このセクションでは、ランタイム環境が正常に動作していることを確認するために実行する必要がある追加の設定手順について説明します。さらに、トラブルシューティングの手法に加え、注意を要するデータベーステーブルに関する情報についても説明します。
このプロセスには次の作業が含まれます。
理解が困難な問題が1つ以上のドライバで発生する場合は、『NetIQ Identity Reporting Module Guide』の「Troubleshooting the Drivers」を参照してください。
識別情報アプリケーションをIdentity Reportingと適切に連携させるには、OAuthプロトコルをサポートするようにDCSドライバを設定する必要があります。
メモ:
現在の環境でIdentity Reportingを使用している場合は、DCSドライバをインストールして設定するだけで済みます。
現在の環境でDCSドライバが複数設定されている場合は、各ドライバに対して次の手順を実行する必要があります。
Designerにログインします。
Designerでプロジェクトを開きます。
(状況によって実行) DCSドライバをサポートされているパッチバージョンにまだアップグレードしていない場合は、次の手順を実行します。
最新のDCSドライバパッチファイルをダウンロードします。
パッチファイルをサーバ上の場所に展開します。
ターミナルで、ご使用の環境用のパッチRPMを展開した場所へ移動し、次のコマンドを実行します。
rpm -Uvh novell-DXMLdcs.rpm
アイデンティティボールトを再起動します。
Designerで、サポートされているバージョンのデータ収集サービスベースパッケージがインストールされていることを確認します。必要に応じて、続行する前に最新バージョンをインストールします。
DesignerでDCSドライバを再展開して再起動します。
[アウトライン]ビューで、DCSドライバを右クリックし、プロパティを選択します。
ドライバ環境設定をクリックします。
ドライバパラメータタブをクリックします。
Show connection parameters (接続パラメータの表示)をクリックし、show (表示)を選択します。
SSO Service Support (SSOサービスのサポート)をクリックし、はいを選択します。
Identity ReportingのIPアドレスとポートを指定します。
SSOサービスクライアントのパスワードを指定します。デフォルトのパスワードはdriverです。
適用をクリックし、OKをクリックします。
アウトラインビューで、DCSドライバを右クリックし、プロパティ]>[展開の順に選択します。
展開をクリックします。
DCSドライバの再起動を求めるプロンプトが表示される場合は、はいをクリックします。
OKをクリックします。
オブジェクトを識別情報ウェアハウスに同期するには、データ収集サービスドライバを移行する必要があります。
iManagerにログインします。
データ収集サービスドライバの概要パネルで、Migrate From Identity Vault (識別ボールトからの移行)を選択します。
関連データが含まれる組織を選択して、開始をクリックします。
メモ:保存されているデータの量によっては、マイグレーションプロセスに数分かかる場合があります。次に進む前にマイグレーションプロセスが完了するまで待ってください。
マイグレーションプロセスが終わるまでしばらく待ちます。
識別ボールト内にある識別情報とアカウントの情報を提供するidmrpt_identityテーブルおよびidmrpt_acctテーブルに、次のタイプの情報が含まれていることを確認します。
LDAPブラウザで、マイグレーションプロセスによって[DirXML-Associations (DirXML関連付け)]に次の参照が追加されていることを確認します。
各ユーザについて次のタイプの情報を確認します。
各グループについて次のタイプの情報を確認します。
idmrpt_groupテーブルのデータが次の情報のように表示されることを確認します。
このテーブルには、各グループの名前のほかに、そのグループが動的であるか、それともネストされているかを示すフラグが表示されます。さらに、グループが移行済みかどうかも表示されます。オブジェクトがユーザアプリケーションで変更されているものの、まだ移行されていない場合、同期ステータス(idmrpt_syn_state)が0に設定されている可能性があります。たとえば、ユーザをグループに追加し、ドライバがまだ移行されていない場合、この値が0に設定されている可能性があります。
(オプション)次のテーブルのデータを確認します。
idmrpt_approver
idmrpt_association
idmrpt_category
idmrpt_container
idmrpt_idv_drivers
idmrpt_idv_prd
idmrpt_role
idmrpt_resource
idmrpt_sod
(オプション)管理対象システムのゲートウェイドライバのデータ収集状態に関する情報が表示されるidmrpt_ms_collect_stateテーブルに新しい行が含まれていることを確認します。
このテーブルには、管理対象システムのどのRESTエンドポイントが実行されたかに関するデータが記録されます。この時点では、まだこのドライバのデータ収集プロセスを開始していないため、テーブルに行はありません。
デフォルトのデータ収集スキームに含まれないカスタム属性とカスタムオブジェクトのデータを収集して永続化するよう、データ収集サービスドライバを設定できます。このためには、データ収集サービスドライバフィルタを変更する必要があります。フィルタを変更しても、オブジェクトの同期はすぐにはトリガされません。その代わりに、新しく追加した属性とオブジェクトは、識別ボールトで追加、変更、または削除イベントが発生したときにデータ収集サービスに送信されます。
カスタム属性とカスタムオブジェクトのサポートを追加する場合、レポートを変更して拡張属性と拡張オブジェクトの情報を組み込む必要があります。拡張オブジェクトと拡張属性に関する最新データと履歴データは、次のビューで提供されます。
idm_rpt_cfg.idmrpt_ext_idv_item_v
idm_rpt_cfg.idmrpt_ext_item_attr_v
このプロセスには次の作業が含まれます。
任意のオブジェクトまたは属性をデータ収集サービスフィルタポリシーに追加できます。新しいオブジェクトまたは属性を追加する場合、GUID (購読者同期を使用)およびオブジェクトクラス(購読者通知を使用)をマップする必要があります。次に例を示します。
<filter-class class-name="Device" publisher="ignore" publisher-create-homedir="true" publisher-track-template-member="false" subscriber="sync"> <filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> <filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceModel" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceType" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> </filter-class>
データベースにオブジェクトの名前と設定を指定する場合、_dcsNameおよび_dcsDescriptionに対するスキーママッピングポリシーを追加する必要があります。このスキーママッピングポリシーは、オブジェクトインスタンスの属性値をそれぞれ列idmrpt_ext_idv_item.item_nameおよびidmrpt_ext_idv_item.item_descにマップします。スキーママッピングポリシーを追加しない場合、属性は子テーブルidmrpt_ext_item_attrで設定されます。
次に例を示します。
<attr-name class-name="Device"> <nds-name>CN</nds-name> <app-name>_dcsName</app-name> </attr-name> <attr-name class-name="Device"> <nds-name>Description</nds-name> <app-name>_dcsDescription</app-name> </attr-name>
次のSQLの例では、データベース内にあるこれらのオブジェクトと属性の値を表示できます。
SELECT item.item_dn, item.item_name, item.item_desc, attr.attribute_name, itemAttr.attribute_value, item.idmrpt_deleted as item_deleted, itemAttr.idmrpt_deleted as attr_deleted, item.item_desc, obj.object_class FROM idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj WHERE item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id ORDER BY item.item_dn, item.item_name
属性をデータ収集サービスドライバのフィルタポリシーに追加し、XML参照ファイル(IdmrptIdentity.xml)でレポーティングデータベースに明示的にマップしていない場合、値にはidmrpt_ext_attrテーブルの属性参照が取り込まれ、idmrpt_ext_item_attrテーブルで管理されます。
次のSQLの例は、これらの拡張属性を示しています。
SELECT acct.idv_acct_dn, attrDef.attribute_name, attribute_value, attrVal.idmrpt_valid_from, cat_item_attr_id, attrVal.idmrpt_deleted, attrVal.idmrpt_syn_state FROM idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY'
ユーザオブジェクトのほかに、次のオブジェクトのフィルタポリシーにも拡張属性を追加し、データベースにそれらの属性を入力できます。
nrfRole
nrfResource
コンテナ
メモ:インストールした製品はorganizationUnit、Organization、およびDomainをサポートしています。コンテナタイプはidmrpt_container_typesテーブルで管理されます。
グループ
nrfSod
拡張属性と親テーブルまたはオブジェクトの関連付けは、idmrpt_cat_item_types.idmrpt_table_name列を参照することで確認できます。この列には、idm_rpt_data.idmrpt_ext_item_attr.cat_item_id列を親テーブルのプライマリキーに結合する方法が記述されています。
Data Collection Service Scopingパッケージ(NOVLDCSSCPNG)は、複数のドライバセットと、データ収集サービスドライバおよび管理対象システムのゲートウェイドライバのペアを複数使用するエンタープライズ環境において、静的および動的なスコープ設定機能を実現します。
インストール中またはインストール後に、このパッケージをインストールするデータ収集サービスドライバの役割を決定する必要があります。次のいずれかの役割を選択する必要があります。
プライマリ このドライバは、他のドライバセットのサブツリーを除くすべてを同期します。プライマリデータ収集サービスドライバは、識別ボールト全体にサービスを提供したり、1つ以上のセカンダリドライバと連携して動作したりする可能性があります。
セカンダリ このドライバは専用のドライバセットのみを同期し、それ以外は何も同期しません。通常、セカンダリデータ収集サービスドライバには、別のドライバセットで実行されているプライマリドライバが必要です。そうでない場合、ローカルドライバセットの外部にあるデータはデータ収集サービスに送信されません。
Custom 管理者はカスタムスコープ設定ルールを定義できます。暗黙のスコープはローカルドライバセットのみで、それ以外は、カスタムスコープのリストに明示的に追加されていない限り、すべてスコープの範囲外とみなされます。カスタムスコープは、同期するサブオーディネートまたはサブツリーが含まれる識別ボールト内にあるコンテナのスラッシュ形式の識別名です。
このスコープ設定パッケージが必要になるのは、次に挙げるような特定の設定シナリオのみです。
1つのサーバと、1つのドライバセットの識別ボールト。: このシナリオでは、スコープを設定する必要がないため、スコープ設定パッケージをインストールする必要はありません。
複数のサーバと、1つのドライバセットの識別ボールト。: このシナリオでは、次のガイドラインに従う必要があります。
Identity Managerサーバがデータ収集元の全パーティションのレプリカを保持する必要があります。
このシナリオでは、スコープ設定は必要ないため、スコープ設定パッケージはインストールしません。
複数のサーバと、複数のドライバセットの識別ボールト。: このシナリオでは、次の2つの基本設定があります。
すべてのサーバがデータ収集元の全パーティションのレプリカを保持する設定。
この設定では、次のガイドラインに従う必要があります。
複数のDCSドライバによって同じ変更が処理されるのを避けるため、スコープ設定が必要です。
すべてのDCSドライバにスコープ設定パッケージをインストールする必要があります。
1つのDCSドライバをプライマリドライバとして選択する必要があります。
他のDCSドライバはすべてセカンダリドライバになるように設定する必要があります。
すべてのサーバがデータ収集元の全パーティションのレプリカを「保持しない」設定。
この設定では、次の2つの状況が考えられます。
データ収集元の全パーティションは「1つの」Identity Managerサーバによってのみ保持されます。
この場合、次のガイドラインに従う必要があります。
複数のDCSドライバによって同じ変更が処理されるのを避けるため、スコープ設定が必要です。
すべてのDCSドライバにスコープ設定パッケージをインストールする必要があります。
すべてのDCSドライバをプライマリドライバになるように設定する必要があります。
データの収集元の全パーティションは「1つのIdentity Managerサーバのみによって保持されません」(一部のパーティションは複数のIdentity Managerサーバで保持されます)。
この場合、次のガイドラインに従う必要があります。
複数のDCSドライバによって同じ変更が処理されるのを避けるため、スコープ設定が必要です。
すべてのDCSドライバにスコープ設定パッケージをインストールする必要があります。
すべてのDCSドライバをプライマリドライバになるように設定する必要があります。
各ドライバに対してカスタムスコープ設定ルールを定義し、作成したスコープが重複していないことを確認する必要があります。
リモートモードで実行する場合、データ収集サービスドライバおよび管理対象のシステムゲートウェイドライバを、SSLを使用するように設定できます。このセクションでは、SSLを使用してリモートモードで実行されるようにドライバを設定する手順について説明します。
管理対象システムのゲートウェイドライバに対してキーストアを使用してSSLを設定する
iManagerでサーバ証明書を作成します。
Roles and Tasks (役割とタスク)ビューで、NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)の順にクリックします。
管理対象システムのゲートウェイドライバがインストールされているサーバオブジェクトを参照して選択します。
証明書のニックネームを指定します。
作成方法としてStandard (標準)を選択し、次へをクリックします。
終了をクリックし、閉じるをクリックします。
iManagerを使用してサーバ証明書をエクスポートします。
Roles and Tasks (役割とタスク)ビューで、NetIQ Certificate Access (NetIQ証明書アクセス)]>[Server Certificates (サーバ証明書)の順にクリックします。
ステップ 1で作成した証明書を選択して、エクスポートをクリックします。
証明書メニューで、証明書の名前を選択します。
Export private key (秘密鍵のエクスポート)がオンになっていることを確認します。
パスワードを入力し、次へをクリックします。
Save the exported certificate (エクスポートされた証明書の保存)をクリックし、エクスポートされたpfx証明書を保存します。
ステップ 2でエクスポートしたpfx証明書をJavaキーストアにインポートします。
Javaに付属するキーツールを使用します。JDK 6以上を使用する必要があります。
コマンドプロンプトで次のコマンドを入力します。
keytool -importkeystore -srckeystore pfx certificate -srcstoretype PKCS12 -destkeystore Keystore Name
次に例を示します。
keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12 -destkeystore msgw.jks
要求されたときにはパスワードを入力してください。
iManagerを使用して、このキーストアを使用するように管理対象システムのゲートウェイドライバの設定を変更します。
Identity Manager Overview (Identity Managerの概要)から、管理対象システムのゲートウェイドライバが含まれるドライバセットをクリックします。
[driver state (ドライバ状態)]アイコンをクリックし、Edit properties (プロパティの編集)]>[Driver configuration (ドライバ環境設定)の順に選択します。
Show Connection Parameters (接続パラメータの表示)を[true]に設定し、Driver configuration mode (ドライバ環境設定モード)を[remote (リモート)]に設定します。
キーストアファイルの完全なパスとパスワードを入力します。
保存してドライバを再起動します。
iManagerを使用して、このキーストアを使用するようにデータ収集サービスドライバの設定を変更します。
Identity Manager Overview (Identity Managerの概要)から、管理対象システムのゲートウェイドライバが含まれるドライバセットをクリックします。
[driver state (ドライバ状態)]アイコンをクリックし、Edit properties (プロパティの編集)]>[Driver configuration (ドライバ環境設定)の順に選択します。
Managed System Gateway Registration (管理対象システムのゲートウェイの登録)という見出しの下にあるManaged System Gateway Driver Configuration Mode (管理対象システムのゲートウェイドライバの環境設定モード)を[remote (リモート)]に設定します。
キーストアの完全なパス、パスワード、およびステップ 1.cで入力した別名を入力します。
保存してドライバを再起動します。