11.3 Identity Applicationsのアップグレード

このセクションでは、次のコンポーネントの更新を含む、Identity Applicationsおよびサポートするソフトウェアのアップグレードについて説明します。

  • Identity Managerユーザアプリケーション

  • OSP (One SSO Provider)

  • Self-Service Password Reset (SSPR)

  • Tomcat、JDK、およびActiveMQ

アップグレード後は、コンポーネントが次のバージョンにアップグレードされます。

  • Tomcat – 8.5.40

  • ActiveMQ – 5.15.9

  • Java 8 Update 222

  • One SSO Provider – 6.3.4

  • セルフサービスパスワードリセット – 4.4.0.3

  • Identity Applications – 4.8

  • Identity Reporting – 6.5

このセクションでは、次のトピックについて説明します。

11.3.1 アップグレードプログラムについて

アップグレードプロセスは、既存のコンポーネントから設定値を読み込みます。この情報には、ism-configuration.propertiesserver.xmlSSPRConfiguration.xml、および他の設定ファイルが含まれます。これらの設定ファイルを使用して、アップグレードプロセスにより、コンポーネントのアップグレードプログラムが内部的に起動します。また、このプログラムは現在のインストールのバックアップも作成します。

11.3.2 アップグレードの前提条件

データベースがSSL経由で設定されている場合は、C:\NetIQ\idm\apps\tomcat\confにあるパスから取得されるserver.xmlファイルでssl=truesslmode=requireに置き換えます。

たとえば、次のように変更します。

jdbc:postgresql://<postgres db>:5432/idmuserappdb?ssl=true

変更先:

jdbc:postgresql://<postgres db>:5432/idmuserappdb?sslmode=require

11.3.3 システム要件

アップグレードプロセスにより、インストールされたコンポーネントの現在の設定のバックアップが作成されます。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。

11.3.4 PostgreSQLデータベースのアップグレード

重要:アップグレードプロセスは、データベースのサイズによって時間がかかる場合があります。したがって、それに応じてアップグレードを計画してください。

  1. サーバ上で実行されているPostgreSQLサービスを停止します。

  2. C:\Netiq\idm\appspostgresディレクトリの名前を変更します。

    たとえば、postgresの名前をpostgresql_oldに変更します。

  3. 次のコマンドを実行して、古いサービスを削除します。

    sc delete <postgres service name>

  4. ご使用のオペレーティングシステムでサポートされているPortgreSQLバージョンをインストールします。

    PostgreSQLの現在のインストール場所以外を選択する必要があります。

    1. Identity_Manager_4.8_Windows.isoイメージファイルをマウントし、\common\postgres_tomcatディレクトリに移動します。

    2. TomcatPostgreSQL.exeファイルを実行します。

      インストール中にPostgreSQLオプションのみを選択します。

    メモ:

    • PostgreSQLの詳細ページにデータベース詳細を入力しないでください。データベースログインアカウントの作成および空のデータベースの作成の選択が解除されていることを確認します。

    • 古いおよび新しいPostgreSQLインストールディレクトリの管理者権限があることを確認します。

  5. 新たにインストールされたPostgreSQLサービスを停止します。サービスに移動し、<PostgreSQL version number>サービスを検索して、サービスを停止します。

    メモ:適切な権限を持つユーザは、有効な認証情報を入力した後で、停止操作を実行できます。

  6. 次のアクションを実行して、新たにインストールされたPostgreSQLディレクトリの許可を変更します。

    postgresユーザを作成します。

    1. コントロールパネル]>[ユーザアカウント]>[ユーザアカウント]>[アカウントの管理の順に移動します。

    2. ユーザアカウントの追加をクリックします。

    3. [ユーザの追加]ページで、ユーザ名としてpostgresを指定し、そのユーザのパスワードを入力します。

    postgresユーザに、既存のPostgreSQLディレクトリおよび新たにインストールされたPostgreSQLディレクトリへの許可を付与します。

    1. PostgreSQLディレクトリを右クリックして、プロパティ]>[セキュリティ]>[編集の順に移動します。

    2. ユーザに完全な許可を付与するには、フルコントロールを選択します。

    3. 適用をクリックします。

  7. postgresユーザとしてPostgreSQLディレクトリにアクセスします。

    1. サーバにpostgresユーザとしてログインします。

      ログインする前に、このユーザに対してリモート接続が許可されているかどうかを確認することで、postgresがWindowsサーバに接続できることを確認します。

    2. 新しいpostgresインストールの場所からデータディレクトリを削除します。たとえば、C:\NetIQ\idm\apps\postgres\data

    3. コマンドプロンプトを開き、次のコマンドを使用して、PGPASSWORDを設定します。

      set PGPASSWORD=<your pg password>

    4. 新たにインストールされたPostgreSQLディレクトリに移動します。

    5. initdbpostgresデータベースユーザとして実行します。

      initdb.exe -D <new_data_directory> -E UTF8 -U postgres

      次に例を示します。

      initdb.exe -D C:\NetIQ\idm\apps\postgres\data -E UTF8 -U postgres

  8. 新しいPostgreSQL binディレクトリからPostgreSQLをアップグレードします。次のコマンドを実行して、Enterをクリックします。

    メモ:MethodタイプをC:\NetIQ\idm\apps\postgres\data\ディレクトリにあるpg_hba.confで、md5からtrustに設定していることを確認します。

    pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"

  9. アップグレード後に、新しいpostgresデータディレクトリ(C:\NetIQ\idm\apps\postgres\data)にあるpg_hba.confpostgresql.confファイルを古いpostgresディレクトリからのファイルと置き換えます。

  10. アップグレードされたPostgreSQLデータベースサービスを開始します。

    サービスに移動し、<PostgreSQL version number>サービスを検索して、サービスを開始します。

    メモ:適切な権限を持つユーザは、有効な認証情報を入力した後で、開始操作を実行できます。

  11. 古いPostgreSQLサービスを無効にして、そのサービスが自動的に開始されないようにします。

  12. (オプション)新たにインストールされたPostgreSQLサービスのbinディレクトリから古いデータファイルを削除します。

    1. postgresユーザとしてログインします。

    2. binディレクトリに移動し、analyze_new_cluster.batおよびdelete_old_cluster.batファイルを実行します。

      たとえば、C:\NetIQ\idm\apps\postgresql\binです。

    メモ:この手順は、古いデータファイルを削除する場合にのみ実行する必要があります。

11.3.5 Identity Applicationsのドライバパッケージのアップグレード

Tomcatを停止し、ユーザアプリケーションドライバ、役割およびリソースサービスドライバのパッケージを最新バージョンに更新する必要があります。パッケージを最新バージョンにアップグレードする方法については、『NetIQ Designer for Identity Manager Administration Guide』の「Upgrading Installed Packages」を参照してください。

ユーザアプリケーションドライバパッケージをアップグレードした後、ワークフローテンプレートパッケージを手動で追加する必要があります。

  1. Designerで、ユーザアプリケーションドライバ > プロパティに移動します。

  2. [パッケージ]をクリックして、をクリックします。

  3. ワークフローテンプレートの作成を選択します。

  4. OKをクリックしてから、完了をクリックしてインストールを完了します。

  5. ユーザアプリケーションドライバを展開します。

重要:ユーザアプリケーションドライバのアップグレードの一環として、電子メール通知テンプレートがインストールまたはアップグレードされる場合は、デフォルトの通知コレクションオブジェクトを展開する必要があります。

11.3.6 Identity Applicationsのアップグレード

以下の手順では、次のコンポーネントをアップグレードする方法について説明します。

  • 識別情報アプリケーション

  • OSP

  • Tomcat

  • PostgreSQL

  • SSPR (Identity Applicationsと同じコンピュータにインストールされている場合)

  • ActiveMQ

Identity Applicationsをアップグレードするには次の手順を実行します。

  1. NetIQダウンロードWebサイトからIdentity_Manager_4.8_Windows.isoをダウンロードします。

  2. ダウンロード済みの.isoをマウントします。

  3. <ISO installed location>\IdentityApplicationsフォルダに移動して、install.exeを実行します。

  4. インストールで使用する言語を選択し、OKをクリックします。

  5. イントロダクションページで、次へをクリックします。

  6. 使用許諾契約書の条項を確認して同意し、次へをクリックします。

    インストールされたコンポーネントとそのバージョンが表示されます。

  7. Identity Applicationsを選択して、次へをクリックします。

  8. Identity Applicationsの環境設定を指定します。詳細については、Identity Applicationsの環境設定ワークシートを参照してください。

    メモ:

    • NetIQでは、Identity Applicationsと同じサーバ上にPostgreSQLデータベースをインストールしている場合は、Identity Managerインストーラを使用してワークフローデータベースを作成することをお勧めします。

    • アップグレード時に、データベースJDBC JARファイルを手動で指定する必要があります。たとえば、PostgreSQLデータベースを使用している場合は、tomcat\libフォルダ外にあるデータベースJARファイルの場所を指定する必要があります。

  9. アップグレード前の概要ページで設定を確認し、アップグレードをクリックします。

コンポーネントをインストールした場所に応じて、プロセスによりその場所にバックアップディレクトリが作成され、バックアップしたディレクトリに(バックアップの時間を示す)タイムスタンプが付加されます。

次に例を示します。

  • Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634

  • OSPおよびSSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634

  • ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634

  • ユーザアプリケーション - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634

  • Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634

11.3.7 アップグレード後のタスク

異なるサーバ上にIdentity ApplicationsとSSPRをインストールしている場合は、Identity ApplicationsサーバのcacertsにIdentity ApplicationsとしてCNによるSSPRトラステッド証明書をインポートする必要があります。

Tomcat、SSPR、OSP、またはIdentity Applicationsのカスタマイズされた設定を手動で復元する必要もあります。

必要なコンポーネントについてアップグレード後の手順を実行します。

Java

新しいJREのアップグレード場所にある証明書(jre\lib\security\cacerts)を古いJREの場所を使用して確認します。証明書がない場合は、cacertsに手動でインポートします。

  1. keytoolコマンドを使用して、java cacertsをインポートします。

    keytool -import -trustcacerts -file Certificate_Path -alias ALIAS_NAME -keystore cacerts

    メモ:アップグレード後、JREはアイデンティティアプリケーションのインストール場所に保存されます。たとえば、C:\NetIQ\idm\apps\jreです。

  2. アイデンティティボールトを再起動します。

  3. JREホームの場所がtomcat\bin\setenv.batであることを確認します。

  4. 設定更新ユーティリティを起動し、cacertsのパスを確認します。

Tomcat

  1. (状況によって実行)アップグレードプロセスによって前に作成されたバックアップからカスタマイズされたファイルを復元するには、次のタスクを実行します。

    • カスタマイズされたHTTPS証明書を復元します。これらの証明書を復元するには、バックアップしたserver.xmlから\tomcat\confディレクトリの新しいserver.xmlファイルにJava Secure Socket Extension (JSSE)のコンテンツをコピーします。

    • バックアップしたTomcatディレクトリから新しいTomcatディレクトリに設定ファイルをコピーしないでください。新しいバージョンのデフォルトの設定から開始し、必要に応じて変更します。詳細については、ApacheのWebサイトを参照してください。

      新しいserver.xmlファイルに、次のエントリがあることを確認します。

      <Connector port="8543" protocol="HTTP/1.1" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      または

      <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      メモ:クラスタ環境で、server.xmlClusterタグを手動でコメント解除して、C:\netiq\idm\apps\osp_backup_<date>にある最初のノードからすべてのノードにosp.jksをコピーします。

    • カスタマイズしたキーストアファイルがある場合は、新しいserver.xmlファイルに正しいパスを含めてください。

    • Identity Applicationsの証明書を、C:\NetIQ\eDirectory\jre\lib\security\cacertsにあるアイデンティティボールトにインポートします。

      たとえば、次のkeytoolコマンドを使用して、証明書をアイデンティティボールトにインポートすることができます。

      keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  2. (状況によって実行)ユーザアプリケーションに移動し、バックアップした設定を読み取ることにより、カスタマイズされた設定を手動で復元します。

識別情報アプリケーション

Identity Applicationsを4.6 SP4から4.8にアップグレードしているときに、Dcom.novell.afw.wf.engine-id=IDMProvパラーメータがtomcat/binフォルダ内のsetenvファイルに存在していることを確認する必要があります。Identity Applicationsのアップグレード後にこのパラメータがなくなる場合は、setenvファイルにパラメータを手動で追加して、Tomcatサーバを再起動します。

One SSO Provider

デフォルトでは、logevent.confファイルにあるLogHostエントリは、localhostに設定されています。

LogHostエントリを変更するには、アップグレードプロセス時に作成したバックアップからカスタマイズされたOSP設定を手動で復元します。

Self-Service Password Reset

SSPRをアップグレードした後で、設定更新ユーティリティを使用してSSOクライアントパラメータを更新します。詳細については、SSO Clients Parameters (SSOクライアントパラメータ)を参照してください。

SSPR設定の詳細を更新するには、次の手順を実行します。

  1. SSPRポータルに管理者としてログインします。

  2. 監査サーバの詳細を更新するには、次の手順を実行します。

    1. YourID > Configuration Editor (環境設定エディタ)の順に移動して、設定パスワードを指定します。

    2. 設定 > Auditing > Audit Forwarding > Syslog Audit Server Certificatesの順に選択します。

    3. サーバからこれらの証明書をインポートして、保存をクリックします。

  3. SSPRにLocalDBをインポートします。

    1. ドロップダウンメニューからYourID > Configuration Manager (環境設定マネージャ)の順に移動します。

    2. LocalDBをクリックします。

    3. Import (Upload) LocalDB Archive File (LocalDBアーカイブファイルのインポート(アップロード))をクリックします。

  4. (状況によって実行) SSPRの設定を制限するには:

    1. リストからYourID > Configuration Manager (環境設定マネージャ)の順に移動します。

    2. Restrict Configuration (設定の制限)をクリックします。

  5. SSPRの管理者許可を設定します。インストール後の手順を参照してください。

アップグレードが正常に完了したことを確認するには、アップグレードしたコンポーネントを起動します。

たとえば、Identity Managerダッシュボードを起動し、バージョン情報をクリックします。アプリケーションが4.8.0などの新しいバージョンを示しているかどうかを確認します。

Kerberos

アップグレードユーティリティにより、コンピュータ上に新しいTomcatフォルダが作成されます。keytabKerberos_login.configなどのKerberosファイルが古いTomcatフォルダ上にある場合は、バックアップしたフォルダから新しいTomcatフォルダにこれらのファイルをコピーします。