14.2 部署程序

您可以依據自己的要求在私人或公用網路中部署 Identity Manager 元件。圖 14-1, AWS EC2 上的 Identity Manager 部署 演示了一個範例部署,後續章節中將用到該部署。

圖 14-1 AWS EC2 上的 Identity Manager 部署

您可以依據 Identity Manager 元件在不同伺服器上的分散方式,以不同的組合部署這些元件。不過,所有方案的部署程序都是相同的。

部署程序包括以下步驟:

14.2.1 準備 AWS Virtual Private Cloud

本節介紹將 AWS VPC 設定為與 Identity Manager 配合使用的一般步驟。如需詳細資訊,請參閱 Amazon Elastic Compute Cloud 文件

建立 AWS VPC 服務需要執行的步驟如下:

  1. 登入 AWS Management Console (AWS 管理主控台)。

  2. 按一下 Services (服務) 並建立以下服務:

    服務

    步驟

    VPC

    1. 按一下 Networking & Content Delivery (網路和內容遞送) 下的 Services > VPC (服務 > VPC)。

    2. 按一下 Start VPC Wizard (啟動 VPC 精靈)。

    3. 選取 VPC 組態類型,然後按一下 Select (選取)。

    4. 在表單中指定詳細資料,然後按一下 Create VPC (建立 VPC)。

      如此即會建立指定大小的私人網路。VPC 和子網路建立程序使用 CIDR 表示法來表示位址範圍。最大的 VPC 大小為 /16 網路。

    如需詳細資訊,請參閱 Amazon Virtual Private Cloud 文件

    重要:使用 Start VPC Wizard (啟動 VPC 精靈) 建立 VPC 會建立該 VPC 的子網路、網際網路閘道和路由表。您可以依如下所述檢視或編輯這些項目:

    次網路

    若要依圖 14-1 中所示部署 Identity Manager 元件,請在 VPC 中建立三個子網路。例如 privateSN、publicSN1 和 publicSN2。

    建立子網路需要執行的步驟如下。

    1. 在左側功能表中,按一下 Subnets (子網路)。

    2. 按一下 Create Subnet (建立子網路)。

    3. 指定用於識別子網路的名稱標記

    4. 指定 VPC 中的 IPv4 CIDR 區塊

      例如:10.0.0.0/24

      您必須在不同的可用性區域中建立公用子網路。

    5. 依次按一下 Yes (是)、Create (建立)

    6. (視情況而定) 對於公用子網路,啟用自動指定公用 IP 位址:

      1. 選取 Subnet Actions > Modify auto-assign IP settings (子網路動作 > 修改自動指定 IP 設定)。

      2. 選取 Enable auto-assign public IPv4 address (啟用自動指定公用 IPv4 位址)。

      3. 按一下 Save (儲存)。

    重複上述步驟以建立更多子網路。

    網際網路閘道

    1. 在左側功能表中,按一下 Internet Gateways (網際網路閘道)。

    2. 按一下 Create Internet Gateway (建立網際網路閘道)。

    3. 指定名稱標記,然後按一下 Create (建立)。

    4. 選取新建立的網際網路閘道,並將其連接至 VPC:

      1. 選取 Actions > Attach to VPC (動作 > 連接至 VPC)。

      2. 從清單中選取該 VPC,然後按一下 Attach (連接)。

    路由表

    1. 在左側功能表中,按一下 Route Tables (路由表)。

    2. 選取系統自動為此 VPC 建立的路由表。

    3. Routes (路由) 索引標籤中:

      1. 按一下 Edit (編輯)。

      2. 按一下 Add another route (新增另一個路由)。

      3. Destination (目的地) 中,指定 0.0.0.0/0

      4. Target (目標) 中,選取與此 VPC 關聯的網際網路閘道表。請參閱網際網路閘道

      5. 按一下 Save (儲存)。

    4. Subnet Association (子網路關聯) 索引標籤中:

      1. 按一下 Edit (編輯)。

      2. 找到要與此 VPC 關聯的子網路,然後按一下 Save (儲存)。

    (選擇性) 代管的區域

    如果您已註冊網域,可以執行以下動作以使用該網域來代管 Identity Manager 元件:

    1. 按一下 Services > Route 53 > Hosted Zones (服務 > Route 53 > 代管的區域)。

    2. 按一下 Create Hosted Zone (建立代管的區域),並指定如下所述的詳細資料:

      • 網域名稱: 指定網域名稱。

      • 備註: 新增備註。

      • 類型: 指定所代管區域的類型。

    3. 按一下 Create (建立)。

    彈性 IP 位址

    1. 按一下 Services > EC2 (服務 > EC2)。

    2. 在左側功能表中,選取 Elastic IPs (彈性 IP)。

    3. 按一下 Allocate New address (配置新位址)。

    4. 按一下 Allocate (配置)。

      系統即會配置一個其他任何資源均未使用的靜態 IPv4 位址。

    5. 按一下 Cose (關閉)。

14.2.2 建立和部署例項

本節介紹建立和部署 Identity Manager 基本設定 (包含 Identity Manager 引擎、iManager、Identity Applications、Reporting、使用者應用程式資料庫和 Reporting 資料庫) 例項的步驟。

建立 Identity Manager 元件例項需要執行的步驟如下。

  1. 按一下 Services (服務) > EC2

  2. 按一下 Launch Instance (啟動例項)。

  3. 選取 SLES 12 SPxRHEL 7.x 影像。

  4. 選取符合基礎作業系統及 Identity Manager 元件部署要求的例項類型。請參閱系統要求

  5. 按一下 Next: Configure Instance Details (下一步:設定例項詳細資料)。

    確定該例項使用的是正確的 VPC 和子網路。此頁面中會自動填入子網路設定。

    欄位

    動作

    Auto-assign Public IP (自動指定公用 IP)

    對於公用子網路,請設定為 Enable (啟用)。使用此設定會自動填入子網路設定。對於私人子網路,請將值設定為 Disable (停用)。

  6. 按一下 Next: Add Storage (下一步:新增儲存)。

    預設儲存大小為 10 GB。請依據您的要求變更儲存大小。請參閱系統要求

  7. 按一下 Next: Add Tags (下一步:新增標記)。

    請視需要新增標記。使用標記可以組織例項。例如,可將以下兩個標記新增至每個例項:

    • 一個標記指示該例項的用途

    • 一個標記指示此機器的擁有者

  8. 按一下 Next: Configure Security Group (下一步:設定安全性群組)。

    安全性群組是例項群組的虛擬防火牆規則。建議對防火牆要求相同的每組例項單獨建立一個安全性群組。

    例如,您可對 Identity Manager 引擎的所有節點、Identity Applications 的所有節點以及 Identity Reporting 的所有節點分別設定一個安全性群組。依預設,新安全性群組僅允許連接埠 22 上的內送流量,因此,您只能使用 SSH 連接至例項。

    如需詳細資訊,請參閱「Amazon EC2 Security Groups for Linux Instances」(Linux 例項的 Amazon EC2 安全性群組)

  9. 建立新的安全性群組;指定該群組的名稱和描述。

    在安裝以下 Identity Manager 元件之前,請新增額外的連接埠規則:

    配件

    描述

    Identity Vault 的 LDAP

    TCP 636

    需要使用它來進行 LDAP 安全通訊。

    iManager

    TCP 8443

    需要使用它來進行 HTTPS 通訊,以便存取 iManager。

    Identity Applications

    TCP 8543

    需要使用它來進行 HTTPS 通訊,以便存取 Identity Applications。

    Identity Reporting

    TCP 8643

    需要使用它來進行 HTTPS 通訊,以便存取 Identity Reporting。

    PostgreSQL 資料庫

    TCP 5432

    需要使用它來進行安全資料庫通訊,以便存取 PostgreSQL。

  10. 按一下 Review and Launch (查看並啟動)。

  11. 查看詳細資料後,按一下 Launch (啟動)。

  12. 選取現有的金鑰組或建立新的金鑰組。

    此金鑰組用於透過 SSH 存取例項。您可在多部機器上使用相同金鑰組。

  13. 按一下 Download Key Pair (下載金鑰組)。

    重要:您只能使用私密金鑰來連接和管理例項。因此,在下載金鑰組後,請勿遺失私密金鑰。

  14. 連接啟始化例項時建立的彈性 IP 位址。

  15. 重複步驟 1步驟 13 以建立其他例項。

14.2.3 準備 EC2 例項

啟動某個例項,並驗證軟體儲存庫。若要驗證設定的軟體儲存庫,請執行以下操作:

  1. 使用金鑰組登入某個例項。

  2. 切換至 root 使用者。

  3. 驗證您的作業系統中是否存在以下更新:

    SLES 上的 SLES12-SP3-Pool 和 SLES12-SP3-Updates: 若要進行驗證,請執行 zypper lr –n 指令。

    RHEL 上的 rhui-REGION-rhel-server-releases/7Server/x86_64: 若要進行驗證,請執行 yum repolist 指令。

    附註:如果您的作業系統中沒有儲存庫,請驗證設定的彈性 IP 位址是否已連接至該例項,然後重新啟動該例項。

  4. 為作業系統安裝以下先決元件:

    SLES

    使用 zypper 指令安裝 glibc-32bit 程式庫。

    Red Hat

    使用 yum install 指令安裝以下先決元件:

    • 解除壓縮

    • ksh

    • bc

    • glibc-*.i686

    • libXau-1.0.8-2.1.el7.i686

    • libxcb.i686

    • libX11.i686

    • libXtst.i686

    • libXrender.i686

    • libgcc.i686

    • lsof

    對於 Identity Manager 引擎,您可以編輯 prerequisite.sh 程序檔,移除其中包含的 compat-libstdc++-33.x86_64。Identity Manager 安裝不再需要此套件。

  5. 設定 /etc/hostshostname

    1. 使用例項的私人 IP 位址在防火牆中保護 Identity Manager 伺服器。

    2. 為例項指定 DNS 名稱並更新 hosts 檔案。

      例如:

      # 10.0.0.1 identityEngine.example.com identityEngine

    3. 設定主機名稱網域名稱

      SLES

      yast lan

      RHEL

      hostnamectl set-hostname idmengine.example.com

  6. (視情況而定) 建立加密的彈性區塊儲存 (EBS) 磁碟區,以加密雲端的資料。

    1. 按一下 Services > EC2 (服務 > EC2)。

    2. Elastic Block Store (彈性區塊儲存) 中,選取 Volumes (磁碟區) 並按一下 Create Volume (建立磁碟區)。

    3. 指定所需的磁碟區大小。

    4. 選取 Encrypt this volume (加密此磁碟區) 並按一下 Create Volume (建立磁碟區)。

    5. 在清單中選取新建立的磁碟區。

    6. Actions (動作) 中按一下 Attach Volume (連接磁碟區),以將該磁碟區連接至 EC2 例項。

    7. 對每個例項重複上述步驟。

    如需 EBS 的詳細資訊,請參閱「Amazon EBS」。

  7. 使用作業系統工具格式化該磁碟區並掛接分割區:

    SLES

    執行 yast disk 指令格式化該磁碟區。

    RHEL

    執行 mkfs 進行格式化,並新增至 /etc/fstab。如需詳細資訊,請參閱《Red Hat Enterprise Linux Deployment Guide》(Red Hat Enterprise Linux 部署指南)。

    附註:

    • 掛接 Identity Manager 引擎資料分割區。資料分割區預設為 /var/opt/novell/

    • /opt/netiq/ 中掛接其他 Identity Manager 元件。

  8. 在所有例項上的 /etc/hosts 檔案中,更新所有機器的 DNS 或 IP 位址。

14.2.4 安裝 Identity Manager 元件

在安裝 Identity Manager 元件之前,請執行以下步驟:

  1. 在要安裝 Identity Manager 元件的例項上下載 Identity_Manager_4.8_Linux.iso

  2. 掛接下載的 .iso 檔案。

  3. (視情況而定) 建立 Identity Applications 和 Identity Reporting 的資料庫。如需詳細資訊,請參閱 安裝 Identity Applications 和 Identity Reporting 的資料庫

  4. .iso 檔案的根目錄中執行 ./install.sh 指令。

  5. 通讀授權合約,然後輸入 y 以接受授權合約。

  6. 選取自訂安裝選項,然後選取要在例項上安裝的元件。設定該元件。如需詳細資訊,請參閱表 5-2, 自訂組態

  7. 在 Identity Reporting 和 Identity Applications 上執行 configupdate.sh 以設定所有用戶端。

14.2.5 安裝 Identity Applications 和 Identity Reporting 的資料庫

如果您要在外部伺服器上安裝 Identity Applications 和 Identity Reporting 的 PostgreSQL 資料庫,應在安裝前執行以下步驟:

  1. 導覽至掛接 Identity_Manager_4.8_Linux.iso 的位置。

  2. 找到 /common/packages/postgres/ 目錄並安裝 PostgreSQL。

    rpm -ivh netiq-postgresql-9.6.6-0.noarch.rpm

  3. 執行以下指令以將群組關聯到 postgres 使用者:

    /usr/sbin/usermod -a -G postgres postgres

  4. /etc/passwd 檔案中,將 postgres 使用者的主目錄路徑變更為 /opt/netiq/idm/postgres/

    1. 導覽至 /etc/ 目錄。

    2. 編輯 passwd 檔案。

      vi /etc/passwd

    3. postgres 使用者的主目錄變更為 /opt/netiq/idm/postgres/

  5. postgres 使用者身分登入。

    例如:

    su - postgres

  6. 在 PostgreSQL 安裝位置中建立 data 目錄。

    mkdir -p <POSTGRES_HOME>/data, where <POSTGRES_HOME> is /opt/netiq/idm/postgres

    例如:

    mkdir -p /opt/netiq/idm/postgres/data

  7. 輸出 PostgreSQL home 目錄

    export PGHOME=<postgres home directory path>

    例如:

    export PG_HOME=/opt/netiq/idm/postgres

  8. 輸出 PostgreSQL 密碼:

    export PGPASSWORD=<輸入資料庫密碼>

  9. 啟始化資料庫。

    "LANG=en_US.UTF-8 <POSTGRES 主目錄>/bin/initdb -D <POSTGRES 主目錄>/data"

    例如:

    "LANG=en_US.UTF-8 /opt/netiq/idm/postgres/bin/initdb -D /opt/netiq/idm/postgres/data"

  10. /opt/netiq/idm/postgres/ 目錄中建立以下元件的資料庫。

    Identity Applications
    $ createdb idmuserappdb
$ psql -s idmuserappdb
# create user idmadmin password 'somepassword';
# GRANT ALL PRIVILEGES ON DATABASE idmuserappdb TO idmadmin;
# ALTER DATABASE idmuserappdb OWNER TO idmadmin;
    Identity Reporting
    $ createdb idmrptdb

  11. postgres 使用者身分登出。

  12. 修改 postgresql.conf 檔案,以允許 PostgreSQL 例項監聽除 localhost 以外的網路例項。

    1. 導覽至 /opt/netiq/idm/postgres/data/ 目錄。

    2. 編輯 postgresql.conf 檔案:

      vi postgresql.conf

    3. 在檔案中新增下一行:

      listen_addresses = '*'

  13. <postgres home directory path>/data 下建立 pg_log 目錄。

    例如:

    mkdir -p /opt/netiq/idm/postgres/data/pg_log

  14. 變更 pg_log 目錄的許可權。

    chown -R postgres:postgres <postgres directory path>/data/pg_log

    例如:

    chown -R postgres:postgres /opt/netiq/idm/postgres/data/pg_log

  15. 啟動 PostgreSQL 服務。

    systemctl start netiq-postgresql

    此指令將啟動新的 PostgreSQL 服務。

14.2.6 安裝 Designer

若要使用 Designer,必須在 Windows 機器上安裝 Designer。

  1. 在公用子網路中,啟動支援的 Windows 例項。

    對於 Windows 安全性群組,請僅使用 rdesktop 連接埠。例如 3389

  2. 在 Windows 例項上安裝 Designer。如需詳細資訊,請參閱《NetIQ Identity Manager 安裝指南 - Windows》中的「安裝 Designer」。

14.2.7 建立 AWS EC2 負載平衡器

您可以建立負載平衡器以在各 Identity Manager 元件之間平衡內送申請的負載。負載平衡器可用於保護 Identity Manager 伺服器免遭公用存取。

以下程序說明了為範例部署方案設定負載平衡器所需的組態詳細資料:

為負載平衡器建立證書以使用安全通訊

負載平衡器使用此證書在各 Identity Manager 元件之間建立安全通訊。可透過三種方式為負載平衡器建立證書:

使用 AWS Certificate Manager (ACM)

  1. 按一下 Services > Certificates Manager (服務 > Certificates Manager)。

  2. 按一下 Request Certificate (申請證書)。

  3. 指定要為其建立證書的 DNS 名稱。

  4. 驗證 DNS 機構。

將外部證書上傳到 ACM

  1. 按一下 Services > Certificates Manager (服務 > Certificates Manager)。

  2. 按一下 Import Certificate (輸入證書)。

  3. 指定證書詳細資料。

將外部證書上傳到 IAM

  1. 按一下 Services (服務)。

  2. Security, Identity & Compliance (安全性、身分與合規) 中,按一下 IAM

  3. 使用 IAM API 指定證書詳細資料。如需詳細資訊,請參閱「Uploading Server Certificate Using IAM API」(使用 IAM API 上傳伺服器證書)。

建立目標群組

使用目標群組可將負載平衡器關聯至負載將分散到的各個例項 (目標) 的 IP 位址。

建立目標群組需要執行的步驟如下:

  1. 在 EC2 儀表板中,按一下 LOAD BALANCING (負載平衡) 下的 Target Groups (目標群組)。

  2. 按一下 Create target group (建立目標群組)。

  3. 指定以下詳細資料:

    欄位

    描述

    Target group name (目標群組名稱)

    指定目標群組的名稱。

    您可以指定要設定此目標群組的元件的名稱。例如 Identity Applications、Identity Reporting 或 iManager。

    Protocol (通訊協定)

    選取 HTTPS

    Port (連接埠)

    指定伺服器設定為要監聽的連接埠。

    下面是不同 Identity Manager 元件使用的範例連接埠值:

    • Identity Applications: 8543

    • Identity Reporting: 8643

    • iManager: 8443

    Target type (目標類型)

    選取 Instance (例項)。

    VPC

    選取您為 Identity Manager 元件例項所選的相同 VPC。

    Health Check Settings (狀態檢查設定)

    Protocol (通訊協定)

    選取 HTTPS

    負載平衡器在執行狀態檢查時將使用此通訊協定。

    Path (路徑)

    指定狀態檢查的目的地路徑。

    要執行狀態檢查的 Identity Manager 元件的預設路徑如下:

    • Identity Applications: /idmdash/index.html

    • Identity Reporting: /IDMRPT/index.html

    • iManager: /nps/login.html

    Advanced health check settings (進階狀態檢查設定)

    保留預設值。

  4. 按一下 Create (建立)。

  5. 啟用工作階段粘性。

    1. 選取您建立的目標群組。

    2. Description (描述) 索引標籤中,按一下 Edit attributes (編輯屬性)。

    3. Stickiness (粘性) 選取 Enable (啟用)。

  6. 重複上述步驟為每個應用程式建立目標群組。

附註:如果將 SSPR 安裝在其他伺服器上,請為此元件單獨建立一個目標群組。

建立負載平衡器

建立負載平衡器需要執行的步驟如下:

  1. 在左側功能表中,按一下 Load Balancers (負載平衡器)。

  2. 按一下 Create Load Balancers (建立負載平衡器)。

  3. 按一下 Application Load Balancer (應用程式負載平衡器) 下的 Create (建立)。

  4. 指定以下詳細資料:

    欄位

    描述

    Name (名稱)

    指定負載平衡器的名稱。

    Scheme (配置)

    選取 internet-facing (網際網路對向)。

    Listeners (監聽程式)

    若要新增更多監聽程式至負載平衡器,請按一下 Add Listener (新增監聽程式)。

    依如下所述指定監聽程式連接埠:

    對於 iManager:

    • Load Balancer Protocol (負載平衡器通訊協定):HTTPS

    • Load Balancer Port (負載平衡器連接埠):8443

    對於 Identity Applications:

    • Load Balancer Protocol (負載平衡器通訊協定):HTTPS

    • Load Balancer Port (負載平衡器連接埠):8543

    對於 Identity Reporting:

    • Load Balancer Protocol (負載平衡器通訊協定):HTTPS

    • Load Balancer Port (負載平衡器連接埠):8643

    Availability Zones (可用性區域)

    1. 選取您之前為 Identity Manager 元件建立的同一個 VPC

    2. 選取可在其中使用公用子網路的可用性區域

      附註:您必須至少選取兩個子網路。

    Tags (標記)

    (選擇性) 您可以新增一個標記來識別您的負載平衡器。

  5. 按一下 Next: Configure Security Settings (下一步:組態安全性設定)。

  6. 指定證書詳細資料以使用 HTTPS 通訊協定。您以執行以下操作之一:

  7. 按一下 Next: Configure Security Groups (下一步:設定安全性群組)。

  8. Assign a security group (指定安全性群組) 中,選取 Create a new security group (建立新的安全性群組)。

  9. (選擇性) 指定負載平衡器的名稱和描述。

  10. 新增規則至安全性群組,以便將流量路由到設定的監聽程式:

    欄位

    描述

    Type (類型)

    選取 Custom TCP Rule (自訂 TCP 規則)。

    Protocol (通訊協定)

    如此會顯示用於規則的通訊協定類型。

    Port Range (連接埠範圍)

    選取 Identity Manager 元件的連接埠範圍:

    • iManager: 8443

    • Identity Applications: 8543

    • Identity Reporting: 8643

    Source (來源)

    選取 Anywhere (任意位置),以連接至部署了 Identity Manager 元件的例項。

  11. 按一下 Next: Configure Routing (下一步:設定路由)。

  12. Target group (目標群組) 中指定以下詳細資料:

    欄位

    描述

    Target group (目標群組)

    選取 Existing target group (現有目標群組)。此清單顯示在建立目標群組 中為 Identity Manager 元件建立的目標群組。

    Name (名稱)

    從該清單中選取一個目標群組。

    在此處只能選取一個目標群組。例如,選取您為 Identity Applications 建立的目標群組。

    建立負載平衡器後,您需要修改監聽程式連接埠 8443,以使用針對 HTTPS 通訊協定設定的目標群組。請參閱本節中的步驟 18

    通訊協定

    系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。

    Port (連接埠)

    系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。

    Target type (目標類型)

    系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。

  13. 查看 Health Checks (狀態檢查) 下的以下詳細資料:

    欄位

    描述

    Protocol (通訊協定)

    系統將依據您在步驟 12 中選取的目標群組組態填入 HTTPSHTTP

    請參閱建立目標群組

    Path (路徑)

    系統將填入您在步驟 12 中選取的目標群組內設定的狀態 URL。

    請參閱建立目標群組

    Advanced health check settings (進階狀態檢查設定)

    保留預設值。

  14. 按一下 Next: Register Targets (下一步:註冊目標)。

    在所選目標群組中註冊的所有目標都會列出。您只能在建立負載平衡器後修改此清單。

  15. 按一下 Next: Review (下一步:檢閱)。

  16. 驗證負載平衡器詳細資料是否正確。

  17. 依次按一下 Create (建立)、Close (關閉)。

  18. (視情況而定) 如果您跳過為 Identity Manager 元件建立監聽程式連接埠的步驟,或者想要新增新的監聽程式連接埠,請更新監聽程式連接埠以使用相應的目標群組:

    1. 選取您建立的負載平衡器。

    2. 選取 Listeners (監聽程式) 索引標籤。

    3. 按一下 Add Listener (新增監聽程式),然後為每個監聽程式指定所需的詳細資料。詳情請參閱步驟 4

    4. 選取用於負載平衡器的證書。詳情請參閱為負載平衡器建立證書以使用安全通訊

    5. 按一下 Create (建立)。

      如果在單獨的機器上設定 SSPR,您可能需要新增一個監聽程式。

    重要:若要在分散式設定中使用單個負載平衡器,請單獨建立一條 DNS 別名記錄來區分該設定中的伺服器。否則,請為每個 Web 應用程式單獨建立一個負載平衡器。

14.2.8 (選擇性) 使用註冊的代管區域建立別名 DNS

如果您已註冊了某個網站,可以使用它為每個 Identity Manager 元件建立個別記錄集。

  1. 按一下 Services > Route 53 (服務 > Route 53)。

  2. 在左側功能表中按一下 Hosted Zones (代管的區域),然後選取設定 AWS EC2 服務時建立的代管區域。請參閱準備 AWS Virtual Private Cloud

  3. 按一下 Go to Record Sets (移至記錄集)。

  4. 按一下 Create Record Set (建立記錄集):

    欄位

    描述

    Name (名稱)

    為記錄集指定有意義的名稱。

    例如:將 Identity Applications 記錄集命名為 rbpm

    Type (類型)

    選取 A – IPv4 address (A – IPv4 位址)。

    Alias (別名)

    選取 Yes (是)。

    Alias Target (別名目標)

    選取設定為連接 Identity Manager 元件的負載平衡器

    Routing Policy (路由規則)

    選取 Simple (簡單)

  5. 按一下 Create (建立)。

  6. 重複步驟 4步驟 5,以便為每個 Identity Manager 例項建立一個記錄集。

  7. 在 Identity Applications、Identity Reporting 和 OSP 例項上執行 configupdate.sh,並使用公用 DNS 名稱更新 SSO 組態。

  8. 重新啟動 Tomcat。

  9. 透過使用公用 DNS 存取應用程式來驗證組態。

    https://<公用 DNS 名稱>:<連接埠>/<應用程式網路位置名稱>

14.2.9 存取 Identity Manager 元件

您可以使用負載平衡器的公用 DNS 名稱或透過別名 DNS 記錄集來存取 Identity Manager 例項。若要使 Identity Manager 例項能夠互相通訊,請編輯每個例項上的 /etc/hosts 檔案,並新增一個項目,以將此例項的主機名稱解析為其私人 IP 位址。

更新以下例項以在內部存取其他例項

例項

描述

OSP

OSP 例項需要存取 SSPR 例項才能重設密碼。

主機檔案位置: /etc/hosts

修改 hosts 檔案,在其中包含以下項目:

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

例如:

10.0.1.5   sspr.privatedns.local sspr.publicdns.com

Identity Applications

Identity Applications 例項需要存取 OSP 例項才能完成登入。

主機檔案位置: /etc/hosts

修改 hosts 檔案,在其中包含以下項目:

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

例如:

10.0.1.6   osp.privatedns.local osp.publicdns.com

Identity Reporting

Identity Reporting 例項需要存取 OSP 例項才能完成登入。

主機檔案位置: /etc/hosts

修改 hosts 檔案,在其中包含以下項目:

<IP_address>   <Private_DNS_Name> <Public_DNS_Name>

例如:

10.0.1.6   osp.privatedns.local  osp.publicdns.comm