次の手順では、GUIフォーマットまたはコンソールのどちらかでインストールウィザードを使用して識別情報アプリケーションをインストールする方法について説明します。無人のサイレントインストールを実行するには、セクション 33.3, 識別情報アプリケーションのサイレントインストールを参照してください。
インストールを準備するには、セクション 33.1, 識別情報アプリケーションのインストールのチェックリストの一覧に示すアクティビティをレビューします。リリースに付属するリリースノートも参照してください。
メモ:
インストールプログラムは、ウィザードの各ウィンドウでユーザが入力した値を保存しません。[前へ]をクリックして1つ前のウィンドウに戻った場合、設定値を再入力する必要があります。
インストールプログラムは、novluaユーザアカウントを作成し、アプリケーションサーバファイルで許可をこのユーザに設定します。たとえば、idmapps_tomcat_initスクリプトはこのユーザアカウントを使用してTomcatを実行します。
WebSphereでホームとダッシュボードのWARを展開する場合
[サーバーへのモジュールのマップ]オプションでは、両方のWARのuadashのモジュール値が表示されます。URI値は展開するWARと一致する必要があります。
[Web モジュールのコンテキスト・ルートのマップ]オプションでは、両方のWARのuadashのモジュール値が表示されます。URI値は展開するWARと一致する必要があります。
.warファイルの名前と一致するコンテキスト値を持つWARを展開します。dash.warの場合はコンテキスト値としてdashを指定し、landing.warの場合はコンテキスト値としてlandingを指定します。
WARファイルがユーザアプリケーション(IDMProv.war)と同じWebSphereノードに展開されていることを確認します。
WebSphereでCatalog Administrator (rra.war)を展開する場合、[Web モジュールのコンテキスト・ルートのマップ]でコンテキスト値として「rra」を指定します。rra.warがユーザアプリケーション(IDMProv.war)と同じWebSphereノードに展開されていることを確認します。
識別情報アプリケーションをインストールするコンピュータにrootまたは管理者ユーザとしてログインします。
(状況によって実行) WebSphere環境にインストールするには、無制限ポリシーファイルをサポートされているIBM JDKに適用します。
詳細については、IBMマニュアルに記載されているこれらのファイルへのリンクおよびこれらのファイルを適用する方法を参照してください。無制限ポリシーファイルのJARファイルは、JAVA_HOME\jre\lib\securityディレクトリに配置する必要があります。
これらの制限なしポリシーファイルがないと、無効なキーサイズというエラーが発生します。この問題の根本原因は制限なしポリシーファイル欠如です。したがって必ず正しいIBM JDKを使用してください。
Tomcatなどのアプリケーションサーバを停止します。
(状況によって実行) Identity Managerインストールパッケージの.isoイメージファイルがある場合、そのインストールファイルが置かれているディレクトリ(デフォルトではproducts/RBPM/user_app_installディレクトリ)に移動します。
(状況によって実行)インストールファイルをダウンロードした場合、次の手順を実行します。
ダウンロードしたイメージの.tgzファイルまたはwin.zipファイルのある場所に移動します。
このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。
インストールファイルが保存されているディレクトリから、次のいずれかの操作を実行します。
Linux (コンソール): 「./IdmUserApp.bin -i console
Linux (GUI): 「./IdmUserApp.bin
Windows: IdmUserApp.exeを実行する
次のパラメータを使用してガイドによるプロセスを完了します。
アプリケーションサーバプラットフォーム
識別情報アプリケーションを実行するアプリケーションサーバを表します。アプリケーションサーバはすでにインストールされている必要があります。
ユーザの便宜を図るために、Tomcatが提供されています。
インストールフォルダ
インストールプログラムがアプリケーションファイルを作成するディレクトリへのパスを表します。
データベースプラットフォーム
ユーザアプリケーションデータベースのプラットフォームを表します。データベースソフトウェアはすでにインストールされている必要があります。ただし、インストール時にデータベーススキーマを作成する必要はありません。
ユーザの便宜を図るために、PostgresSQLが提供されています。
データベースホストおよびポート
ユーザアプリケーションデータベースをホストするサーバの設定を表します。
メモ:クラスタ環境では、クラスタ内の各メンバーに同じデータベース設定を指定する必要があります。
サーバの名またはIPアドレスを指定します。
サーバがユーザアプリケーションとの通信に使用するポートを指定します。
データベースのユーザ名およびパスワード
ユーザアプリケーションデータベースを実行するための設定を表します。
メモ:
このバージョンのIdentity Managerをインストールする際にその一部としてPostgresSQLをインストールしていた場合、データベースとデータベース管理者はインストールプロセスによりすでに作成されています。デフォルトでは、インストールされるデータベースはidmuserappdb、データベースユーザはidmadminです。PostgreSQLのインストールで使用した値と同じ値を指定します。
クラスタ環境では、クラスタ内の各メンバーに同じデータベース名、ユーザ名、およびパスワードを指定する必要があります。
データベースプラットフォームに従ってデータベースの名前を指定します。デフォルトでは、データベース名はidmuserappdbです。
PostgreSQLまたはSQL Serverのデータベースの場合は名前を指定します。
Oracleデータベースの場合は、データベースインスタンスに付けられているセキュリティ識別子(SID)を指定します
ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカウント名を指定します。
指定したユーザ名のパスワードを指定します。
データベースプラットフォームのJARファイルを指定します。
ドライバJARファイルは、データベースベンダーにより提供され、データベースサーバのシンクライアントJARを表します。たとえば、PostgreSQLの場合はpostgresql-9.3-1101.jdbc41.jarを指定します。このファイルはデフォルトではopt\netiq\idm\apps\Postgresフォルダにあります。
NetIQはサードパーティベンダーから提供されるドライバJARファイルをサポートしません。
データベース管理者
オプション
データベース管理者の名前とパスワードを表します。
このフィールドには、[データベースユーザ名]と[データベースパスワード]に指定したユーザアカウントとパスワードが自動的に表示されます。このアカウントを使用する場合は何も変更しません。
(オプション)データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。
(オプション)データベース管理者のパスワードを指定します。
データベーステーブルの作成
インストールプロセスの実行中または実行後に新規または既存のデータベースを設定するかどうかを指定します。
インストールプログラムは、インストールプロセスの実行中にデータベーステーブルを作成します。
インストールプログラムは、ユーザアプリケーションの初回実行時にテーブルを作成する手順を残します。
データベース管理者がデータベースを作成するために実行できるSQLスクリプトを生成します。このオプションを選択する場合、[スキーマファイル]に名前を指定する必要もあります。この設定は、[SQL出力ファイル]設定にあります。
現在の環境でデータベースを作成または変更する許可を持たない場合は、このオプションを選択できます。このファイルを使用してテーブルを作成する方法の詳細については、セクション 35.1, 手動によるデータベーススキーマの作成を参照してください。
新しいデータベースまたは既存のデータベース
インストールの実行中にテーブルを作成する場合またはSQLファイルに書き込む場合にのみ適用されます。
既存の空のデータベースを使用するのか、またはインストール中に新しいデータベースを作成するのかを指定します。次の検討事項を使用します。
このバージョンのIdentity Managerをインストールする際にその一部としてPostgresSQLをインストールしていた場合、[既存のデータベース]を選択します。PostgreSQLのインストールによりすでにデータベースとデータベース管理者は作成されています。デフォルトでは、データベースはidmuserappdb、データベースユーザはidmadminです。
前のインストールの既存データベースを使用するには、データやテーブルが格納されていない状態にする必要があります。データやテーブルが格納されていると、インストールでエラーが発生します。
既存データベースがOracleプラットフォームで実行されている場合、スキーマを更新する前にOracleを準備する必要があります。詳細については、セクション 54.6.1, SQLファイルを実行するOracleデータベースの準備を参照してください。
データベース接続のテスト
直接テーブルを作成するため、または.sqlファイルを作成するために、インストーラをデータベースに接続するかどうかを指定します。.
[次へ]をクリックするか、<Enter>を押すと、インストールプログラムは接続を試みます。
メモ:データベース接続に失敗しても、インストールは続行できます。ただし、インストール後に手動でテーブルを作成し、データベースに接続する必要があります。詳細については、セクション 35.1.2, データベーススキーマを生成するSQLファイルの手動による作成を参照してください。
Javaのインストール
インストールプログラムを起動するために使用するJREファイルへのパスを表します。たとえば、/root/opt/java/jre7です。
Application_Server Configuration (Application_Server設定)
アプリケーションサーバのインストールファイルへのパスを表します。たとえば、/opt/apache-tomcat-7.0.52です。インストールプロセスはいくつかのファイルをこのフォルダに追加します。
IDM環境設定
URLやワークフローエンジンで使用する識別情報アプリケーションコンテキストの設定を表します。
JBossクラスタ内のノードにプロビジョニングWARファイルをインストールする場合にのみ適用されます。
アプリケーションサーバの設定を指定します。たとえば、このインストールがクラスタ外のノード上にある場合は、[デフォルト]を選択します。
[all]を選択する場合、ワークフローエンジンIDを指定する必要があります。
アプリケーションサーバ設定、アプリケーションWARファイル、およびURLコンテキストにおける名前を表す名前を指定します。
インストールスクリプトは、サーバ設定を作成した後、アプリケーションサーバのインストール時に作成された名前に基づいてサーバ設定に名前を付けます。たとえば、IDMProvです。
重要: [Application Context]に指定した値を書き留めておくことをお勧めします。このアプリケーション名は、ブラウザから識別情報アプリケーションを起動する際にURLで使用します。
JBossクラスタ内のノードにプロビジョニングWARファイルをインストールする場合にのみ適用されます。
ワークフローエンジンのIDを指定します。
エンジンIDは32文字を越えることはできません。ワークフローエンジンIDの詳細については、『ユーザアプリケーション: 管理ガイド』でクラスタリングのワークフローの設定に関するセクションを参照してください。
Auditによるログ記録のタイプを選択
ログイベントをAuditサーバに送信するかどうかを指定します。[はい]または[いいえ]を指定します。
Auditのログ
[Auditによるログ記録のタイプを選択]に[はい]を指定した場合にのみ適用されます。
有効にするログ記録のタイプを指定します。
ログ記録の設定の詳細については、『ユーザアプリケーション: 管理ガイド』を参照してください。
ユーザアプリケーションのNovellクライアントまたはNetIQクライアントを通じたログ記録を有効にします。
メモ:このオプションを選択する場合、クライアントサーバのホスト名またはIPアドレスおよびログキャッシュへのパスも指定する必要があります。これらは、[Novell Identity Audit or NetIQ Sentinel (Novell Identity AuditまたはNetIQ Sentinel)]設定セクションで設定します。
ユーザアプリケーションがイベントをOpenXDASログサーバに送信できるようにします。
セキュリティ - マスタキー
既存のマスタキーをインポートするかどうかを指定します。ユーザアプリケーションは、マスタキーを使用して暗号化データにアクセスします。[はい]または[いいえ]を指定します。
次の状況では、マスタキーをインポートできます。
クラスタに識別情報アプリケーションの最初のインスタンスをインストールした後。クラスタ内のユーザアプリケーションインスタンスはすべて、同じマスタキーを使用する必要があります。詳細については、セクション 32.3.3, クラスタ内の各ユーザアプリケーションでの同じマスタキーの使用を参照してください。
インストールをステージングシステムから運用システムに移行する際、ステージングシステムで使用していたデータベースへのアクセスを維持する必要がある場合。
ユーザアプリケーションを復元する際、前のバージョンのユーザアプリケーションによって格納されていた暗号化データにアクセスする必要がある場合。
既存のマスタキーをインポートすることを指定します。
インストールプログラムでキーを作成することを指定します。
デフォルトでは、インストール手順で、インストールディレクトリにあるmaster-key.txtファイルに暗号化マスタキーが書き込まれます。
マスタキーのインポート
[セキュリティ - マスタキー]に[はい]を指定した場合にのみ適用されます。
使用するマスタキーを指定します。master-key.txtファイルからマスタキーをコピーできます。
Application server connection (アプリケーションサーバ接続)
アプリケーションサーバ上の識別情報アプリケーションに接続するために必要なURLの設定を表します。たとえば、https:myserver.mycompany.com:8080です。
メモ:OSPがアプリケーションサーバの別のインスタンスで実行されている場合、[Connect to an external authentication server (外部認証サーバへの接続)]を選択してOSPサーバの値を指定する必要もあります。
httpまたはhttpsのどちらを使用するのかを指定します。SSL (Secure Sockets Layer)を使用して通信する場合はhttpsを指定します。
OSPをホストするサーバのDNS名またはIPアドレスを指定します。localhostは使用しないでください。
サーバがクライアントコンピュータとの通信に使用するポートを指定します。
アプリケーションサーバの別のインスタンスで認証サーバ(OSP)をホストするかどうかを指定します。認証サーバには、SSPRにログイン可能なユーザのリストが保存されています。
この設定を選択する場合、認証サーバの[Protocol (プロトコル)]、[Host name (ホスト名)]、および[ポート]も指定します。
Authentication server details (認証サーバの詳細)
識別情報アプリケーションが認証サーバに接続する際に使用するパスワードを指定します。クライアントシークレットとも呼ばれます。インストールプロセスでこのパスワードは作成されます。
(状況によって実行)インストール後に識別情報アプリケーションを設定するには、[役割ベースプロビジョニングモジュール環境設定]ウィンドウで[キャンセル]をクリックします。
メモ:configureupdate.shファイルまたはconfigureupdate.batファイルの設定の多くは、ユーザアプリケーションのインストール後に変更できます。これらの設定の値を指定する方法の詳細については、セクション 36.0, 識別情報アプリケーションの設定の管理を参照してください。
(状況によって実行) GUIインストールで識別情報アプリケーションを即時設定するには、[IDMの設定]ウィンドウで次の手順を実行します。
[はい]をクリックしてから[次へ]をクリックします。
[役割ベースプロビジョニングモジュール環境設定]で[詳細オプションの表示]をクリックします。
必要に応じて、設定を変更します。
メモ:
値の指定の詳細については、セクション 36.0, 識別情報アプリケーションの設定の管理を参照してください。
運用環境では、すべての管理者の割り当てがライセンスによって制限されます。NetIQは、運用環境が契約内容に必ず準拠するように、監査データベース内に監視データを収集します。また、セキュリティ管理者の許可は1ユーザにのみ付与することをお勧めします。
[OK]をクリックします。
(状況によって実行)コンソールインストールで識別情報アプリケーションを即時設定するには、次の手順を実行します。
コマンドラインから次の設定更新ユーティリティを起動します。
Linux: configupdate.sh
Windows: configupdate.bat
(オプション) NMAS証明書を作成するには、[SSOクライアント]>[RBPM]の順に移動し、[RBPMからeDirectory SAMLへの設定]を[自動]に変更します。
セクション 36.0, 識別情報アプリケーションの設定の管理の説明に従って、他の設定の値を指定します。
[次へ]をクリックします。
[インストール前の概要]ウィンドウで[Install (インストール)]をクリックします。
(オプション)インストールログファイルをレビューします。基本インストールの結果については、/opt/netiq/idm/apps/UserApplication/logs/ディレクトリにあるuser_application_install_log.logファイルを参照してください。
識別情報アプリケーション設定については、/opt/netiq/idm/apps/UserApplication/ディレクトリにあるNetIQ-Custom-Install.logファイルを参照してください。
(オプション)外部パスワード管理WARを使用している場合は、このWARを、インストールディレクトリおよび外部パスワードWAR機能を実行するリモートアプリケーションサーバ展開ディレクトリに手動でコピーします。
(状況によって実行) JBoss Enterprise Application Platform (EAP)上に識別情報アプリケーションをインストールする場合はJBossのインストール後の手順に進みます。
(状況によって実行) WebSphere環境では、ユーザアプリケーション用に新しいJVMシステムプロパティを作成します。詳細については、セクション 33.6.2, ユーザアプリケーション環境設定ファイルとJVMシステムプロパティの追加を参照してください。
セクション 35.0, 識別情報アプリケーションのインストールの完了の説明に従って、インストール後タスクに進みます。