您可以根据相应要求在专用或公用网络中部署 Identity Manager 组件。图 15-1演示了一个示例部署,后续章节中将用到该部署。
图 15-1 在 Microsoft Azure 上部署 Identity Manager
您可以根据 Identity Manager 组件在不同服务器上的分布方式,以不同的组合在 Microsoft Azure 上部署这些组件。不过,所有方案的部署过程都是相同的。
部署过程包括以下步骤:
NetIQ 建议您创建一个资源组并将所需资源添加到该组,以与 Identity Manager 搭配使用。执行以下步骤来创建新的资源组:
登录到 Azure 门户。
单击资源组。
单击创建。
在基本信息选项卡中:
从下拉列表中选择您的订阅。
输入新的资源组名称。
从区域下拉列表中选择位置。例如印度中部。
单击下一步:标记 >。
在标记选项卡中,单击下一步:查看 + 创建 >。
在查看 + 创建选项卡中,单击创建。
登录到 Azure 门户。
在搜索中键入虚拟网络。
在“服务”下,选择虚拟网络。
单击创建。
在基本信息选项卡中指定以下细节:
字段 |
说明 |
---|---|
订购 |
从下拉列表中选择您的订阅。 |
资源组 |
从下拉列表中选择现有的资源组。 |
名称 |
指定虚拟网络的名称。 |
区域 |
从下拉列表中选择位置。例如印度中部。 |
单击下一步:IP 地址 >。
在“IP 地址”选项卡中,单击添加子网。
单击添加子网。
指定子网名称。例如 default。
指定子网地址范围。例如 10.1.0.0/24。
单击添加。
单击下一步:安全性 >。
在安全性选项卡中,保留所有字段的默认值,然后单击下一步:标记 >。
在标记选项卡中,单击下一步:查看 + 创建 >。
在查看 + 创建选项卡中查看您的设置,然后单击创建。
登录到 Azure 门户。
单击创建资源。
转到类别 > 网络 > 应用程序网关。
在基本信息选项卡中指定以下细节:
字段 |
说明 |
---|---|
订购 |
从下拉列表中选择您的订阅。 |
资源组 |
从下拉列表中选择现有的资源组。 |
应用程序网关名称 |
指定应用程序网关名称。 |
区域 |
从下拉列表中选择位置。例如印度中部。 |
层 |
选择所需的层。例如标准 V2。 |
最小实例计数 |
指定值 0。 |
最大实例计数 |
指定值 10。 |
虚拟网络 |
选择虚拟网络和已创建的对应子网。请参见创建虚拟网络和子网。 |
保留其余字段的默认值,然后单击下一步:前端 >。
在前端选项卡中:
选择公共。
在公共 IP 地址下,单击新增。
指定公共 IP 地址名称。例如 idmgateway.centralindia.cloudapp.azure.com。
单击确定。
单击下一步:后端 >
在后端选项卡中:
单击添加后端池。
指定后端池名称。
选择是添加一个没有目标的后端池。
单击添加。
单击下一步:配置 >。
在配置选项卡中:
在路由规则下,单击添加路由规则。
指定规则名称。
在侦听器选项卡中指定以下细节:
字段 |
说明 |
---|---|
侦听器名称 |
指定侦听器名称。 |
前端 IP |
从下拉列表中选择公共。 |
协议 |
选择 HTTP。 |
端口 |
指定值 80。 |
保留其余字段的默认值。
在后端目标选项卡中指定以下细节:
字段 |
说明 |
---|---|
后端目标 |
从下拉列表中选择后端目标。 |
HTTP 设置 |
单击新增,指定 HTTP 设置名称。保留所有字段的默认值,然后单击添加。 |
单击添加。
单击下一步:标记 >。
在标记选项卡中,单击下一步:查看 + 创建 >。
在查看 + 创建 > 选项卡中查看您的设置,然后单击创建。
注:有关配置应用程序网关的详细信息,请参见配置应用程序网关。
创建单独的虚拟机以托管 Identity Manager 组件。
登录到 Azure 门户。
在搜索中键入虚拟机。
在“服务”下,选择虚拟机。
单击创建,然后选择虚拟机。
在基本信息选项卡中:
从下拉列表中选择您的订阅。
从下拉列表中选择现有的资源组(参见创建资源组)。
指定虚拟机名称。
从区域下拉列表中选择位置。例如印度中部。
从映像下拉列表中选择所需的 Windows Server。例如 Windows Server 2019。
从大小下拉列表中选择虚拟机大小。
指定用户名、密码并确认密码。
在“许可”下,选择 Windows Server 许可证,然后选择符合条件的附带软件保障的 Windows Server 许可证以确认。
保留其余字段的默认值。
单击下一步:磁盘 >。
在磁盘选项卡中:
从 OS 磁盘类型下拉列表中选择磁盘类型。例如高级 SSD。
从下拉列表中选择所需的加密类型。
单击下一步:网络 >。
在网络选项卡中:
选择虚拟网络和已创建的对应子网。请参见创建虚拟网络和子网。
在网络安全组下,选择高级。
从下拉列表中选择现有的网络安全组。
(视情况而定)如果没有可用的网络安全组,请单击新建。
指定网络安全组名称。
单击添加入站角色,指定所需的细节。
单击添加出站角色,指定所需的细节。
单击确定。
保留其余字段的默认值。
单击下一步:管理 >。
在管理选项卡中,保留所有字段的默认值,然后单击下一步:高级 >。
在高级选项卡中,保留所有字段的默认值,然后单击下一步:标记 >。
在标记选项卡中,保留所有字段的默认值,然后单击下一步:查看 + 创建 >。
在查看 + 创建选项卡中查看您的设置,然后单击创建。
可以使用应用程序网关的公共 DNS 名称或使用别名 DNS 记录集来访问 Identity Manager 组件。要使 Identity Manager 组件能够互相通讯,请编辑每个 VM 上的 hosts 文件,并添加一项来解析此 VM 的主机名。
表 15-1 更新主机项
组件 |
说明 |
---|---|
Identity Engine |
导航到 Identity Engine VM 中的 hosts 文件。例如, C:\Windows\System32\drivers\etc\hosts 修改 hosts 文件,在其中包含以下项: <Identity Engine VM 的 IP 地址> <Identity Engine VM 的专用 DNS 名称> 例如: 10.0.1.1 identityengine.example.com <Identity Applications VM 的 IP 地址> <应用程序网关的公共 DNS 名称> 例如: 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com |
Identity Applications |
导航到 Identity Engine VM 中的 hosts 文件。例如, C:\Windows\System32\drivers\etc\hosts 修改 hosts 文件,在其中包含以下项: <Identity Engine VM 的 IP 地址> <Identity Engine VM 的专用 DNS 名称> 例如: 10.0.1.1 identityengine.example.com <Identity Applications VM 的 IP 地址> <应用程序网关的公共 DNS 名称> 例如: 10.0.1.2 idmgateway.centralindia.cloudapp.azure.com |
要更新 Identity Reporting 和 iManager 的主机项,请参见表 15-1中的 Identity Applications。
注:有关 Identity Manager 组件的安装,请参见安装过程。
在公用子网中,起动虚拟机实例。请参见创建虚拟机实例。
对于 Windows 安全组,请仅使用 rdesktop 端口。例如 3389。.
安装 Designer。请参考部分 IV, 安装 Designer。
配置应用程序网关后,外部网络便可使用虚拟机上托管的 Identity Manager 组件。
为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件配置单独的后端池。
在后端池中,单击添加。
指定以下细节:
字段 |
说明 |
---|---|
名称 |
指定用于识别 Identity Manager 组件的后端池名称。 |
类型 |
以下列方式之一指定类型:
|
单击确定。
重复此步骤以配置更多后端池。
为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件配置单独的 HTTP 设置。
注:确保您已导出所需 Identity Manager 组件的公共证书。
在 HTTP 设置中单击添加。
指定以下细节:
字段 |
说明 |
---|---|
名称 |
指定用于识别 Identity Manager 组件的 HTTP 设置名称。 |
协议 |
选择 HTTPS。 |
端口 |
指定 Identity Manager 组件的端口。 例如:
|
后端鉴定证书 |
|
单击确定。
重复此步骤以配置更多 HTTP 设置。
为每个 Identity Manager 组件(例如 iManager、Identity Applications、表单和 Identity Reporting)配置单独的侦听程序。
注:确保已从身份库导出 .PFX 证书。
在侦听程序中单击基本。
指定以下细节:
字段 |
说明 |
---|---|
名称 |
指定用于识别 Identity Manager 组件的侦听程序名称。 |
前端 IP 配置 |
|
协议 |
选择 HTTPS。 |
证书 |
|
单击确定。
重复此步骤以配置更多侦听程序。
为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件创建基本规则,并将此规则与相应的后端池、侦听程序和 HTTP 设置关联。
在规则中单击添加。
指定以下细节:
单击确定。
重复此步骤以配置更多规则。