14.2 為 Identity Manager 安裝密碼管理功能

本節介紹 SSPR 的安裝程序。您可以將這些程式安裝在安裝了 OSP 元件的同一部伺服器上,也可以安裝在不同的伺服器上。

附註:如果您使用舊的忘記密碼管理方法,則不需要安裝 SSPR。如需詳細資訊,請參閱節 4.4.2, 瞭解舊密碼管理提供程式

14.2.1 使用精靈安裝 Self Service Password Reset

以下程序介紹如何使用安裝精靈在 Windows 平台上安裝 SSPR。若要執行靜默模式的無人管理安裝,請參閱節 14.2.2, 以靜默模式安裝 Self Service Password Reset。若要進行安裝準備工作,請檢閱節 14.1.1, 安裝密碼管理元件的核對清單 中列出的先決條件和系統要求。

  1. 以管理員身分登入要安裝 SSPR 的伺服器。

  2. 停止 Tomcat 伺服器。

  3. (視情況而定) 如果您已取得 Identity Manager 安裝套件的 .iso 影像檔,請導覽至包含 SSPR 安裝檔案的目錄 (預設為 products\CommonApplication\sspr_install 目錄)。

  4. (視情況而定) 如果您已下載 SSPR 安裝檔案,請完成以下步驟︰

    1. 導覽至所下載影像的 win.zip 檔案。

    2. 將該檔案的內容擷取到本地電腦上的某個目錄中。

  5. 從包含安裝檔案的目錄中執行 sspr-install-win.exe 檔案。

  6. 閱讀並接受授權合約,然後按下一步

  7. 指定安裝檔案的路徑。

  8. 使用以下參數完成引導式程序:

    • Tomcat 詳細資料

      代表 Tomcat 伺服器的主目錄。例如 C:\NetIQ\idm\apps\tomcat。安裝程序會將 SSPR 的一些檔案新增至此資料夾。

    • Tomcat 連接

      代表使用者連接至 Tomcat 伺服器上的 SSPR 時所需的 URL 設定。例如,https://myserver.mycompany.com:8080

      附註:如果存在以下考量,您還必須選取連接至外部驗證伺服器,並指定外個伺服器的值:

      • 您要安裝 SSPR。

      • OSP 與 SSPR 在不同的受支援應用程式伺服器例項上執行。

      通訊協定

      指定您要使用 http 還是 https。若要使用安全通訊端層 (SSL) 進行通訊,請指定 https

      主機名稱

      指定要安裝 SSPR 的伺服器的 DNS 名稱或 IP 位址。請不要使用 localhost

      連接埠

      指定您希望伺服器在與用戶端電腦通訊時使用的連接埠。

      連接至外部驗證伺服器

      指定是否要用不同的 Tomcat 例項來代管驗證伺服器 (OSP)。驗證伺服器包含可登入 SSPR 的使用者清單。

      如果選取此設定,則還要指定驗證伺服器的通訊協定主機名稱連接埠值。

    • Tomcat Java 主目錄

      代表 Tomcat 伺服器上 Java 的主目錄。例如,C:\NetIQ\idm\jre。安裝程序會將 OSP 的一些檔案新增至該目錄中。

    • 驗證詳細資料

      代表與包含可以登入應用程式之使用者清單的驗證伺服器相連接需要符合的要求。如需驗證伺服器的詳細資訊,請參閱節 4.5.1, 瞭解使用 One SSO Provider 進行驗證的方法

      LDAP 主機

      指定 LDAP 驗證伺服器的 DNS 名稱或 IP 位址。請不要使用 localhost

      LDAP 連接埠

      指定您希望 LDAP 驗證伺服器在與 Identity Manager 通訊時使用的連接埠。例如,指定 389 做為非安全連接埠,或者為 SSL 連接指定 636

      使用 SSL

      指定是否要為 Identity Vault 與驗證伺服器之間的連接使用安全通訊端層通訊協定。

      JRE 可信證書儲存區 (cacerts) 檔案

      僅當您要對 LDAP 連接使用 SSL 時才適用。

      指定證書的路徑。例如,C:\NetIQ\idm\apps\jre\lib\security\cacerts

      JRE 可信證書儲存區密碼

      僅當您要對 LDAP 連接使用 SSL 時才適用。

      指定 cacerts 檔案的密碼。

      管理員 DN

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器管理員帳戶的 DN。例如 cn=admin,ou=sa,o=system

      管理密碼

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器管理員帳戶的密碼。

      使用者容器

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器中要用來儲存可以登入 Access Review 之使用者帳戶的容器。例如 o=data

      管理員容器

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器中要用來儲存 Access Review 管理員帳戶的容器。例如 ou=sa,o=system

      金鑰儲存區密碼

      僅在安裝新的驗證伺服器時適用。

      指定要為 LDAP 驗證伺服器的新金鑰儲存區建立的密碼。

      該密碼必須至少包含六個字元。

    • SSPR 詳細資料

      代表設定 SSPR 時需要使用的設定。

      組態密碼

      指定要為管理員建立的用於設定 SSPR 的密碼。

      依預設,SSPR 沒有組態密碼。若不指定該密碼,任何能夠登入 SSPR 的使用者皆可修改組態設定。

      SSPR 重新導向 URL

      指定在 SSPR 中完成密碼變更或處理安全問題等動作後,用戶端將重新導向到的絕對 URL。例如,轉到儀表板。

      請使用以下格式:通訊協定://伺服器:連接埠/路徑。例如,http://IDM_userapp_伺服器_IP:連接埠號碼/idmdash/#/landing

    • 驗證伺服器詳細資料

      代表您要建立的供 SSPR 服務在連接到伺服器上 OSP 用戶端時使用的密碼。該密碼又稱為用戶端密碼。

      若要在安裝後修改此密碼,請使用 RBPM 組態公用程式。

    • 稽核詳細資料 (SSPR)

      代表用於稽核驗證伺服器中發生的 SSPR 事件的設定。

      (視情況而定) 為 SSPR 啟用稽核

      指定是否要將 SSPR 事件傳送到稽核伺服器。

      如果選取此設定,您還需指定 syslog 伺服器的設定。

      Syslog 主機名稱

      僅當為 SSPR 啟用了稽核時才適用。

      指定代管 syslog 伺服器之伺服器的 DNS 或 IP 位址。請不要使用 localhost

      Syslog 連接埠

      僅當為 SSPR 啟用了稽核時才適用。

      指定代管 syslog 伺服器之伺服器的連接埠。

  9. 若要將 Identity Applications 和 Identity Reporting 設定為使用 SSPR,請繼續節 15.0, 安裝 Identity Applications

  10. 在組態更新公用程式中,更新 SSO 用戶端參數。如需更多資訊,請參閱Self Service Password Reset

    如需設定忘記密碼管理的詳細資訊,請參閱節 15.7.8, 設定忘記密碼管理功能

14.2.2 以靜默模式安裝 Self Service Password Reset

靜默 (非互動式) 安裝不顯示使用者介面,也不向使用者提出任何問題。

  1. 以管理員身分登入要安裝這些元件的電腦。

  2. 停止 Tomcat。

  3. (視情況而定) 如果您已取得 Identity Manager 安裝套件的 .iso 影像檔案,請導覽至包含 SSPR 安裝檔案的目錄 (預設為 sspr 目錄)。

  4. (視情況而定) 如果您已從 NetIQ 下載網站下載了安裝檔案,請完成以下步驟:

    1. 導覽至所下載影像的 .zip 檔案。

    2. 將該檔案的內容擷取到本地電腦上的某個資料夾中。

  5. 針對 SSPR 安裝編輯 sspr-silent.properties 檔案。依預設,該檔案與安裝程序檔位於同一目錄中。

    如需安裝設定的詳細資訊,請參閱步驟 7步驟 8

  6. 若要執行靜默安裝,請執行以下指令︰

    sspr-install-win.exe -i silent -f path_to_silent.properties_file

  7. 在組態更新公用程式中,更新 SSO 用戶端參數。如需更多資訊,請參閱Self Service Password Reset

14.2.3 安裝後任務

確定無錯安裝

安裝 SSPR 後,您便可修改組態設定,例如變更預設設定檔的 LDAP 群組 DN 的管理員許可權,或變更轉遞 URL。此外,NetIQ 還建議您驗證安裝程序建立的 URL,並視需要進行變更。

  1. 若要開啟 SSPR 登入頁面,請在瀏覽器中輸入以下 URL︰

    protocol://server:port/web-context

    例如,

    http://192.168.0.1:8080/sspr/

  2. 在 SSPR 登入頁面的右上角,從清單中選取組態編輯器

  3. 指定組態密碼,然後按一下登入

  4. 在樹狀檢視中選取預設設定,並確定在 LDAP 廠商預設設定清單中選取了 NetIQ IDM/OAuth 整合

  5. 在樹狀檢視中,按一下 LDAP > LDAP 目錄 > 預設 > 連接 > LDAP 證書,然後按一下從伺服器輸入以輸入證書。

    (視情況而定) 在同一頁面上按一下測試 LDAP 設定檔,確定可以存取所有已設定的 LDAP 伺服器。

  6. 在樹狀檢視中,按一下模組 > 已驗證 > 管理,並確定已將管理員許可權指定給預設設定檔的 LDAP 群組 DN。

    如果執行的是 SSPR 全新安裝,則該清單為空。您需要在 iManager 中建立一個新群組,並將 admin 使用者新增至該群組。

  7. 在樹狀檢視中,按一下設定 > 應用程式 > 應用程式,並確定轉遞 URL 設定為 http://<Server:Port>/idmdash/#/landing

    例如 http:/192.168.0.1:8080/idmdash/#/landing

  8. 在樹狀檢視中,按一下設定 > 使用者介面 > 外觀,然後將介面主題變更為 Micro Focus (mdefault) (如果尚未指定)。

  9. 在樹狀檢視中,按一下設定 > 單一登入 (SSO) 用戶端 > OAuth,然後驗證是否為以下參數指定了正確的值︰

    OAuth 登入 URL

    指定 OAuth 伺服器登入的 URL。當使用者登入時,此 URL 會將使用者重新導向以向 OSP 進行驗證。

    例如 http://192.168.0.1:8080/osp/a/idm/auth/oauth2/grant

    OAuth 代碼解析服務 URL

    指定 OAuth 代碼解析服務的 URL。SSPR 使用此 Web 服務 URL 來解析 OAuth 身分伺服器傳回的產出工件。

    例如 http://192.168.0.1:8080/osp/a/idm/auth/oauth2/authcoderesolve

    OAuth 設定檔服務 URL

    指定 Identity Manager 所提供用於傳回使用者屬性資料的 Web 服務 URL。

    例如 http://192.168.0.1:8080/osp/a/idm/auth/oauth2/getattributes

    OAUTH Web 服務伺服器證書

    (視情況而定) 如果已啟用 HTTPS,請輸入 OAuth Web 服務伺服器的證書。

    OAuth 用戶端 ID

    指定 OAuth 用戶端的用戶端 ID。例如,sspr.

    OAuth 共享機密

    指定 OAuth 共享機密的密碼。此密碼在 OSP 和 SSPR 應用程式之間共享。

    OAuth 使用者名稱//DN 登入屬性

    指定 SSPR 用來申請 OAuth 伺服器在本地驗證使用者的使用者屬性。例如 name

  10. 在頁面右上角按一下 以儲存組態。

  11. 在 SSPR 登入頁面的右上角,從清單中選取組態管理器

  12. 按一下限制組態

將通用密碼規則指定給使用者容器

若要將通用密碼規則指定給使用者容器︰

  1. 登入 iManager。

  2. 選取角色與任務 > 密碼規則,然後選取密碼規則。

  3. 若要選取具有管理權限的使用者︰

    1. 按一下通用密碼 > 組態選項 > 通用密碼取回

    2. 選取允許管理員取回密碼允許以下使用者取回密碼,然後按一下確定

      例如,cn=uaadmin,ou=sa,o=data

  4. 按一下規則指定,然後將容器指定給該使用者所在的容器。

    例如,o=data 或管理使用者。

授予對 pwmResponseSet 屬性的權限

已驗證其權限的使用者可以依據與使用者連接相關聯的許可權執行操作。已驗證的使用者需要對自己的使用者項目擁有以下權限︰

  • [項目權限] 的瀏覽權限

  • pwmResponseSet 的讀取、比較和寫入權限

若要授予對 pwmResponseSet 屬性的權限,請執行以下步驟︰

  1. 登入 iManager。

  2. 按一下

  3. 按一下 iManager 伺服器 > 設定 iManager

  4. 按一下其他 > 啟用 [this]

  5. 按一下

  6. 樹狀檢視中,選取目錄中所有使用者的頂層容器。

  7. 按一下目前層級核取方塊,然後按一下動作 > 修改託管者

  8. 在清單中按一下 [This],然後按一下新增託管者

  9. 按一下「套用」

  10. 針對 [This] 託管者按一下指定的權限

  11. 按一下新增內容,然後選取在綱要中顯示所有內容核取方塊。

  12. 從清單中選取 pwmResponseSet

    確定已選取「寫入」、「比較」、「讀取」和「繼承」選項。

  13. 按一下完成

14.2.4 為叢集設定 OSP 和 SSPR

Identity Manager 支援 Tomcat 叢集環境中的 SSPR 組態。

設定 SSPR 以支援叢集

執行以下步驟以設定已安裝在單獨電腦上的 SSPR︰

  1. 檢閱節 14.1.1, 安裝密碼管理元件的核對清單 中的先決條件和系統要求。

  2. 依照節 14.2.1, 使用精靈安裝 Self Service Password Reset 中的說明操作,並務必在安裝期間執行以下步驟。

      1. 在應用程式伺服器連接頁面中,選取連接至外部驗證伺服器,並提供安裝了負載平衡器的伺服器的 DNS 名稱。

      2. 在驗證詳細資料頁面中,提供 Identity Manager 引擎伺服器的 IP 位址和連接埠。CA 證書的密碼為「changeit」。

      3. 完成 SSPR 安裝後,更新 SSL 設定。如需詳細資訊,請參閱節 29.8, 更新 Self Service Password Reset 的 SSL 設定

  3. 若要在叢集的第一個節點中更新 SSPR 資訊,請啟動 C:\NetIQ\idm\apps\UserApplication\configupdate.bat 中的組態公用程式。

    在隨即開啟的視窗中,按一下 SSO 用戶端 > Self Service Password Reset,並為用戶端 ID密碼OSP OAuth 重新導向 URL 參數輸入值。

在叢集節點上設定任務

在叢集節點上執行以下組態任務︰

  1. 若要以 SSPR IP 位址更新「忘記密碼」連結,請在第一個節點上登入使用者應用程式,然後按一下管理 > 忘記密碼

    如需 SSPR 組態的詳細資訊,請參閱節 15.7.8, 設定忘記密碼管理功能

  2. 若要變更「變更我的密碼」連結,請參閱針對分散式環境或叢集環境更新儀表板中的 SSPR 連結

  3. 在叢集中的其他節點上,驗證「忘記密碼」連結和「變更我的密碼」連結是否已用 SSPR IP 位址更新。

    附註:如果「變更密碼」和「忘記密碼」連結已用 SSPR IP 位址更新,則不需要執行其他變更。

  4. 在第一個節點中,停止 Tomcat,並使用以下指令指定負載平衡器伺服器的 DNS 名稱,以產生新 osp.jks 檔案︰

    C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <密碼> -keypass <密碼> -alias osp -validity 1800 -dname "cn=<負載平衡器 IP/DNS>"

    例如︰C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    附註:確認金鑰密碼與在 OSP 安裝期間提供的密碼相同。或者,可以使用組態更新公用程式並包括金鑰儲存區密碼來變更該密碼。

  5. (視情況而定) 若要驗證 osp.jks 檔案是否已透過這些變更更新,請執行以下指令︰

    C:NetIQ\idm\apps\jre\bin\keytool -list -v -keystore osp.jks -storepass changeit

  6. 備份位於 C:\NetIQ\idm\apps\osp 中的原始 osp.jks 檔案,並將新的 osp.jks 檔案複製到此位置。新 osp.jks 檔案是在步驟 3 中建立的。

  7. 將第一個節點上位於 C:\NetIQ\idm\apps\osp\ 中的新 osp.jks 檔案複製到叢集中的所有其他使用者應用程式節點。

  8. 在第一個節點中啟動組態公用程式,並在「SSO 用戶端」索引標籤下將所有 URL 設定 (例如抵達頁面的 URL 連結和 OAuth 重新導向 URL) 變更為負載平衡器 DNS 名稱。

    1. 儲存在組態公用程式中所做的變更。

    2. 若要在叢集的所有其他節點中反映此變更,請將第一個節點上位於 \TOMCAT_INSTALLED_HOME\conf 中的 ism-configuration properties 檔案複製到所有其他使用者應用程式節點。

      附註:您之前已將第一個節點上的 ism.properties 檔案複製到叢集中的其他節點。如果您在安裝使用者應用程式期間指定了自訂安裝路徑,請在叢集節點中使用組態更新公用程式確保參考路徑正確。

      此情境中,OSP 和使用者應用程式安裝在同一部伺服器上;因此,為重新導向 URL 使用了相同的 DNS 名稱。

      如果 OSP 與使用者應用程式安裝在不同的伺服器上,請將 OSP URL 變更為指向負載平衡器的不同 DNS 名稱。請對安裝了 OSP 的所有伺服器執行此操作。這可確保所有 OSP 申請均透過負載平衡器傳發送到 OSP 叢集 DNS 名稱。這涉及到為 OSP 節點建立一個單獨的叢集。

  9. \TOMCAT_INSTALLED_HOME\bin\ 目錄下的 setenv.bat 檔案中執行以下動作︰

    1. 為確保成功進行 mcast_addr 繫結,JGroups 要求 preferIPv4Stack 內容設定為 true。為此,請在所有節點上的 setenv.bat 檔案中新增 JVM 內容「-Djava.net.preferIPv4Stack=true」。

    2. 在第一個節點上的 setenv.bat 檔案中新增「-Dcom.novell.afw.wf.Engine-id=Engine」。

      引擎名稱應該是唯一的。請提供安裝第一個節點時指定的名稱。如果之前未指定名稱,則預設名稱為「Engine」。

      同樣,為叢集中的其他節點新增唯一的引擎名稱。例如,對於第二個節點,引擎名稱可以是 Engine2。

  10. 在使用者應用程式中啟用叢集。如需更多資訊,請參閱步驟 10

  11. 為叢集啟用許可權索引。如需更多資訊,請參閱節 15.4.2, 為叢集啟用許可權索引

  12. 啟用 Tomcat 叢集。如需詳細資訊,請參閱節 15.4.3, 準備 Identity Applications 的應用程式伺服器 中的「步驟 9」。

  13. 在所有節點上重新啟動 Tomcat。

  14. 為叢集設定使用者應用程式驅動程式。如需更多資訊,請參閱節 15.6.2, 為叢集設定使用者應用程式驅動程式