15.7 完成 Identity Applications 的安裝

本節提供您在安裝 Identity Applications 及其架構後可能需要執行之活動的指示:

15.7.1 在叢集環境中檢查伺服器的狀態

如需詳細資訊,請參閱檢查伺服器的狀態

15.7.2 手動建立資料庫綱要

安裝 Identity Applications 時,您可以暫不執行連接到資料庫或在資料庫中建立表格的操作。如果您對資料庫沒有相應的許可權,則可能需要選取此選項。安裝程式將會建立一個 SQL 檔案,供您用來建立資料庫綱要。您也可以在安裝後重新建立資料庫表,而無需重新安裝。為此,您需要刪除 Identity Applications 的資料庫,然後建立一個新的同名資料庫。

使用 SQL 檔案產生資料庫綱要

本節假設安裝程式已建立了一個可供您執行以產生資料庫綱要的 SQL 檔案。如果您沒有該 SQL 檔案,請參閱手動建立用於產生資料庫綱要的 SQL 檔案

附註:請不要使用 SQL*Plus 來執行該 SQL 檔案。該檔案中的行長度超過了 4000 個字元。

  1. 停止應用程式伺服器。

  2. 登入資料庫伺服器。

  3. 刪除 Identity Applications 使用的資料庫。

  4. 建立一個與步驟 3 中刪除的資料庫同名的新資料庫。

  5. 導覽至安裝程序建立的 SQL 程序檔 (預設位於 /安裝路徑/userapp/sql 目錄中)。

  6. 讓資料庫管理員執行該 SQL 程序檔,以建立並設定使用者應用程式資料庫。

  7. 重新啟動 Tomcat。

手動建立用於產生資料庫綱要的 SQL 檔案

您可以在安裝後重新建立資料庫表,而無需重新安裝,也無需使用 SQL 檔案。本節的內容可協助您在沒有 SQL 檔案的情況下建立資料庫綱要。

  1. 停止 Tomcat。

  2. 登入代管 Identity Applications 資料庫的伺服器。

  3. 刪除現有的資料庫。

  4. 建立一個與您在步驟 3 中刪除的資料庫同名的新資料庫。

  5. 在文字編輯器中,開啟 NetIQ-Custom-Install.log 檔案 (預設位於 Identity Applications 的安裝根目錄中)。例如:

    C:\NetIQ\idm\apps\UserApplication

  6. NetIQ-Custom-Install.log 檔案中搜尋並複製以下指令:

    C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" -Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war --changeLogFile=DatabaseChangeLog.xml  --url="jdbc:postgresql://localhost:5432/idmuserappdb" --contexts="prov,newdb" --logLevel=info --logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** --password=******** update

  7. 登入安裝了 Identity Applications 資料庫的伺服器。

  8. 在終端機中,貼上您複製的指令字串。

    附註:該指令應為 updateSQL。如果指令是 update,請將其變更為 updateSQL

  9. 在該指令中,將代表資料庫使用者名稱和密碼的星號 (*) 取代為進行驗證所需的實際值。此外,請確保 SQL 檔案名稱是唯一的。

  10. 執行指令。

  11. (視情況而定) 如果安裝程序產生了一個 SQL 檔案,而不是在資料庫中填入資料,請將該檔案提供給資料庫管理員,讓其將該檔案輸入至資料庫伺服器。如需詳細資訊,請參閱使用 SQL 檔案產生資料庫綱要

  12. 在資料庫管理員輸入該 SQL 檔案後,啟動 Tomcat。

15.7.3 手動將 Identity Applications 和 Identity Reporting 證書輸入到 Identity Vault 中

  • 如果您擁有 Identity Applications 和 Identity Reporting 元件的自訂證書,請將這些證書輸入到 Identity Vault (位於 C:\NetIQ\eDirectory\jre\lib\security\cacerts 中)。

    例如,您可以使用以下 keytool 指令將證書輸入到 Identity Vault 中:

    keytool -importkeystore -alias <User Application certificate alias> -srckeystore  <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  • 如果您將 SSPR 安裝在不同於使用者應用程式伺服器的另一部伺服器上,請務必將 SSPR 應用程式證書新增至使用者應用程式 cacerts

15.7.4 記錄萬能金鑰

NetIQ 建議您在安裝後,立即複製加密的萬能金鑰,並將其記錄在安全的位置。如果此安裝是在叢集的第一個成員上進行,當您在叢集的其他成員上安裝 Identity Applications 時,請使用這個加密的萬能金鑰。

警告:請永遠保存一份加密萬能金鑰。如果遺失了萬能金鑰,您需要使用加密的萬能金鑰來重新取得加密資料的存取權。例如,在設備發生故障後,您可能需要用到該金鑰。

15.7.5 設定 Identity Applications 的 Identity Vault

Identity Applications 必須能夠與 Identity Vault 中的物件互動。

為了提高 Identity Applications 的效能,eDirectory 管理員應為 manager、ismanager 和 srvprvUUID 屬性建立值索引。如果沒有為這些屬性建立索引值,Identity Applications 使用者可能會遭遇效能不佳問題,在叢集環境中尤為突出。

透過在 RBPM 組態公用程式中選取「進階」>「建立 eDirectory 索引」,即可在安裝期間自動建立這些值索引。如需使用 Index Manager 建立值索引的詳細資訊,請參閱《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南)。

15.7.6 變更使用者應用程式的預設網路位置名稱

如果不使用預設網路位置名稱,您可以依據組織的要求建立新網路位置。您可以透過執行下列動作來變更網路位置名稱:

  1. 使用 services.msc 檔案停止 Tomcat 服務。

  2. 導覽至 C:\NetIQ\idm\apps\UserApplication 中的使用者應用程式目錄。

  3. 在圖形使用者介面模式下啟動 configupdate 公用程式。

    確定 configupdate.bat.properties 檔案中的 use_console 選項設定為 false

  4. 使用者應用程式索引標籤中按一下顯示進階選項,然後執行以下步驟︰

    1. 選取變更 RBPM 網路位置名稱

    2. RBPM 網路位置名稱中指定自訂網路位置名稱。例如 IDMProvCustom

    3. 瀏覽至角色驅動程式 DN 並加以選取。例如 cn=Role and Resource Service Driver,cn=Driver Set,o=system

    4. 按一下「確定」

  5. 驗證 war 檔案是否已重新命名。

    • 導覽至 Tomcat webapps 資料夾,檢查 IDMProvCustom.war 項目是否已更新。

    • 導覽至 \TOMCAT_INSTALLED_HOME\conf 中的 ism-configuration properties 檔案,檢查 portal.context 項目是否指定了新的網路位置名稱。

  6. 使用 C:\NetIQ\idm\apps\UserApplication 中的 update-context.bat 檔案將資料庫更新為採用新網路位置名稱。

    執行以下指令以執行 update-context.bat 檔案。 

    ua:C:\NetIQ\idm\apps\UserApplication # vi update-context.bat

    螢幕上應該會顯示以下項目︰

    # copy and paste or execute this script before changing context name
    # Substitute your new context where indicated
    # 
    C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=[New Context Here] -Ddriver.dn=[UA Driver DN] -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase  --driver=org.postgresql.Driver  --classpath=
C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:
C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml   --url="jdbc:postgresql://localhost:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug --username=******** --password=******** update

    例如,如果您使用的是 PostgreSQL 資料庫,請執行以下程序檔︰

    C:\NetIQ\idm\apps\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=IDMProvCustom  -Ddriver.dn= cn=Role and Resource Service Driver,cn=driverset1,o=system -jar 
C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase  --driver=org.postgresql.Driver  --classpath=
C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:
C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml   --url="jdbc:postgresql://<Database Server:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug -–username=dbadmin --password=******** update

    其中

    -Dwar.context.name=IDMProvCustom 指定新網路位置。

    -Ddriver.dn ="cn=User Application Driver,cn=driverset1,o=system" 指定使用者應用程式驅動程式 DN。

    --username=dbadmin 指定可建立資料庫表、檢視和其他產出工件的資料庫管理員使用者名稱。

    重要:對於其他受支援的資料庫,請不要變更程序檔中的資料庫驅動程式詳細資料。

  7. 驗證資料庫表是否使用了新的網路位置名稱。

    表名稱

    要檢查的欄

    PORTALPRODUCERS

    producerid

    PORTALPRODUCERREGISTRY

    producerid

    PORTALREGISTRY

    producerid

    PORTALPORTLETSETTINGS

    producerid

    PORTALPORTLETHANDLES

    producerid

    PROFILEGROUPPREFERENCES

    elementid

    例如,執行以下 SQL 指令可在 PORTALPRODUCERS 表中驗證新網路位置名稱︰

    Select * from PORTALPRODUCERS;

    該指令應該只傳回新網路位置名稱。

  8. 使用 services.msc 檔案啟動 Tomcat 服務。

15.7.7 重新設定 Identity Applications 的 WAR 檔案

若要更新 Identity Applications 的 WAR 檔案,請執行 RBPM 組態公用程式。

  1. 透過執行 configupdate.bat 來執行安裝目錄中的公用程式。

    如需公用程式參數的詳細資訊,請參閱節 15.8, 完成 Identity Applications 的設定

  2. 將新的 WAR 檔案部署到您的應用程式伺服器上。

    對於 Tomcat 單一伺服器,這些變更將套用至所部署的 WAR。

15.7.8 設定忘記密碼管理功能

Identity Manager 安裝程式中包含 Self Service Password Reset,以協助您管理重設忘記的密碼的程序。您也可以使用外部密碼管理系統。

使用 Self Service Password Reset 進行忘記密碼管理

大多數情況下,您可以在安裝 SSPR 和 Identity Applications 時啟用忘記密碼管理功能。但是,您之前可能還未指定密碼變更後,SSPR 應將使用者轉遞到的 Identity Applications 抵達頁面 URL。此時,您也可能需要啟用忘記密碼管理。這個單元將提供下列資訊:

將 Identity Manager 設定為使用 Self Service Password Reset

本節提供關於將 Identity Manager 設定為使用 SSPR 的資訊。

  1. 登入安裝了 Identity Applications 的伺服器。

  2. 執行 RBPM 組態公用程式。如需詳細資訊,請參閱節 15.8.1, 執行 Identity Applications 組態公用程式

  3. 在公用程式中,導覽至驗證 > 密碼管理

  4. 對於密碼管理提供程式,請指定 SSPR

  5. 選取忘記密碼

  6. 導覽至 SSO 用戶端 > Self Service Password Reset

  7. 對於 OSP 用戶端 ID,請指定用來供驗證伺服器識別 SSPR 單一登入用戶端的名稱。預設值為 sspr

  8. 對於 OSP 用戶端密碼,請指定 SSPR 單一登入用戶端的密碼。

  9. 對於 OSP 重新導向 URL,請指定在驗證完成後,驗證伺服器要將瀏覽器用戶端重新導向到的絕對 URL。

    使用以下格式︰protocol://server:port/path。例如,http://10.10.10.48:8180/sspr/public/oauth

  10. 儲存變更,然後關閉公用程式。

為 Identity Manager 設定 Self Service Password Reset

本節提供關於設定 SSPR 以與 Identity Manager 配合使用的資訊。例如,您可能想要修改密碼規則和處理安全回應問題。

如果 SSPR 是隨 Identity Manager 一起安裝的,則您已指定管理員可用來設定應用程式的密碼。NetIQ 建議您修改 SSPR 設定,然後指定管理員帳戶或群組可以設定 SSPR。如需組態密碼的詳細資訊,請參閱節 14.2, 為 Identity Manager 安裝密碼管理功能

  1. 使用您在安裝期間指定的組態密碼登入 SSPR。

  2. 在「設定」頁面中,修改密碼規則和處理安全回應問題的設定。如需設定 SSPR 設定預設值的詳細資訊,請參閱《NetIQ Self Service Password Reset Administration Guide》(NetIQ Self Service Password Reset 管理指南) 中的「Configuring Self Service Password Reset」(設定 Self Service Password Reset)。

  3. 鎖定 SSPR 組態檔案 (SSPRConfiguration.xml)。如需鎖定組態檔案的詳細資訊,請參閱鎖定 SSPR 組態

  4. (選擇性) 若要在鎖定組態後修改 SSPR 設定,必須在 SSPRConfiguration.xml 檔案中將 configIsEditable 設定設為 true

  5. 登出 SSPR。

  6. 為使變更生效,請重新啟動 Tomcat。

鎖定 SSPR 組態

  1. 移至 http://<IP/DNS 名稱>:<連接埠>/sspr。此連結可使您進入 SSPR 入口網站。

  2. 使用管理員帳戶或現有的登入身分證明登入 Identity Manager。

  3. 按一下頁面頂部的組態管理員,然後指定您在安裝期間指定的組態密碼。

  4. 按一下組態編輯器,然後導覽至設定 > LDAP 設定

  5. 鎖定 SSPR 組態檔案 (SSPRConfiguration.xml)。

    1. 在「管理員許可權」區段下,為對 Identity Vault 中的 SSPR 擁有管理員權限的使用者或群組定義一個 LDAP 格式的過濾器。依預設,該過濾器設定為 groupMembership=cn=Admins,ou=Groups,o=example

      例如,對於使用者應用程式管理員,請將它設定為 uaadmin (cn=uaadmin)。

      這可以防止使用者修改 SSPR 中的組態,但具有修改設定的完整權限的 SSPR 管理員使用者不包括在內。

    2. 為確保 LDAP 查詢傳回結果,請按一下檢視相符項目

      如果設定中存在任何錯誤,您將無法繼續設定下一個組態選項。SSPR 會顯示錯誤詳細資料,以協助您對問題進行疑難排解。

    3. 按一下「儲存」

    4. 在確認快顯視窗中,按一下確定

      鎖定 SSPR 後,管理員使用者可以在「管理」使用者介面中查看其他選項,例如「儀表板」、「使用者活動」、「資料分析」等,而在鎖定 SSPR 之前,這些選項不會顯示。

  6. (選擇性) 若要在鎖定組態後修改 SSPR 設定,必須在 SSPRConfiguration.xml 檔案中將 configIsEditable 設定設為 true

  7. 登出 SSPR。

  8. 步驟 3 中定義的管理員使用者身分再次登入 SSPR。

  9. 按一下關閉組態,然後按一下確定以確認變更。

  10. 為使變更生效,請重新啟動 Tomcat。

使用舊提供程式進行忘記密碼管理

您也可以不使用 SSPR,而是使用 Identity Manager 中的舊提供程式實現忘記密碼管理功能。如果您選擇使用舊提供程式,則不需要安裝 SSPR。但是,您需要為使用者重新指定許可權,使其能夠存取密碼管理的共享頁面。本節提供執行以下活動的步驟:

如需舊提供程式的詳細資訊,請參閱節 4.4.2, 瞭解舊密碼管理提供程式。如需共享頁面和許可權的詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的Page Administration(頁面管理)。

設定舊提供程式以進行忘記密碼管理

  1. 登入安裝了 Identity Applications 的伺服器。

  2. 執行 RBPM 組態公用程式。如需詳細資訊,請參閱節 15.8.1, 執行 Identity Applications 組態公用程式

  3. 在公用程式中,導覽至驗證 > 密碼管理

  4. 對於密碼管理提供程式,請指定使用者應用程式 (舊版)

  5. 對於忘記密碼,請指定內部

  6. 導覽至 SSO 用戶端 > Self Service Password Reset

  7. OSP 重新導向 URL 設定應該為空白。

  8. 儲存變更,然後關閉公用程式。

重新指定對密碼管理頁面的許可權

在安裝期間,Identity Applications 的設定預設為 SSPR。必須為允許存取密碼管理共用頁面的使用者、群組或容器指定或重新指定許可權。為使用者指定對某個容器頁面或共享頁面的檢視許可權後,使用者便可以存取該頁面,並在可用頁面清單中看到該頁面。

  1. 確保 Identity Manager 使用的是舊提供程式。如需詳細資訊,請參閱設定舊提供程式以進行忘記密碼管理

  2. 以應用程式管理員身分登入使用者應用程式。例如,以 uaadmin 身分登入。

  3. 導覽至管理 > 網頁管理

  4. 共享頁面面板中,導覽至密碼管理

  5. 選取您要指定對其的許可權的頁面。例如「變更密碼」或「密碼處理安全回應」。

  6. 在右側面板中,按一下指定權限

  7. 檢視中,選取要為其指定對該頁面權限的使用者、群組或容器。

  8. (選擇性) 若要確保只有應用程式管理員才能存取指定的頁面,請選取檢視權限設定為僅限於管理者身分

  9. 按一下「儲存」

  10. 對您要設定的每個頁面執行步驟 5步驟 9

  11. 選取首頁圖示以返回儀表板。

  12. 導覽至應用程式,然後選取

  13. 管理應用程式頁面中,以 UserApp PwdMgt 的連結取代指向 SSPR 的連結。

    如需詳細資訊,請參閱針對分散式環境或叢集環境更新儀表板中的 SSPR 連結Identity Applications 說明

  14. 登出系統,然後重新啟動 Tomcat。

使用外部系統進行忘記密碼管理

若要使用外部系統,您必須指定包含「忘記密碼」功能之 WAR 檔案的位置。此程序包括以下活動:

指定外部忘記密碼管理 WAR 檔案

如果您在安裝期間未指定此值,現在想要修改設定,則可以使用 RBPM 組態公用程式,或者以管理員身分在使用者應用程式中進行變更。

  1. (視情況而定) 若要在 RBPM 組態公用程式中修改設定,請完成以下步驟:

    1. 登入安裝了 Identity Applications 的伺服器。

    2. 執行 RBPM 組態公用程式。如需詳細資訊,請參閱節 15.8.1, 執行 Identity Applications 組態公用程式

    3. 在公用程式中,導覽至驗證 > 密碼管理

    4. 對於密碼管理提供程式,請指定使用者應用程式 (舊版)

  2. (視情況而定) 若要在使用者應用程式中修改設定,請完成以下步驟:

    1. 以使用者應用程式管理員身分登入。

    2. 導覽至管理 > 應用程式組態 > 密碼模組設定 > 登入

  3. 對於忘記密碼,請指定外部

  4. 對於忘記密碼連結,請指定當使用者在登入頁面上按一下忘記密碼時顯示的連結。當使用者按一下此連結時,應用程式會將其導向至外部密碼管理系統。例如:

    http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  5. 對於忘記密碼返回連結,請指定在使用者執行完忘記密碼程序後顯示的連結。使用者按一下此連結會重新導向到指定的連結。例如:

    http://localhost/IDMProv

  6. 對於忘記密碼 Web 服務 URL,請指定外部轉遞密碼 WAR 用來回呼至 Identity Applications 的 Web 服務 URL。請使用以下格式: 

    https://idmhost:sslport/idm/pwdmgt/service

    返回連結必須使用 SSL,以確保與 Identity Applications 進行安全的 Web 服務通訊。如需詳細資訊,請參閱設定應用程式伺服器之間的 SSL 通訊

  7. 手動將 ExternalPwd.war 複製到執行外部密碼 WAR 功能的遠端應用程式伺服器部署目錄中。

測試外部忘記密碼 組態

如果您擁有外部密碼 WAR 檔案,想要透過存取忘記密碼功能來測試該功能,則可以在以下位置存取該功能:

  • 直接在瀏覽器中存取。移至外部密碼 WAR 檔案中的「忘記密碼」頁面。例如 http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  • 在使用者應用程式登入頁面中,按一下忘記密碼連結。

設定應用程式伺服器之間的 SSL 通訊

如果您使用的是外部密碼管理系統,則必須在部署 Identity Applications 與外部忘記密碼管理 WAR 檔案的 Tomcat 例項之間設定 SSL 通訊。如需詳細資訊,請參閱 Tomcat 文件。

針對分散式環境或叢集環境更新儀表板中的 SSPR 連結

安裝程序假設您要將 SSPR 部署在 Identity Applications 和 Identity Reporting 所在的同一個應用程式伺服器上。依預設,儀表板中應用程式頁面上的內建連結會使用指向本地系統上 SSPR 的相對 URL 格式。例如 \sspr\private\changepassword。如果在分散式環境或叢集環境中安裝應用程式,則必須更新 SSPR 連結的 URL。

如需詳細資訊,請參閱 Identity Applications 說明

  1. 以管理員身分登入儀表板。例如,以 uaadmin 身分登入。

  2. 按一下「編輯」

  3. 在「編輯首頁項目」頁面上,將游標停在要更新的項目上,然後按一下編輯圖示。例如,選取變更我的密碼

  4. 對於連結,請指定絕對 URL。例如 http://10.10.10.48:8180/sspr/changepassword

  5. 按一下「儲存」

  6. 對每個要更新的 SSPR 連結重複上述步驟。

  7. 完成後,按一下我已完成

  8. 登出系統,然後以一般的使用者身分登入以測試變更。