NetIQ 建議您在開始執行安裝程序之前,檢閱 Identity Applications 的先決條件和電腦要求。如需設定使用者應用程式環境的詳細資訊,請參閱《NetIQ Identity Manager - Identity Applications 使用者指南》。
在安裝 Identity Applications 時,請注意以下事項。
需要以下 Identity Manager 元件的支援版本:
Designer
Identity Vault
Identity Manager 引擎
Remote Loader
One SSO Provider
如需這些元件所需版本和修補程式的詳細資訊,請參閱最新的《版本說明》。
確認 Identity Vault 包括 SecretStore 模組且該模組已經過設定。如需詳細資訊,請參閱節 12.1.2, 將 SecretStore 新增至 Identity Vault 綱要。
確認 Identity Vault 包括已建立且部署的使用者應用程式及角色與資源服務驅動程式。如需詳細資訊,請參閱節 38.0, 建立和部署 Identity Applications 的驅動程式。
在安裝 Identity Applications 之前,請安裝以下架構項目:
在本地電腦上安裝一個應用程式伺服器。如需詳細資訊,請參閱節 33.3.3, 應用程式伺服器的先決條件和考量。
在本地電腦或連接的伺服器上安裝一個資料庫。如需詳細資訊,請參閱節 33.3.5, 安裝 Identity Applications 資料庫的先決條件。
(視情況而定) 在 SUSE Linux Enterprise Server (SLES) 平台上安裝 Identity Applications 時,請不要使用 SLES 隨附的 IBM JDK。此版本在某些方面與使用者應用程式安裝不相容。您應該下載 Oracle JDK。
(視情況而定) 若要在執行 SLES 12 SP1 或更新版本平台的伺服器上進行引導式安裝,請確認伺服器上已安裝 libXtst6-32bit-1.2.1-4.4.1.x86_64、libXrender-32bit 和 libXi6-32bit 程式庫。
(選擇性) NetIQ 建議為 Identity Manager 各元件之間的通訊啟用安全通訊端層 (SSL) 通訊協定。若要使用 SSL 通訊協定,必須在您的環境中啟用 SSL,並在安裝期間指定 https。如需啟用 SSL 的資訊,請參閱《NetIQ Analyzer for Identity Manager Administration Guide》(NetIQ Analyzer for Identity Manager 管理指南) 中的「Configuring Security in the Identity Applications」(設定 Identity Applications 中的安全性)。
在建立角色與資源驅動程式之前,建立使用者應用程式驅動程式。角色與資源驅動程式會參考使用者應用程式驅動程式中的角色儲存區容器 (RoleConfig.AppConfig)。
角色與資源服務驅動程式無法與 Remote Loader 配合使用,因為該驅動程式使用 jClient。
將 JAVA_HOME 環境變數設定為指向您打算與 Identity Applications 配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。
依預設,安裝程序會將程式檔案放在 C:\NetIQ\IDM 或 /opt/netiq/idm 目錄中。如果您打算將使用者應用程式安裝在非預設位置,在開始執行安裝程序之前,新目錄必須符合以下要求:
該目錄存在並且可寫入。
對於 Linux 環境,非 root 使用者可以寫入該目錄。
每個使用者應用程式例項只能為一個使用者容器提供服務。例如,您只能搜尋、查詢與該例項關聯的容器,以及向其新增使用者。此外,使用者容器與應用程式之間的關聯是永久性的。
(視情況而定) 如果您打算使用外部密碼管理,您的環境必須符合以下要求:
為要部署 Identity Applications 和 IDMPwdMgt.war 檔案的 Tomcat 啟用安全通訊端層 (SSL) 通訊協定。
請確定您的防火牆已開放 SSL 連接埠。
如需為 Tomcat 啟用 SSL 的詳細資訊,請參閱節 52.4, 更新應用程式伺服器的 SSL 設定。
如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱節 39.6, 設定忘記密碼管理功能。
為了支援透過 Virtual List View (VLV) 和 Server Side Sort (SSS) 控制項進行 LDAP 搜尋的功能,請對 eDirectory 9.0.2 或 eDirectory 8.8.8 Patch 9 套用 Hotfix 2。如需詳細資訊,請參閱節 11.0, 將 Hotfix 2 套用於 Identity Vault。
如果您是使用整合式安裝程式安裝 eDirectory 的,則無需套用此 Hotfix。整合式安裝程式會安裝已套用此 HotFix 的更新版 eDirectory。
(選擇性) 若要從受管理系統擷取授權,請安裝一或多個 Identity Manager 驅動程式。
您必須使用受 Identity Manager 3.6.1、4.0 或更高版本支援的驅動程式。如需安裝驅動程式的詳細資訊,請參閱 NetIQ Identity Manager 驅動程式文件網站中的相應驅動程式指南。
若要管理驅動程式,您必須事先已安裝 Designer 或 iManager 的相應外掛程式。如需詳細資訊,請參閱節 22.3, 瞭解 iManager 外掛程式的安裝。
在設定和初次使用 Identity Applications 時,需注意以下事項。
只有在您完成以下活動之後,使用者才能存取 Identity Applications:
確保已安裝所有必要的 Identity Manager 驅動程式。
確保 Identity Vault 的索引處於線上模式。如需在安裝期間設定索引的詳細資訊,請參閱節 40.2.9, 其他。
在所有瀏覽器上啟用 Cookie。如果停用 Cookie,應用程式將無法運作。
在 Identity Manager 環境中啟用 SSO 後,使用者將不再能夠以訪客或匿名使用者身分存取 Identity Applications,而是會被提示登入使用者介面。如需詳細資訊,請參閱節 XV, 在 Identity Manager 中設定單一登入存取。
為確保 Identity Manager 強制執行通用密碼功能,請將 Identity Vault 設定為使用「NMAS 登入」做為使用者首次登入時要執行的程序。
Linux:將以下指令新增至 /opt/novell/eDirectory/sbin/pre_ndsd_start 程序檔的末尾:
NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST
Windows:將包含字串值 true 的 NDSD_TRY_NMASLOGIN_FIRST 新增至 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment 登錄機碼。
(視情況而定) 若要執行報告,您的環境中必須已安裝 Identity Reporting 的元件。如需詳細資訊,請參閱《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理員指南)。
安裝過程中,安裝程式會將記錄檔案寫入安裝目錄。這些檔案包含組態的相關資訊。設定 Identity Applications 環境之後,您應考慮刪除這些記錄檔案,或將其儲存在安全位置。安裝過程中,您可以選擇將資料庫綱要寫入檔案。由於此檔案包含資料庫的描述性資訊,因此安裝程序完成後,您應將其移至安全的位置。
(視情況而定) 若要稽核 Identity Applications,必須在環境中安裝並設定 Identity Reporting 和稽核服務,以擷取事件。此外,您還必須對 Identity Applications 進行設定以支援稽核。如需詳細資訊,請參閱
(選擇性) 您可以將 Identity Applications 設定為使用 SAML 驗證來與 NetIQ Access Manager 配合運作。如需詳細資訊,請參閱節 49.0, 對 NetIQ Access Manager 使用 SAML 驗證進行單一登入。
若要使用 Identity Applications,需要安裝 Tomcat,同時需注意以下事項︰
Tomcat 必須在與 Java Development Kit (JDK) 或 Java Runtime Environment (JRE) 配合執行。如需受支援版本的詳細資訊,請參閱節 33.4, Identity Applications 的系統要求。
將 JAVA_HOME 環境變數設定為指向您打算與使用者應用程式配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。
(視情況而定) 您可以使用自己的 Tomcat 安裝程式,而不使用 Identity Manager 安裝套件中提供的安裝程式。但是,若要將 Apache Log4j 服務與您的 Tomcat 版本配合使用,請確保已安裝相應的檔案。如需詳細資訊,請參閱節 29.4, 使用 Apache Log4j 服務記錄登入。
(視情況而定) 若要保留您數位簽名的文件,必須在 Tomcat 應用程式伺服器上安裝 Identity Applications,並使用 Novell Identity Audit。數位簽名文件不會與工作流程資料一起儲存在「使用者應用程式」資料庫中,而是儲存在記錄資料庫中。此外,您還必須啟用記錄才能保留這些文件。如需詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的「Setting Up Logging in the Identity Applications」(在 Identity Applications 中設定記錄)。
(視情況而定) 在需要記錄大量使用者資料或者目錄伺服器包含大量物件的環境中,您可能需要使用多個部署了 Identity Applications 的應用程式伺服器。如需進行效能最佳化設定的詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的「Tuning the Performance of the Applications」(調整應用程式的效能)。
(視情況而定) 如果您使用 Tomcat 應用程式伺服器,在完成安裝程序之前,請不要啟動該伺服器。
(視情況而定) 若要使用外部密碼管理,您必須執行以下操作來啟用安全通訊端層 (SSL) 通訊協定:
為要部署 Identity Applications 和 IDMPwdMgt.war 檔案的 Tomcat 啟用 SSL。
請確定您的防火牆已開放 SSL 連接埠。
如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱設定忘記密碼管理功能 和《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南)。
安裝程序不會修改 Tomcat 伺服器上的 JAVA_HOME 或 JRE_HOME 項目。依預設,Tomcat 的便捷安裝程式會將 setenv.sh 檔案放在 /opt/netiq/idm/apps/tomcat/bin/ 目錄中。安裝程式還會在該檔案中設定 JRE 位置。
您可以在 Tomcat 叢集支援的環境中安裝 Identity Applications 的資料庫,不過需要注意以下事項︰
叢集必須具有唯一的叢集分割區名稱、多路廣播位址和多路廣播連接埠。使用唯一的識別碼可以區分多個叢集,防止出現效能問題和異常行為。
對於叢集的每個成員,必須為 Identity Applications 資料庫的監聽連接埠指定相同連接埠號。
對於叢集的每個成員,必須為代管 Identity Applications 資料庫的伺服器指定相同主機名稱或 IP 位址。
必須同步化叢集中各伺服器的時鐘。如果伺服器時鐘不同步,工作階段可能會提前逾時,導致 HTTP 工作階段容錯移轉無法正常運作。
NetIQ 建議不要在同一個主機上的瀏覽器索引標籤或瀏覽器工作階段之間使用多個登入。某些瀏覽器在索引標籤以及程序之間共享 Cookie,因此,允許多個登入可能會導致 HTTP 工作階段容錯移轉出現問題 (此外,如果多個使用者共享一台電腦,則還可能會出現未預期的驗證功能風險)。
叢集節點位於同一個子網路中。
容錯移轉代理或負載平衡解決方案安裝在單獨的電腦上。
如需在叢集環境中設定 Identity Applications 的詳細資訊,請參閱節 36.0, 準備 Identity Applications 的環境。
資料庫用於儲存 Identity Applications 的資料和組態資訊。
在安裝資料庫例項之前,請檢閱以下先決條件:
若要設定與 Tomcat 配合使用的資料庫,必須建立一個 JDBC 驅動程式。Identity Applications 使用標準 JDBC 呼叫來存取和更新該資料庫。Identity Applications 使用與 JNDI 網路樹結合的 JDBC 資料來源檔案來開啟資料庫連接。
您必須有一個指向該資料庫的現有資料來源檔案。使用者應用程式的安裝程式將在 server.xml 和 context.xml 中建立一個指向資料庫的 Tomcat 資料來源項目。
務必準備好以下資訊:
資料庫伺服器的主機和連接埠。
要建立之資料庫的名稱。Identity Applications 的預設資料庫為 idmuserappdb。
資料庫使用者名稱和密碼。資料庫使用者名稱必須代表某個管理員帳戶,或必須有權在資料庫伺服器中建立表格。使用者應用程式的預設管理員為 idmadmin。
資料庫廠商為您所用資料庫提供的驅動程式 .jar 檔案。NetIQ 不支援協力廠商提供的驅動程式 JAR 檔案。
資料庫例項可以安裝在本地電腦上,也可以安裝在連接的伺服器上。
資料庫字元集必須使用 Unicode 編碼。例如,UTF-8 便是一種使用 Unicode 編碼的字元集,而 Latin1 則不是。如需指定字元集的詳細資訊,請參閱節 35.3.1, 設定字元集 或節 35.1, 設定 Oracle 資料庫。
為了避免在移轉期間發生重複鍵錯誤,請使用區分大小寫的定序。如果發生重複鍵錯誤,請檢查定序並予以校正,然後重新安裝 Identity Applications。
(視情況而定) 若要將同一個資料庫例項用於稽核與 Identity Applications,NetIQ 建議在一個獨立的專屬伺服器 (而非代管執行 Identity Applications 的 Tomcat 的伺服器) 上安裝該資料庫。
(視情況而定) 如果要移轉至新版 Identity Applications,您必須使用先前安裝所用的同一個資料庫。
資料庫叢集化是每個資料庫伺服器各自的功能。NetIQ 不會對任何叢集資料庫組態進行正式測試,因為叢集化獨立於產品功能。因此,我們在支援叢集資料庫伺服器的同時,也提出了以下告誡:
依預設,最大連接數設定為 100。此值可能太低,無法處理叢集中的工作流程申請負載。您可能會看到以下例外︰
(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections."
若要增加最大連接數,請在 my.cnf 檔案中將 max_connections 變數設定為更高的值。
您可能需要停用叢集資料庫伺服器的某些功能或方面。例如,必須對某些表停用交易複製,因為在嘗試插入重複鍵時會出現條件約束違規。
我們不提供有關叢集資料庫伺服器安裝、組態或最佳化方面的協助,包括將我們的產品安裝到叢集資料庫伺服器中。
我們會盡最大努力來解決在叢集資料庫環境中使用我們的產品時可能出現的問題。在複雜環境中採用的疑難排解方法通常需要雙方的合作才能解決問題。NetIQ 提供分析、規劃 NetIQ 產品及對其進行疑難排解的專業知識。而客戶必須具有分析、規劃任何協力廠商產品及對其進行疑難排解的專業知識。我們將會要求客戶在非叢集環境中再現問題或分析其元件的行為,以協助將潛在的叢集設定問題與 NetIQ 產品問題分離開來。