15.2 部署过程

您可以根据相应要求在专用或公用网络中部署 Identity Manager 组件。图 15-1演示了一个示例部署,后续章节中将用到该部署。

图 15-1 在 Microsoft Azure 上部署 Identity Manager

您可以根据 Identity Manager 组件在不同服务器上的分布方式,以不同的组合在 Microsoft Azure 上部署这些组件。不过,所有方案的部署过程都是相同的。

部署过程包括以下步骤:

15.2.1 创建资源组

NetIQ 建议您创建一个资源组并将所需资源添加到该组,以与 Identity Manager 搭配使用。执行以下步骤来创建新的资源组:

  1. 登录到 Azure 门户。

  2. 单击资源组

  3. 单击创建

  4. 基本信息选项卡中:

    1. 从下拉列表中选择您的订阅

    2. 输入新的资源组名称。

    3. 区域下拉列表中选择位置。例如印度中部

    4. 单击下一步:标记 >

  5. 标记选项卡中,单击下一步:查看 + 创建 >

  6. 查看 + 创建选项卡中,单击创建

15.2.2 创建虚拟网络和子网

  1. 登录到 Azure 门户。

  2. 在搜索中键入虚拟网络

  3. 在“服务”下,选择虚拟网络

  4. 单击创建

  5. 基本信息选项卡中指定以下细节:

    字段

    说明

    订购

    从下拉列表中选择您的订阅。

    资源组

    从下拉列表中选择现有的资源组。

    名称

    指定虚拟网络的名称。

    区域

    从下拉列表中选择位置。例如印度中部

    1. 单击下一步:IP 地址 >

  6. 在“IP 地址”选项卡中,单击添加子网

    1. 单击添加子网

      1. 指定子网名称。例如 default

      2. 指定子网地址范围。例如 10.1.0.0/24

      3. 单击添加

    2. 单击下一步:安全性 >

  7. 安全性选项卡中,保留所有字段的默认值,然后单击下一步:标记 >

  8. 标记选项卡中,单击下一步:查看 + 创建 >

  9. 查看 + 创建选项卡中查看您的设置,然后单击创建

15.2.3 创建应用程序网关

  1. 登录到 Azure 门户。

  2. 单击创建资源

  3. 转到类别 > 网络 > 应用程序网关

  4. 基本信息选项卡中指定以下细节:

    字段

    说明

    订购

    从下拉列表中选择您的订阅。

    资源组

    从下拉列表中选择现有的资源组。

    应用程序网关名称

    指定应用程序网关名称。

    区域

    从下拉列表中选择位置。例如印度中部

    选择所需的层。例如标准 V2

    最小实例计数

    指定值 0

    最大实例计数

    指定值 10

    虚拟网络

    选择虚拟网络和已创建的对应子网。请参见创建虚拟网络和子网

    1. 保留其余字段的默认值,然后单击下一步:前端 >

  5. 前端选项卡中:

    1. 选择公共

    2. 公共 IP 地址下,单击新增

      1. 指定公共 IP 地址名称。例如 idmgateway.centralindia.cloudapp.azure.com。

      2. 单击确定

    3. 单击下一步:后端 >

  6. 后端选项卡中:

    1. 单击添加后端池

      1. 指定后端池名称。

      2. 选择添加一个没有目标的后端池。

      3. 单击添加

    2. 单击下一步:配置 >

  7. 配置选项卡中:

    1. 路由规则下,单击添加路由规则

    2. 指定规则名称。

    3. 侦听器选项卡中指定以下细节:

      字段

      说明

      侦听器名称

      指定侦听器名称。

      前端 IP

      从下拉列表中选择公共

      协议

      选择 HTTP

      端口

      指定值 80

    4. 保留其余字段的默认值。

    5. 后端目标选项卡中指定以下细节:

      字段

      说明

      后端目标

      从下拉列表中选择后端目标。

      HTTP 设置

      单击新增,指定 HTTP 设置名称。保留所有字段的默认值,然后单击添加

      1. 单击添加

    6. 单击下一步:标记 >

  8. 标记选项卡中,单击下一步:查看 + 创建 >

  9. 查看 + 创建 > 选项卡中查看您的设置,然后单击创建

注:有关配置应用程序网关的详细信息,请参见配置应用程序网关

15.2.4 创建虚拟机实例

创建单独的虚拟机以托管 Identity Manager 组件。

  1. 登录到 Azure 门户。

  2. 在搜索中键入虚拟机

  3. 在“服务”下,选择虚拟机

  4. 单击创建,然后选择虚拟机

  5. 基本信息选项卡中:

    1. 从下拉列表中选择您的订阅

    2. 从下拉列表中选择现有的资源组(参见创建资源组)。

    3. 指定虚拟机名称

    4. 区域下拉列表中选择位置。例如印度中部

    5. 映像下拉列表中选择所需的 Windows Server。例如 Windows Server 2019

    6. 大小下拉列表中选择虚拟机大小。

    7. 指定用户名密码确认密码

    8. 在“许可”下,选择 Windows Server 许可证,然后选择符合条件的附带软件保障的 Windows Server 许可证以确认。

    9. 保留其余字段的默认值。

    10. 单击下一步:磁盘 >

  6. 磁盘选项卡中:

    1. OS 磁盘类型下拉列表中选择磁盘类型。例如高级 SSD

    2. 从下拉列表中选择所需的加密类型。

    3. 单击下一步:网络 >

  7. 网络选项卡中:

    1. 选择虚拟网络和已创建的对应子网。请参见创建虚拟网络和子网

    2. 在网络安全组下,选择高级

    3. 从下拉列表中选择现有的网络安全组。

      1. (视情况而定)如果没有可用的网络安全组,请单击新建

      2. 指定网络安全组名称。

      3. 单击添加入站角色,指定所需的细节。

      4. 单击添加出站角色,指定所需的细节。

      5. 单击确定

    4. 保留其余字段的默认值。

    5. 单击下一步:管理 >

  8. 管理选项卡中,保留所有字段的默认值,然后单击下一步:高级 >

  9. 高级选项卡中,保留所有字段的默认值,然后单击下一步:标记 >

  10. 标记选项卡中,保留所有字段的默认值,然后单击下一步:查看 + 创建 >

  11. 查看 + 创建选项卡中查看您的设置,然后单击创建

15.2.5 更新 VM 中的主机项

可以使用应用程序网关的公共 DNS 名称或使用别名 DNS 记录集来访问 Identity Manager 组件。要使 Identity Manager 组件能够互相通讯,请编辑每个 VM 上的 hosts 文件,并添加一项来解析此 VM 的主机名。

表 15-1 更新主机项

组件

说明

Identity Engine

导航到 Identity Engine VM 中的 hosts 文件。例如,

C:\Windows\System32\drivers\etc\hosts

修改 hosts 文件,在其中包含以下项:

<Identity Engine VM 的 IP 地址> <Identity Engine VM 的专用 DNS 名称>

例如:

10.0.1.1 identityengine.example.com

<Identity Applications VM 的 IP 地址> <应用程序网关的公共 DNS 名称>

例如:

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

Identity Applications

导航到 Identity Engine VM 中的 hosts 文件。例如,

C:\Windows\System32\drivers\etc\hosts

修改 hosts 文件,在其中包含以下项:

<Identity Engine VM 的 IP 地址> <Identity Engine VM 的专用 DNS 名称>

例如:

10.0.1.1 identityengine.example.com

<Identity Applications VM 的 IP 地址> <应用程序网关的公共 DNS 名称>

例如:

10.0.1.2 idmgateway.centralindia.cloudapp.azure.com

要更新 Identity Reporting 和 iManager 的主机项,请参见表 15-1中的 Identity Applications

注:有关 Identity Manager 组件的安装,请参见安装过程

15.2.6 安装 Designer

  1. 在公用子网中,起动虚拟机实例。请参见创建虚拟机实例

    对于 Windows 安全组,请仅使用 rdesktop 端口。例如 3389。.

  2. 安装 Designer。请参考部分 IV, 安装 Designer

15.2.7 配置应用程序网关

配置应用程序网关后,外部网络便可使用虚拟机上托管的 Identity Manager 组件。

  1. 为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件配置单独的后端池。

    1. 后端池中,单击添加

    2. 指定以下细节:

      字段

      说明

      名称

      指定用于识别 Identity Manager 组件的后端池名称。

      类型

      以下列方式之一指定类型:

      • IP 地址或 FQDN: 指定所需 Identity Manager 组件的 IP 地址或 FQDN。

      • 虚拟机: 选择托管所需 Identity Manager 组件的虚拟机。

    3. 单击确定

    重复此步骤以配置更多后端池。

  2. 为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件配置单独的 HTTP 设置。

    注:确保您已导出所需 Identity Manager 组件的公共证书。

    1. HTTP 设置中单击添加

    2. 指定以下细节:

      字段

      说明

      名称

      指定用于识别 Identity Manager 组件的 HTTP 设置名称。

      协议

      选择 HTTPS。

      端口

      指定 Identity Manager 组件的端口。

      例如:

      • iManager: 8443

      • Identity Applications: 8543

      • Forms: 8600

      • Identity Reporting: 8643

      后端鉴定证书

      1. 选择“新建”。

      2. 指定证书的名称。

      3. 浏览并上载为对应 Identity Manager 组件导出的公共证书。

      4. 单击“添加证书”。

    3. 单击确定

    重复此步骤以配置更多 HTTP 设置。

  3. 为每个 Identity Manager 组件(例如 iManager、Identity Applications、表单和 Identity Reporting)配置单独的侦听程序。

    注:确保已从身份库导出 .PFX 证书。

    1. 侦听程序中单击基本

    2. 指定以下细节:

      字段

      说明

      名称

      指定用于识别 Identity Manager 组件的侦听程序名称。

      前端 IP 配置

      1. 选择之前创建的虚拟网络和子网。请参见创建虚拟网络和子网

      2. 指定应用程序的名称和端口号。例如:

        iManager: 8443

        Identity Applications: 8543

        Forms: 8600

        Identity Reporting: 8643

      协议

      选择 HTTPS

      证书

      1. 浏览并上载 PFX 证书。

      2. 指定证书的名称和口令。

    3. 单击确定

    重复此步骤以配置更多侦听程序。

  4. 为 iManager、Identity Applications、表单和 Identity Reporting 等 Identity Manager 组件创建基本规则,并将此规则与相应的后端池、侦听程序和 HTTP 设置关联。

    1. 规则中单击添加

    2. 指定以下细节:

      字段

      说明

      名称

      指定有助于识别 Identity Manager 组件的规则名称。

      侦听程序

      选择在步骤 3 中创建的相应侦听程序。

      后端池

      选择在步骤 1 中创建的相应后端池。

      HTTP 设置

      选择在步骤 2 中创建的相应 HTTP 设置。

    3. 单击确定

    重复此步骤以配置更多规则。