要に応じて、設定更新ユーティリティから各クライアントのパスワードをリセットできます。詳細については、SSO Clients Parameters (SSOクライアントパラメータ)を参照してください。

    Identity Applications Database JDBC jar file (Identity ApplicationsデータベースのJDBC jarファイル)

    データベースJARファイルを指定します。たとえば、PostgresQLデータベースを使用しており、同じサーバにインストールされている場合、既存のデータベースjarファイルのデフォルトの場所は/opt/netiq/idm/postgres/postgresql-9.4.1212.jarです。

    Create Schema for Identity Applications (Identity Applicationsのスキーマの作成)

    データベーススキーマをいつ作成するかを指定します。使用可能なオプションは、NowStartup、およびFileです。デフォルトのオプションはNowです。

    メモ:msSQLまたはOracleを使用してidmadminユーザにこのデータベースのすべての権限を割り当てる場合は、igaworkflowdbを作成する必要があります。

    Identity Applications Database User Password (Identity Applicationsデータベースユーザパスワード)

    データベースのユーザのパスワードを指定します。

    Identity Applications Database Administrator Password (Identity Applicationsデータベース管理者パスワード)

    データベースの管理者のパスワードを指定します。

  8. Tomcatを起動します。データベーススキーマを直ちに作成することを選ぶ場合は、Nowを選択します。

    systemctl start netiq-tomcat.service

    (オプション) アップグレード中に、データベーススキーマを作成するためにStartup (起動)またはWrite to file (ファイルへの書き込み)オプションを選択した場合は、ワークフローデータベースへのデータのマイグレーションに必要な手順を実行する必要があります。次のセクションでは、Startup (起動)またはWrite to file (ファイルへの書き込み)オプションを使用する場合のデータマイグレーションについて詳述します。

  9. NGINXサービスを再起動します。

    systemctl restart netiq-nginx.service

データベースの起動

重要:このセクションの手順に従って、Identity Manager 4.8 LinuxおよびWindows ISOファイルに付属のワークフローマイグレーションユーティリティを使用してデータをワークフローデータベースに移行します。ただし、更新されたワークフローマイグレーションツールは、Identity Applications Tools Patch 1パッケージ(1.0.0.0100)で利用できるようになりました。このパッチでは、より高速なマイグレーションを支援するため、新しいオプションを含む新しいワークフローマイグレーションコマンドユーティリティが追加されています。また、大規模なデータベースを移行する際のデータベースマイグレーションの失敗に関する重要な問題も解決しています。このパッチは、Software License and Download (ソフトウェアライセンスおよびダウンロード)ポータルからダウンロードできます。スムーズなデータベースマイグレーションのために最新のワークフローマイグレーションユーティリティを使用することをお勧めします。詳細については、『NetIQ Identity Manager 4.8 Identity Applications Tools Patch 1 Release Notes』を参照してください。

次の手順を実行して、Startupオプションの使用時にデータを移行します。

  1. WorkflowMigration.zipファイルを<location where you have mounted the ISO>/user_application/IDM_Tools/ディレクトリから/homeディレクトリにコピーし、ファイルを解凍します。

  2. jdbc.jar (例: sqljdbc42.jar)ファイルを/home/WorkflowMigration/WEB-INF/lib/ディレクトリにコピーし、ファイルの名前をjdbcDriver.jarに変更します。

  3. 役割とリソースサービスドライバを停止します。

  4. Tomcatを起動します。

  5. 次のコマンドを実行してデータをエクスポートします。

    メモ:データベースユーザにデータベースを変更するためのすべての権限があることを確認します。

    [postgres]  /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl jdbc:postgresql://ip:port/idmuserappdb -suser idmadmin -spwd ***** -sdb postgres
    [oracle] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl jdbc:oracle:thin:@IP:1521:idmdb -suser idmadmin -spwd ***** -sdb oracle
    [mssql] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl "jdbc:sqlserver://IP:1433;DatabaseName=idmuserappdb" -suser idmadmin -spwd ***** -sdb mssql

  6. 次のコマンドを実行してデータをインポートします。

    [postgres]  /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl jdbc:postgresql://ip:port/igaworkflowdb -duser idmadmin -dpwd ***** -ddb postgres
    [oracle]   /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl jdbc:oracle:thin:@IP:1521:igaworkflowdb -duser idmadmin -dpwd ***** -ddb oracle
    [mssql] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl "jdbc:sqlserver://IP:1433;DatabaseName=igaworkflowdb" -duser idmadmin -dpwd ***** -ddb mssql

  7. 役割とリソースサービスドライバを起動します。

SQLファイルへの書き込み

Write to SQLオプションの使用時にデータを移行するための次の手順を実行します。

  1. WorkflowMigration.zipファイルを<location where you have mounted the ISO>/user_application/IDM_Tools/ディレクトリから/homeディレクトリにコピーし、ファイルを解凍します。

  2. jdbc.jar (例: sqljdbc42.jar)ファイルを/home/WorkflowMigration/WEB-INF/lib/ディレクトリにコピーし、jdbcDriver.jarとファイルの名前を変更します。

  3. pgAdminなどの管理者ツールを使用して、ua_databaseschema.sqlおよびwfe_databaseschema.sqlスクリプトを実行して、スキーマが適切に作成されているかどうかを確認します。

    メモ:pgAdminツールを使用してua_databaseschema.sqlおよびwfe_databaseschema.sqlを実行する場合は、SQLファイルの両方の一行目を必ずをコメントアウトしてください。たとえば、SQLファイルを実行する前にStarting Liquibase at Fri, 11 Oct 2019 15:59:26 IST (version 3.7.0 built at 2019-07-16 02:32:57)行をコメントアウトする必要があります。

  4. 次のコマンドを実行してデータをエクスポートします。

    メモ:データベースユーザにデータベースを変更するためのすべての権限があることを確認します。

    [postgres]  /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl jdbc:postgresql://ip:port/idmuserappdb -suser idmadmin -spwd ***** -sdb postgres
    [oracle] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl jdbc:oracle:thin:@IP:1521:idmdb -suser idmadmin -spwd ***** -sdb oracle

    [mssql] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -e test.zip -surl "jdbc:sqlserver://IP:1433;DatabaseName=idmuserappdb" -suser idmadmin -spwd ***** -sdb mssql

  5. 次のコマンドを実行してデータをインポートします。

    [postgres]  /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl jdbc:postgresql://ip:port/igaworkflowdb -duser idmadmin -dpwd ***** -ddb postgres
    [oracle]   /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl jdbc:oracle:thin:@IP:1521:igaworkflowdb -duser idmadmin -dpwd ***** -ddb oracle
    [mssql] /opt/netiq/common/jre/bin/java -jar Workflow-Migration.jar -i test.zip -durl "jdbc:sqlserver://IP:1433;DatabaseName=igaworkflowdb" -duser idmadmin -dpwd ***** -ddb mssql

  6. Tomcatを起動します。

SSPRのアップグレード

SSPRがAdvanced EditionのIdentity Applicationsサーバとは異なるサーバにインストールされている場合、この方法を使用します。

これは、Standard EditionでSSPRをアップグレードする唯一の方法です。

SSPRをアップグレードするには:

  1. NetIQダウンロードWebサイトからIdentity_Manager_4.8_Linux.isoをダウンロードします。

  2. ダウンロード済みの.isoをマウントします。

  3. .isoファイルのルートディレクトリから、ssprディレクトリに移動します。

  4. 次のコマンドを実行します。

    ./install.sh

  5. 使用許諾契約を読みます。

  6. 使用許諾契約の条項を確認し、「y」と入力します。

  7. yを指定して、SSPRをアップグレードします。

  8. 識別ボールト管理者パスワードを指定して、アップグレードを完了します。

10.7.6 Identity Applicationsコンポーネントのアップグレード後のタスク

Identity Applicationsの使用を開始する前に、以下のタスクを実行します。

  • TomcatおよびActiveMQサービスの以前のバージョンを手動で削除します。たとえば、次のコマンドを実行します。

    /etc/init.d/idmapps_tomcat_init

    /etc/init.d/idmapps_activemq_init

  • Tomcat、SSPR、OSP、およびKerberosのカスタマイズされた設定を手動で復元する必要があります。

  • Identity ApplicationsとしてのCNでの証明書は、Identity Applicationsサーバのキーストア(idm.jks)に存在している必要があります。拡張Javaセキュリティの一環として、現在ではIdentity ApplicationsではOSPと通信するためのトラステッド証明書が必要です。

  • 既存のIdentity Applicationsキーストアファイルを使用して、署名済みの証明書をidm.jksにインポートします。次に例を示します。

    ./keytool -import -alias mycerts -keystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -file /opt/certs/chap8.der

    メモ:この手順は4.6.xから4.8へのアップグレードに必要です。

  • Identity Applicationsをクラスタ環境でアップグレードしている場合は、Identity Applicationsのアップグレード後に次の手順を実行する必要があります。

    • /opt/netiq/idm/apps/tomcat/confディレクトリに移動して、context.xmlファイルのContextタグに次の行を追加します。

      <Manager notifyListenersOnReplication="true" expireSessionsOnShutdown="false" className="org.apache.catalina.ha.session.DeltaManager"/>

    • /opt/netiq/idm/apps/tomcat/confディレクトリに移動して、server.xmlファイルのClusterタグに次の行を追加します。

      <Channel className="org.apache.catalina.tribes.group.GroupChannel">
            <Membership className="org.apache.catalina.tribes.membership.McastService"
                        address="228.0.0.4"
                        port="45564"
                        frequency="500"
                        dropTime="3000"/>
            <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                      address="auto"
                      port="5000"
                      selectorTimeout="100"
                      maxThreads="6"/>

            <Sender className="org.apache.catalina.tribes.transport.ReplicationTransmitter">
              <Transport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender"/>
            </Sender>
            <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpFailureDetector"/>
            <Interceptor className="org.apache.catalina.tribes.group.interceptors.MessageDispatchInterceptor"/>
            <Interceptor className="org.apache.catalina.tribes.group.interceptors.ThroughputInterceptor"/>
          </Channel>

          <Valve className="org.apache.catalina.ha.tcp.ReplicationValve"
                 filter=".*\.gif|.*\.js|.*\.jpeg|.*\.jpg|.*\.png|.*\.htm|.*\.html|.*\.css|.*\.txt"/>

          <Deployer className="org.apache.catalina.ha.deploy.FarmWarDeployer"
                    tempDir="/tmp/war-temp/"
                    deployDir="/tmp/war-deploy/"
                    watchDir="/tmp/war-listen/"
                    watchEnabled="false"/>

          <ClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener"/>

  • データベースがSSL経由で設定されている場合は、/opt/netiq/idm/apps/tomcat/conf/にあるパスから取得されるserver.xmlファイルでssl=truesslmode=requireに置き換えます。

    たとえば、次のように変更します。

    jdbc:postgresql://<postgres db>:5432/idmuserappdb?ssl=true

    変更先:

    jdbc:postgresql://<postgres db>:5432/idmuserappdb?sslmode=require

Tomcat

  • クラスタ環境で、server.xmlClusterタグを手動でコメント解除して、/opt/netiq/idm/apps/osp_backup_<date>にある最初のノードからすべてのノードにosp.jksをコピーします。

  • カスタマイズしたキーストアファイルがある場合は、新しいserver.xmlファイルに正しいパスを含めてください。

SSPR

Identity ApplicationsとSSPRが異なるサーバに展開されており、SSPRがインストールされている新しいサーバに既存のSSPRのカスタマイズされた設定を復元することを選択した場合、新しいSSPRサーバでConfigUpdateユーティリティを使用してSSPR設定を変更してください。詳細については、SSO Clients Parameters (SSOクライアントパラメータ)を参照してください。

One SSO Provider

アップグレード前のセットアップでIdentity ApplicationsとOSPが異なるサーバに展開されている場合、既存のOSP設定を、OSPがインストールされている新しいサーバ(Identity Applicationsサーバ)にコピーし、このサーバ上でインストールキットからmerge_jarsメソッドを実行して設定を復元します。

  1. Identity ApplicationsをアップグレードしたサーバでTomcatを停止します。(OSPはIdentity Applicationsのアップグレードでインストールされます)

  2. カスタマイズを復元します。

    1. 既存のOSPサーバのOSPインストールディレクトリに移動し、osp-custom-resource.jarファイルを見つけます。

      たとえば、/opt/netiq/backup_idm/osp/osp-extras/l10n-resources/osp-custom-resource.jarというファイルを見つけます。

    2. osp-custom-resource.jarファイルを、Identity Applicationsをアップグレードしたサーバ上の場所にコピーします。

    3. <location where you have mounted the Identity_Manager_4.8_Linux.iso>/osp/scripts/merge_cust_loc.shに移動します。

      このスクリプトには、既存のカスタマイズと新しくインストールされたOSPのマージを処理するmerge_jarsメソッドが含まれています。

    4. コマンドプロンプトを開き、次のコマンドを実行します。

      merge_jars ${IDM_BACKUP_FOLDER in the remote OSP server}/tomcat/lib/osp-custom-resource.jar ${IDM 4.8_OSP_INSTALLED_HOME}/osp-extras/l10n-resources/osp-custom-resource.jar)

      次に例を示します。

      merge_jars /opt/netiq/backup_idm/osp/osp-extras/l10n-resources/osp-custom-resource.jar /opt/netiq/idm/apps/osp/osp-extras/l10n-resources/osp-custom-resource.jar

      ここでbackup_idmディレクトリには、既存のOSPサーバのOSP設定が含まれます。

  3. OSPがインストールされている新しいサーバでTomcatを起動します。

その他の設定の更新については、SSO Clients Parameters (SSOクライアントパラメータ)を参照してください。

Kerberos

アップグレードユーティリティにより、コンピュータ上に新しいTomcatフォルダが作成されます。keytabKerberos_login.configなどのKerberosファイルが古いTomcatフォルダ上にある場合は、バックアップしたフォルダから新しいTomcatフォルダにこれらのファイルをコピーします。

10.7.7 アップグレード後のバージョン番号の確認

Identity Manager 4.8にアップグレードした後、コンポーネントが以下のバージョンにアップグレードされていることを確認します。

  • Tomcat – 9.0.22

  • ActiveMQ – 5.15.9

  • Java – 1.8.0_222

  • One SSO Provider – 6.3.6

  • セルフサービスパスワードリセット – 4.4.0.3