15.1 規劃安裝 Identity Applications

Identity Applications 安裝包含以下元件:

  • Identity Manager 儀表板

  • Identity Manager 管理主控台

  • 使用者應用程式

  • 角色與資源服務驅動程式 (RRSD)

  • 使用者應用程式驅動程式 (UAD)

安裝不包含 Identity Applications 所需的以下兩個驅動程式:使用者應用程式驅動程式,以及角色與資源服務驅動程式。

附註:從技術上講,Identity Reporting 可視為一種身分應用程式,因為該元件也使用 SSPR 和 OSP,並且您是透過 RBPM 組態公用程式來修改設定的。不過,Identity Reporting 有自己的安裝程式,可安裝在單獨的伺服器上,並且使用不同的資料庫。如需詳細資訊,請參閱節 16.5, Identity Reporting 的系統要求

15.1.1 Identity Applications 的安裝核對清單

NetIQ 建議您在開始安裝程序之前先檢閱以下步驟︰

核對清單項目

  1. 瞭解 Identity Manager 各元件之間的互動。如需詳細資訊,請參閱節 4.3.1, 使用者應用程式和 Roles Based Provisioning Module

  1. 確定要為 Identity Manager 的元件使用哪些伺服器。如需詳細資訊,請參閱節 5.3.4, 建議的伺服器設定

  1. 決定在安裝 Identity Applications 之前是否應安裝 Sentinel。如需詳細資訊,請參閱節 5.3, 建議的安裝情境和伺服器設定

  1. 確保 Identity Manager 引擎已安裝。如需安裝引擎的詳細資訊,請參閱節 8.0, 規劃安裝引擎、驅動程式和外掛程式

  1. 檢閱關於安裝 Identity Applications 及其支援架構的考量,以確保您的伺服器符合先決條件。如需詳細資訊,請參閱節 15.1.3, 安裝 Identity Applications 的先決條件和考量

  1. 檢閱代管 Identity Applications 及其架構的電腦需要符合的硬體和軟體要求。如需詳細資訊,請參閱Identity Applications 的系統要求

  1. 確保 eDirectory 在預設 LDAP 連接埠 389 和 636 上執行,以免收到關於綱要無效的錯誤訊息。您可以在安裝後手動延伸 eDirectory 綱要。如需詳細資訊,請參閱節 15.2.1, 將使用者應用程式綱要做為記錄應用程式新增至稽核伺服器中

  1. 在 eDirectory Identity Vault 中建立一個使用者應用程式管理員帳戶。如需詳細資訊,請參閱節 15.2.2, 向 Identity Vault 管理員和使用者應用程式管理員帳戶指定權限

  1. 在本地電腦或連接的伺服器上為 Identity Applications 安裝並設定資料庫。

  1. 在本地電腦上或叢集中準備一個應用程式伺服器。

  1. (視情況而定) 若要使用 Apache Log4j 服務來記錄 Tomcat 中的事件,請確保您有相應的檔案。如需詳細資訊,請參閱節 13.1.4, 使用 Apache Log4j 服務記錄登入

  1. 檢閱 Identity Applications 安裝套件的內容,以確定您的環境需要哪些檔案。如需詳細資訊,請參閱節 15.1.2, 瞭解 Identity Applications 的安裝程式

  1. 建立並部署使用者應用程式驅動程式及角色與資源服務驅動程式。如需詳細資訊,請參閱節 15.6, 建立和部署 Identity Applications 的驅動程式

  1. 安裝 Identity Applications。如需詳細資訊,請參閱節 15.5, 安裝 Identity Applications

  1. 若要執行安裝程序中的最後幾個任務,請參閱節 15.7, 完成 Identity Applications 的安裝

  1. 確保您已正確設定 Identity Applications 和單一登入設定。如需詳細資訊,請參閱節 28.0, 驗證是否可對 Identity Applications 進行單一登入存取

  1. (選擇性) 若要開始使用 Identity Applications,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南)。

15.1.2 瞭解 Identity Applications 的安裝程式

Identity Applications 的安裝檔案位於安裝套件的 \products\UserApplication\ 目錄中。

安裝程式 (IdmUserApp.exe) 會執行以下操作︰

  • 指定現有的應用程式伺服器版本,以供使用。

  • 指定要使用的現有資料庫版本。該資料庫用於儲存 Identity Applications 的資料和組態資訊。

  • 設定 JDK 的證書檔案,以便 Tomcat 上執行的 Identity Applications 能夠安全地與 Identity Vault 和使用者應用程式驅動程式通訊。

  • 設定使用者應用程式的 Java Web 應用程式歸檔 (WAR) 檔案,並將其部署到 Tomcat。

  • 透過 Sentinel 稽核用戶端實現記錄功能 (如果您選擇如此)。

  • 允許您輸入現有萬能金鑰,以還原特定的 Identity Applications 安裝,以及為叢集提供支援。

15.1.3 安裝 Identity Applications 的先決條件和考量

NetIQ 建議您在開始執行安裝程序之前,檢閱 Identity Applications 的先決條件和電腦要求。如需設定使用者應用程式環境的詳細資訊,請參閱《NetIQ Identity Manager - Identity Applications 使用者指南》。

Identity Applications 的安裝考量

在安裝 Identity Applications 時,請注意以下事項。

  • 需要以下 Identity Manager 元件的支援版本:

    • Designer

    • Identity Vault

    • Identity Manager 引擎

    • 遠端載入器

    • One SSO Provider

    如需這些元件所需版本和修補程式的詳細資訊,請參閱最新的《版本說明》。

  • 確認 Identity Vault 包括已建立且部署的使用者應用程式及角色與資源服務驅動程式。如需詳細資訊,請參閱節 15.6, 建立和部署 Identity Applications 的驅動程式

  • 在安裝 Identity Applications 之前,請安裝以下架構項目:

  • (選擇性) NetIQ 建議為 Identity Manager 各元件之間的通訊啟用安全通訊端層 (SSL) 通訊協定。若要使用 SSL 通訊協定,必須在您的環境中啟用 SSL,並在安裝期間指定 https。如需啟用 SSL 的資訊,請參閱《NetIQ Analyzer for Identity Manager Administration Guide》(NetIQ Analyzer for Identity Manager 管理指南) 中的「Configuring Security in the Identity Applications」(設定 Identity Applications 中的安全性)。

  • 在建立角色與資源驅動程式之前,建立使用者應用程式驅動程式。角色與資源驅動程式會參考使用者應用程式驅動程式中的角色儲存區容器 (RoleConfig.AppConfig)。

  • 角色與資源服務驅動程式無法與遠端載入器配合使用,因為該驅動程式使用 jClient。

  • JAVA_HOME 環境變數設定為指向您打算與 Identity Applications 配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。

  • 依預設,安裝程序會將程式檔案放在 C:\NetIQ\idm 目錄中。

    如果您打算在非預設位置安裝使用者應用程式,則新目錄必須存在且可寫入。

  • 每個使用者應用程式例項只能為一個使用者容器提供服務。例如,您只能搜尋、查詢與該例項關聯的容器,以及向其新增使用者。此外,使用者容器與應用程式之間的關聯是永久性的。

  • (視情況而定) 如果您打算使用外部密碼管理,您的環境必須符合以下要求:

    • 為要部署 Identity Applications 和 IDMPwdMgt.war 檔案的 Tomcat 啟用安全通訊端層 (SSL) 通訊協定。

    • 請確定您的防火牆已開放 SSL 連接埠。

    如需為 Tomcat 啟用 SSL 的詳細資訊,請參閱節 29.8, 更新 Self Service Password Reset 的 SSL 設定

    如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱節 15.7.8, 設定忘記密碼管理功能

  • (選擇性) 若要從受管理系統擷取授權,請安裝一或多個 Identity Manager 驅動程式。

Identity Applications 的組態和使用考量

在設定和初次使用 Identity Applications 時,需注意以下事項。

  • 只有在您完成以下活動之後,使用者才能存取 Identity Applications:

    • 確保已安裝所有必要的 Identity Manager 驅動程式。

    • 確保 Identity Vault 的索引處於線上模式。如需在安裝期間設定索引的詳細資訊,請參閱其他

    • 在所有瀏覽器上啟用 Cookie。如果停用 Cookie,應用程式將無法運作。

  • 在未登入 Identity Applications 的情況下,使用者無法以訪客或匿名使用者的身分存取 Identity Applications。系統將提示使用者登入使用者介面。如需詳細資訊,請參閱節 VIII, 在 Identity Manager 中設定單一登入存取

  • 為確保 Identity Manager 強制執行通用密碼功能,請將 Identity Vault 設定為使用「NMAS 登入」做為使用者首次登入時要執行的程序。將 NDSD_TRY_NMASLOGIN_FIRST 連帶字串值 true 新增至 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment 登錄機碼。

  • (視情況而定) 若要執行報告,您的環境中必須已安裝 Identity Reporting 的元件。如需詳細資訊,請參閱《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理員指南)。

  • 安裝過程中,安裝程式會將記錄檔案寫入安裝目錄。這些檔案包含組態的相關資訊。設定 Identity Applications 環境之後,您應考慮刪除這些記錄檔案,或將其儲存在安全位置。安裝過程中,您可以選擇將資料庫綱要寫入檔案。由於此檔案包含資料庫的描述性資訊,因此安裝程序完成後,您應將其移至安全的位置。

  • (視情況而定) 若要稽核 Identity Applications,必須在環境中安裝並設定 Identity Reporting 和稽核服務,以擷取事件。此外,您還必須對 Identity Applications 進行設定以支援稽核。如需詳細資訊,請參閱《NetIQ Identity Manager - Configuring Auditing in Identity Manager》(NetIQ Identity Manager - 在 Identity Manager 中設定稽核)。

應用程式伺服器的先決條件和考量

若要使用 Identity Applications,需要安裝 Tomcat,同時需注意以下事項︰

  • Tomcat 必須在與 Java Development Kit (JDK) 或 Java Runtime Environment (JRE) 配合執行。如需受支援版本的詳細資訊,請參閱Identity Applications 的系統要求

  • JAVA_HOME 環境變數設定為指向您打算與使用者應用程式配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。

  • (視情況而定) 您可以使用自己的 Tomcat 安裝程式,而不使用 Identity Manager 安裝套件中提供的安裝程式。但是,若要將 Apache Log4j 服務與您的 Tomcat 版本配合使用,請確保已安裝相應的檔案。如需詳細資訊,請參閱節 13.1.4, 使用 Apache Log4j 服務記錄登入

  • (視情況而定) 若要保留您數位簽名的文件,必須在 Tomcat 應用程式伺服器上安裝 Identity Applications,並使用 Novell Identity Audit。數位簽名文件不會與工作流程資料一起儲存在「使用者應用程式」資料庫中,而是儲存在記錄資料庫中。此外,您還必須啟用記錄才能保留這些文件。如需詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的「Setting Up Logging in the Identity Applications」(在 Identity Applications 中設定記錄)。

  • (視情況而定) 在需要記錄大量使用者資料或者目錄伺服器包含大量物件的環境中,您可能需要使用多個部署了 Identity Applications 的應用程式伺服器。如需進行效能最佳化設定的詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的「Tuning the Performance of the Applications」(調整應用程式的效能)。

  • (視情況而定) 如果您使用 Tomcat 應用程式伺服器,在完成安裝程序之前,請不要啟動該伺服器。

  • (視情況而定) 若要使用外部密碼管理,您必須執行以下操作來啟用安全通訊端層 (SSL) 通訊協定:

    • 為要部署 Identity Applications 和 IDMPwdMgt.war 檔案的 Tomcat 啟用 SSL。

    • 請確定您的防火牆已開放 SSL 連接埠。

    如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱設定忘記密碼管理功能 和《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南)。

  • 安裝程序不會修改 Tomcat 伺服器上的 JAVA_HOMEJRE_HOME 項目。依預設,Tomcat 的便捷安裝程式會將 setenv.bat 檔案放在 C:\NetIQ\idm\apps\tomcat\bin\ 目錄中。安裝程式還會在該檔案中設定 JRE 位置。

在叢集環境中安裝 Identity Applications 的先決條件

您可以在 Tomcat 叢集支援的環境中安裝 Identity Applications 的資料庫,不過需要注意以下事項︰

  • 叢集必須具有唯一的叢集分割區名稱、多路廣播位址和多路廣播連接埠。使用唯一的識別碼可以區分多個叢集,防止出現效能問題和異常行為。

    • 對於叢集的每個成員,必須為 Identity Applications 資料庫的監聽連接埠指定相同連接埠號。

    • 對於叢集的每個成員,必須為代管 Identity Applications 資料庫的伺服器指定相同主機名稱或 IP 位址。

  • 必須同步化叢集中各伺服器的時鐘。如果伺服器時鐘不同步,工作階段可能會提前逾時,導致 HTTP 工作階段容錯移轉無法正常運作。

  • NetIQ 建議不要在同一個主機上的瀏覽器索引標籤或瀏覽器工作階段之間使用多個登入。某些瀏覽器在索引標籤以及程序之間共享 Cookie,因此,允許多個登入可能會導致 HTTP 工作階段容錯移轉出現問題 (此外,如果多個使用者共享一台電腦,則還可能會出現未預期的驗證功能風險)。

  • 叢集節點位於同一個子網路中。

  • 容錯移轉代理或負載平衡解決方案安裝在單獨的電腦上。

如需在叢集環境中設定 Identity Applications 的詳細資訊,請參閱節 15.4, 準備 Identity Applications 的環境

安裝 Identity Applications 資料庫的先決條件

資料庫用於儲存 Identity Applications 的資料和組態資訊。

在安裝資料庫例項之前,請檢閱以下先決條件:

  • 若要設定與 Tomcat 配合使用的資料庫,必須建立一個 JDBC 驅動程式。Identity Applications 使用標準 JDBC 呼叫來存取和更新該資料庫。Identity Applications 使用與 JNDI 網路樹結合的 JDBC 資料來源檔案來開啟資料庫連接。

  • 您必須有一個指向該資料庫的現有資料來源檔案。使用者應用程式的安裝程式將在 server.xmlcontext.xml 中建立一個指向資料庫的 Tomcat 資料來源項目。

  • 務必準備好以下資訊:

    • 資料庫伺服器的主機和連接埠。

    • 要建立之資料庫的名稱。Identity Applications 的預設資料庫為 idmuserappdb

    • 資料庫使用者名稱和密碼。資料庫使用者名稱必須代表某個管理員帳戶,或必須有權在資料庫伺服器中建立表格。使用者應用程式的預設管理員為 idmadmin

    • 資料庫廠商為您所用資料庫提供的驅動程式 .jar 檔案。NetIQ 不支援協力廠商提供的驅動程式 JAR 檔案。

  • 資料庫例項可以安裝在本地電腦上,也可以安裝在連接的伺服器上。

  • 資料庫字元集必須使用 Unicode 編碼。例如,UTF-8 便是一種使用 Unicode 編碼的字元集,而 Latin1 則不是。如需指定字元集的詳細資訊,請參閱設定字元集節 15.3.1, 設定 Oracle 資料庫

  • 為了避免在移轉期間發生重複鍵錯誤,請使用區分大小寫的定序。如果發生重複鍵錯誤,請檢查定序並予以校正,然後重新安裝 Identity Applications。

  • (視情況而定) 若要將同一個資料庫例項用於稽核與 Identity Applications,NetIQ 建議在一個獨立的專屬伺服器 (而非代管執行 Identity Applications 的 Tomcat 的伺服器) 上安裝該資料庫。

  • (視情況而定) 如果要移轉至新版 Identity Applications,您必須使用先前安裝所用的同一個資料庫。

  • 資料庫叢集化是每個資料庫伺服器各自的功能。NetIQ 不會對任何叢集資料庫組態進行正式測試,因為叢集化獨立於產品功能。因此,我們在支援叢集資料庫伺服器的同時,也提出了以下告誡:

    • 依預設,最大連接數設定為 100。此值可能太低,無法處理叢集中的工作流程申請負載。您可能會看到以下例外︰

      (java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections."

      若要增加最大連接數,請在 my.cnf 檔案中將 max_connections 變數設定為更高的值。

    • 您可能需要停用叢集資料庫伺服器的某些功能或方面。例如,必須對某些表停用交易複製,因為在嘗試插入重複鍵時會出現條件約束違規。

    • 我們不提供有關叢集資料庫伺服器安裝、組態或最佳化方面的協助,包括將我們的產品安裝到叢集資料庫伺服器中。

    • 我們會盡最大努力來解決在叢集資料庫環境中使用我們的產品時可能出現的問題。在複雜環境中採用的疑難排解方法通常需要雙方的合作才能解決問題。NetIQ 提供分析、規劃 NetIQ 產品及對其進行疑難排解的專業知識。而客戶必須具有分析、規劃任何協力廠商產品及對其進行疑難排解的專業知識。我們將會要求客戶在非叢集環境中再現問題或分析其元件的行為,以協助將潛在的叢集設定問題與 NetIQ 產品問題分離開來。

15.1.4 Identity Applications 的系統要求

本節介紹安裝 Identity Applications 的最低要求。

類別

要求

處理器

1 GHz

磁碟空間

1 GB

附註:為支援應用程式的內容 (例如資料庫和應用程式伺服器記錄) 提供足夠空間。

記憶體

4 GB

作業系統 (已認證)

以下 64 位元作業系統之一︰

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

對於 32 位元作業系統︰

  • Windows Server 2008 SP2

NetIQ 建議您在安裝 Identity Manager 之前,依照製造商的自動更新機制來套用最新的作業系統修補程式。

附註:已認證指作業系統已進行全面測試且受支援。

作業系統 (受支援)

已認證作業系統的最新版 Service Pack

附註:受支援指作業系統尚未進行測試,但預期可正常運作。

虛擬化系統

  • VMWare ESX 5.5 及更新版本

NetIQ 允許您在為執行 NetIQ 產品的作業系統提供官方支援的企業級虛擬化系統上執行 Identity Manager。只要虛擬化系統的廠商為這些作業系統提供官方支援,NetIQ 就支援在這些系統上執行整個 Identity Manager 堆疊。

資料庫

  • PostgreSQL 9.6.6

  • Orcale 12c

  • MsSQL 2016, 2014

附註:請勿在 Tomcat 的類別路徑中包含 PostgreSQL 版本 (例如 9.6.6)。如果指定這些版本,系統可能不會載入首頁影像。

網頁瀏覽器

以下任意瀏覽器 (最低版本)︰

  • Google Chrome 61

  • Mozilla Firefox 51

附註:必須在瀏覽器中啟用 Cookie。

應用程式伺服器

Apache Tomcat 8.5.27

Java

JRE 1.8.0_162

連接埠

8180