NetIQ 建議您在開始執行安裝程序之前,檢閱 Identity Applications 的先決條件和電腦要求。如需設定使用者應用程式環境的詳細資訊,請參閱《User Application: Administration Guide》(使用者應用程式:管理指南)。
在安裝 Identity Applications 時,請注意以下事項。
需要以下 Identity Manager 元件的支援版本:
Designer
Identity Vault
Identity Manager 引擎
Remote Loader
One SSO Provider
如需這些元件所需版本和修補程式的詳細資訊,請參閱最新的《版本說明》。
在安裝 Identity Applications 之前,請安裝以下架構項目:
在本地電腦上安裝一個應用程式伺服器。如需詳細資訊,請參閱節 29.3.3, 應用程式伺服器的先決條件和考量。
在本地電腦或連接的伺服器上安裝一個資料庫。如需詳細資訊,請參閱節 29.3.5, 安裝 Identity Applications 資料庫的先決條件。
(視情況而定) 在 SUSE Linux Enterprise Server (SLES) 上安裝 Identity Applications 時,請不要使用 SLES 隨附的 IBM JDK。此版本在某些方面與使用者應用程式安裝不相容。您應該下載 Oracle JDK。
(選擇性) NetIQ 建議為 Identity Manager 各元件之間的通訊啟用安全通訊端層 (SSL) 通訊協定。若要使用 SSL 通訊協定,必須在您的環境中啟用 SSL,並在安裝期間指定 https。如需啟用 SSL 的資訊,請參閱《User Application: Administration Guide》(使用者應用程式:管理指南) 中的「Enabling SSL in a Production Environment」(在線上環境中啟用 SSL)。
在建立角色與資源驅動程式之前,建立使用者應用程式驅動程式。角色與資源驅動程式會參考使用者應用程式驅動程式中的角色儲存區容器 (RoleConfig.AppConfig)。
角色與資源服務驅動程式無法與 Remote Loader 配合使用,因為該驅動程式使用 jClient。
將 JAVA_HOME 環境變數設定為指向您打算與 Identity Applications 配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。
依預設,安裝程序會將程式檔案放在 C:\NetIQ\IDM 或 /opt/netiq/idm 目錄中。如果您打算將使用者應用程式安裝在非預設位置,在開始執行安裝程序之前,新目錄必須符合以下要求:
該目錄存在並且可寫入。
對於 Linux 環境,非 root 使用者可以寫入該目錄。
每個使用者應用程式例項只能為一個使用者容器提供服務。例如,您只能搜尋、查詢與該例項關聯的容器,以及向其新增使用者。此外,使用者容器與應用程式之間的關聯是永久性的。
(視情況而定) 如果您打算使用外部密碼管理,您的環境必須符合以下要求:
為要部署 Identity Applications 和 IDMPwdMgt.war 檔案的應用程式伺服器啟用安全通訊端層 (SSL) 通訊協定。
請確定您的防火牆已開放 SSL 連接埠。
如需為 Tomcat 啟用 SSL 的詳細資訊,請參閱 SSL Configuration HOW-TO (SSL 組態 HOW-TO)。如需為 JBoss 和 WebSphere 啟用 SSL 的詳細資訊,請參閱該產品的文件。
如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱節 35.6, 設定忘記密碼管理。
(選擇性) 若要從受管理系統擷取授權,請安裝一或多個 Identity Manager 驅動程式。
您必須使用受 Identity Manager 3.6.1、4.0 或更高版本支援的驅動程式。如需安裝驅動程式的詳細資訊,請參閱 NetIQ Identity Manager 驅動程式文件網站中的相應驅動程式指南。
若要管理驅動程式,您必須事先已安裝 Designer 或 iManager 的相應外掛程式。如需詳細資訊,請參閱節 20.3, 瞭解 iManager 外掛程式的安裝。
在設定和初次使用 Identity Applications 時,需注意以下事項。
只有在您完成以下活動之後,使用者才能存取 Identity Applications:
確保已安裝所有必要的 Identity Manager 驅動程式。
確保 Identity Vault 的索引處於線上模式。如需在安裝期間設定索引的詳細資訊,請參閱節 36.2.9, 其他。
在所有瀏覽器上啟用 Cookie。如果停用 Cookie,應用程式將無法運作。
在 Identity Manager 環境中啟用 SSO 後,使用者將不再能夠以訪客或匿名使用者身分存取 Identity Applications,而是會被提示登入使用者介面。如需詳細資訊,請參閱節 XIII, 在 Identity Manager 中設定單一登入存取。
為確保 Identity Manager 強制執行通用密碼功能,請將 Identity Vault 設定為使用「NMAS 登入」做為使用者首次登入時要執行的程序。
Linux:將以下指令新增至 /opt/novell/eDirectory/sbin/pre_ndsd_start 程序檔的末尾:
NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST
Windows:將包含字串值 true 的 NDSD_TRY_NMASLOGIN_FIRST 新增至 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment 登錄機碼。
(視情況而定) 若要執行報告,您的環境中必須已安裝 Identity Reporting 的元件。如需詳細資訊,請參閱節 XI, 安裝 Identity Reporting 的元件。
安裝過程中,安裝程式會將記錄檔案寫入安裝目錄。這些檔案包含組態的相關資訊。設定 Identity Applications 環境之後,您應考慮刪除這些記錄檔案,或將其儲存在安全位置。安裝過程中,您可以選擇將資料庫綱要寫入檔案。由於此檔案包含資料庫的描述性資訊,因此安裝程序完成後,您應將其移至安全的位置。
(視情況而定) 若要稽核 Identity Applications,您的環境中必須已安裝 Identity Reporting 和 Event Auditing Services (EAS),並已將其設定為擷取事件。此外,您還必須對 Identity Applications 進行設定以支援稽核。如需詳細資訊,請參閱《Identity Reporting Module Guide》(Identity Reporting Module 指南)。
(選擇性) 您可以將 Identity Applications 設定為使用 SAML 2.0 驗證來與 NetIQ Access Manager 4.0 配合運作。如需詳細資訊,請參閱節 46.0, 對 NetIQ Access Manager 使用 SAML 驗證進行單一登入。
您必須遵循以下考量來安裝應用程式伺服器,才能使用 Identity Applications:
應用程式伺服器必須與 Java Development Kit (JDK) 或 Java Runtime Environment (JRE) 配合執行。如需受支援版本的詳細資訊,請參閱節 29.4, Identity Applications 的系統要求。
將 JAVA_HOME 環境變數設定為指向您打算與使用者應用程式配合使用的 JDK。若要置換 JAVA_HOME,請在安裝期間手動指定路徑。
(視情況而定) 您可以使用自己的 Tomcat 安裝程式,而不使用 Identity Manager 安裝套件中提供的安裝程式。但是,若要將 Apache Log4j 服務與您的 Tomcat 版本配合使用,請確保已安裝相應的檔案。如需詳細資訊,請參閱節 27.6, 使用 Apache Log4j 服務記錄登入事件和密碼事件。
(視情況而定) 如果您計劃安裝多個部署了 Identity Applications 的應用程式伺服器,則必須為每個部署分別安裝一個使用者應用程式驅動程式,除非您在同一個 JBoss 叢集的同級節點上安裝了使用者應用程式。如需詳細資訊,請參閱 節 29.3.4, 在叢集環境中安裝 Identity Applications 的先決條件。如需設定叢集環境的詳細資訊,請參閱節 32.0, 準備 Identity Applications 的環境。
(視情況而定) 若要保留您數位簽名的文件,您必須在 JBoss 或 Tomcat 應用程式伺服器上安裝 Identity Applications,並使用 Novell Identity Audit。數位簽名文件不會與工作流程資料一起儲存在「使用者應用程式」資料庫中,而是儲存在記錄資料庫中。此外,您還必須啟用記錄才能保留這些文件。如需詳細資訊,請參閱《User Application: Administration Guide》(使用者應用程式:管理指南) 中的「Setting Up Logging」(設定記錄) 章節。
(視情況而定) 在需要記錄大量使用者資料或者目錄伺服器包含大量物件的環境中,您可能需要使用多個部署了 Identity Applications 的應用程式伺服器。如需最佳效能設定的詳細資訊,請參閱《User Application: Administration Guide》(使用者應用程式:管理指南) 中的「Performance Tuning」(效能調整) 章節。
(視情況而定) 如果您使用 JBoss 或 Tomcat 應用程式伺服器,在完成安裝程序之前,請不要啟動該伺服器。
(視情況而定) 若要使用外部密碼管理,您必須執行以下操作來啟用安全通訊端層 (SSL) 通訊協定:
為您要部署 Identity Applications 和 IDMPwdMgt.war 檔案的應用程式伺服器啟用 SSL。
請確定您的防火牆已開放 SSL 連接埠。
如需為 Tomcat 啟用 SSL 的詳細資訊,請參閱 SSL Configuration HOW-TO (SSL 組態 HOW-TO)。如需為 JBoss 和 WebSphere 啟用 SSL 的詳細資訊,請參閱該產品的文件。
如需 IDMPwdMgt.war 檔案的詳細資訊,請參閱節 35.6, 設定忘記密碼管理 和《User Application: Administration Guide》(使用者應用程式:管理指南)。
Identity Applications 的安裝程序會根據您要使用的應用程式伺服器,來修改 setenv.sh 檔案中 JRE 對應的一些項目:
Tomcat:JAVA_OPTs 或 CATALINA_OPTS
JBoss:JAVA_HOME 或 JRE_HOME
該程序不會修改 Tomcat 伺服器上的 JAVA_HOME 或 JRE_HOME 項目。依預設,Tomcat 的便捷安裝程式會將 setenv.sh 檔案放在 /opt/netiq/idm/apps/tomcat/bin/ 目錄中。安裝程式還會在該檔案中設定 JRE 位置。
您可以在 JBoss、Tomcat 和 WebSphere 叢集支援的環境中安裝 Identity Applications 的資料庫,不過需要注意以下事項:
叢集必須具有唯一的叢集分割區名稱、多路廣播位址和多路廣播連接埠。使用唯一的識別碼可以區分多個叢集,防止出現效能問題和異常行為。
對於叢集的每個成員,必須為 Identity Applications 資料庫的監聽連接埠指定相同連接埠號。
對於叢集的每個成員,必須為代管 Identity Applications 資料庫的伺服器指定相同主機名稱或 IP 位址。
必須同步化叢集中各伺服器的時鐘。如果伺服器時鐘不同步,工作階段可能會提前逾時,導致 HTTP 工作階段容錯移轉無法正常運作。
NetIQ 建議不要在同一個主機上的瀏覽器索引標籤或瀏覽器工作階段之間使用多個登入。某些瀏覽器在索引標籤以及程序之間共享 Cookie,因此,允許多個登入可能會導致 HTTP 工作階段容錯移轉出現問題 (此外,如果多個使用者共享一台電腦,則還可能會出現未預期的驗證功能風險)。
(視情況而定) 對於 JBoss 叢集,請使用相同的分割區名稱和分割區 UDP 群組啟動每個伺服器。叢集中的每個伺服器都應使用唯一的引擎 ID。此外,JBoss 叢集中的所有節點都必須存取同一個資料庫例項。如需設定 JBoss 系統內容的詳細資訊,請參閱節 32.3, 準備使用者應用程式的叢集。
如需在叢集環境中設定 Identity Applications 的詳細資訊,請參閱節 32.0, 準備 Identity Applications 的環境 和《User Application: Administration Guide》(使用者應用程式:管理指南) 中的「Clustering」(叢集) 章節。
資料庫用於儲存 Identity Applications 的資料和組態資訊。
在安裝資料庫例項之前,請檢閱以下先決條件:
若要設定用於應用程式伺服器的資料庫,您必須建立一個 JDBC 驅動程式。Identity Applications 使用標準 JDBC 呼叫來存取和更新該資料庫。Identity Applications 使用與 JNDI 網路樹結合的 JDBC 資料來源檔案來開啟資料庫連接。
您必須有一個指向該資料庫的現有資料來源檔案。根據您的安裝環境,您可能需要建立或設定該檔案:
JBoss:使用者應用程式安裝程式會建立一個名為 IDM-ds.xml 的應用程式伺服器資料來源檔案,該檔案將指向資料庫。安裝程式會將此檔案放在部署目錄中。例如 server/IDMProv/deploy。安裝程式還會將安裝期間指定的資料庫的相應 JDBC 驅動程式放在 lib 目錄中。例如 /server/IDMProv/lib。
JBoss 叢集中的所有節點都必須存取相同的資料庫例項。當您執行使用者應用程式安裝程式時,它會提示您指定資料庫名稱、主機和連接埠。
WebSphere:您必須在執行安裝之前手動設定資料來源。如需詳細資訊,請參閱在 WebSphere 上設定 Identity Applications 資料庫的資料來源。
務必準備好以下資訊:
資料庫伺服器的主機和連接埠。
要建立之資料庫的名稱。Identity Applications 的預設資料庫為 idmuserappdb。
資料庫使用者名稱和密碼。資料庫使用者名稱必須代表某個管理員帳戶,或必須有權在資料庫伺服器中建立表格。使用者應用程式的預設管理員為 idmadmin。
資料庫廠商為您所用資料庫提供的驅動程式 .jar 檔案。NetIQ 不支援協力廠商提供的驅動程式 JAR 檔案。
資料庫例項可以安裝在本地電腦上,也可以安裝在連接的伺服器上。
資料庫字元集必須使用 Unicode 編碼。例如,UTF-8 便是一種使用 Unicode 編碼的字元集,而 Latin1 則不是。如需指定字元集的詳細資訊,請參閱節 31.3.1, 設定字元集 或節 31.1, 設定 Oracle 資料庫。
為了避免在移轉期間發生重複鍵錯誤,請使用區分大小寫的定序。如果發生重複鍵錯誤,請檢查定序並予以校正,然後重新安裝 Identity Applications。
(視情況而定) 若您要為稽核與 Identity Applications 使用同一個資料庫例項,NetIQ 建議在一個獨立的專用伺服器上安裝該資料庫,而不要在執行 Identity Applications 之應用程式伺服器所在的伺服器上安裝該資料庫。
(視情況而定) 如果要移轉至新版 Identity Applications,您必須使用先前安裝所用的同一個資料庫。
資料庫叢集化是每個資料庫伺服器各自的功能。NetIQ 不會對任何叢集資料庫組態進行正式測試,因為叢集化獨立於產品功能。因此,我們在支援叢集資料庫伺服器的同時,也提出了以下告誡:
您可能需要停用叢集資料庫伺服器的某些功能或方面。例如,必須對某些表停用交易複製,因為在嘗試插入重複鍵時會出現條件約束違規。
我們不提供有關叢集資料庫伺服器安裝、組態或最佳化方面的協助,包括將我們的產品安裝到叢集資料庫伺服器中。
我們會盡最大努力來解決在叢集資料庫環境中使用我們的產品時可能出現的問題。在複雜環境中採用的疑難排解方法通常需要雙方的合作才能解決問題。NetIQ 提供分析、規劃 NetIQ 產品及對其進行疑難排解的專業知識。而客戶必須具有分析、規劃任何協力廠商產品及對其進行疑難排解的專業知識。我們將會要求客戶在非叢集環境中再現問題或分析其元件的行為,以協助將潛在的叢集設定問題與 NetIQ 產品問題分離開來。