13.2 為 Identity Manager 安裝單一登入

13.2.1 使用精靈安裝 One SSO Provider

以下程序介紹如何使用安裝精靈在 Windows 平台上安裝 OSP。若要執行靜默模式的無人管理安裝,請參閱節 13.2.2, 以靜默模式安裝 One SSO Provider。若要進行安裝準備工作,請檢閱節 13.1.1, 單一登入元件的核對清單 中列出的先決條件和系統要求。

  1. 以管理員身分登入要安裝 OSP 的伺服器。

  2. 停止 Tomcat 伺服器。

  3. (視情況而定) 如果您已取得 Identity Manager 安裝套件的 .iso 影像檔,請導覽至包含 OSP 安裝檔案的目錄 (預設為 products\CommonApplication\osp_install 目錄)。

  4. (視情況而定) 如果您已下載 OSP 安裝檔案,請完成以下步驟:

    1. 導覽至所下載影像的 win.zip 檔案。

    2. 將該檔案的內容擷取到本地電腦上的某個目錄中。

  5. 從包含安裝檔案的目錄中執行 osp-install-win.exe 檔案。

  6. 閱讀並接受授權合約,然後按下一步

  7. 指定安裝檔案的路徑。

  8. 使用以下參數完成引導式程序:

    • Tomcat 詳細資料

      代表 Tomcat 伺服器的主目錄。例如 C:\NetIQ\idm\apps\tomcat\。安裝程序會將 OSP 的一些檔案新增至此資料夾中。

    • Tomcat Java 主目錄

      代表 Tomcat 伺服器上 Java 的主目錄。例如,C:\NetIQ\idm\jre。安裝程序會將 OSP 的一些檔案新增至該目錄中。

    • 應用程式位址

      代表使用者連接至 Tomcat 伺服器上的 OSP 時所需的 URL 設定。例如,https://myserver.mycompany.com:8543

      通訊協定

      指定您要使用 http 還是 https。若要使用安全通訊端層 (SSL) 進行通訊,請指定 https

      主機名稱

      指定要安裝 OSP 的伺服器的 DNS 名稱或 IP 位址。請不要使用 localhost

      連接埠

      指定您希望伺服器在與用戶端電腦通訊時使用的連接埠。

    • 登入螢幕自訂

      指定要在使用者登入螢幕上顯示的自訂名稱。預設值為 Identity Access

      附註:僅支援 Latin1 標準字元集

    • 驗證詳細資料

      代表與包含可以登入應用程式之使用者清單的驗證伺服器相連接需要符合的要求。如需驗證伺服器的詳細資訊,請參閱節 4.5.1, 瞭解使用 One SSO Provider 進行驗證的方法

      LDAP 主機

      指定 LDAP 驗證伺服器的 DNS 名稱或 IP 位址。請不要使用 localhost

      LDAP 連接埠

      指定您希望 LDAP 驗證伺服器在與 Identity Manager 通訊時使用的連接埠。例如,指定 389 做為非安全連接埠,或者為 SSL 連接指定 636

      使用 SSL

      指定是否要為 Identity Vault 與驗證伺服器之間的連接使用安全通訊端層通訊協定。

      JRE 可信證書儲存區 (cacerts) 檔案

      僅當您要對 LDAP 連接使用 SSL 時才適用。

      指定證書的路徑。例如,C:\NetIQ\idm\apps\jre\lib\security\cacerts

      JRE 可信證書儲存區密碼

      僅當您要對 LDAP 連接使用 SSL 時才適用。

      指定 cacerts 檔案的密碼。

      管理員 DN

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器管理員帳戶的 DN。例如 cn=admin,ou=sa,o=system

      管理密碼

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器管理員帳戶的密碼。

      使用者容器

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器中要用來儲存可以登入 Access Review 之使用者帳戶的容器。例如 o=data

      管理員容器

      僅在安裝新的驗證伺服器時適用。

      指定 LDAP 驗證伺服器中要用來儲存管理員帳戶的容器。例如 ou=sa,o=system

      Identity Vault

      指定您的 Identity Vault。

      金鑰儲存區密碼

      僅在安裝新的驗證伺服器時適用。

      指定要為 LDAP 驗證伺服器的新金鑰儲存區建立的密碼。

      該密碼必須至少包含六個字元。

    • 稽核詳細資料 (OSP)

      代表用於稽核驗證伺服器中發生的 OSP 事件的設定。

      (視情況而定) 為 OSP 啟用稽核

      指定是否要將 OSP 事件傳送到稽核伺服器。

      如果選取此設定,您還需指定稽核記錄快取的位置。

      稽核記錄快取資料夾

      僅當為 OSP 啟用了稽核時才適用。

      指定要用於稽核之快取目錄的位置。例如 C:\NetIQ\idm\naudit\jcache

      指定現有證書/產生證書

      指出您要使用 NAudit 伺服器的現有證書,還是建立新的證書。

      輸入公用金鑰

      僅當您要使用現有證書時才適用。

      列出您希望 NAudit 服務用來驗證稽核訊息的自訂公用金鑰證書。

      輸入 RSA 金鑰

      僅當您要使用現有證書時才適用。

      指定您希望 NAudit 服務用來驗證稽核訊息的自訂私密金鑰檔案所在的路徑。

  9. 若要安裝 SSPR,請繼續節 14.0, 安裝密碼管理元件

    如需設定忘記密碼管理的詳細資訊,請參閱節 15.7.8, 設定忘記密碼管理功能

13.2.2 以靜默模式安裝 One SSO Provider

靜默 (非互動式) 安裝不顯示使用者介面,也不向使用者提出任何問題。

  1. 以管理員身分登入要安裝這些元件的電腦。

  2. 停止 Tomcat。

  3. (視情況而定) 如果您已取得 Identity Manager 安裝套件的 .iso 影像檔案,請導覽至包含 OSP 安裝檔案的目錄 (預設為 osp 目錄)。

  4. (視情況而定) 如果您已從 NetIQ 下載網站下載了安裝檔案,請完成以下步驟:

    1. 導覽至所下載影像的 .zip 檔案。

    2. 將該檔案的內容擷取到本地電腦上的某個資料夾中。

  5. osp.configure.properties 檔案複製到您有權寫入的位置,然後編輯此檔案。

    如需安裝設定的詳細資訊,請參閱步驟 7步驟 8

  6. 若要執行靜默安裝,請執行以下指令︰

    osp-install-win.exe -i silent -f path_to_silent.properties_file

    在此指令中,請指定檔案的絕對路徑。例如︰

    osp-install-win.exe -i silent -f c:\NetIQ\idm\apps\osp\osp.silent.properties

  7. 安裝 SSPR。如需詳細資訊,請參閱節 14.0, 安裝密碼管理元件

13.2.3 設定單一登入存取

安裝 OSP 之後,需要立即執行一些動作來設定單一登入存取。但是,最終的組態程序需要您先安裝 Identity Applications。如需詳細資訊,請參閱節 VIII, 在 Identity Manager 中設定單一登入存取

附註:在靜默模式下設定 One SSO Provider 時,請務必在 osp.silent.properties 檔案中指定正確的安裝、Java、Tomcat 和 SSL 金鑰儲存區資料夾路徑。例如,

安裝資料夾: USER_INSTALL_DIR=C:\NetIQ\idm\apps\osp

Tomcat 資料夾: NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Windows: NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Java 資料夾: NETIQ_JAVA_HOME=C:\NetIQ\idm\apps\jre

SSL 金鑰儲存區資料夾: USER_INSTALL_DIR=C:\NetIQ\idm\apps\jre\lib\security\cacerts