本節提供關於升級 Identity Applications 和支援軟體的資訊,其中包括更新以下元件的內容︰
Identity Manager 使用者應用程式
One SSO Provider (OSP)
Self-Service Password Reset (SSPR)
Tomcat、JDK 和 ActiveMQ
Identity Reporting
NetIQ 提供了一個升級程式來升級這些元件。此程式位於 Identity Manager 安裝套件的 products\CommonApplication\ 目錄中。導覽至包含 ApplicationUpgrade.exe 檔案的目錄。
升級後,元件會升級至以下版本︰
Tomcat – 8.5.27
ActiveMQ – 5.15.2
Java – 1.80_162
One SSO Provider – 6.2.1
Self-Service Password Reset – 4.2.0.4
Identity Applications – 4.7.0
Identity Reporting – 6.0.0
本節提供關於以下主題的資訊︰
升級程序會從現有元件中讀取組態值。這些資訊包括 ism-configuration.properties、server.xml、SSPRConfiguration.xml 和其他組態檔案。升級程序會使用這些組態檔案在內部叫用各元件的升級程式。此外,此程式還會建立目前安裝的備份。
執行升級前,請先檢閱以下注意事項︰
Identity Manager 已升級至版本 4.5.6: 您不能從低於 4.5.6 的版本升級或移轉至版本 4.7。如需如何升級至 Identity Manager 4.5 的詳細資訊,請參閱《NetIQ Identity Manager 安裝指南》中的「升級 Identity Manager」。
系統要求: 升級程序至少需要 3 GB 可用磁碟空間,用於儲存目前的組態以及升級期間建立的暫存檔案。確認伺服器器具有足夠儲存備份的空間,另外還有可供升級的可用空間。
在 Windows 伺服器上,升級程式會將暫存檔案儲存在 %TEMP% 環境變數指定的目錄中。如果此目錄不能提供所需的空間,請將 TEMP 和 TMP 環境變數設定為檔案系統中具有足夠可用空間的某個目錄。如此會重新指示升級程式將檔案儲存到該目錄。
若要將這些環境變數設定為不同的目錄,請在開始升級之前完成以下步驟︰
開啟指令提示符並輸入以下指令︰
SET TMP=D:\custom_tmp
SET TEMP=D:\custom_tmp
其中,D:\custom_tmp 是具有足夠可用磁碟空間的目錄路徑。
附註:對於叢集環境,請備份 Identity Applications 證書 (cacerts)。
從指令行啟動升級程式。
使用 Tomcat 做為應用程式伺服器: 此版本的 Identity Manager 僅支援使用 Tomcat 做為應用程式伺服器。
附註:確定您已在之前的安裝期間使用便捷安裝程式安裝 Tomcat 應用程式伺服器。升級程序只允許您升級使用便捷安裝程式安裝的 Tomcat。
資料庫平台已升級: 此程式不會升級 Identity Applications 的資料庫平台。請手動將目前的資料庫版本升級至受支援的版本。若要升級 PostgreSQL 資料庫,請參閱升級 PostgreSQL 資料庫。
Identity Applications 和 Identity Reporting 驅動程式已升級: 確定您已升級 Identity Applications 和 Identity Reporting 的下列驅動程式。
使用者應用程式驅動程式
角色與資源驅動程式
管理系統閘道驅動程式
資料收集服務驅動程式
如需詳細資訊,請參閱《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南) 中的「Upgrading Installed Packages」(升級安裝的套件)。
管理員使用者擁有最高的存取權限: 向管理員使用者提供最高存取權限。
使用者帳戶控制設定已變更為「永不通知」: 移至控制台 > 使用者帳戶,然後將使用者帳戶控制設定變更為永不通知。
Self Service Password Reset: 若要從 SSPR 4.0 升級,請確定您已更新 CATALINA_OPTS 內容,並且 -Dsspr.application.Path 設定為儲存 SSPR 組態的資料夾。
例如︰set CATALINA_OPTS="-Dsspr.applicationPath=C:\sspr_data
在升級前備份 SSPR LocalDB。若要輸出或下載 LocalDB,請執行以下步驟︰
以管理員身分登入 SSPR 入口網站。
從下拉式功能表中導覽至您的 ID > 組態管理員。
按一下 LocalDB。
按一下下載 LocalDB。
重要:升級過程可能需要一段時間,時間長短取決於資料庫大小。因此,請相應規劃您的升級。
停止伺服器上正在執行的 PostgreSQL 服務。
重新命名 C:\Netiq\idm\apps 中的 postgres 目錄。
例如,將 postgres 重新命名為 postgresql_9_3。
安裝作業系統支援的 PostgreSQL 版本。
選擇的位置必須與 PostgreSQL 的目前安裝位置不同。
掛接 Identity_Manager_4.7_Windows.iso 影像檔,並導覽至包含 PostgreSQL 安裝檔案的 products\CommonApplication\postgre_tomcat_install 目錄。
執行 TomcatPostgreSQL.exe 檔案來安裝 PostgreSQL 應用程式。
安裝期間,請只選取 PostgreSQL 選項。
附註:不要在 PostgreSQL 詳細資料頁面中提供任何資料庫詳細資料。確定取消選取了建立資料庫登入帳戶和建立空資料庫。
停止新安裝的 PostgreSQL 服務。移至服務,搜尋 PostgreSQL 9.6 服務,然後停止該服務。
附註:相應的使用者在提供有效的驗證資訊後,可以執行停止操作。
透過執行以下動作來變更新安裝的 PostgreSQL 目錄的許可權︰
建立一個 postgres 使用者︰
移至控制台 > 使用者帳戶 > 使用者帳戶 > 管理帳戶。
按一下新增使用者帳戶。
在「新增使用者」頁面中,指定 postgres 做為使用者名稱,並提供該使用者的密碼。
為 postgres 使用者提供對現有和新安裝的 PostgreSQL 目錄的許可權︰
在 PostgreSQL 目錄上按一下滑鼠右鍵,然後移至內容 > 安全性 > 編輯。
為該使用者選取完全控制,以提供完全許可權。
按一下「套用」。
以 postgres 使用者的身分存取 PostgreSQL 目錄。
以 postgres 使用者的身分登入伺服器。
在登入之前,請驗證是否允許 postgres 使用者建立遠端連接,以確定此使用者可連接到 Windows 伺服器。
開啟指令提示符,然後使用以下指令設定 PGPASSWORD︰
set PGPASSWORD=<your pg password>
切換至新安裝的 PostgreSQL 目錄。
例如:C:\Users\postgres>cd C:\NetIQ\idm\apps1\postgresql962\bin。
從新 PostgreSQL 的 bin 目錄升級 PostgreSQL。執行以下指令,然後按一下 Enter。
pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"
啟動升級後的 PostgreSQL 資料庫服務。
移至服務,搜尋 PostgreSQL 9.6 服務,然後啟動該服務。
附註:相應的使用者在提供有效的驗證資訊後,可以執行啟動操作。
停用舊 PostgreSQL 服務,以確定該服務不會自動啟動。
(選擇性) 從新安裝的 PostgreSQL 服務的 bin 目錄中刪除舊資料檔案。
以 postgres 使用者的身分登入。
導覽至 bin 目錄,並執行 analyze_new_cluster.bat 和 delete_old_cluster.bat 檔案。
例如:C:\NetIQ\idm\apps1\postgresql961\bin
附註:僅當您想要刪除舊資料檔案時,才需要執行此步驟。
升級程序會為所安裝元件的目前組態建立備份。確認伺服器器具有足夠儲存備份的空間,另外還有可供升級的可用空間。
本節介紹如何將使用者應用程式驅動程式以及角色與資源服務驅動程式的套件更新到最新版本。升級 Identity Applications 前必須先執行此任務。
在 Designer 中開啟目前的專案。
在套件目錄 > 輸入套件上按一下滑鼠右鍵。
選取相應的套件。例如,使用者應用程式驅動程式基礎套件。
按一下「確定」。
在開發人員檢視窗中,在該驅動程式上按一下滑鼠右鍵,然後按一下內容。
導覽至內容頁面中的套件索引標籤。
按一下右上角的新增套件 (+) 符號。
選取該套件,然後按一下確定。
部署並重新啟動驅動程式。
重複相同程序,以升級角色與資源服務驅動程式的套件。
附註:
確定使用者應用程式驅動程式以及角色與資源服務驅動程式連接至升級後的 Identity Manager。
如果您在升級使用者應用程式驅動程式套件時安裝了任何通知樣板,請將預設通知集合物件部署到您的 Identity Manager 伺服器。
以下程序介紹如何使用精靈升級 Identity Applications、OSP、SSPR、Tomcat、ActiveMQ 和 Identity Reporting。
登入要執行升級程序的伺服器。
掛接 .iso 影像檔,導覽至包含升級可執行檔的目錄 (預設位於 products\CommonApplication\ 目錄中)。
啟動升級程式。以滑鼠右鍵按一下 ApplicationUpgrade.exe 並選取以管理員身分執行。
在簡介頁面上,您可以檢視可升級的 Identity Manager 元件,然後按下一步。
閱讀並接受授權合約,然後按「下一步」。
檢閱已部署的應用程式頁面,然後按下一步。
此頁面會列出目前安裝的元件及其版本。如果在該伺服器上部署了其他應用程式,則升級程序會顯示警告,指出升級後這些應用程式可能會無法正常運作。
您必須手動從升級程序建立的備份還原它們。
若要繼續升級,請按下一步。
使用以下參數完成引導式程序。此程式會自動填入現有元件的值。確認為參數指定了正確的值。
One SSO Provider 安裝資料夾
代表升級程式要在其中建立 OSP 應用程式檔案的目錄路徑。如果該路徑不正確,請瀏覽到 OSP 的安裝路徑。
SSPR 安裝資料夾
代表升級程式要在其中建立 SSPR 應用程式檔案的目錄路徑。如果該路徑不正確,請瀏覽到 SSPR 的安裝路徑。
使用者應用程式安裝資料夾
代表升級程式要在其中建立使用者應用程式的應用程式檔案的目錄路徑。如果該路徑不正確,請瀏覽到使用者應用程式的安裝路徑。
資料庫連接
代表用於連接使用者應用程式資料庫的設定,Identity Applications 也會連接到此資料庫。升級程式會將這些詳細資料包含在使用者應用程式組態檔案中。
代表使用者應用程式資料庫的平台。
指定代管使用者應用程式的伺服器的名稱或 IP 位址。
指定資料庫伺服器用於與使用者應用程式通訊的連接埠。
指定資料庫平台的 jar 檔案。
資料庫廠商會提供驅動程式 JAR 檔案,即資料庫伺服器的 JAR。例如,對於 PostgreSQL,可以指定預設位於 C:\NetIQ\idm\apps\postgres 中的 postgresql-9.4-1212.jdbc42.jar。同樣,指定您資料庫平台的相應 jar 檔案。
(視情況而定) Reporting 資料庫連接
代表用於連接 Identity Reporting 資料庫的設定。
指定代管使用者應用程式的伺服器的名稱或 IP 位址。
指定資料庫伺服器用於與使用者應用程式通訊的連接埠。
指定資料庫的名稱。資料庫名稱預設為 idmrptdb。
(視情況而定) Reporting 資料庫身分證明
指定使用者應用程式用來存取和修改資料庫中資料的帳戶名稱。資料庫使用者名稱預設為 postgres。
提供所指定使用者名稱的密碼。
立即升級資料庫: 升級程式會在升級過程中更新 Reporting 資料庫表的綱要。
在應用程式啟動時升級資料庫: 升級程式會發出在升級後使用者應用程式首次啟動時為資料庫表格更新綱要的指示。
將 SQL 寫入檔案: 產生一個 SQL 程序檔,資料庫管理員可以執行該程序檔來更新資料庫。如果您選擇此選項,則還必須為綱要檔案指定名稱。設定位於 SQL 輸出檔案組態中。如果您無權在您的環境中建立或修改資料庫,則可選取此選項。如需使用該檔案產生表的詳細資訊,請參閱節 15.7.2, 手動建立資料庫綱要。
指定資料庫平台的 jar 檔案。
資料庫廠商會提供驅動程式 JAR 檔案,即資料庫伺服器的 JAR。例如,對於 PostgreSQL,可以指定預設位於 C:\NetIQ\idm\apps\postgres 中的 postgresql-9.4-1212.jdbc42.jar。同樣,指定您資料庫平台的相應 jar 檔案。
升級資料庫
升級程式會在升級過程中為資料庫表格更新綱要。
升級程式會發出在升級後使用者應用程式首次啟動時為資料庫表格更新綱要的指示。
產生一個 SQL 程序檔,資料庫管理員可以執行該程序檔來更新資料庫。如果您選擇此選項,則還必須為綱要檔案指定名稱。設定位於 SQL 輸出檔案組態中。如果您無權在您的環境中建立或修改資料庫,則可選取此選項。如需使用該檔案產生表的詳細資訊,請參閱節 15.7.2, 手動建立資料庫綱要。
資料庫管理員
代表資料庫管理員的名稱和密碼。
指定可建立資料庫表格、檢視和其他產出工件的資料庫管理員帳戶。
指定資料庫管理員的密碼。
Reporting 資料庫連接
代表資料庫管理員的主機名稱和密碼。
指定可建立資料庫表格、檢視和其他產出工件的資料庫管理員帳戶。
指定資料庫管理員的密碼。
檢閱升級前摘要頁面,然後按一下安裝。
升級程序會停止 Tomcat 服務並開始升級,完成此程序可能需要一段時間。
當升級過程完成時,檢閱 /tmp/rbpm_upgrade/ 中的升級記錄檔案,您需要手動更新數個組態,請參閱節 32.5.7, 升級後任務。
依據元件的安裝位置,安裝程序會在該位置建立備份目錄,並將時戳 (指示備份時間) 附加至備份目錄。
例如,
Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634
OSP 和 SSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634
ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634
使用者應用程式 - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634
Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634
升級 Identity Applications 後,請務必執行下列操作:
您還必須手動還原 Tomcat、SSPR、OSP 或 Identity Applications 的自訂設定。
針對所需元件執行升級後步驟︰
對照舊 JRE 的位置,驗證新升級 JRE 位置中的證書︰jre\lib\security\cacerts。手動將缺少的證書輸入到 cacerts 中。
使用 keytool 指令輸入 java cacerts︰
keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts
附註:升級後,JRE 儲存在 Identity Applications 安裝位置。例如:C:\NetIQ\idm\apps\jre
驗證 JRE 主目錄位置是否為 tomcat\bin\setenv.bat。
啟動組態更新公用程式,並驗證您的 cacerts 路徑。
(視情況而定) 若要從升級程序先前建立的備份還原自訂檔案,請執行以下任務︰
還原自訂的 https 證書。若要還原這些證書,請將所備份 server.xml 中的 Java Secure Socket Extension (JSSE) 內容複製到 \tomcat\conf 目錄下的新 server.xml 檔案中。
不要將所備份 Tomcat 目錄中的組態檔案複製到新 Tomcat 目錄中。應視需要在新版本預設組態的基礎上進行變更。如需詳細資訊,請造訪此 Apache 網站。
驗證新 server.xml 檔案是否包含以下項目
<Connector port="8543" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="path_to_keystore_file"
keystorePass="keystore_password" />
<!--
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
-->
或
<Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="path_to_keystore_file"
keystorePass="keystore_password" />
<!--
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
-->
附註:在叢集環境中,手動取消備註 server.xml 中的 Cluster 標記,然後將第一個節點上的 osp.jks (位於 C:\netiq\idm\apps\osp_backup_<date> 中) 複製到所有節點上。
如果您自訂了金鑰儲存區檔案,請在新 server.xml 檔案中包括正確的路徑。
將 Identity Applications 證書輸入到 Identity Vault 中 (位於 C:\NetIQ\eDirectory\jre\lib\security\cacerts)。
例如,您可以使用以下 keytool 指令將證書輸入到 Identity Vault 中:
keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts
(視情況而定) 導覽至使用者應用程式,然後透過讀取備份的組態手動還原自訂設定。
從升級期間建立的備份還原 Identity Applications 自訂組態。
如果您要從 4.5.6 版本升級 Identity Manager,則必須為要用於在 Identity Manager 儀表板中對使用者排序的每個屬性手動建立複合索引,請參閱建立複合索引。
啟動 configupdate 公用程式 (configupdate.bat) 檔案。
在 configupdate.bat.properties 檔案中,確定 use_console 的值設定為 false。
連接 Identity Vault 伺服器,並接受 eDirectory 證書。
在 SSO 用戶端索引標籤中,導覽至 RBPM,然後按一下顯示進階選項。
將 RBPM 至 eDirectory SAML 組態設定為「自動」。
logevent.conf 檔案中的 LogHost 項目預設設定為 localhost。
若要修改 LogHost 項目,請手動從升級期間建立的備份還原 OSP 自訂組態。
升級 SSPR 後,使用組態更新公用程式來更新 SSO 用戶端參數。如需詳細資訊,請參閱 節 15.8.5, SSO 用戶端參數 中的 Self Service Password Reset。
若要更新 SSPR 組態詳細資料,請執行以下步驟︰
以管理員身分登入 SSPR 入口網站。
更新稽核伺服器詳細資料︰
導覽至您的 ID > 組態編輯器,指定組態密碼。
選取設定 > 稽核 > 稽核轉遞 > Syslog 稽核伺服器證書。
從伺服器輸入這些證書,然後按一下儲存。
將 LocalDB 輸入 SSPR︰
從下拉式功能表導覽至您的 ID > 組態管理員。
按一下 LocalDB。
按一下輸入 (上傳) LocalDB 歸檔檔案。
(視情況而定) 若要限制 SSPR 的組態:
從清單中導覽至您的 ID > 組態管理員。
按一下限制組態。
設定 SSPR 的管理員許可權,請參閱節 14.2.3, 安裝後任務。
若要驗證升級是否成功,請啟動升級的元件。
例如,啟動 Identity Manager 儀表板,按一下關於。檢查應用程式顯示的是否為新版本,例如 4.7.0。
升級公用程式會在電腦上建立新的 Tomcat 資料夾。如果任何 Kerberos 檔案 (例如 keytab 和 Kerberos_login.config) 存放在舊 Tomcat 資料夾中,請從備份資料夾中將這些檔案複製到新 Tomcat 資料夾。