19.3 設定執行時期環境

本節提供為確保執行時期環境正常運作,您應執行的一些額外組態步驟。此外,本節還提供了一些疑難排解方法,以及關於特定用途資料庫表格的一些資訊。

此程序包括以下活動:

如果一或多個驅動程式出現了難以理解的問題,請參閱《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理員指南) 中的「Troubleshooting」(疑難排解)。

19.3.1 將資料收集服務驅動程式設定為從 Identity Applications 收集資料

若要使 Identity Applications 與 Identity Reporting 正常配合運作,必須將 DCS 驅動程式設定為支援 OAuth 通訊協定。

附註:

  • 僅當在環境中使用了 Identity Reporting 時,才需要安裝並設定 DCS 驅動程式。

  • 如果在環境中設定了多個 DCS 驅動程式,則必須針對每個驅動程式完成以下步驟。

  1. 登入 Designer。

  2. 在 Designer 中開啟您的專案。

  3. (視情況而定) 如果您的專案尚不包含資料收集服務驅動程式,請將該驅動程式輸入至您的專案。如需詳細資訊,請參閱節 15.6, 建立和部署 Identity Applications 的驅動程式

  4. (視情況而定) 如果您尚未將 DCS 驅動程式升級至支援的修補程式版本,請完成以下步驟:

    1. 下載最新的 DCS 驅動程式修補程式檔案。

    2. 將該修補程式檔案擷取到伺服器上的某個位置。

    3. 在終端機中,導覽至適用於您環境之修補程式 RPM 的擷取位置,然後執行以下指令:

      rpm -Uvh novell-DXMLdcs.rpm
change this

    4. 重新啟動 eDirectory。

    5. 在 Designer 中,確保已安裝受支援版本的資料收集服務基礎套件。如果需要,請安裝最新版本,然後再繼續。如需軟體要求的詳細資訊,請參閱節 16.3, 安裝 Identity Reporting 各元件的先決條件

    6. 在 Designer 中重新部署並重新啟動 DCS 驅動程式。

  5. 大綱檢視窗中,於 DCS 驅動程式上按一下滑鼠右鍵,然後選取內容

  6. 按一下驅動程式組態

  7. 按一下驅動程式參數索引標籤。

  8. 按一下顯示連接參數,然後選取顯示

  9. 按一下 SSO 服務支援,然後選取

  10. 指定 Reporting Module 的 IP 位址和連接埠。

  11. 指定 SSO 服務用戶端的密碼。預設密碼為 driver

  12. 按一下「套用」,然後按一下「確定」

  13. 模型產生器檢視窗中,於 DCS 驅動程式上按一下滑鼠右鍵,然後選取驅動程式 > 部署

  14. 按一下部署

  15. 收到重新啟動 DCS 驅動程式的提示時,按一下

  16. 按一下「確定」

19.3.2 移轉資料收集服務驅動程式

若要將物件同步化至身分資訊倉儲中,您必須移轉資料收集服務驅動程式。

  1. 登入 iManager。

  2. 在資料收集服務驅動程式的綜覽面板中,選取從 Identity Vault 移轉

  3. 選取包含相關資料的組織,然後按一下啟動

    附註:移轉程序可能需要花費幾分鐘時間,具體視您的資料量而定。請務必在移轉程序完成後再繼續下一步。

  4. 等待移轉程序完成。

  5. 確保 idmrpt_identityidmrpt_acct 表格 (提供關於 Identity Vault 中身分和帳戶的資訊) 中包含以下類型的資訊:

  6. 在 LDAP 瀏覽器中,驗證移轉程序是否新增了對 DirXML-Associations 的以下參考:

    • 對於每個使用者,驗證以下類型的資訊:

    • 對於每個群組,驗證以下類型的資訊:

  7. 確保 idmrpt_group 表格中的資料看上去類似於以下資訊:

    此表格會顯示每個群組的名稱,以及用於指示群組是動態群組還是巢狀群組的旗標。此外,它還會顯示群組是否已移轉。如果某個物件在使用者應用程式中已被修改但尚未移轉,則同步化狀態 (idmrpt_syn_state) 可能會設定為 0。例如,如果在群組中新增了使用者,並且尚未移轉驅動程式,那麼,此值可能會設定為 0。

  8. (選擇性) 驗證以下表格中的資料:

    • idmrpt_approver

    • idmrpt_association

    • idmrpt_category

    • idmrpt_container

    • idmrpt_idv_drivers

    • idmrpt_idv_prd

    • idmrpt_role

    • idmrpt_resource

    • idmrpt_sod

  9. (選擇性) 驗證 idmrpt_ms_collect_state 表格現在是否包含列。此表格顯示有關受管理系統閘道驅動程式的資料收集狀態資訊。

    此表格包含針對受管理系統已執行之 REST 端點的相關資料。此時,該表格不包含任何列,因為您尚未啟動此驅動程式的收集程序。

19.3.3 新增對自訂屬性和物件的支援

您可以對資料收集服務驅動程式進行設定,使其收集和保留不屬於預設資料收集規劃之自訂屬性與物件的資料。要進行此設定,您需要修改資料收集服務驅動程式過濾器。修改過濾器不會立即觸發物件同步化,而是會在 Identity Vault 中發生新增、修改或刪除事件時,向資料收集服務傳送新增的屬性和物件。

在新增對自訂屬性和物件的支援時,您需要修改報告,以包括延伸的屬性和物件資訊。以下檢視窗提供有關延伸物件和屬性的目前資料及歷史資料:

  • idm_rpt_cfg.idmrpt_ext_idv_item_v

  • idm_rpt_cfg.idmrpt_ext_item_attr_v

此程序包括以下活動:

將驅動程式設定為使用延伸物件

您可將任何物件或屬性新增至資料收集服務過濾器規則。在新增新物件或屬性時,請務必依照以下範例所示對應 GUID (subscriber 為 sync) 和物件類別 (subscriber 為 notify):

<filter-class class-name="Device" publisher="ignore" publisher-create-homedir="true" publisher-track-template-member="false" subscriber="sync"> 
<filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> 
<filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceModel" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceType" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
</filter-class>

包含資料庫中的名稱和描述

如果您希望物件包含資料庫中的名稱和描述,則需要為 _dcsName 和 _dcsDescription 新增一個綱要對應規則。該綱要對應規則會將物件例項的相關屬性值分別與 idmrpt_ext_idv_item.item_name 和 idmrpt_ext_idv_item.item_desc 欄對應。如果您未新增綱要對應規則,屬性將會填入子表格 idmrpt_ext_item_attr 中。

例如:

<attr-name class-name="Device"> 
<nds-name>CN</nds-name> 
<app-name>_dcsName</app-name> 
</attr-name> 
<attr-name class-name="Device"> 
<nds-name>Description</nds-name> 
<app-name>_dcsDescription</app-name> 
</attr-name>

下面是一個可顯示資料庫中這些物件和屬性值的 SQL 範例:

SELECT        
    item.item_dn, 
    item.item_name, 
    item.item_desc, 
    attr.attribute_name, 
    itemAttr.attribute_value, 
    item.idmrpt_deleted as item_deleted, 
    itemAttr.idmrpt_deleted as attr_deleted, 
    item.item_desc, 
    obj.object_class 
FROM 
    idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj 
WHERE 
    item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id 
ORDER BY 
    item.item_dn, item.item_name

將延伸屬性新增至已知物件類型

如果某個屬性已新增至針對資料收集服務驅動程式的過濾器規則中,但未明確與 XML 參考檔案 (IdmrptIdentity.xml) 中的報告資料庫對應,系統會在 idmrpt_ext_item_attr 表格中填入並維護值,並在 idmrpt_ext_attr 表格中新增一個屬性參考。

以下 SQL 範例可顯示這些延伸屬性:

SELECT 
    acct.idv_acct_dn, 
    attrDef.attribute_name,   
    attribute_value, 
    attrVal.idmrpt_valid_from, 
    cat_item_attr_id, 
    attrVal.idmrpt_deleted, 
    attrVal.idmrpt_syn_state 
FROM 
    idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct 
WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY'

除了使用者物件以外,您還可將延伸屬性新增至針對以下物件的過濾器規則中,並在資料庫中填入這些屬性:

  • nrfRole

  • nrfResource

  • 容器

    附註:安裝的產品會提供對 organizationUnit、Organization 和 Domain 的支援。容器類型在 idmrpt_container_types 表格中維護。

  • 群組

  • nrfSod

您可以查看 idmrpt_cat_item_types.idmrpt_table_name 欄,來瞭解延伸屬性與父表格或父物件之間的關聯。此欄描述如何將 idm_rpt_data.idmrpt_ext_item_attr.cat_item_id 欄聯結到父表格的主鍵。

19.3.4 新增多個驅動程式集支援

新的資料收集服務範圍套件 (NOVLDCSSCPNG) 為包含多個驅動程式集和多組資料收集服務驅動程式及受管理系統閘道驅動程式的企業環境,提供靜態和動態範圍功能。

在安裝期間或安裝之後,您需要確定要在其上安裝該套件的資料收集服務驅動程式的角色。您需要選取下列其中一個角色:

  • 主要 驅動程式將會同步化所有資訊,但其他驅動程式集的子網路樹除外。主要資料收集服務驅動程式可以正常為整個 Identity Vault 提供服務,或者可與一或多個次要驅動程式配合運作。

  • 次要 驅動程式只同步化自身的驅動程式集,不會同步化其他任何資訊。通常,次要資料收集服務驅動程式要求主要驅動程式在不同的驅動程式集中執行,否則,任何本地驅動程式集外部的資料都不會傳送至資料收集服務。

    如果您還使用了資料收集服務驅動程式做為此次要伺服器上的主要驅動程式,該驅動程式將無法察覺到需要報告的物件變更。若要在此伺服器上設定資料收集服務驅動程式,請參閱節 19.1.3, 設定資料收集服務的驅動程式

  • 自訂 允許管理員定義自訂的範圍規則。唯一的隱含範圍是本地驅動程式集,其他任何驅動程式若未明確新增至自訂範圍清單,都會被視為不在範圍內。自訂範圍是 Identity Vault 中應該同步化其從屬或子網路樹之容器的可辨識名稱 (採用斜線格式)。

只有如下所述的某些組態情境中才需要範圍套件:

  • 單個伺服器與具有單個驅動程式集的 Identity Vault 對於此情境,您不需要定義範圍,因此也就無需安裝範圍套件。

  • 多個伺服器與具有單個驅動程式集的 Identity Vault 對於此情境,您需要遵循以下指導準則:

    • 確定 Identity Manager 伺服器存有要從中收集資料之所有分割區的複製本。

    • 對於此情境,您不需要定義範圍,因此,請不要安裝範圍套件

  • 多個伺服器與具有多個驅動程式集的 Identity Vault 此情境中有兩個基本組態:

    • 所有伺服器都存有要從中收集資料之所有分割區的複製本。

      對於此組態,您需要遵循以下指導準則:

      • 需要定義範圍,以免有多個 DCS 驅動程式處理同一項變更。

      • 您需要在所有 DCS 驅動程式上安裝範圍套件。

      • 您需要將一個 DCS 驅動程式選做主要驅動程式。

      • 您需要將其他所有 DCS 驅動程式設定為次要驅動程式。

    • 所有伺服器都存有要從中收集資料之所有分割區的複製本。

      此組態存在兩種可能的情況:

      • 應從中收集資料的所有分割區僅由一個 Identity Manager 伺服器存放

        在此情況下,您需要遵循以下指導準則:

        • 需要定義範圍,以免有多個 DCS 驅動程式處理同一項變更。

        • 您需要在所有 DCS 驅動程式上安裝範圍套件。

        • 您需要將所有 DCS 驅動程式都設定為主要驅動程式。

      • 應從中收集資料的所有分割區不是僅由一個 Identity Manager 伺服器存放 (部分分割區由多個 Identity Manager 伺服器存放)。

        在此情況下,您需要遵循以下指導準則:

        • 需要定義範圍,以免有多個 DCS 驅動程式處理同一項變更。

        • 您需要在所有 DCS 驅動程式上安裝範圍套件。

        • 您需要將所有 DCS 驅動程式都設定為自訂驅動程式。

          您需要為每個驅動程式定義自訂的範圍規則,並且務必不要建立任何重疊的範圍。

19.3.5 將驅動程式設定為使用 SSL 在遠端模式下執行

在以遠端模式執行時,您可以將資料收集服務驅動程式和受管理系統閘道驅動程式設定為使用 SSL。本節提供用於將驅動程式設定為使用 SSL 在遠端模式下執行的步驟。

若要使用受管理系統閘道驅動程式的金鑰儲存區設定 SSL:

  1. 在 iManager 中建立伺服器證書。

    1. 角色與任務檢視窗中,按一下 NetIQ Certificate Server > 建立伺服器證書

    2. 瀏覽到裝有受管理系統閘道驅動程式的伺服器物件並選取它。

    3. 指定證書綽號。

    4. 選取標準建立方法,然後按下一步

    5. 按一下「完成」,然後按一下「關閉」

  2. 使用 iManager 輸出伺服器證書。

    1. 角色與任務檢視窗中,按一下 NetIQ 證書存取 > 伺服器證書

    2. 選取步驟 1 中建立的證書,然後按一下輸出

    3. 證書功能表中,選取該證書的名稱。

    4. 確保已核取輸出私密金鑰

    5. 輸入密碼,然後按下一步

    6. 按一下儲存輸出的證書,並儲存輸出的 pfx 證書。

  3. 步驟 2 中輸出的 pfx 證書輸入至 Java 金鑰儲存區。

    1. 使用 Java 隨附的 keytool。您必須使用 JDK 6 或更高版本。

    2. 在指令提示符處輸入以下指令:

      keytool -importkeystore -srckeystore pfx certificate -srcstoretype
PKCS12 -destkeystore Keystore Name

      例如:

      keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12
-destkeystore msgw.jks

    3. 接著系統會提示您輸入密碼。

  4. 使用 iManager 將受管理系統閘道驅動程式組態修改為使用金鑰儲存區。

    1. Identity Manager 綜覽中,按一下包含受管理系統閘道驅動程式的驅動程式集。

    2. 按一下驅動程式狀態圖示,然後選取編輯內容 > 驅動程式組態

    3. 顯示連接參數設定為 true,並將驅動程式組態模式設定為「遠端」。

    4. 輸入金鑰儲存區檔案的完整路徑和密碼。

    5. 儲存驅動程式並將其重新啟動。

  5. 使用 iManager 將資料收集服務驅動程式組態修改為使用金鑰儲存區。

    1. Identity Manager 綜覽中,按一下包含受管理系統閘道驅動程式的驅動程式集。

    2. 按一下驅動程式狀態圖示,然後選取編輯內容 > 驅動程式組態

    3. 受管理系統閘道註冊標題下,將受管理系統閘道驅動程式組態模式設定為「遠端」。

    4. 輸入金鑰儲存區的完整路徑、密碼以及在步驟 1.c 中指定的別名。

    5. 儲存驅動程式並將其重新啟動。