29.3 識別情報アプリケーションのインストールの前提条件と検討事項

次のIdentity Managerコンポーネントのサポートされるバージョンが必要です。

これらのコンポーネントの必要なバージョンとパッチの詳細については、最新のリリースノートを参照してください。

識別情報アプリケーションをインストールする前に次のフレームワーク項目をインストールします。

(状況によって実行) SLES(SUSE Linux Enterprise Server)上に識別情報アプリケーションをインストールする場合、SLESに付属のIBM JDKを使用しないでください。このバージョンは、ユーザアプリケーションインストールの一部の機能との互換性がありません。かわりにOracle JDKをダウンロードします。

(オプション) Identity Managerコンポーネント間の通信では、SSL (Secure Sockets Layer)プロトコルを有効にすることをお勧めします。SSLプロトコルを使用するには、現在の環境でSSLを有効にして、インストール時にhttpsを指定する必要があります。SSLを有効にする方法については、『ユーザアプリケーション: 管理ガイド』の「Enabling SSL in a Production Environment」を参照してください。

役割とリソースドライバを作成する前に、ユーザアプリケーションドライバを作成します。役割とリソースドライバは、ユーザアプリケーションドライバ内の役割ボールトコンテナ(RoleConfig.AppConfig)を参照します。

役割とリソースサービスドライバはjClientを使用するので、リモートローダと組み合わせて使用することはできません。

JAVA_HOME環境変数を、識別情報アプリケーションと一緒に使用するJDKを参照するように設定します。JAVA_HOMEを上書きするには、インストール時に手動でパスを指定します。

インストールプロセスはデフォルトで、このプログラムのファイルをC:\NetIQ\IDMまたは/opt/netiq/idmディレクトリに配置します。ユーザアプリケーションをデフォルト以外の新しいディレクトリにインストールする場合、そのディレクトリはインストールプロセス開始前に次の要件を満たしている必要があります。

各ユーザアプリケーションインスタンスは1つのユーザコンテナのみ処理できます。たとえば、インスタンスに関連付けられているコンテナに対してのみユーザの追加、検索、およびクエリを実行できます。また、アプリケーションとコンテナの関係は永続的なものと見なされます。

(状況によって実行)外部パスワード管理を使用する場合、現在の環境が次の要件を満たしている必要があります。

TomcatでSSLを有効にする方法の詳細については、「SSL Configuration HOW-TO」を参照してください。JBossとWebSphereでSSLを有効化する方法の詳細については、その製品のマニュアルを参照してください。

IDMPwdMgt.warファイルの詳細については、セクション 35.6, パスワードを忘れた場合の管理の設定を参照してください。

(オプション)管理対象システムから認証を取得するには、Identity Managerの1つまたは複数のドライバをインストールします。

ユーザが識別情報アプリケーションにアクセスできるようにするには、次のアクティビティを完了する必要があります。

現在のIdentity Manager環境でSSOを有効にした後は、ユーザがゲストまたは匿名ユーザとして識別情報アプリケーションにアクセスできなくなります。かわりにユーザインタフェースにログインするようにメッセージが表示されます。詳細については、セクション XIII, Identity Managerのシングルサインオンアクセスの設定を参照してください。

Identity Managerでユニバーサルパスワード機能が適用されることを保証するには、ユーザの初回ログインプロセスとしてNMASログインを使用するように識別ボールトを設定します。

(状況によって実行)レポートを実行するには、現在の環境にIdentity Reportingのコンポーネントがインストールされている必要があります。詳細については、セクション XI, Identity Reportingコンポーネントのインストールを参照してください。

インストールプロセス中、インストールプログラムによりログファイルがインストールディレクトリに書き込まれます。これらのファイルには、設定に関する情報が含まれています。現在の識別情報アプリケーション環境を設定した後で、これらのログファイルを削除するか、安全な場所に保存することを検討する必要があります。インストールプロセス中、データベーススキーマをファイルに書き込むことも選択できます。このファイルにはデータベースについての説明的な情報が含まれているので、インストールプロセスが完了した後で、安全な場所に移動する必要があります。

(状況によって実行)識別情報アプリケーションを監査するには、現在の環境にIdentity Reportingとイベント監査サービス(EAS)がインストールされ、イベントをキャプチャするように設定されている必要があります。また、識別情報アプリケーションを監査用に設定する必要があります。詳細については、『Identity Reporting Module Guide』を参照してください。

(オプション) SAML 2.0認証を使用してNetIQ Access Manager 4.0と連携するように識別情報アプリケーションを設定できます。詳細については、セクション 46.0, NetIQ Access ManagerでのSAML認証によるシングルサインオンを参照してください。

アプリケーションサーバは、JDK(Java Development Kit)またはJRE(Java Runtime Environment)と一緒に実行されている必要があります。サポートされるバージョンの詳細については、セクション 29.4, 識別情報アプリケーションのシステム要件を参照してください。

JAVA_HOME環境変数を、ユーザアプリケーションと一緒に使用するJDKを参照するように設定します。JAVA_HOMEを上書きするには、インストール時に手動でパスを指定します。

(状況によって実行) Tomcatインストールプログラムは、Identity Managerインストールキットに同梱のものではなく、独自に用意したものを使用できます。ただし、独自のバージョンのTomcatでApache Log4jサービスを使用する場合は、適切なファイルがインストールされていることを確認します。詳細については、セクション 27.6, Apache Log4jサービスを使用したサインオンイベントとパスワードイベントの記録を参照してください。

(状況によって実行)複数のアプリケーションサーバをインストールして識別情報アプリケーションを展開する場合、ユーザアプリケーションを同じJBossクラスタの姉妹ノードにインストールしている場合を除き、展開ごとに個別のユーザアプリケーションドライバが必要です。詳細については、セクション 29.3.4, クラスタ環境で識別情報アプリケーションをインストールする場合の前提条件を参照してください。クラスタ環境の設定の詳細については、セクション 32.0, 識別情報アプリケーションを実行する環境の準備を参照してください。

(状況によって実行)デジタル署名したドキュメントを保管するには、JBossまたはTomcatのアプリケーションサーバ上に識別情報アプリケーションをインストールして、Novell Identity Auditを使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュメントを保管するには、ログ記録を有効にする必要もあります。詳細については、『ユーザアプリケーション: 管理ガイド』の「ログの設定」を参照してください。

(状況によって実行)大量のユーザデータをログ記録する環境やディレクトリサーバに大量のオブジェクトが置かれている環境では、複数のアプリケーションサーバを使用して識別情報アプリケーションを展開できます。最適なパフォーマンスを得るための設定の詳細については、『ユーザアプリケーション: 管理ガイド』の「Performance Tuning」を参照してください。

(状況によって実行)アプリケーションサーバにJBossまたはTomcatを使用する場合、インストールプロセスを完了するまでアプリケーションサーバを起動しないでください。

(状況によって実行)外部パスワード管理を使用する場合、次の手順を実行して、SSLプロトコルを有効にする必要があります。

TomcatでSSLを有効にする方法の詳細については、「SSL Configuration HOW-TO」を参照してください。JBossとWebSphereでSSLを有効化する方法の詳細については、その製品のマニュアルを参照してください。

IDMPwdMgt.warファイルの詳細については、セクション 35.6, パスワードを忘れた場合の管理の設定および『ユーザアプリケーション: 管理ガイド』を参照してください。

使用するアプリケーションサーバによっては、識別情報アプリケーションのインストールプロセスでsetenv.shファイルのJREマッピングの次のエントリが変更されます。

Tomcatサーバでは、このプロセスでJAVA_HOMEまたはJRE_HOMEのエントリが変更されることはありません。Tomcatの簡易インストーラはデフォルトで、setenv.shファイルを/opt/netiq/idm/apps/tomcat/bin/ディレクトリに配置します。同時に、このファイルのJREの場所も設定されます。

クラスタには、固有のクラスタパーティション名、マルチキャストアドレス、およびマルチキャストポートが必要です。固有の識別子を使用して複数のクラスタを分離することによって、パフォーマンスの問題や異常な動作の発生を防ぎます。

クラスタ内のサーバの時刻を同期化する必要があります。サーバの時刻が同期していない場合、セッションタイムアウトが早期に発生し、HTTPセッションのフェールオーバーが正しく機能しない可能性があります。

同一ホストでは、複数のブラウザタブまたは複数のブラウザセッションで複数のログインを使用しないことをお勧めします。一部のブラウザはすべてのタブとプロセス間でcookieを共有します。そのため、複数のログインを行うと、(1台のコンピュータを複数ユーザが共有することで認証機能に予期しない動作が発生するおそれがあるだけでなく) HTTPセッションのフェールオーバーの際に問題が発生する可能性があります。

(状況によって実行) JBossクラスタの場合、同一のパーティション名とパーティションUDPグループを使用して、各サーバを起動します。クラスタ内の各サーバは、一意のエンジンIDを使用する必要があります。また、JBossクラスタのすべてのノードが同じデータベースインスタンスにアクセスする必要があります。JBossのシステムプロパティの設定の詳細については、セクション 32.3, ユーザアプリケーションを実行するクラスタの準備を参照してください。

アプリケーションサーバでデータベースを使用するように設定するには、JDBCドライバを作成する必要があります。識別情報アプリケーションは標準のJDBCコールを使用してデータベースのアクセスや更新を行います。識別情報アプリケーションは、JNDIツリーにバインドされたJDBCデータソースファイルを使用して、データベースへの接続を開きます。

データベースを参照するデータソースファイルが既存である必要があります。インストール環境によっては、このファイルを次のように作成または設定する必要があります。

次の情報を手元に用意します。

データベースインスタンスは、ローカルコンピュータまたは接続されたサーバのどちらにも配置できます。

データベース文字セットはUnicodeエンコーディングを使用する必要があります。たとえば、UTF-8はUnicodeエンコード方式を使用する文字セットですが、Latin1はUnicodeエンコード方式を使用しません。文字セットの指定の詳細については、セクション 31.3.1, 文字セットの設定またはセクション 31.1, Oracleデータベースの設定を参照してください。

マイグレーション時に重複キーエラーが発生しないように、大文字と小文字を区別する照合を使用します。重複キーエラーが発生した場合は、照合を確認して修正してから、識別情報アプリケーションを再インストールします。

(状況によって実行) 1つのデータベースを監査目的と識別情報アプリケーションの両方で使用する場合、識別情報アプリケーションを実行するアプリケーションサーバをホストするサーバとは別の専用サーバにデータベースをインストールすることをお勧めします。

(状況によって実行)新しいバージョンの識別情報アプリケーションに移行する場合、移行前のインストールで使用していたデータベースと同じデータベースを使用する必要があります。

データベースクラスタリングは、個々のデータベースサーバの機能です。クラスタリングは本製品の機能とは無関係なので、NetIQはどのクラスタ化データベース設定についても公式なテストを実行していません。したがって、次の警告付きで、クラスタ化データベースサーバをサポートします。