セットアップガイド Windows 用 - NetIQセットアップガイド Windows用 2018年3月保証と著作権 NetIQの保証と著作権、免責事項、保証、輸出およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およ

NetIQ Identity Managerセットアップガイド Windows 用

2018 年 3 月

保証と著作権

NetIQ の保証と著作権、免責事項、保証、輸出およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およ

び FIPS コンプライアンスの詳細については、https://www.netiq.com/company/legal/ を参照してください。

Copyright (C) 2018 NetIQ Corporation. All rights reserved.

https://www.netiq.com/company/legal/

目次

本書およびライブラリについて 13NetIQ 社について 15

ページのパート I はじめに 17

1 Identity Manager のコンポーネントの概要 19

2 Identity Manager 環境の構築と維持 212.1 Designer for Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.2 Identity Manager 用の Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.3 iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3 Identity Manager 環境でのデータ管理 233.1 データ同期の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.2 監査、レポーティング、およびコンプライアンスの理解 . . . . . . . . . . . . . . . . . . 233.3 識別情報データを同期するためのコンポーネントの理解 . . . . . . . . . . . . . . . . . . 24

3.3.1 識別ボールト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.3.2 Identity Manager エンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.3.3 リモートローダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.3.4 Identity Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4 セキュアなアクセスのためのユーザプロビジョニング 274.1 Identity Manager の検証プロセスの理解 . . . . . . . . . . . . . . . . . . . . . . . . . 274.2 Identity Manager のセルフサービスプロセスの理解 . . . . . . . . . . . . . . . . . . . . 284.3 ユーザプロビジョニングを管理するためのコンポーネントの理解 . . . . . . . . . . . . . . 29

4.3.1 ユーザアプリケーションおよび Roles Based Provisioning Module . . . . . . . . . . . . . . . . . . 294.3.2 Identity Applications 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.3.3 Identity Manager ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . 31

4.4 Identity Manager でのセルフサービスパスワード管理の使用 . . . . . . . . . . . . . . . . 324.4.1 デフォルトのセルフサービスプロセスの理解 . . . . . . . . . . . . . . . . . . . 334.4.2 レガシパスワード管理プロバイダの理解 . . . . . . . . . . . . . . . . . . . . . 33

4.5 Identity Manager でのシングルサインオンアクセスの使用 . . . . . . . . . . . . . . . . . 344.5.1 One SSO Provider による認証の理解 . . . . . . . . . . . . . . . . . . . . . . 344.5.2 One SSO Provider のキーストアの理解 . . . . . . . . . . . . . . . . . . . . . 354.5.3 One SSO Provider の監査イベントの理解 . . . . . . . . . . . . . . . . . . . . 35

ページのパート II Identity Manager のインストールの計画 37

5 計画の概要 395.1 計画チェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395.2 インストールプロセスの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415.3 推奨されるインストールシナリオとサーバセットアップ . . . . . . . . . . . . . . . . . . 41

5.3.1 Identity Manager におけるレポーティングなしの、監査サービスへのイベントの送信 . 425.3.2 Identity Manager へのイベントの送信およびレポートの生成 . . . . . . . . . . . . 425.3.3 Identity Manager にイベントをプッシュする前に外部サービスにイベントを送信 . . . 43

目次 3

4 目次

5.3.4 推奨されるサーバセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . 435.3.5 Identity Manager のオペレーティングシステムプラットフォームの選択 . . . . . . . 44

5.4 ライセンスおよびアクティベーションの理解 . . . . . . . . . . . . . . . . . . . . . . . 455.5 インストールファイルのダウンロード . . . . . . . . . . . . . . . . . . . . . . . . . . 455.6 実行可能ファイルおよびデフォルトインストールパスの場所の確認 . . . . . . . . . . . . . . . . . . . . . . . 46

6 インストールに関する考慮事項 496.1 Identity Manager の通信の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496.2 言語サポートの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

6.2.1 翻訳されているコンポーネントおよびインストールプログラム . . . . . . . . . . . 516.2.2 言語サポートに関する特別な考慮事項 . . . . . . . . . . . . . . . . . . . . . . 51

6.3 Identity Manager の高可用性の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

ページのパート III Identity Manager エンジンのインストール 55

7 識別ボールトのインストール 577.1 識別ボールトのインストールの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

7.1.1 識別ボールトのインストールに関するチェックリスト . . . . . . . . . . . . . . . 577.1.2 識別ボールトのインストールに関する前提条件と考慮事項 . . . . . . . . . . . . . 587.1.3 eDirectory の Identity Manager オブジェクトの理解 . . . . . . . . . . . . . . . . 607.1.4 識別ボールトのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7.2 識別ボールトのインストールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . 627.2.1 コンテナ名にピリオド (「.」) が含まれている場合のエスケープ文字の使用. . . . . . 627.2.2 ツリー名を解決するための OpenSLP または hosts.nds の使用 . . . . . . . . . . . 627.2.3 識別ボールトのパフォーマンスの向上 . . . . . . . . . . . . . . . . . . . . . . 677.2.4 識別ボールトサーバでの IPv6 アドレスの使用. . . . . . . . . . . . . . . . . . . 687.2.5 識別ボールトと通信するための LDAP の使用 . . . . . . . . . . . . . . . . . . . 687.2.6 管理ユーティリティがインストールされているワークステーションへの NICI の手動

インストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707.2.7 NMAS クライアントソフトウェアのインストール . . . . . . . . . . . . . . . . . 70

7.3 識別ボールトのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707.3.1 ウィザードを使用した識別ボールトのインストール . . . . . . . . . . . . . . . . 717.3.2 識別ボールドのサイレントインストールと設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

7.4 インストール後の識別ボールトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 807.4.1 アイデンティティボールトスキーマへの SecretStore の追加 . . . . . . . . . . . . 807.4.2 特定のロケールでの識別ボールトの設定 . . . . . . . . . . . . . . . . . . . . . 807.4.3 eDirectory インスタンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

8 エンジン、ドライバ、およびプラグインのインストールの計画 838.1 Identity Manager エンジン、ドライバ、およびプラグインのインストールチェックリスト . . . 838.2 インストールプログラムの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848.3 Identity Manager エンジンのインストールに関する前提条件と考慮事項 . . . . . . . . . . . 85

8.3.1 Identity Manager エンジンのインストールに関する考慮事項 . . . . . . . . . . . . 858.3.2 ドライバと Identity Manager エンジンのインストールに関する考慮事項 . . . . . . . 85

8.4 Identity Manager エンジンのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . 86

9 エンジン、ドライバ、および iManager プラグインのインストール 899.1 ウィザードを使用したコンポーネントのインストール . . . . . . . . . . . . . . . . . . . 89

9.1.1 管理者ユーザとしてインストール . . . . . . . . . . . . . . . . . . . . . . . . 899.2 サイレントインストールの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909.3 アイデンティティボールトの複数のインスタンスとともにサーバにインストールする . . . . . 929.4 Identity Manager ドライバの停止と起動 . . . . . . . . . . . . . . . . . . . . . . . . . 94

9.4.1 ドライバの停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 949.4.2 ドライバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

10 リモートローダのインストールと管理 9710.1 リモートローダのインストールの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . 97

10.1.1 リモートローダのインストールチェックリスト . . . . . . . . . . . . . . . . . . 9710.1.2 リモートローダの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9910.1.3 Java リモートローダの理解. . . . . . . . . . . . . . . . . . . . . . . . . . 10010.1.4 インストールプログラムの理解 . . . . . . . . . . . . . . . . . . . . . . . . 10010.1.5 同じコンピュータでの 32 ビットリモートローダと 64 ビットリモートローダの使用 . 10110.1.6 リモートローダのインストールに関する前提条件と考慮事項 . . . . . . . . . . . 10110.1.7 リモートローダのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . 103

10.2 リモートローダのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10510.2.1 ウィザードを使用したリモートローダのインストール . . . . . . . . . . . . . . 10510.2.2 リモートローダのサイレントインストールの実行 . . . . . . . . . . . . . . . . 10610.2.3 Java リモートローダのインストール. . . . . . . . . . . . . . . . . . . . . . 10710.2.4 .NET リモートローダのインストール . . . . . . . . . . . . . . . . . . . . . 10910.2.5 リモートローダのサイレントインストールの実行 . . . . . . . . . . . . . . . . 109

10.3 リモートローダとドライバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 11010.3.1 Identity Manager エンジンへのセキュア接続の作成 . . . . . . . . . . . . . . . .11110.3.2 リモートローダの環境設定パラメータの理解 . . . . . . . . . . . . . . . . . . 11310.3.3 ドライバインスタンスのリモートローダの設定 . . . . . . . . . . . . . . . . . 12310.3.4 ドライバインスタンスの Java リモートローダの設定 . . . . . . . . . . . . . . 12510.3.5 ドライバインスタンスの .NET リモートローダの設定 . . . . . . . . . . . . . . 12710.3.6 リモートローダと連携するための Identity Manager ドライバの設定 . . . . . . . . 12910.3.7 Identity Manager エンジンとの相互認証の設定 . . . . . . . . . . . . . . . . . 13010.3.8 設定の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

10.4 リモートローダの起動と停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14010.4.1 リモートローダのドライバインスタンスの起動 . . . . . . . . . . . . . . . . . 14110.4.2 リモートローダのドライバインスタンスの停止 . . . . . . . . . . . . . . . . . 141

11 iManager のインストール 14311.1 iManager のインストールの計画. . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

11.1.1 iManager のインストールチェックリスト. . . . . . . . . . . . . . . . . . . . 14311.1.2 iManager のサーババージョンとクライアントバージョンの理解. . . . . . . . . . 14411.1.3 iManager プラグインのインストールの理解. . . . . . . . . . . . . . . . . . . 14511.1.4 iManager のインストールに関する前提条件と考慮事項. . . . . . . . . . . . . . 14611.1.5 iManager サーバのシステム要件. . . . . . . . . . . . . . . . . . . . . . . . 14711.1.6 iManager ワークステーション ( クライアントバージョン ) のシステム要件 . . . . . 148

11.2 iManager サーバとワークステーションのインストール. . . . . . . . . . . . . . . . . . 14911.2.1 iManager および iManager ワークステーションのインストール . . . . . . . . . . . . . . . . . . . 14911.2.2 iManager のサイレントインストール. . . . . . . . . . . . . . . . . . . . . . 154

11.3 iManager のインストール後のタスク. . . . . . . . . . . . . . . . . . . . . . . . . . 15611.3.1 iManager 用の一時的な自己署名証明書の置き換え. . . . . . . . . . . . . . . . 15611.3.2 インストール後における iManager の IPv6 アドレス対応の設定 . . . . . . . . . . 15811.3.3 eDirectory 用の許可されたユーザの指定 . . . . . . . . . . . . . . . . . . . . 159

ページのパート IV Identity Applications のインストール 161

12 Identity Manager 用の PostgreSQL および Tomcat のインストール 16312.1 PostgreSQL および Tomcat のインストールの計画. . . . . . . . . . . . . . . . . . . . 163

12.1.1 Tomcat および PostgreSQL のインストールチェックリスト. . . . . . . . . . . . 16412.1.2 PostgreSQL および Tomcat のインストールプロセスの理解. . . . . . . . . . . . 16412.1.3 PostgreSQL のインストールの前提条件 . . . . . . . . . . . . . . . . . . . . 16512.1.4 Tomcat のインストールの前提条件. . . . . . . . . . . . . . . . . . . . . . . 165

目次 5

6 目次

12.1.5 PostgreSQL のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . 16612.1.6 Tomcat のシステム要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

12.2 PostgreSQL と Tomcat のインストール. . . . . . . . . . . . . . . . . . . . . . . . . 16612.2.1 ウィザードを使用した PostgreSQL と Tomcat のインストール . . . . . . . . . . 16612.2.2 Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール. . . . 169

13 シングルサインオンコンポーネントのインストール 17113.1 Identity Manager 用シングルサインオンをインストールするためのプラニング . . . . . . . 171

13.1.1 シングルサインオンコンポーネントのチェックリスト . . . . . . . . . . . . . . 17113.1.2 One SSO Provider のインストールの前提条件 . . . . . . . . . . . . . . . . . 17213.1.3 One SSO Provider のシステム要件 . . . . . . . . . . . . . . . . . . . . . . 17213.1.4 Apache Log4j サービスを使用したサインオンの記録. . . . . . . . . . . . . . . 173

13.2 Identity Manager 用シングルサインオンのインストール . . . . . . . . . . . . . . . . . 17313.2.1 ウィザードを使用した One SSO Provider のインストール . . . . . . . . . . . . 17313.2.2 One SSO Provider のサイレントインストール . . . . . . . . . . . . . . . . . 17613.2.3 シングルサインオンアクセスの設定 . . . . . . . . . . . . . . . . . . . . . . 177

14 パスワード管理コンポーネントのインストール 17914.1 Identity Manager 用パスワード管理をインストールするためのプラニング . . . . . . . . . 179

14.1.1 パスワード管理コンポーネントをインストールするためのチェックリスト . . . . . 18014.1.2 Self Service Password Reset のインストールの前提条件 . . . . . . . . . . . . . 18014.1.3 Self Service Password Reset のシステム要件 . . . . . . . . . . . . . . . . . . 18014.1.4 Apache Log4j サービスを使用したパスワードイベントの記録. . . . . . . . . . . 181

14.2 Identity Manager 用パスワード管理のインストール . . . . . . . . . . . . . . . . . . . 18114.2.1 ウィザードを使用した Self Service Password Reset のインストール. . . . . . . . 18214.2.2 Self Service Password Reset のサイレントインストール . . . . . . . . . . . . . 18514.2.3 インストール後のタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . 18514.2.4 クラスタリング用の OSP と SSPR の設定 . . . . . . . . . . . . . . . . . . . 188

15 Identity Applications のインストール 19115.1 識別情報アプリケーションのインストールのプラニング . . . . . . . . . . . . . . . . . 191

15.1.1 識別情報アプリケーションのインストールのチェックリスト . . . . . . . . . . . 19215.1.2 Identity Applications のインストールプログラムの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . 19315.1.3 識別情報アプリケーションのインストールの前提条件と検討事項 . . . . . . . . . 19415.1.4 識別情報アプリケーションのシステム要件 . . . . . . . . . . . . . . . . . . . 199

15.2 識別情報アプリケーションで使用するアイデンティティボールトの準備 . . . . . . . . . . 20115.2.1 ユーザアプリケーションスキーマをログアプリケーションとして Audit サーバに追加

する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20115.2.2 識別ボールト管理者およびユーザアプリケーション管理者アカウントに権利を割り当

てる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20215.3 識別情報アプリケーションのデータベースの設定 . . . . . . . . . . . . . . . . . . . . 203

15.3.1 Oracle データベースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 20415.3.2 PostgreSQL データベースの設定 . . . . . . . . . . . . . . . . . . . . . . . 20515.3.3 SQL Server データベースの設定. . . . . . . . . . . . . . . . . . . . . . . . 205

15.4 識別情報アプリケーションを実行する環境の準備 . . . . . . . . . . . . . . . . . . . . 20615.4.1 パーミッションインデックスの場所の指定 . . . . . . . . . . . . . . . . . . . 20615.4.2 クラスタリングのパーミッションインデックスの有効化 . . . . . . . . . . . . . 20715.4.3 識別情報アプリケーションを実行するアプリケーションサーバの準備 . . . . . . . 20715.4.4 識別情報アプリケーションで使用するクラスタの準備 . . . . . . . . . . . . . . 208

15.5 識別情報アプリケーションのインストール . . . . . . . . . . . . . . . . . . . . . . . 21015.5.1 識別情報アプリケーションのインストールのチェックリスト . . . . . . . . . . . 21015.5.2 ガイドによる識別情報アプリケーションインストールプロセス . . . . . . . . . . 21115.5.3 インストール後の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21715.5.4 Identity Manager を SSPR と統合するための HTML フレーム化抑制設定の無効化 . . 22015.5.5 ユーザプロパティの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

15.5.6 識別情報アプリケーションの起動 . . . . . . . . . . . . . . . . . . . . . . . 22115.6 識別情報アプリケーション用のドライバの作成と展開 . . . . . . . . . . . . . . . . . . 223

15.6.1 ユーザアプリケーションドライバの作成 . . . . . . . . . . . . . . . . . . . . 22315.6.2 クラスタリング用のユーザアプリケーションドライバの環境設定 . . . . . . . . . 22415.6.3 役割とリソースサービスドライバの作成 . . . . . . . . . . . . . . . . . . . . 22415.6.4 ユーザアプリケーションのドライバの展開 . . . . . . . . . . . . . . . . . . . 225

15.7 識別情報アプリケーションのインストールの完了 . . . . . . . . . . . . . . . . . . . . 22515.7.1 クラスタ環境におけるサーバのヘルスの確認 . . . . . . . . . . . . . . . . . . 22615.7.2 手動によるデータベーススキーマの作成 . . . . . . . . . . . . . . . . . . . . 22615.7.3 アイデンティティボールトへの Identity Applications および IdentityReporting 証明書の

手動インポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22715.7.4 マスタキーの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22815.7.5 識別情報アプリケーションで使用する識別ボールトの設定 . . . . . . . . . . . . 22815.7.6 ユーザアプリケーションのデフォルトコンテキスト名の変更 . . . . . . . . . . . 22815.7.7 識別情報アプリケーションの WAR ファイルの再設定 . . . . . . . . . . . . . . 23115.7.8 パスワードを忘れた場合の管理の設定 . . . . . . . . . . . . . . . . . . . . . 231

15.8 識別情報アプリケーションの設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . 23715.8.1 識別情報アプリケーション設定ユーティリティの実行 . . . . . . . . . . . . . . 23715.8.2 User Application Parameters ( ユーザアプリケーションのパラメータ ). . . . . . . . . . . . . . 23715.8.3 Reporting Parameters (Reporting パラメータ ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24815.8.4 認証パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25015.8.5 SSO Clients Parameters (SSO クライアントパラメータ ) . . . . . . . . . . . . . . . . . . . . . . . . 25415.8.6 CEF 監査パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

ページのパート V Identity Reporting のインストール 259

16 Identity Reporting のインストールの計画 26116.1 Identity Reporting のインストールチェックリスト . . . . . . . . . . . . . . . . . . . . 26116.2 Identity Reporting コンポーネントのインストールプロセスの理解 . . . . . . . . . . . . . 26216.3 Identity Reporting コンポーネントのインストールの前提条件 . . . . . . . . . . . . . . . 26316.4 Identity Reporting の監査イベントの識別 . . . . . . . . . . . . . . . . . . . . . . . . 26416.5 Identity Reporting のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

17 Identity Reporting のインストール 26717.1 ガイド付きプロセスを使用した Identity Reporting のインストール. . . . . . . . . . . . . 26717.2 Identity Reporting のサイレントインストール . . . . . . . . . . . . . . . . . . . . . . 27217.3 データベーススキーマの手動生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 27317.4 リモート PostgreSQL データベースへの接続 . . . . . . . . . . . . . . . . . . . . . . 274

18 Identity Reporting の設定 27718.1 Oracle データベースでのレポートの実行 . . . . . . . . . . . . . . . . . . . . . . . . 27718.2 Identity Reporting 用の REST API の展開 . . . . . . . . . . . . . . . . . . . . . . . . 27718.3 リモート PostgreSQL データベースへの接続 . . . . . . . . . . . . . . . . . . . . . . 277

19 Reporting 用ドライバの管理 27919.1 Identity Reporting 用のドライバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 279

19.1.1 Identity Reporting 用のドライバパッケージのインストール . . . . . . . . . . . . 27919.1.2 管理対象システムのゲートウェイドライバの設定 . . . . . . . . . . . . . . . . 28019.1.3 データ収集サービス用ドライバの設定 . . . . . . . . . . . . . . . . . . . . . 28119.1.4 識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定. . . 284

19.2 Identity Reporting 用ドライバの展開と起動 . . . . . . . . . . . . . . . . . . . . . . . 28519.2.1 ドライバの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

目次 7

8 目次

19.2.2 管理対象システムの動作の確認 . . . . . . . . . . . . . . . . . . . . . . . . 28619.2.3 Identity Reporting 用ドライバの起動 . . . . . . . . . . . . . . . . . . . . . . 289

19.3 ランタイム環境の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29019.3.1 識別情報アプリケーションからのデータ収集に関するデータ収集サービスドライバの

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29119.3.2 データ収集サービスドライバの移行 . . . . . . . . . . . . . . . . . . . . . . 29219.3.3 カスタム属性とカスタムオブジェクトのサポートの追加 . . . . . . . . . . . . . 29419.3.4 複数のドライバセットのサポートの追加 . . . . . . . . . . . . . . . . . . . . 29719.3.5 SSL を使用したリモートモードでのドライバ実行設定 . . . . . . . . . . . . . . 298

19.4 ドライバの監査フラグの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30019.4.1 Identity Manager での監査フラグの設定 . . . . . . . . . . . . . . . . . . . . 30019.4.2 eDirectory での監査フラグの設定 . . . . . . . . . . . . . . . . . . . . . . . 301

ページのパート VI Designer のインストール 305

20 Designer のインストールの計画 30720.1 Designer のインストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . 30720.2 Designer のインストールの前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . 30820.3 Designer のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308

21 Designer のインストール 31121.1 Windows の実行可能ファイルの実行. . . . . . . . . . . . . . . . . . . . . . . . . . 31121.2 サイレントインストールプロセスの使用 . . . . . . . . . . . . . . . . . . . . . . . . 31121.3 スペース文字が含まれるインストールパスの変更 . . . . . . . . . . . . . . . . . . . . 312

ページのパート VII Analyzer のインストール 313

22 Analyzer のインストールの計画 31522.1 Analyzer のインストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31522.2 Analyzer のインストールのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . 316

23 Analyzer のインストール 31723.1 ウィザードを使用した Analyzer のインストール. . . . . . . . . . . . . . . . . . . . . 31723.2 Analyzer のサイレントインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 31823.3 Analyzer の監査クライアントのインストール . . . . . . . . . . . . . . . . . . . . . . 318

ページのパート VIII Identity Manager のシングルサインオンアクセスの設定 321

24 シングルサインオンアクセスの準備 323

25 One SSO Provider による Identity Manager でのシングルサインオンアクセス 32525.1 シングルサインオンアクセスで使用する eDirectory の準備 . . . . . . . . . . . . . . . . 32525.2 シングルサインオンアクセスの基本設定の変更 . . . . . . . . . . . . . . . . . . . . . 32525.3 OSP を信頼するための Self Service Password Reset の設定 . . . . . . . . . . . . . . . 327

26 NetIQ Access Manager での SAML 認証によるシングルサインオン 32926.1 サードパーティ認証とシングルサインオンの理解 . . . . . . . . . . . . . . . . . . . . 32926.2 SSL 証明書の作成とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

26.2.1 Access Manager の SSL 証明書の作成 . . . . . . . . . . . . . . . . . . . . . 33026.2.2 Access Manager の証明書の Identity Manager トラストストアへのインストール . . 33026.2.3 SSL サーバの証明書の Access Manager トラストストアへのインストール . . . . . 331

26.3 Access Manager を信頼するための Identity Manager の設定 . . . . . . . . . . . . . . . 33126.4 Identity Manager と連携するための Access Manager の設定 . . . . . . . . . . . . . . . 332

26.4.1 Identity Manager のメタデータのコピー . . . . . . . . . . . . . . . . . . . . 33226.4.2 SAML の属性セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 33326.4.3 Identity Manager をトラステッドサービスプロバイダとして追加 . . . . . . . . . 333

26.5 Access Manager のログインページの更新 . . . . . . . . . . . . . . . . . . . . . . . 334

27 Kerberos によるシングルサインオン 33727.1 Active Directory での Kerberos ユーザアカウントの設定 . . . . . . . . . . . . . . . . . 33727.2 識別情報アプリケーションサーバの設定 . . . . . . . . . . . . . . . . . . . . . . . . 33827.3 統合 Windows 認証を使用するためのエンドユーザのブラウザの設定 . . . . . . . . . . . 340

28 識別情報アプリケーションへのシングルサインオンアクセスの検証 343

29 SSL によるセキュア通信 34529.1 SSL 接続を確認するためのチェックリスト . . . . . . . . . . . . . . . . . . . . . . . 34529.2 キーストアと証明書署名要求の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 34529.3 外部 CA 署名入り証明書による SSL の有効化 . . . . . . . . . . . . . . . . . . . . . . 34729.4 自己署名証明書による SSL の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . 348

29.4.1 認証局のエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34829.4.2 自己署名証明書の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

29.5 Sentinel と Identity Manager コンポーネント間の SSL の有効化 . . . . . . . . . . . . . . 35129.5.1 Sentinel と Identity Manager エンジン / リモートローダ間の SSL の有効化 . . . . . 35129.5.2 Sentinel とユーザアプリケーション間の SSL の有効化 . . . . . . . . . . . . . . 353

29.6 アプリケーションサーバの SSL 設定の更新. . . . . . . . . . . . . . . . . . . . . . . 35529.7 設定ユーティリティによる SSL 設定の更新. . . . . . . . . . . . . . . . . . . . . . . 35629.8 セルフサービスパスワードリセットの SSL 設定の更新. . . . . . . . . . . . . . . . . . 357

30 インストール後のタスク 35930.1 接続システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35930.2 ドライバセットの作成と設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

30.2.1 ドライバセットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36030.2.2 デフォルトのパスワードポリシーのドライバセットへの割り当て . . . . . . . . . 36030.2.3 アイデンティティボールトでのパスワードポリシーオブジェクトの作成 . . . . . . 36030.2.4 カスタムパスワードポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . 36130.2.5 アイデンティティボールトでのデフォルト通知コレクションオブジェクトの作成 . . 361

30.3 ドライバの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36230.4 ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36230.5 ドライバアクティビティの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36330.6 Identity Manager のアクティベート . . . . . . . . . . . . . . . . . . . . . . . . . . 363

30.6.1 プロダクトアクティベーションキーのインストール . . . . . . . . . . . . . . . 36330.6.2 Identity Manager およびドライバのプロダクトアクティベーションのレビュー . . . 36430.6.3 Identity Manager のドライバの有効化 . . . . . . . . . . . . . . . . . . . . . 36430.6.4 Identity Manager の特定のコンポーネントのアクティベーション . . . . . . . . . 365

目次 9

10 目次

ページのパート IX Identity Manager のアップグレード 367

31 Identity Manager のアップグレードの準備 36931.1 Identity Manager のアップグレードのチェックリスト . . . . . . . . . . . . . . . . . . 36931.2 アップグレードとマイグレーションの理解 . . . . . . . . . . . . . . . . . . . . . . . 37131.3 アップグレードの順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37231.4 サポートされているアップグレードパス . . . . . . . . . . . . . . . . . . . . . . . . 372

31.4.1 Identity Manager 4.6.x バージョンからのアップグレード . . . . . . . . . . . . . 37231.4.2 Identity Manager 4.5.x バージョンからのアップグレード . . . . . . . . . . . . . 374

31.5 現在の設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37631.5.1 Designer のプロジェクトのエクスポート . . . . . . . . . . . . . . . . . . . . 37731.5.2 ドライバの環境設定のエクスポート . . . . . . . . . . . . . . . . . . . . . . 378

32 Identity Manager コンポーネントのアップグレード 38132.1 Designer のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38132.2 iManager のアップグレード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

32.2.1 Windows での iManager のアップグレード . . . . . . . . . . . . . . . . . . . 38232.2.2 役割ベースサービスの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . 38432.2.3 Plug-in Studio でのプラグインの再インストールまたはマイグレート. . . . . . . . 38532.2.4 iManager プラグインのアップグレードまたは再インストール後のアップデート. . . 386

32.3 リモートローダのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . 38632.4 Identity Manager エンジンのアップグレード . . . . . . . . . . . . . . . . . . . . . . 38732.5 Identity Applications および Identity Reporting のアップグレード. . . . . . . . . . . . . . 388

32.5.1 アップグレードプログラムについて . . . . . . . . . . . . . . . . . . . . . . 38932.5.2 アップグレードの前提条件と考慮事項 . . . . . . . . . . . . . . . . . . . . . 38932.5.3 PostgreSQL データベースのアップグレード . . . . . . . . . . . . . . . . . . 39032.5.4 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39232.5.5 Identity Applications のドライバパッケージのアップグレード . . . . . . . . . . . 39232.5.6 ガイド付きプロセスを使用したアップグレード . . . . . . . . . . . . . . . . . 39332.5.7 アップグレード後のタスク . . . . . . . . . . . . . . . . . . . . . . . . . . 396

32.6 Identity Reporting のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . 39932.6.1 Identity Reporting のドライバパッケージのアップグレード . . . . . . . . . . . . 39932.6.2 Identity Reporting のアップグレード . . . . . . . . . . . . . . . . . . . . . . 40032.6.3 データベースにおける reportRunner への参照の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40032.6.4 Identity Reporting のアップグレードの検証 . . . . . . . . . . . . . . . . . . . 401

32.7 Analyzer のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40132.8 Identity Manager ドライバのアップグレード . . . . . . . . . . . . . . . . . . . . . . 401

32.8.1 新しいドライバの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40232.8.2 既存のコンテンツをパッケージのコンテンツと交換 . . . . . . . . . . . . . . . 40232.8.3 現在のコンテンツを維持しつつパッケージを使用する新しいコンテンツを追加 . . . 403

32.9 新しいサーバをドライバセットに追加する . . . . . . . . . . . . . . . . . . . . . . . 40332.9.1 新しいサーバをドライバセットに追加する . . . . . . . . . . . . . . . . . . . 40432.9.2 ドライバセットから古いサーバを削除する . . . . . . . . . . . . . . . . . . . 404

32.10 ドライバへのカスタムポリシーとルールの復元 . . . . . . . . . . . . . . . . . . . . . 40532.10.1 Designer を使用したドライバへのカスタムポリシーとルールの復元 . . . . . . . . 40532.10.2 iManager を使用したドライバへのカスタムポリシーおよびルールの復元. . . . . . 406

33 Advanced Edition から Standard Edition への切り替え 407

ページのパート X Identity Manager のデータの新しいインストールへのマイグレート 409

34 Identity Manager をマイグレートする準備 41134.1 マイグレーションを実行するためのチェックリスト . . . . . . . . . . . . . . . . . . . 411

34.2 マイグレーション実行時の Identity Manager ドライバの停止と起動 . . . . . . . . . . . . 412

35 Identity Manager の新しいサーバへのマイグレート 41335.1 Identity Manager のマイグレーションのチェックリスト . . . . . . . . . . . . . . . . . 41335.2 Designer プロジェクトのマイグレーションの準備 . . . . . . . . . . . . . . . . . . . . 41435.3 ドライバセットのサーバ固有情報のコピー . . . . . . . . . . . . . . . . . . . . . . . 415

35.3.1 Designer でサーバ固有の情報をコピーする . . . . . . . . . . . . . . . . . . . 41535.3.2 iManager でサーバ固有の情報を変更する. . . . . . . . . . . . . . . . . . . . 41635.3.3 ユーザアプリケーションのサーバ固有の情報を変更する . . . . . . . . . . . . . 416

35.4 Identity Manager エンジンの新しいサーバへのマイグレート . . . . . . . . . . . . . . . 41735.5 ユーザアプリケーションドライバのマイグレート . . . . . . . . . . . . . . . . . . . . 417

35.5.1 新しいベースパッケージのインポート . . . . . . . . . . . . . . . . . . . . . 41735.5.2 既存のベースパッケージのアップグレード . . . . . . . . . . . . . . . . . . . 41735.5.3 マイグレートしたドライバの展開 . . . . . . . . . . . . . . . . . . . . . . . 418

35.6 識別情報アプリケーションのアップグレード . . . . . . . . . . . . . . . . . . . . . . 41835.7 識別情報アプリケーションのマイグレーションの完了 . . . . . . . . . . . . . . . . . . 419

35.7.1 ブラウザのキャッシュのフラッシュ . . . . . . . . . . . . . . . . . . . . . . 41935.7.2 レガシプロバイダまたは外部プロバイダによるパスワード管理 . . . . . . . . . . 41935.7.3 SharedPagePortlet の大タイムアウト設定の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41935.7.4 グループの自動クエリ設定の無効化 . . . . . . . . . . . . . . . . . . . . . . 420

36 Identity Manager のコンポーネントのアンインストール 42136.1 識別ボールトのアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 42136.2 識別ボールトからのオブジェクトの削除 . . . . . . . . . . . . . . . . . . . . . . . . 42236.3 Identity Manager エンジンのアンインストール . . . . . . . . . . . . . . . . . . . . . 42236.4 リモートローダのアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 42336.5 Identity Applications のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . 423

36.5.1 Roles Based Provisioning Module のドライバの削除 . . . . . . . . . . . . . . . 42336.5.2 Identity Applications のアンインストール . . . . . . . . . . . . . . . . . . . . 424

36.6 Identity Reporting のアンインストールコンポーネント . . . . . . . . . . . . . . . . . . 42436.6.1 レポーティングドライバの削除 . . . . . . . . . . . . . . . . . . . . . . . . 42536.6.2 Identity Reporting のアンインストール . . . . . . . . . . . . . . . . . . . . . 425

36.7 Analyzer のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42536.8 iManager のアンインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426

36.8.1 Windows での iManager のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42636.8.2 iManager ワークステーションのアンインストール. . . . . . . . . . . . . . . . 426

36.9 Designer のアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

37 トラブルシューティング 42937.1 ユーザアプリケーションと RBPM のインストールのトラブルシューティング. . . . . . . . 42937.2 アンインストールのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43037.3 ログインのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43137.4 SSPR のページ要求エラーのトラブルシューティング . . . . . . . . . . . . . . . . . . 431

A Windows 上の Identity Manager クラスタ展開ソリューションのサンプル 433A.1 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433A.2 eDirectory クラスタでの NetIQ Identity Manager の設定 . . . . . . . . . . . . . . . . . 433A.3 リモートローダのクラス化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

B マルチサーバ環境の設定 435B.1 eDirectory ツリーとレプリカサーバの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

目次 11

12 目次

B.2 識別ボールトへの新しいツリーの追加 . . . . . . . . . . . . . . . . . . . . . . . . . 435B.3 既存のツリーへのサーバの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436B.4 サーバからの識別ボールトおよびそのデータベースの削除 . . . . . . . . . . . . . . . . 436B.5 ツリーからの eDirectory サーバオブジェクトとディレクトリサービスの削除 . . . . . . . . 436

本書およびライブラリについて

このセットアップガイドには、NetIQ Identity Manager (Identity Manager) 製品のインストール手順

が記載されています。このガイドでは、分散環境に個々のアプリケーションをインストールするプロセスについて説明します。

本書の読者

本書は、組織の識別情報管理ソリューションの構築に必要なコンポーネントのインストールを行う識別情報アーキテクトおよび識別情報管理者向けの情報を提供します。

ライブラリに含まれているその他の情報

Identity Manager のライブラリの詳細については、Identity Manager マニュアルの Web サイトを参

照してください。

本書およびライブラリについて 13

https://www.netiq.com/documentation/identity-manager-47/

14 本書およびライブラリについて

NetIQ 社について

当社はグローバルなエンタープライズソフトウェア企業であり、お客様の環境において絶えず挑戦となる変化、複雑さ、リスクという 3 つの要素に焦点を当て、それらをお客様が制御するためにど

のようにサポートできるかを常に検討しています。

当社の観点

変化に適応すること、複雑さとリスクを管理することは普遍の課題実際、直面するあらゆる課題の中で、これらは、物理環境、仮想環境、およびクラウドコンピューティング環境の安全な評価、監視、および管理を行うために必要な制御を脅かす大の要因かもしれません。

重要なビジネスサービスの改善と高速化を可能にする当社は、IT 組織に可能な限りの制御能力を付与することが、よりタイムリーでコスト効率の高

いサービス提供を実現する唯一の方法だと信じています。組織が継続的な変化を遂げ、組織を管理するために必要なテクノロジが実質的に複雑さを増していくにつれ、変化と複雑さという圧力はこれからも増え続けていくことでしょう。

当社の理念

単なるソフトウェアではなく、インテリジェントなソリューションを販売する確かな制御手段を提供するために、まずお客様の IT 組織が日々従事している現実のシナリオを

把握することに努めます。そのようにしてのみ、実証済みで測定可能な結果を成功裏に生み出す、現実的でインテリジェントな IT ソリューションを開発することができます。これは単にソ

フトウェアを販売するよりもはるかにやりがいのあることです。

当社の情熱はお客様の成功を推し進めることお客様が成功するためにわたしたちには何ができるかということが、わたしたちのビジネスの核心にあります。製品の着想から展開まで、当社は次のことを念頭に置いています。お客様は既存資産とシームレスに連動して動作する IT ソリューションを必要としており、展開後も継続

的なサポートとトレーニングを必要とし、変化を遂げるときにも共に働きやすいパートナーを必要としています。究極的に、お客様の成功こそがわたしたちの成功なのです。

当社のソリューション

ID およびアクセスのガバナンス

アクセス管理

セキュリティ管理

システムおよびアプリケーション管理

NetIQ 社について 15

ワークロード管理

サービス管理

セールスサポートへのお問い合わせ

製品、価格、および機能についてのご質問は、地域のパートナーへお問い合わせください。パートナーに連絡できない場合は、弊社のセールスサポートチームへお問い合わせください。

テクニカルサポートへのお問い合わせ

特定の製品に関する問題については、弊社のテクニカルサポートチームへお問い合わせください。

マニュアルサポートへのお問い合わせ

弊社の目標は、お客様のニーズを満たすマニュアルの提供です。本製品のマニュアルは、NetIQ Web サイトから HTML 形式および PDF 形式で入手することができます。ログインしなくてもマ

ニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、www.netiq.com/documentation に掲載されている本マニュアルの HTML 版で、各ページの下にあ

る［comment on this topic］をクリックしてください。[email protected] 宛て

に電子メールを送信することもできます。貴重なご意見をぜひお寄せください。

オンラインユーザコミュニティへのお問い合わせ

NetIQ のオンラインコミュニティである NetIQ Communities は、他のユーザや NetIQ のエキスパー

トとやり取りできるコラボレーションネットワークです。より迅速な情報、有益なリソースへの役立つリンク、NetIQ エキスパートとのやり取りを提供する NetIQ Communities は、信頼のおける

IT 投資が持つ可能性を完全に実現するために必要な知識を習得するために役立ちます。詳細につい

ては、community.netiq.com を参照してください。

各国共通 : www.netiq.com/about_netiq/officelocations.asp

米国およびカナダ : 1-888-323-6768

電子メール : [email protected]

Web サイト : www.netiq.com

各国共通 : www.netiq.com/support/contactinfo.asp

北米および南米 : 1-713-418-5555

ヨーロッパ、中東、アフリカ : +353 (0) 91-782 677

電子メール : [email protected]

Web サイト : www.netiq.com/support

16 NetIQ 社について

http://www.netiq.com/about_netiq/officelocations.asp

mailto:[email protected]

http://www.netiq.com

http://www.netiq.com/support/contactinfo.asp


http://www.netiq.com/support

http://www.netiq.com/documentation


http://community.netiq.com

I I はじめに

NetIQ Identity Manager は、ファイアウォールの内側であってもクラウド内であっても、エンター

プライズにサービスを提供するインテリジェントな識別情報管理フレームワークを構築する場合に役立ちます。Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、

ユーザアクセスの管理を一元化し、ユーザごとに 1 つの識別情報が存在するようにします。

一般的に、Identity Manager を構成する各コンポーネントは次の機能に分類できます。

Identity Manager 環境の構築と維持。詳細については、21 ページの第 2 章「Identity Manager 環境の構築と維持」を参照してください。

Identity Manager 環境の監視 ( ユーザプロビジョニングアクティビティの監査およびレポート機

能を含む )。これにより、ビジネスポリシー、IT ポリシー、および企業ポリシーへのコンプラ

イアンスを証明できます。詳細については、23 ページの第 3 章「Identity Manager 環境での

データ管理」を参照してください。

ユーザプロビジョニングアクティビティ ( 役割、検証、個々のユーザのセルフサービスなど ) の管理。詳細については、27 ページの第 4 章「セキュアなアクセスのためのユーザプロビジョ

ニング」を参照してください。

このセクションでは、これらのアクティビティを実行する際に役立つ Identity Manager の各コン

ポーネントの概要について説明します。この知識を身に付けることで、製品のインストール計画を開始できます。これらのコンポーネントの相互関係の概要については、19 ページの第 1 章

「Identity Manager のコンポーネントの概要」を参照してください。

はじめに 17

18 はじめに

1 1Identity Manager のコンポーネントの概要

Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、ユーザごと

に 1 つの識別情報が存在するようにします。以下の図は、Identity Manager 機能をサポートするコ

ンポーネントの主要な関係を示しています。識別情報管理ソリューションのサイズによっては、これらのコンポーネントの一部を同じサーバにインストールできます。ただし、識別情報アプリケーションなどのいくつかのコンポーネントは、ユーザがワークステーションやモバイルプラットフォームからアクセスできるブラウザベースのインタフェースを備えています。

Identity Manager の「管理対象システム」は「接続システム」または「アプリケーション」とも呼

ばれていて、識別情報を管理する任意のシステム、ディレクトリ、データベース、またはオペレーティングシステムです。たとえば、接続システムとして PeopleSoft アプリケーションや LDAP ディ

レクトリを使用できます。データ収集サービスドライバなどの「ドライバ」は、管理対象システムとアイデンティティボールトとの間の接続を提供します。また、システム間でデータの同期や共有も可能にします。Identity Manager は、ドライバおよびライブラリオブジェクトをドライバセット

という名前のコンテナに保管します。

Identity Manager のコンポーネントの概要 19

20 Identity Manager のコンポーネントの概要

2 2Identity Manager 環境の構築と維持

ほとんどの組織では、独立した環境を使用して Identity Manager を開発およびステージングしてか

ら、運用環境に展開します。Identity Manager 環境を構築および維持するには、次の Identity Manager コンポーネントを使用できます。

21 ページのセクション 2.1「Designer for Identity Manager」

21 ページのセクション 2.2「Identity Manager 用の Analyzer」

22 ページのセクション 2.3「iManager」

これらのコンポーネントは、Identity Manager をビジネスニーズの変化に対応させて、全社的なビ

ジネス継続性確保とユーザ生産性向上を実現する場合にも役立ちます。

2.1 Designer for Identity ManagerDesigner for Identity Manager (Designer) は、ネットワーク環境またはテスト環境における

Identity Manager ソリューションの設計、テスト、ドキュメント化、および展開を支援します。

Identity Manager プロジェクトをオフライン環境で設定してからライブシステムに展開できます。

設計上の観点から、Designer は次のことに役立ちます。

Identity Manager ソリューションを構成するすべてのコンポーネントをグラフィカルに表示し、

それらがどのように相互作用しているかを確認する。

テストソリューションの一部または全体を運用環境に展開する前に、Identity Manager 環境を

変更およびテストして、想定どおりに動作しているかを確認します。

Designer は、設計情報とレイアウト情報を維持します。ボタンをクリックするだけで、好みの

フォーマットで情報を印刷できます。さらに、エンタープライズレベルのプロジェクト作業を複数のチームで共有することもできます。

Designer の使用の詳細については、『NetIQ Designer for Identity Manager Administration Guide』を

参照してください。

2.2 Identity Manager 用の AnalyzerAnalyzer for Identity Manager (Analyzer) は、内部データ品質ポリシーへの準拠を支援するデータ

分析、クレンジング、調整、およびレポーティングの各機能を提供します。Analyzer を使用する

と、企業内に保存されているすべてのデータを分析、拡張、および制御できます。Analyzer には、

次の機能があります。

Analyzer のスキーママップにより、アプリケーションのスキーマ属性を、Analyzer の基本ス

キーマの対応するスキーマ属性に関連付けます。これにより、データ分析およびクリーニング操作によって異種システム間の類似する値を適切に関連付けることができます。このために、Analyzer は Designer のスキーママッピング機能を利用します。

Identity Manager 環境の構築と維持 21

Analysis Profile エディタを使用すると、1 つ以上のデータセットインスタンスを分析するための

プロファイルを設定できます。各分析プロファイルには 1 つ以上のメトリクスが含まれてお

り、これらを基準にして属性値を評価することで、データが定義済みのデータフォーマット標準にどの程度準拠しているかを確認できます。

Matching Profile エディタを使用して、1 つ以上のデータセットの値を比較できます。指定した

データセット内に重複する値がないかどうか、または 2 つのデータセット間で一致する値がな

いかどうかを確認できます。

Analyzer の使用の詳細については、『NetIQ Analyzer for Identity Manager Administration Guide』を


2.3 iManagerNovell iManager はブラウザベースのツールで、Identity Manager など、数多くの Novell および

NetIQ 製品を単一点で管理できます。iManager 用の Identity Manager プラグインをインストールし

た後は、Identity Manager を管理できるだけでなく、Identity Manager システムに関するリアルタイ

ムのヘルスおよびステータス情報を受信できます。

iManager では Designer と同様のタスクを実行できるほか、システムのヘルスも監視できます。

NetIQ では、管理タスクに iManager を使用することをお勧めします。Designer はパッケージへの

変更、モデリング、および展開前のテストを必要とする設定タスクに使用してください。

iManager の詳細については、『NetIQ iManager 管理ガイド』を参照してください。

22 Identity Manager 環境の構築と維持

https://www.netiq.com/documentation/imanager-3/imanager_admin/data/bookinfo.html

3 3Identity Manager 環境でのデータ管理

Identity Manager は、物理ネットワーク、仮想ネットワーク、およびクラウドネットワークにわ

たって一貫したアクセス制御を適用し、コンプライアンスを証明できる動的レポートを使用します。基本的に Identity Manager は、接続アプリケーションまたは識別ボールト内に格納されているあら

ゆる種類のデータを同期します。パスワード同期などのデータ同期機能を提供する Identity Manager ソリューションのコンポーネントは、次のとおりです。

識別ボールト

Identity Manager エンジン

Identity Manager リモートローダ

Identity Reporting

Identity Manager ドライバ

接続システム

3.1 データ同期の理解Identity Manager を使用すると、SAP、PeopleSoft、Microsoft SharePoint、Lotus Notes、Microsoft Exchange、Microsoft Active Directory、NetIQ eDirectory、LDAP ディレクトリなど、さまざまな接

続システムで情報を同期、変換、および配信することができます。Identity Manager では、次のア

クティビティを実行できます。

接続システム間でデータフローを制御します。

他のシステム間で、どのデータを共有するか、あるデータに関してどのシステムが権限のある

ソースであるか、どのようにしてデータを解釈および変換して他のシステムの要件を満たすのかを決定します。

システム間でパスワードを同期します。たとえば、ユーザが Active Directory 内の自分のパス

ワードを変更する場合、Identity Manager によってパスワードを Lotus Notes および Linux に同

期することができます。

Active Directory などのディレクトリおよび PeopleSoft や Lotus Notes などのシステムで新しい

ユーザアカウントを作成し、既存のアカウントを削除します。たとえば、SAP HR システムに

新しい従業員を追加する場合、Identity Manager では自動的に Active Directory に新しいユーザ

アカウントを作成したり、Lotus Notes に新しいアカウントを作成したりすることができます。

3.2 監査、レポーティング、およびコンプライアンスの理解Identity Manager を使用しないと、ユーザのプロビジョニングは冗長で時間と費用のかかる作業に

なる可能性があります。さらにその後に、プロビジョニングアクティビティが組織のポリシー、要件、および規制に準拠しているかどうかの検証も必要です。適切なユーザが適切なリソースへのアクセス権を持っていますか。その同じリソースに対して権限のないユーザがアクセスできないよう

Identity Manager 環境でのデータ管理 23

になっていますか。昨日働き始めた従業員は仕事に必要なネットワーク、電子メール、および他のシステムに対するアクセス権を持っていますか。先週退職した従業員については、アクセス権をキャンセルしましたか。

Identity Manager を使用すると、過去または現在を問わずユーザのプロビジョニングアクティビ

ティが監査のためにすべて追跡され、ログが記録されることが分かっているので、作業が楽になります。識別情報ウェアハウスに問い合わせることで、お客様の組織に関連するビジネスの法律および規則を完全に遵守するのに必要なあらゆる情報を取得できます。

Identity Manager には事前定義されたレポートが含まれています。このレポートを使用すると、識

別情報ウェアハウスに対して問い合わせを実行し、ビジネス、IT、および会社の方針を遵守してい

ることを明らかにできます。事前定義されたレポートがニーズを満たさない場合は、カスタムレポートを作成することもできます。

3.3 識別情報データを同期するためのコンポーネントの理解 24 ページのセクション 3.3.1「識別ボールト」

24 ページのセクション 3.3.2「Identity Manager エンジン」

25 ページのセクション 3.3.3「リモートローダ」

25 ページのセクション 3.3.4「Identity Reporting」

3.3.1 識別ボールト

識別ボールトには、Identity Manager が必要とするすべての情報が格納されます。識別ボールトは、

接続システム間で同期するデータのメタディレクトリの役割を果たしています。たとえば、PeopleSoft システムから Lotus Notes に同期されたデータが初に識別ボールトに追加され、Lotus Notes システムに送信されます。識別ボールトには、ドライバ環境設定、パラメータ、ポリシーな

どの Identity Manager に固有の情報も格納されます。

識別ボールトは、NetIQ eDirectory データベースを使用します。eDirectory の使用の詳細について

は、『NetIQ eDirectory 9.1 管理ガイド』を参照してください。

3.3.2 Identity Manager エンジン

Identity Manager エンジンは、識別ボールトまたは接続アプリケーションで発生するすべてのデー

タ変更を処理します。識別ボールトで発生するイベントでは、エンジンによって変更が処理され、ドライバを通じてアプリケーションにコマンドが発行されます。アプリケーションで発生するイベントでは、エンジンによってドライバからの変更が受信され、その変更が処理され、識別ボールトにコマンドが発行されます。ドライバは、Identity Manager エンジンをアプリケーションに接続し

ます。ドライバには 2 つの役割があります。アプリケーション内のデータ変更 ( イベント ) をIdentity Manager エンジンにレポートすること、および Identity Manager エンジンによって送信さ

れたデータ変更 ( コマンド ) をアプリケーションに対して実行することです。ドライバは、接続ア

プリケーションと同じサーバにインストールする必要があります。

Identity Manager エンジンは、メタディレクトリエンジンとも呼ばれています。Identity Manager エンジンが実行されているサーバを Identity Manager サーバと呼びます。サーバのワークロードに

よっては、ご使用の環境で複数の Identity Manager サーバを使用できます。

24 Identity Manager 環境でのデータ管理

https://wwwtest.netiq.com/documentation/edirectory-91/edir_admin/index.html?page=/documentation/edirectory-91/edir_admin/data/bookinfo.html

3.3.3 リモートローダ

Identity Manager リモートローダはドライバをロードし、リモートサーバにインストールされてい

るドライバの代わりに Identity Manager エンジンと通信します。アプリケーションを Identity Manager エンジンと同じサーバで実行する場合、そのサーバにドライバをインストールできます。

一方、アプリケーションを Identity Manager エンジンと同じサーバで実行しない場合は、ドライバ

をアプリケーションサーバにインストールする必要があります。ご使用の環境のワークロードを軽減したり、設定を容易にしたりする場合、リモートローダを Tomcat および Identity Manager サー

バとは別のサーバにインストールできます。

リモートローダの詳細については、99 ページのセクション 10.1.2「リモートローダの理解」を参照

してください。

3.3.4 Identity ReportingIdentity Manager には識別情報ウェアハウスが含まれています。これは、お客様の組織内部の識別

ボールトと接続システムの現状と望ましい状態に関する情報のインテリジェントリポジトリです。識別情報ウェアハウスでは、お客様のビジネスエンタイトルメントに関する 360° のビューが提供

され、組織内で識別情報に対して付与された権限や許可の過去および現在の状況を確認するのに必要な知識が得られます。

識別情報ウェアハウスに問い合わせを行うと、お客様の組織に関連するビジネスの法律および規則を完全に遵守するのに必要なあらゆる情報を取得できます。この知識をもとに、も高度な GRC (Governance Risk and Compliance) に関する問い合わせであっても答えることができます。

識別情報ウェアハウスのインフラストラクチャには、次のコンポーネントが必要です。

25 ページの「Identity Reporting for Identity Manager」

26 ページの「データ収集サービス」

26 ページの「Managed System Gateway Driver」

Identity Reporting for Identity Managerアイデンティティ情報ウェアハウスは、その情報を Sentinel Log Management for IGA の SIEM デー

タベースに格納します。Identity Reporting コンポーネントを使用すると、Identity Manager ソリューションを監査してそのソリューションに関するレポートを作成できます。レポートを使用すると、ビジネスのコンプライアンス規制に従うのに役立ちます。定義済みレポートを実行して、ビジネスポリシー、IT ポリシー、および企業ポリシーへのコンプライアンスを証明できます。事前定

義されたレポートがニーズを満たさない場合は、カスタムレポートを作成することもできます。Identity Reporting を使用して、Identity Manager の設定のさまざまな側面に関する重要なビジネス

情報を表示するレポートを生成してください。これには、識別ボールトと接続システムから収集された情報も含まれます。Identity Reporting のユーザインタフェースを使用すると、パフォーマンス

を適化するために、レポートを混雑していない時間帯に実行するようスケジュールするのが楽になります。Identity Reporting の詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。

Identity Manager 環境でのデータ管理 25

データ収集サービス

データ収集サービスは、データ収集サービスドライバを使用して、識別ボールトに保存されているオブジェクト ( アカウント、役割、リソース、グループ、チームメンバーシップなど ) の変更を

キャプチャします。このドライバは、自身をサービスに登録し、変更イベント ( データの同期、追

加、変更、および削除イベント ) をサービスにプッシュします。

このサービスには、次の 3 つのサブサービスが含まれます。

レポートデータコレクタ : プルデザインモデルを使用して、1 つ以上の識別ボールトデータ

ソースからデータを取得します。収集は、一連の環境設定パラメータによって決定され、定期的に実行されます。データを収集するために、コレクタが Managed System Gateway Driver を呼び出します。

イベント駆動型データコレクタ : プッシュデザインモデルを使用して、データ収集サービスド

ライバが取得したイベントデータを収集します。

非管理対象アプリケーションデータコレクタ : それぞれのアプリケーション専用に記述された

REST エンドポイントを呼び出すことによって、1 つ以上の非管理対象アプリケーションから

データを取得します。非管理対象アプリケーションとは、識別ボールトに接続されていない企業内のアプリケーションのことです。

Managed System Gateway DriverManaged System Gateway Driver は、識別ボールトに問い合わせて管理対象システムから次のタ

イプの情報を収集します。

すべての管理対象システムのリスト

管理対象システムのすべてのアカウントのリスト

エンタイトルメントの種類、値、割り当て、および管理対象システムのユーザアカウントプロ

ファイル

26 Identity Manager 環境でのデータ管理

4 4 セキュアなアクセスのためのユーザプロビジョニング

Identity Manager は、物理ネットワークや仮想ネットワークからクラウドに至るまで、アクセス管

理を一元化し、ユーザごとに 1 つの識別情報が存在するようにします。ユーザが組織内の役割に基

づいてリソースにアクセスを要求することもよくあります。たとえば、法律事務所の弁護士は事務所の弁護士補助員とは異なるリソースのセットにアクセスする必要がある場合があります。

Identity Manager を使用すると、組織の役割に基づいてユーザをプロビジョニングすることができ

ます。役割を定義し、組織のニーズに従って割り当てを行います。ユーザに役割を割り当てると、Identity Manager はその役割に関連付けられているリソースへのアクセス権を持つユーザをプロビ

ジョニングします。複数の役割を持つユーザは、それらの役割すべてに関連付けられたリソースに対するアクセス権を受け取ります。

組織で発生したイベントの結果に応じて自動的にユーザを役割に追加できます。たとえば、弁護士の役職を持つ新しいユーザを SAP HR データベースに追加できます。ユーザを役割に追加するため

の承認が必要な場合、ワークフローを構築して、役割の要求を適切な承認者にルーティングすることができます。手動でユーザを役割に割り当てることもできます。

場合によっては、役割が競合するため、同じユーザに割り当ててはいけない特定の役割があります。Identity Manager には義務の分離機能があります。この機能を使用すると、組織のユーザが競合を

例外にしない限り、競合する役割にユーザが割り当てられることがなくなります。

Identity Manager ソリューションでは、ユーザプロビジョニング用の次のコンポーネントが提供さ

れています。

Identity Manager ダッシュボード

Identity Applications 管理

ユーザアプリケーション

ダッシュボードでは、すべての Identity Manager ユーザおよび管理者のための単一アクセスポイン

トを提供します。既存のユーザアプリケーション機能のすべてにアクセスできます。Identity Manager v4.7 では、Identity Manager ホームおよびプロビジョニングダッシュボードの代わりに

ダッシュボードが使用されるようになりました。

4.1 Identity Manager の検証プロセスの理解

Identity Manager を使用すると、検証プロセスを通じて役割の割り当てが適切であるかどうかを検

証することができます。不適切な役割を割り当てると、会社および組織の規制の遵守が脅かされる可能性があります。検証プロセスで、組織内の担当ユーザが次の役割に関連付けられているデータを認証します。

ユーザプロファイルの検証 : 選択されたユーザは自分のプロファイル情報が正しいかどうかを

検証し、間違った情報を変更します。役割の割り当てを変更するには、正しいプロファイル情報が必要です。

セキュアなアクセスのためのユーザプロビジョニング 27

義務の分離違反検証 : 担当ユーザが義務の分離違反に関するレポートをレビューし、レポート

の正確さを検証します。レポートには、ユーザを競合する役割に割り当てることができる例外のリストが示されています。

役割の割り当ての検証 : 担当ユーザがレポートリストで選択された役割、および各役割に割り

当てられたユーザ、グループ、および役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要があります。

ユーザの割り当ての検証 : 担当ユーザはレポートリストで選択されたユーザ、およびユーザに

割り当てられた役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要があります。

検証レポートは元来、役割の割り当てが正確であること、および競合する役割の例外を許可するのに有効な理由が存在することを保証するのに役立つように設計されています。

4.2 Identity Manager のセルフサービスプロセスの理解

Identity Manager では、システム、アプリケーション、およびデータベースへのユーザアクセスを

認証する基盤として、識別情報が使用されています。各ユーザ固有の ID、および各ユーザの役割に

は、識別情報データに対する特定のアクセス権が付与されています。たとえば、マネージャの ID を

持つユーザは、直属の部下の給与情報にアクセスできますが、社内の他の従業員の給与情報にはアクセスできません。Identity Manager では、責任を負う必要のあるユーザに管理業務を委任できま

す。たとえば、各ユーザが次の目標を達成できるようにすることができます。

会社のディレクトリ内にある各自のデータを管理できるようにすることができます。あなたが

電話番号を変更するのではなく、各自が 1 つの場所で電話番号を変更し、Identity Manager によって同期されたすべてのシステムでその番号を変更することもできます。

パスワードを変更し、忘れたパスワードのヒントを設定し、忘れたパスワードの問題と答えを

設定します。ユーザがパスワードを忘れているので、あなたがパスワードをリセットするのではなく、ヒントまたは問題に対する答えを受信した後に、ユーザが自分でパスワードをリセットすることができます。

データベース、システム、ディレクトリなどのリソースに対するアクセスを要求します。あな

たにアプリケーションに対するアクセスを要求するように呼びかけるのではなく、ユーザが使用可能なリソースのリストからアプリケーションを選択することができます。

各ユーザのセルフサービスだけでなく、Identity Manager にはユーザの要求のサポート、監視、お

よび承認を担当する機能についてセルフサービス管理が用意されています。たとえば、John が

Identity Manager のセルフサービス機能を使用して、必要なドキュメントへのアクセスを要求した

とします。John のマネージャと CFO がセルフサービス経由でその要求を受け取り、要求を承認で

きます。承認ワークフローを確立すると、John は自分の要求の進行状況を開始および監視でき、

John のマネージャと CFO は John の要求に応答することができます。John のマネージャと CFOの承認によって、財務ドキュメントにアクセスして表示するために John が必要とする Active Directory 権限のプロビジョニングがトリガされます。

Identity Manager には、プロビジョニングプロセスで適切なリソース承認者を要求するワークフ

ロー機能も備わっています。たとえば、Active Directory アカウントですでに設定されている Johnが Active Directory を使用して一部の財務レポートにアクセスする必要があるとします。ここでは、

John の直接のマネージャと CFO の両方からの承認が必要です。幸いにも、John の要求をマネー

ジャに転送し、マネージャからの承認後に CFO に転送する承認ワークフローがセットアップされ

ています。CFO による承認で、John が経理ドキュメントのアクセスおよび表示を行うのに必要な

Active Directory 権限の自動プロビジョニングがトリガされます。

28 セキュアなアクセスのためのユーザプロビジョニング

特定のイベントが発生するか ( 新規ユーザが HR システムに追加される場合など )、ユーザの要求に

よって手動で開始されたときにワークフローを自動的に開始することができます。承認がタイミングよく行われるように、プロキシ承認者および承認チームをセットアップすることができます。

4.3 ユーザプロビジョニングを管理するためのコンポーネントの理解このセクションでは、次のコンポーネントの目的について説明します。

29 ページのセクション 4.3.1「ユーザアプリケーションおよび Roles Based Provisioning Module」

31 ページのセクション 4.3.2「Identity Applications 管理」

31 ページのセクション 4.3.3「Identity Manager ダッシュボード」

4.3.1 ユーザアプリケーションおよび Roles Based Provisioning ModuleIdentity Manager ユーザアプリケーションは、Identity Manager の情報、リソース、および機能を利

用するためのビューをユーザとビジネス管理者に提供します。ユーザアプリケーションはブラウザベースの Web アプリケーションで、さまざまな識別情報セルフサービスタスクと役割プロビジョ


ニングタスクを実行できます。ユーザは、パスワードと識別情報データを管理したり、プロビジョニング要求と役割割り当て要求を開始および監視したり、プロビジョニング要求の承認プロセスを管理したり、検証レポートを確認したりできます。

ユーザアプリケーションでは、独立した複数のコンポーネントが連携して動作しています。

ユーザアプリケーションは、RBPM (Roles Based Provisioning Module) フレームワーク上で動作

します。このフレームワークには、要求のルーティングを適切な承認プロセスを介して制御するワークフローエンジンが含まれています。これらのコンポーネントには、次のドライバが必要です。

ユーザアプリケーションドライバ設定情報を格納し、識別ボールトで変更が行われた場合にユーザアプリケーションに通知します。識別ボールト内のイベントでワークフローをトリガできるようドライバを設定できます。このドライバから、ワークフローのプロビジョニングアクティビティの成否をユーザアプリケーションに通知することもできます。これにより、ユーザは要求の終的なステータスを参照することができます。


役割およびリソースサービスドライバすべての役割およびリソース割り当てを管理します。このドライバは、承認を必要とする役割およびリソース割り当て要求のワークフローを開始し、グループおよびコンテナのメンバーシップに従って間接的な役割割り当てを維持します。さらに、ユーザの役割のメンバーシップに基づいて、ユーザエンタイトルメントの許可および取り消しを行います。完了した要求に対してはクリーンアップ手順を実行します。

ユーザは、サポートされている任意の Web ブラウザからユーザアプリケーションにアクセスでき

ます。ユーザアプリケーションと RBPM の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』を参照してください。

4.3.2 Identity Applications 管理

「Identity Applications 管理」インタフェースでは、適切な管理者の役割を使用して次のタスクを管

理できます。

役割、リソース、およびその割り当ての作成および管理

システムで 2 つの異なる役割間の競合を回避するために義務分担 (SoD) 制約を設定

電子メールを介してユーザが許可要求を承認する機能を設定

役割、リソース、委任などの Identity Applications コンポーネントのデフォルト設定を設定

管理者は、コンピュータまたはタブレットから、サポートされている Web ブラウザを使用して管

理ページにアクセスできます。詳細については、『NetIQ Identity Manager - Identity アプリケーショ

ンに対する管理者ガイド』を参照してください。

4.3.3 Identity Manager ダッシュボード

「Identity Manager ダッシュボード」( ダッシュボード ) には、各ユーザの許可、タスク、および要

求をパーソナライズして表示できます。これは、ユーザが以下の基本的な機能領域に焦点を当てるのに役立ちます。

何かが必要な場合の機能あるアイテムが必要な場合、そのアイテムがラップトップなどの機器類であっても、特定のサーバやアプリケーションへのアクセスなど形のないものであっても、ユーザはそのアイテムを要求できます。

何かを実行する必要がある場合の機能

管理する必要があるタスクを把握したい場合、［タスク］ページに、Identity Manager システム

でユーザが保留中の承認またはプロビジョニングタスクがすべて表示されます。

所有している項目を確認する場合の機能現在の許可を表示したい場合、［許可］ページに、アクセスした役割およびリソースのリストが表示されます。

取得した項目の経緯を確認する場合の機能過去の要求のリストを参照したい場合、［要求履歴］ページに、近要求したすべての項目と、保留中の要求のステータスが表示されます。


識別情報アプリケーションの管理者役割がある場合は、すべてのユーザのダッシュボードの［アプ

リケーション］ページをカスタマイズできます。ユーザが表示する必要がある項目やリンクをエンタープライズにとって適切なカテゴリに編成して表示するようにページを設定できます。以下のタイプの項目を含むことができます。

グループの作成やレポートの実行などの Identity Manager 機能

ほとんどのユーザが要求する必要がある許可

通常アクセスされる Web サイトや Web ベースのアプリケーションへのリンク

REST エンドポイント

ユーザがアクセス可能な特定のタイプの項目数などのバッジ

ダッシュボードには、コンピュータまたはタブレットから、サポートされている Web ブラウザを

使用してアクセスできます。詳細については、『NetIQ Identity Manager - Identity アプリケーション

に対する管理者ガイド』を参照してください。

4.4 Identity Manager でのセルフサービスパスワード管理の使用Identity Manager の NetIQ SSPR (Self Service Password Reset) は、識別情報アプリケーションにア

クセスできるユーザが、管理者の助けを借りずに自分でパスワードをリセットできる機能です。Identity Manager の新バージョンをインストールすると、または新バージョンにアップグレー

ドすると、インストールプロセスによって SSPR がデフォルトで有効になります。新規インストー

ルの場合、SSPR は独自のプロトコルで認証方法を管理します。ただし、アップグレード後に、

NMAS (NetIQ Modular Authentication Services) を使用するように SSPR に指示できます。NMASは、Identity Manager が従来使用していたパスワード管理プログラムです。

複雑なパスワードの管理を使用するかどうかに応じて、次のいずれかのプロバイダを設定できます。

SSPR NetIQ Self Service Password Reset は、Identity Manager をインストールまたはアップグレー

ドする際のデフォルトのオプションです。詳細については、33 ページのセクション 4.4.1「デ

フォルトのセルフサービスプロセスの理解」を参照してください。

パスワード管理用のレガシプロバイダ複数のパスワードポリシーの使用をサポートする、Identity Manager 4.0.2 のパスワード管理プ

ロセスを使用します。詳細については、33 ページのセクション 4.4.2「レガシパスワード管理

プロバイダの理解」を参照してください。

サードパーティプロバイダのパスワード管理パスワードを忘れた場合のプロセスを管理するサードパーティプログラムを使用できます。Identity Manger の一部の設定は変更する必要があります。詳細については、235 ページの「外

部システムによるパスワードを忘れた場合の管理」を参照してください。


4.4.1 デフォルトのセルフサービスプロセスの理解

SSPR は、アイデンティティアプリケーションおよび Identity Reporting のシングルサインオンプロ

セスと自動的に統合されます。SSPR をインストールしていない場合でも、これが Identity Manager のデフォルトのパスワード管理プログラムです。ユーザがパスワードのリセットを要求す

ると、本人確認の質問に回答するよう求められます。回答が正しければ、SSPR は次のいずれかの

方法で応答します。

ユーザに新しいパスワードの作成を許可する

新しいパスワードを作成してユーザに送信する

新しいパスワードを作成してユーザに送信し、古いパスワードを期限切れとしてマークする

SSPR Configuration Editor でこの回答を設定します。新しいバージョンの Identity Manager にアッ

プグレードした後は、Identity Manager がパスワード管理に従来使用していた NMAS を使用するよ

うに SSPR を設定することができます。ただし、SSPR は、パスワードを忘れた場合のプロセスを

管理する際に既存のパスワードポリシーを認識しません。既存のポリシーを引き続き使用する場合は、33 ページのセクション 4.4.2「レガシパスワード管理プロバイダの理解」を参照してください。

NMAS の代わりに、独自のプロトコルを使用するように SSPR を設定することもできます。このよ

うに変更した場合、パスワードポリシーをリセットせずに NMAS を使用する設定に戻すことはでき

ません。

4.4.2 レガシパスワード管理プロバイダの理解

注 : ユーザアプリケーションのレガシ Password Self-Service 機能はこのリリースでは使用されてい

ません。NetIQ では、すべてのパスワード固有のタスクについて SSPR の使用を開始することを強

くお勧めします。インストールプロセスによって SSPR がデフォルトで有効になります。詳細につ

いては、28 ページのセクション 4.2「Identity Manager のセルフサービスプロセスの理解」を参照


旧バージョンの Identity Manager からアップグレードした場合、識別情報アプリケーションのパス

ワード管理プログラムはデフォルトで SSPR に設定されます。SSPR は、従来 Identity Manager でパスワード管理に使われていた NMAS による方法を使用できます。ただし、SSPR は、パスワード

を忘れた場合のプロセスを管理する際に既存のパスワードポリシーを認識しません。SSPR をバイ

パスして、レガシパスワード管理プロバイダを使用できます。

ユーザがパスワードリセットを要求すると、レガシプロバイダはユーザの資格情報を、設定されているパスワードポリシーと比較します。たとえば、秘密の質問の答えに回答するようユーザに要求できます。そのユーザに適用されるポリシーに基づいて、次のいずれかの方法で応答が返されます。

パスワードをリセットする

参照する情報 ... 代わりの手段 ...

SSPR のインストール 181 ページの第 14.2 章「Identity Manager 用パスワー

ド管理のインストール」

識別情報アプリケーションのパスワード管理の設定 231 ページの「Self Service Password Reset による

パスワードを忘れた場合の管理」

SSPR の管理と設定『NetIQ Self Service Password Reset Administration Guide』


https://www.netiq.com/documentation/self-service-password-reset-41/adminguide/


パスワードのヒントを表示する

パスワードのヒントをユーザに電子メールで送信する

新しいパスワードをユーザに電子メールで送信する

自社で複数のパスワードポリシーまたは複雑なパスワードポリシーが使用されている場合は、レガシプロバイダを使用してください。たとえば、パスワードポリシーがユーザの役割に基づいているとします。インターンの場合、秘密の質問の答えが設定されていない自動生成パスワードで十分です。一方、セキュアデータにアクセスできるマネージャに対しては、より厳しい要件を設定できます。このユーザは、定期的にパスワードをリセットする必要があります。どちらの場合も、ユーザがパスワード要求のセルフサービスを利用できるようにします。

レガシプロバイダを使用するには、Identity Manager のインストールまたはアップグレード後に識

別情報アプリケーションの設定を変更します。アップグレード後にパスワードポリシーを再設定する必要はありません。

4.5 Identity Manager でのシングルサインオンアクセスの使用シングルサインオン (SSO) アクセスを提供するため、Identity Manager は認証サービス NetIQ One SSO Provider (OSP) を使用します。OSP は、次のコンポーネントで使用する必要があります。



Identity Reporting Self-Service Password Reset


Identity Manager インストールプログラムの .iso イメージには、OSP をインストールする方法が記

述されています。OSP のインストールの詳細については、181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストール」を参照してください。

4.5.1 One SSO Provider による認証の理解

OSP は OAuth2 の仕様をサポートし、LDAP 認証サーバが必要です。デフォルトでは、Identity Manager は識別ボールト (eDirectory) を使用します。OSP は他のタイプの「認証ソース」や「アイ

デンティティボールト」と通信し、認証要求を処理できます。OSP で使用する認証のタイプ ( ユー

ザ ID とパスワード、Kerberos、または SAML) を設定できます。ただし、OSP は MIT 方式の

Kerberos または SAP ログインチケットはサポートしません。


レガシプロバイダを使用するように Identity Managerを設定する

233 ページの「レガシプロバイダによるパスワード

を忘れた場合の管理」

パスワード管理にレガシプロバイダを使用する『NetIQ Identity Manager Password Management Guide』


OSP および SSO の動作の仕組み認証サービスとしてアイデンティティボールトを使用し、アイデンティティボールトで指定されたコンテナに CN とパスワードがある場合は、認証されたユーザはインストール後ただちに

Identity Manager にログインできます。このログインアカウントがない場合、すぐにログイン

可能なユーザはインストール中に指定した管理者だけです。

ユーザがブラウザベースのコンポーネントの 1 つにログインすると、ユーザの名前とパスワー

ドのペアが OSP サービスにリダイレクトされ、OSP サービスが認証サーバに問い合わせま

す。認証サーバは、ユーザ資格情報を検証します。その後、OSP はコンポーネントとブラウザ

に対して OAuth2 アクセストークンを発行します。ブラウザは、ユーザのセッション中にこの

トークンを使用して、すべてのブラウザベースのコンポーネントに対する SSO アクセスを提

供します。

Kerberos または SAML を使用する場合、OSP は Kerberos チケットサーバまたは SAML IDPからの認証を受け入れ、ユーザがログインしたコンポーネントに対して OAuth2 アクセストー

クンを発行します。

OSP と Kerberos の連携の仕組み OSP と Kerberos を使用することで、いったんログインしたユーザは、識別情報アプリケー

ションの 1 つおよび Identity Reporting とのセッションを作成できるようになります。ユーザの

セッションがタイムアウトした場合は自動的に認証が実行され、ユーザによる操作は必要はありません。ログアウト後、ユーザは必ずブラウザを終了してセッションを確実に終了する必要があります。そうしないと、ユーザはログインウィンドウにリダイレクトされ、OSP によって

ユーザセッションが再認証されます。

認証とシングルサインオンアクセスのセットアップ方法

OSP と SSO を機能させるには、OSP をインストールする必要があります。その後、各コン

ポーネントに対するクライアントアクセスの URL、検証要求を OSP にリダイレクトする

URL、および認証サーバの設定を指定します。この情報は、インストール中に指定すること

も、RBPM 設定ユーティリティを使用して後で指定することもできます。Kerberos チケット

サーバまたは SAML IDP の設定も指定できます。

認証およびシングルサインオンアクセスの設定の詳細については、321 ページのパート VIII「Identity Manager のシングルサインオンアクセスの設定」を参照してください。

クラスタでは、そのすべてのメンバーの環境設定は同一です。

4.5.2 One SSO Provider のキーストアの理解

Identity Manager では、OSP サービスと認証サーバ間での http および https 通信をサポートするキー

ストアを使用します。キーストアは OSP のインストール時に作成します。また、OSP サービスが

認証サーバと許可された方法で対話する場合に使用するパスワードも作成します。詳細については、181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストール」を参照してくださ

い。

4.5.3 One SSO Provider の監査イベントの理解

OSP は、ユーザがユーザアプリケーションまたは Identity Reporting にログインしたとき、または

これらからログアウトしたときを表すイベントを 1 つずつ生成します。

003E0204 - ログイン

003E0201 - ログアウト


これらの OSP イベントは、XDAS 分類により、ログイン / ログアウトの成功、ユーザアプリケー

ションに対する SOAP コールの成功、または「成功以外」のいずれかとして解釈されます。


II IIIdentity Manager のインストールの計画

このセクションでは、Identity Manager 環境をプランニングするための役に立つ情報を提供します。

各 Identity Manager コンポーネントのインストール先となるコンピュータの前提条件とシステム要

件を確認するには、該当するコンポーネントのインストールに関するセクションを参照してください。

Identity Manager をインストールまたは初めて実行するために、アクティベーションコードは必要

はありません。ただし、アクティベーションコードがない場合、インストールから 90 日を経過す

ると Identity Manager は機能しなくなります。Identity Manager は、その 90 日間またはその後いつ

でもアクティベートできます。

39 ページの第 5 章「計画の概要」

49 ページの第 6 章「インストールに関する考慮事項」

Identity Manager のインストールの計画 37

38 Identity Manager のインストールの計画

5 5 計画の概要

このセクションは、Identity Manager のインストールプロセスを計画するために役立ちます。イン

ストールプロセスでは、その前にインストールされているコンポーネントにアクセスする必要があるため、一部のコンポーネントは特定の順番でインストールする必要があります。たとえば、識別ボールトは、Identity Manager エンジンをインストールする前に、インストールおよび設定する必

要があります。

39 ページのセクション 5.1「計画チェックリスト」

41 ページのセクション 5.2「インストールプロセスの理解」

41 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」

45 ページのセクション 5.4「ライセンスおよびアクティベーションの理解」

45 ページのセクション 5.5「インストールファイルのダウンロード」

46 ページのセクション 5.6「実行可能ファイルおよびデフォルトインストールパスの場所の確

認」

5.1 計画チェックリスト次のチェックリストは、ご使用の環境で Identity Manager のインストールを計画するための大まか

なステップを示します。Identity Manager コンポーネントのインストールに関する各セクションに

は、より詳細なチェックリストがあります。

チェックリストの項目

1. 製品のアーキテクチャ情報を確認して Identity Manager コンポーネントについて学習しま

す。詳細については、17 ページのパート I「はじめに」を参照してください。

2. どのタイプのインストールプログラムを使用するかを判断します。詳細については、41 ページのセクション 5.2「インストールプロセスの理解」を参照してください。

3. どのオペレーティングシステムのプラットフォームがこの製品をインストールするのに適かを判断します。詳細については、44 ページのセクション 5.3.5「Identity Manager のオペ

レーティングシステムプラットフォームの選択」を参照してください。

注 : Identity Manager は、Linux サーバでのみ Sentinel Log Management for Identity Governance and Administration (Sentinel Log Management for IGA) のインストールをサポー

トしています。ご使用の環境で Sentinel Log Management for IGA を使用する場合は、

『NetIQ Identity Manager セットアップガイド (Linux 用 )』の「Sentinel Log Management for Identity Governance and Administration のインストール」に記載されている、このインス

トールの前提条件と必要なシステムセットアップを参照してください。ただし、識別情報ソリューションが Windows のみである場合は、別の監査サービスを使用できます。

4. コンポーネントのインストールの順番および各コンポーネントのインストール先を特定します。詳細については、41 ページのセクション 5.3「推奨されるインストールシナリオとサー

バセットアップ」を参照してください。

計画の概要 39

5. Identity Manager を実行するためのライセンスがあることを確認します。詳細については、

45 ページのセクション 5.4「ライセンスおよびアクティベーションの理解」を参照してくだ

さい。

6. 各 Identity Manager コンポーネントのデフォルトポートを確認して、インストール設定をカ

スタマイズする必要があるかどうかを判断します。詳細については、49 ページのセクショ

ン 6.1「Identity Manager の通信の理解」を参照してください。

7. 優先言語でインストールプログラムを実行できるかどうかを判断します。詳細については、50 ページのセクション 6.2「言語サポートの理解」を参照してください。

8. Identity Manager をインストールするためのファイルがあることを確認します。詳細につい

ては、45 ページのセクション 5.5「インストールファイルのダウンロード」を参照してくだ

さい。

重要 : クイックインストールの場合、Identity Manager コンポーネントのインストール中に

CPU 集中型アプリケーションを実行しないでください。Identity Manager のインストールを

開始する前には、Windows Modules Installer や Windows Update などの Windows サービス

を停止して、インストールを完了した後にのみそれらを開始する必要があります。

9. ( 状況によって実行 ) クラスタに Identity Manager をインストールするには、ご使用の環境

が要件を満たしていることを確認します。詳細については、52 ページのセクション 6.3「Identity Manager の高可用性の確認」を参照してください。

10. ご使用のサーバに Identity Manager コンポーネントをインストールするために必要とされる

適切な資格情報、およびインストール時に作成するアカウントを確認します。

11. Identity Manager コンポーネントをインストールするコンピュータが指定の要件を満たして

いることを確認します。詳細については、次の各セクションを参照してください。

Designer: 307 ページの「Designer のインストールの計画」

役割およびリソース管理のための識別情報アプリケーション : 191 ページの「識別情報

アプリケーションのインストールのプラニング」

Identity Manager エンジン : 83 ページの「エンジン、ドライバ、およびプラグインの

インストールの計画」

識別ボールト : 57 ページの「識別ボールトのインストール」

iManager: ( オプション ) 143 ページの「iManager のインストールの計画」

パスワードリセット (SSPR): 179 ページの「Identity Manager 用パスワード管理をイン

ストールするためのプラニング」

PostgreSQL: 163 ページの「PostgreSQL および Tomcat のインストールの計画」

リモートローダ : 83 ページの「エンジン、ドライバ、およびプラグインのインストー

ルの計画」

レポーティング : 261 ページの「Identity Reporting のインストールの計画」

シングルサインオンアクセス (OSP): 179 ページの「Identity Manager 用パスワード管

理をインストールするためのプラニング」

Tomcat: 163 ページの「PostgreSQL および Tomcat のインストールの計画」

注 : NetIQ では、インストールプロセスで作成する各アカウントを書き留めておくことをお

勧めします。

12. Identity Manager コンポーネントをアクティベートします。詳細については、363 ページの

セクション 30.6「Identity Manager のアクティベート」を参照してください。


40 計画の概要

5.2 インストールプロセスの理解NetIQ では、Identity Manager のコンポーネントのためのスタンドアロンインストールプログラム

が用意されているため、ご使用の環境をより柔軟に設定できます。たとえば、識別ボールトなど、多くの Identity Manager コンポーネントは、データ集約型であり、別々のサーバにインストールす

る必要があります。

スタンドアロンインストールプロセスでは、次のようなことが可能です。

識別ボールトのツリー構造など、コンポーネント設定をカスタマイズできる

分散環境およびクラスタ環境にインストールできる

ドライバを選択し、識別情報管理ソリューションに追加するドライバセットを作成できる

識別情報管理ソリューションに追加する iManager プラグインを選択できる

非管理者アカウントを使用して一部のコンポーネントをインストールできる

複数のデータベースプラットフォームをサポートする

サポートされているすべてのオペレーティングシステムに対して Apache Tomcat を使用する

サポートされる運用環境を構築する

以前のバージョンの Identity Manager をアップグレードするために使用できます。

適な結果を得るために、識別情報管理ソリューションで指定されている順番でスタンドアロンインストールプログラムを実行します。詳細については、41 ページのセクション 5.3「推奨されるイ

ンストールシナリオとサーバセットアップ」を参照してください。

5.3 推奨されるインストールシナリオとサーバセットアップスタンドアロンインストールを実行する場合は、コンポーネントを、特定の順番で特定のサーバにインストールする必要があります。一部のコンポーネントのインストールプログラムでは、その前にインストールされたコンポーネントに関する情報が必要です。

このセクションは、監査およびレポーティングの特定のシナリオに応じて、インストールの順番およびサーバタイプを判断するために役立ちます。

42 ページのセクション 5.3.1「Identity Manager におけるレポーティングなしの、監査サービス

へのイベントの送信」

42 ページのセクション 5.3.2「Identity Manager へのイベントの送信およびレポートの生成」

43 ページのセクション 5.3.3「Identity Manager にイベントをプッシュする前に外部サービスに

イベントを送信」

43 ページのセクション 5.3.4「推奨されるサーバセットアップ」

44 ページのセクション 5.3.5「Identity Manager のオペレーティングシステムプラットフォーム

の選択」

計画の概要 41

5.3.1 Identity Manager におけるレポーティングなしの、監査サービ

スへのイベントの送信

このシナリオでは、Sentinel を使用して、Identity Manager で発生するイベントを監査することを

計画します。Identity Manager でレポートを生成することは計画していません。次の順番でコン

ポーネントをインストールします。

1. Sentinel Log Management for IGA (Windows ではサポートされていない )

注 : NetIQ では、Linux サーバでのみこのコンポーネントのインストールをサポートしていま

す。インストール手順については、『NetIQ Identity Manager Setup Guide for Linux』を参照し

てください。ただし、識別情報ソリューションが Windows のみである場合は、別の監査サー

ビスを使用できます。

2. 識別ボールト

3. Identity Manager エンジン、ドライバ、および iManager プラグイン

4. ( オプション ) iManager

5. Designer

6. Tomcat および PostgreSQL

7. OSP

8. SSPR

9. 識別情報アプリケーション

10. ( オプション ) Analyzer

5.3.2 Identity Manager へのイベントの送信およびレポートの生成

このシナリオでは、Identity Manager に標準装備されている Sentinel Log Management for IGA を使

用して Identity Manager を監査することを計画します。それらのイベントのレポートを生成するこ

とも可能です。次の順番でコンポーネントをインストールします。


2. Sentinel Log Management for IGA (Windows ではサポートされていない )

注 : NetIQ では、Linux サーバでのみこのコンポーネントのインストールをサポートしていま

す。インストール手順については、『NetIQ Identity Manager Setup Guide for Linux』を参照し

てください。ただし、識別情報ソリューションが Windows のみである場合は、別の監査サー

ビスを使用できます。



5. Designer


7. OSP

8. SSPR


42 計画の概要

10. Identity Reporting


5.3.3 Identity Manager にイベントをプッシュする前に外部サービス

にイベントを送信

このシナリオでは、Sentinel などのサービスを使用して、Identity Manager を監査することを計画

します。次の順番でコンポーネントをインストールします。

1. 外部監査サービス (Sentinel など )




5. Designer


7. OSP

8. SSPR




5.3.4 推奨されるサーバセットアップ

一般的な運用環境では、Identity Manager を 7 台以上のサーバと、クライアントワークステーショ

ンにインストールすることが考えられます。次に例を示します。

コンピュータのセットアップコンポーネントのセットアップ

サーバ 1 および 2 (2 サーバのディレクトリレプリカ ) 識別ボールト


サーバ 3 および 4 (2 サーバのクラスタ ) 識別情報アプリケーション

iManager

One SSO Provider

リモートローダ

セルフサービスパスワードリセット

注 : Identity Applications および One SSO プロバイダ

を同じサーバにインストールすることをお勧めします。

サーバ 5 ( またはサーバのクラスタ ) Identity Manager データベース :

識別情報アプリケーション

Identity Reporting

計画の概要 43

5.3.5 Identity Manager のオペレーティングシステムプラットフォー

ムの選択

Identity Manager コンポーネントは、さまざまなオペレーティングシステムプラットフォームにイ

ンストールできます。次の表は、識別情報管理ソリューションで使用するサーバの決定に役立ちます。

システム要件および前提条件の詳細については、次のセクションを参照してください。

307 ページの「Designer のインストールの計画」

143 ページの「iManager のインストールの計画」

サーバ 6 Identity Reporting

Server 7 Sentinel Log Management for IGA

クライアントワークステーション (1 台以上 ) Designer

iManager ワークステーション

識別情報アプリケーションおよびレポーティン

グにアクセスするインターネットブラウザ

コンピュータのセットアップコンポーネントのセットアップ

Platform コンポーネント

Windows デスクトップ Designer

iManager ワークステーション ( クライアント )

識別情報アプリケーションおよび Identity Reportingへのブラウザアクセス

Windows Server Analyzer

Designer



Identity Reporting

識別ボールト

iManager ( サーバ )

.NET リモートローダ

One SSO Provider

PostgreSQL



Tomcat

44 計画の概要

57 ページの「識別ボールトのインストール」

83 ページの「エンジン、ドライバ、およびプラグインのインストールの計画」

191 ページの「識別情報アプリケーションのインストールのプラニング」

179 ページの「Identity Manager 用パスワード管理をインストールするためのプラニング」

163 ページの「PostgreSQL および Tomcat のインストールの計画」

5.4 ライセンスおよびアクティベーションの理解Identity Manager は多彩な機能で構成されます。顧客の多様なニーズに応えるために、Identity Manager 機能は Advanced Edition と Standard Edition で提供されます。Identity Manager のAdvanced Edition には完全な機能セットが含まれます。Standard Edition には、Advanced Editionで提供される機能のサブセットが含まれます。Advanced Edition と Standard Edition で利用できる

機能を比較するには、Identity Manager のバージョンの比較を参照してください。NetIQ では、各

Edition 用の異なるライセンスモデルを用意しています。

NetIQ は Advanced Edition と Standard Edition の両方を単一の ISO ファイルとしてリリースしてい

ます。それにより、新機能、パッチ、ドキュメンテーション、およびサポートの提供を向上させる一方で、お客様がそれぞれのニーズに合わせてソリューション機能を選べるようになりました。

Identity Manager の評価版をインストールし、90 日間無料で使用できます。ただし、インストール

してから 90 日以内に Identity Manager コンポーネントをアクティベートする必要があります。そ

うしないと、それらのコンポーネントは機能しなくなります。90 日間の評価期間内またはその後に

製品ライセンスを購入し、Identity Manager をアクティベートできます。詳細については、

363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してください。

どちらの Edition を購入するかによって、NetIQ では Identity Manager 内の適切な機能を有効にする

ための適切なライセンスキーを提供しています。Identity Manager の製品ライセンスを購入するに

は、NetIQ Identity Manager の購入方法に関する Web サイトを参照してください。製品のライセン

スをご購入になると、NetIQ よりカスタマ ID が送信されます。電子メールには、プロダクトアク

ティベーションキーを入手可能な NetIQ Web サイトの URL も含まれています。ご自分のカスタマ

ID を思い出せない場合、またはカスタマ ID を受け取っていない場合は、担当者までお問い合わせ

ください。

5.5 インストールファイルのダウンロードNetIQ では、完全な Identity Manager インストールのためのすべてのコンポーネントを含む

ISO ファイルを提供しています。各ファイルには、製品のバージョンが含まれています。ISO ファ

イルの名前により、プラットフォームが識別されます。たとえば、Identity_Manager_version_Windows.iso のようになります。

注 : ISO イメージは大きなファイルです。それらのファイルは、そのサイズに対応しているボ

リュームまたは DVD にダウンロードするようにしてください。

Identity Manager インストールファイルをダウンロードするには :

1 NetIQ のダウンロードの Web サイトに移動します。

2［製品または技術］メニューで、［ Identity Manager］を選択し、［検索］をクリックします。

計画の概要 45

https://www.netiq.com/products/identity-manager/advanced/features/version-comparison/

https://www.netiq.com/products/identity-manager/advanced/how-to-buy/

https://dl.netiq.com

3 NetIQ Identity Manager のダウンロードページで、ダウンロードする ISO ファイルの横の［ダ

ウンロード］ボタンをクリックします。

4 画面の指示に従って、ファイルをコンピュータ上のディレクトリにダウンロードします。

5 ダウンロードされた .iso ファイルをボリュームとしてマウントするか、.iso ファイルを使用し

てソフトウェアの DVD を作成します。

5.6 実行可能ファイルおよびデフォルトインストールパスの場所の確認次の表に、製品 ISO ファイルの実行可能ファイルの場所と、ファイルシステム上にインストールさ

れるコンポーネントのデフォルトのインストールパスに関する情報を示します。

Identity Manager のコンポーネント

エディション(Advanced/Standard)

ISO 内の実行可能ファイルの場所デフォルトのインストールパス

識別ボールト Advanced およびStandard

\products\eDirectory\x64\ 内に配置さ

れた Setup.exeC:\NetIQ

iManager Advanced およびStandard

サーバのインストール :

\extracted_directory\products\iManager\installs\win\ 内に配置され

た iManagerInstall.exe

ワークステーションインストー

ル : imanager\bin 内に配置され

た iManager.bat

C:\Program Files\Novell

Identity Manager エンジン、ドライバ、およびプラグイン

Advanced およびStandard

\products\idm\windows\setup 内に配置

された idm_install.exeC:\Novell

リモートローダ Advanced およびStandard

\products\idm\windows\setup 内に配置

された idm_install.exeC:\Novell

PostgreSQL および

Tomcat ( サポートさ

れているデータベースおよびアプリケーションサーバ )


products\CommonApplication\postgre_tomcat_install\ 内に配置された

TomcatPostgreSQL.exe

C:\NetIQ\idm\apps\tomcat

シングルサインオン(OSP)


\products\CommonApplication\osp_install 内に配置された osp-install-win.exe

C:\NetIQ\idm\apps\osp

SSPR (Self Service Password Reset)


\products\CommonApplication\sspr_install 内に配置された sspr-install-win.exe

C:\NetIQ\idm\apps\sspr


Advanced Edition の

み

products\UserApplication 内に配置さ

れた IdmUserApp.exeC:\NetIQ\idm\apps\UserApplication

Designer for Identity Manager


\products\Designer\ 内に配置された

install.exec:\NetIQ\idm\apps\Designer

46 計画の概要

Identity Reporting 完全セット(Advanced Editionの場合 )

制限セット(Standard Edition の

場合 )

\products\Reporting 内に配置された

rpt-install-win.exeC:\NetIQ\idm\apps\IdentityReporting

Identity Manager 用の Analyzer


\products\Analyzer\ 内に配置された

install.exeC:\NetIQ\idm\apps\Analyzer

Identity Manager のコンポーネント

エディション(Advanced/Standard)

ISO 内の実行可能ファイルの場所デフォルトのインストールパス

計画の概要 47

48 計画の概要

6 6 インストールに関する考慮事項

このセクションでは、Identity Manager コンポーネントをホストするコンピュータの一般的な前提

条件について説明します。一般に、ご使用の環境で完全な識別情報管理を実現できるようにするために、コンポーネントをすべてインストールする必要があります。ただし、Analyzer や iManagerなど、すべてのコンポーネントが必要というわけではありません。

Identity Manager の実装は IT 環境のニーズに応じて異なるため、目的の環境に適った Identity Manager のアーキテクチャを終決定する前に、NetIQ コンサルティングサービスまたは NetIQ Identity Manager パートナーにお問い合わせください。

推奨されるハードウェア、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、NetIQ Identity Manager 技術情報の Web サイトを参照してください。

49 ページのセクション 6.1「Identity Manager の通信の理解」

50 ページのセクション 6.2「言語サポートの理解」

52 ページのセクション 6.3「Identity Manager の高可用性の確認」

6.1 Identity Manager の通信の理解

Identity Manager コンポーネント間で正しい通信が行われるようにするために、NetIQ では、次の

表に記載されているデフォルトポートを開くことをお勧めします。

注 : デフォルトポートがすでに使用されている場合は、Identity Manager コンポーネント用に別の

ポートを指定してください。

ポート番号コンポーネントコンピュータ

ポートの使用

389 識別ボールト Identity Manager コンポーネントとの平文での LDAP 通信に使用され

ます。

435 Identity Reporting SMTP メールサーバとの通信に使用されます。

524 識別ボールト NetWare Core Protocol (NCP) 通信に使用されます。

636 識別ボールト Identity Manager コンポーネントとの TLS/SSL による LDAP 通信に使

用されます。

5432 識別情報アプリケーション

識別情報アプリケーションデータベースとの通信に使用されます。

7707 Identity Reporting Managed System Gateway ドライバによって、識別ボールトとの通信

に使用されます。

8000 リモートローダ TCP/IP 通信のためにドライバインスタンスによって使用されます。

注 : リモートローダの各インスタンスには一意のポートが割り当てられる必要があります。

インストールに関する考慮事項 49

https://www.netiq.com/consulting/

https://www.netiq.com/products/identity-manager/advanced/technical-information/

6.2 言語サポートの理解NetIQ では、Identity Manager およびそのインストールプログラムのインタフェースは翻訳 ( ローカ

ライズ ) されており、ご使用のローカルコンピュータのオペレーティングシステム言語をサポート

します。ただし、すべての言語をサポートすることはできません。インストール時、一部のインストールプログラムは、コンピュータのロケールをチェックして、インストールプロセスの言語を判断します。

特定の言語でインストールプログラムを実行するには、［地域の設定］オプションを使用してロケールを変更します。


Tomcat によって、シャットダウンコマンドのリスンに使用されます。


Tomcat によって、HTTP ではなく AJP プロトコルを使用した Web コ

ネクタとの通信に使用されます。

8028 識別ボールト NCP 通信との平文での HTTP 通信に使用されます。

8030 識別ボールト NCP 通信との HTTPS 通信に使用されます。


iManager

Tomcat によって平文での HTTP 通信に使用されます。

8090 リモートローダリモートローダによって、リモートインタフェースシムからの TCP/IP 接続のリスンに使用されます。

注 : リモートローダの各インスタンスには一意のポートが割り当てられる必要があります。


Identity Applications が実行されている Tomcat アプリケーションサー

バによって、HTTP 通信に使用されます。


iManager

Tomcat によって、HTTPS (SSL) 通信、または SSL 通信に対する要求

のリダイレクトに使用されます。


デフォルトではリスンしません。

TLS/SSL プロトコルを使用していないときに、Tomcat によって、

SSL 転送を求める要求のリダイレクトに使用されます。

9009 iManager Tomcat によって MOD_JK に使用されます。

15432 Identity Reporting PostgreSQL データベース Sentinel で使用されます。

45654 ユーザアプリケーション

Tomcat がクラスタグループとともに実行されている場合、識別情報ア

プリケーションのデータベースがインストールされているサーバによって、通信のリスンに使用されます。

ポート番号コンポーネントコンピュータ

ポートの使用

50 インストールに関する考慮事項

6.2.1 翻訳されているコンポーネントおよびインストールプログラム

次の表に、コンポーネントのインストールごとに使用可能な翻訳を示します。この表に記載されていないコンポーネントは、英語版のみ使用可能です。コンポーネントがオペレーティングシステムの言語に翻訳されていない場合、プログラムはデフォルトで英語になります。また、インストールプログラムのエンドユーザ使用許諾契約が、サポートされているすべての言語では使用できない場合もあります。

Identity Applications は、ダッシュボード、Identity Applications 管理、Identity Reporting、Identity Approval、およびユーザアプリケーションを示します。

6.2.2 言語サポートに関する特別な考慮事項

NetIQ では、Identity Manager の翻訳バージョンを使用するかどうかを判断する際に、次の考慮事

項を確認することをお勧めします。

一般に、Identity Manager コンポーネントがオペレーティングシステムの言語をサポートして

いない場合、コンポーネントのインタフェースはデフォルトで英語になります。たとえば、Identity Manager ドライバは、Identity Manager エンジンと同じ言語で使用可能です。Identity Manager がドライバの言語をサポートしていない場合、ドライバ設定はデフォルトで英語にな

ります。

次の iManager プラグインは、前記の表に記載されている言語に加えて、スペイン語、ロシア

語、イタリア語、およびポルトガル語でも使用できます。

ロケール Designer Identity Manager エンジン

iManager iManager プラグイン


簡体字中国語対応対応対応対応対応

繁体字中国語対応対応対応対応対応

デンマーク語 – – – – ○

オランダ語 ○ – – – ○

英語対応対応対応対応対応

フランス語対応対応対応対応対応

ドイツ語対応対応対応対応対応

イタリア語 ○ – ○ – ○

日本語対応対応対応対応対応

ポルトガル語 ( ブラジル

○ – ○ – ○

ロシア語 – – ○ – ○

スペイン語 ○ – ○ – ○

スウェーデン語 – – – – ○


Identity Manager コンポーネントのインストールプログラムを起動する場合、次の条件が適用

されます。

オペレーティングシステムが、インストールプログラムでサポートされている言語である

場合、プログラムはデフォルトでその言語になります。ただし、インストールプロセス用に別の言語を指定することができます。

インストールプログラムがオペレーティングシステムの言語をサポートしていない場合、

インストールプログラムはデフォルトで英語になります。

オペレーティングシステムがラテン語由来の言語を使用している場合、インストールプロ

グラムでは、ラテン語由来の言語をどれでも指定できます。

オペレーティングシステムがサポートされているアジア由来の言語またはロシア語を使用

している場合、インストールプログラムでは、オペレーティングシステムに一致する言語または英語のみを指定できます。

6.3 Identity Manager の高可用性の確認

高可用性により、データ、アプリケーション、サービスなどの重要なネットワークリソースを効率的に管理できます。NetIQ では、VMWare Vmotion など、クラスタリングまたは Hypervisor クラス

タリングを介した Identity Manager ソリューションの高可用性をサポートしています。高可用性環

境を計画する際には、次の考慮事項が適用されます。

高可用性環境には次のコンポーネントをインストールできます。

識別ボールト



Identity Reporting を除く、識別情報アプリケーション

アイデンティティボールト (eDirectory) をクラスタ環境で実行する場合は、Identity Manager エンジンもクラスタ化されます。


Identity Manager コンポーネントのサーバ設定の決

定

43 ページのセクション 5.3.4「推奨されるサーバ

セットアップ」

クラスタ内のアイデンティティボールトの実行 58 ページの「識別ボールトのインストールに関す

る前提条件」

433 ページのセクション A.2「eDirectory クラスタ

での NetIQ Identity Manager の設定」

『NetIQ eDirectory Installation Guide』の

「Deploying eDirectory on High Availability Clusters」


https://www.netiq.com/documentation/edir88/edirin88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/edirin88/data/bnew1gz.html

クラスタ内の識別情報アプリケーションの実行 188 ページのセクション 14.2.4「クラスタリング

用の OSP と SSPR の設定」

194 ページのセクション 15.1.3「識別情報アプリ

ケーションのインストールの前提条件と検討事項」

207 ページのセクション 15.4.2「クラスタリング

のパーミッションインデックスの有効化」

208 ページのセクション 15.4.4「識別情報アプリ

ケーションで使用するクラスタの準備」

224 ページのセクション 15.6.2「クラスタリング

用のユーザアプリケーションドライバの環境設定」

236 ページの「分散環境またはクラスタ化環境に

おけるダッシュボードの SSPR リンクの更新」




III IIIIdentity Manager エンジンのインストール

このセクションでは、Identity Manager サーバの基本フレームワークのインストールについて説明

します。このインストールプログラムでインストールできるコンポーネントは、次のとおりです。

Identity Manager ドライバ


Identity Manager 用 iManager プラグイン

利便性のため、NetIQ ではこれらのコンポーネントを同じインストールプログラムにバンドルして

います。各コンポーネントを同じサーバにインストールすることも、個別のサーバにインストールすることもできます。インストールファイルは、Identity Manager インストールパッケージの

\products\idm ディレクトリにあります。デフォルトでは、インストールプログラムは C:\NetIQ にコ

ンポーネントをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、83 ページのセクション 8.1「Identity Manager エンジン、ドライバ、およびプラグインのイン

ストールチェックリスト」を参照してください。

注 : このインストールプログラムでリモートローダもインストールできます。詳細については、97 ページのパート 10「リモートローダのインストールと管理」を参照してください。

Identity Manager エンジンのインストール 55

56 Identity Manager エンジンのインストール

7 7 識別ボールトのインストール

このセクションでは、識別ボールトの必須コンポーネントのインストールプロセスについて説明します。識別ボールトには、ドライバ設定、パラメータ、ポリシーなど、Identity Manager 固有の情

報が格納されます。

インストールファイルは、Identity Manager インストールパッケージの .iso イメージファイル内の

\products\eDirectory\processor_type\ ディレクトリにあります。デフォルトでは、インストールプログ

ラムは C:\NetIQ\eDirectory にアイデンティティボールトをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、57 ページの第 7.1 章「識別ボールトのインストールの計画」を参照してください。

7.1 識別ボールトのインストールの計画このセクションでは、識別ボールトのインストールに必要な前提条件、考慮事項、およびシステム設定について説明します。まず、次のチェックリストを参照してインストールプロセスを理解します。

57 ページのセクション 7.1.1「識別ボールトのインストールに関するチェックリスト」

58 ページのセクション 7.1.2「識別ボールトのインストールに関する前提条件と考慮事項」

60 ページのセクション 7.1.3「eDirectory の Identity Manager オブジェクトの理解」

61 ページのセクション 7.1.4「識別ボールトのシステム要件」

7.1.1 識別ボールトのインストールに関するチェックリスト

NetIQ では、次のチェックリストの手順を実行することをお勧めします。


1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、17 ページの

パート I「はじめに」を参照してください。

2. Identity Manager コンポーネント用に使用するサーバを決定します。詳細については、

43 ページのセクション 5.3.4「推奨されるサーバセットアップ」を参照してください。

3. 識別ボールトのインストールに関する考慮事項を検討して、コンピュータが前提条件を満たしていることを確認します。詳細については、58 ページのセクション 7.1.2「識別ボールト

のインストールに関する前提条件と考慮事項」を参照してください。

4. 識別ボールトをホストするコンピュータのハードウェアおよびソフトウェア要件を確認します。詳細については、61 ページのセクション 7.1.4「識別ボールトのシステム要件」を参照


5. 識別ボールトのコンテナ名にピリオド (「.」) が含まれている場合は、エスケープ文字の使

用方法について理解します。詳細については、62 ページのセクション 7.2.1「コンテナ名に

ピリオド (「.」) が含まれている場合のエスケープ文字の使用」を参照してください。

識別ボールトのインストール 57

7.1.2 識別ボールトのインストールに関する前提条件と考慮事項

識別ボールトでは、ディレクトリを使用して、Identity Manager ソリューションを通じて同期され

たオブジェクトを格納します。次のセクションでは、識別ボールトのフレームワークとして使用する NetIQ eDirectory の展開の計画に役立つガイドラインを示します。

58 ページの「識別ボールトのインストールに関する前提条件」

60 ページの「クラスタ環境への識別ボールトのインストールに関する前提条件」

識別ボールトのインストールに関する前提条件

NetIQ では、識別ボールトのフレームワークとして eDirectory をインストールする前に、次の考慮

事項を確認することをお勧めします。

効率的なパフォーマンスが得られるよう、eDirectory インフラストラクチャ用のサーバには静

的 IP アドレスを設定する必要があります。サーバで DHCP アドレスを使用すると、eDirectoryで予測不可能な結果が発生する可能性があります。

すべてのネットワークサーバ間で時刻を同期します。NetIQ では、Network Time Protocol (NTP) の ntp オプションを使用することをお勧めします。

( 状況によって実行 ) セカンダリサーバをインストールするには、製品をインストールするパー

ティション内のレプリカがすべて、オンの状態になっている必要があります。

( 状況によって実行 ) 管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストー

ルするには、コンテナを作成し、そのコンテナをパーティションで分割します。次の権限を持っていることを確認します。

サーバを追加するパーティションに対するスーパバイザ権。

サーバを追加するコンテナに対するスーパバイザ権。

6. IPv6 アドレスを使用する環境における識別ボールトの使用方法について理解します。詳細

については、68 ページのセクション 7.2.4「識別ボールトサーバでの IPv6 アドレスの使用」

を参照してください。

7. LDAP 通信に必要なポートについて理解します。詳細については、68 ページのセクション

7.2.5「識別ボールトと通信するための LDAP の使用」を参照してください。

8. インストール手順については、次のいずれかのセクションを参照してください。

ガイド付きインストール ( ウィザード ) については、71 ページのセクション 7.3.1「ウィ

ザードを使用した識別ボールトのインストール」を参照してください。

サイレントインストール ( 無人インストール ) については、72 ページのセクション 7.3.2「識別ボールドのサイレントインストールと設定」を参照してください。

9. ( オプション ) ウイルス対策またはバックアップソフトウェアプロセスから、

eDirectory サーバ上の DIB ディレクトリを除外します。

10. ( オプション ) DIB ディレクトリをバックアップします。詳細については、『NetIQ eDirectory 管理ガイド』の「Backing Up and Restoring NetIQ eDirectory」を参照してくださ

い。

11. Identity Manager エンジンをインストールします。詳細については、83 ページの第 8 章「エ

ンジン、ドライバ、およびプラグインのインストールの計画」を参照してください。


58 識別ボールトのインストール

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html

すべての属性権 : W0.KAP.Security オブジェクトに対する読み込み権、比較権、および書き

込み権

属性権 : Security コンテナオブジェクトに対する読み込み権および比較権。

エントリ権 : Security コンテナオブジェクトに対するブラウズ権。

これらの権限は、レプリカ数が 3 未満の場合にレプリカを追加するために必要です。

( 状況によって実行 ) 管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストー

ルするには、ツリー内の少なくとも 1 台のサーバの eDirectory バージョンが、コンテナ管理者

として追加されるセカンダリの eDirectory バージョンと同じかそれ以上である必要がありま

す。追加されるセカンダリのバージョンのほうが新しい場合、ツリーの管理者は、コンテナ管理者を使用してセカンダリを追加する前に、スキーマを拡張する必要があります。

セカンダリサーバを追加できるように、eDirectory の設定中に、ファイアウォールの NetWare Core Protocol (NCP) ポート ( デフォルトは 524) を有効にする必要があります。さらに、必要

に応じて、次のデフォルトサービスポートも有効にできます。

LDAP ( 平文 ) - 389

LDAP ( セキュリティ保護 ) - 636

HTTP ( クリアテキスト ) - 8028

HTTP ( セキュリティ保護 ) - 8030

iManager など、eDirectory の管理ユーティリティを使用して、すべてのワークステーションに

Novell International Cryptographic Infrastructure (NICI) をインストールする必要があります。

NICI および eDirectory でサポートされているキーサイズは、大 4,096 ビットです。詳細につ

いては、『NetIQ eDirectory Installation Guide』の「Installing NICI」を参照してください。

( 状況によって実行 ) eDirectory ツリー内のコンテナの名前にピリオドが含まれている場合は、

インストール時、および既存のツリーにサーバを追加するときに、エスケープ文字を使用して、管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定する必要があります。詳細については、62 ページのセクション 7.2.1「コンテナ名にピリオド (「.」) が含

まれている場合のエスケープ文字の使用」を参照してください。

サーバ、およびドメイン対応ユーザオブジェクトを含む eDirectory ツリーのすべての部分に対

する管理権が必要です。既存のツリー内にインストールする場合は、スキーマを拡張しオブジェクトを作成するために、その Tree オブジェクトに対する管理権が必要です。

FAT ファイルシステムの場合、NTFS に比べてトランザクション処理の安全性が低いため、

eDirectory は NTFS パーティションにのみインストールできます。FAT ファイルシステムしか

ない場合は、次のいずれかを実行します。

この作業には、Windows の「ディスクの管理」を使用します。詳細については、

Windows サーバのマニュアルを参照してください。

新しいパーティションを作成し、NTFS としてフォーマットする。

CONVERT コマンドを使って、既存の FAT ファイルシステムを NTFS に変換する。

詳細については、Windows サーバのマニュアルを参照してください。

サーバに FAT ファイルシステムしか存在しないときに上記の措置をとらなかった場合は、イン

ストールプログラムによって NTFS パーティションを作成するよう指示されます。

新バージョンの Windows SNMP サービスを実行している必要があります。


https://www.netiq.com/documentation/edirectory-9/edir_install/data/bookinfo.html

インストールプロセスを開始する前に、Windows オペレーティングシステムが新のサービス

パックを実行していることを確認します。

DHCP アドレスが設定されている仮想マシン、または SLP がブロードキャストでない物理マシ

ンまたは仮想マシンにインストールするには、ディレクトリエージェントがネットワークで設定されていることを確認します。

クラスタ環境への識別ボールトのインストールに関する前提条件

NetIQ では、クラスタ環境に識別ボールトをインストールする前に、次の考慮事項を確認すること

をお勧めします。

クラスタリングソフトウェアがインストールされている2つ以上のWindowsサーバが必要です。

すべての識別ボールトおよび NICI データを格納するための十分なディスク容量を持つ、クラス

タソフトウェアがサポートしている外部共有ストレージが必要です。

識別ボールト DIB は、クラスタ共有ストレージに存在している必要があります。識別ボー

ルトの状態データは、サービスを現在実行しているクラスタノードで使用できるように、共有ストレージに配置する必要があります。

各クラスタノード上のルート識別ボールトインスタンスは、共有ストレージの DIB を使用

するよう設定する必要があります。

さらに、共有 NICI (NetIQ International Cryptographic Infrastructure) データを共有して、

サーバ固有のキーがクラスタノード間で複製されるようにすることも必要です。すべてのクラスタノードが使用する NICI のデータは、クラスタ共有ストレージに配置する必要が

あります。

NetIQ では、他のすべての eDirectory 設定およびログデータを共有ストレージに格納するこ

とをお勧めします。

仮想 IP アドレスが必要です。

( 状況によって実行 ) 識別ボールトのサポート構造として eDirectory を使用している場合、nds-cluster-config ユーティリティでは、ルート eDirectory インスタンスの設定のみがサポートされ

ます。クラスタ環境内での eDirectory の複数インスタンスの環境設定と、eDirectory の非ルー

トインストールはサポートされていません。

クラスタ環境内におけるアイデンティティボールドのインストールの詳細については、『NetIQ eDirectory Installation Guide』の「Deploying eDirectory on High Availability Clusters」を参照してく

ださい。

7.1.3 eDirectory の Identity Manager オブジェクトの理解

次のリストは、eDirectory に保存されている主要な Identity Manager オブジェクト、およびそれら

が互いにどのように関係しているのかを示しています。インストールプロセスでは、オブジェクトは作成されません。その代わり、Identity Manager ソリューションの設定時に Identity Manager オブジェクトを作成します。

ドライバセット : ドライバセットは Identity Manager ドライバおよびライブラリオブジェクト

を格納するコンテナです。1 つのサーバで一度にアクティブにできるドライバセットは 1 つだ

けです。ただし、複数のサーバを 1 つのドライバセットに関連付ける場合があります。また、

1 つのドライバは同時に複数のサーバと関連付けることができます。ただし、ドライバは一度

に 1 つのサーバでしか実行できません。そのドライバは他のサーバで無効化しておく必要があ

ります。ドライバセットに関連付けられているすべてのサーバには、Identity Manager サーバ

がインストールされている必要があります。




https://www.netiq.com/documentation/edir88/edirin88/data/bnew1gz.html

ライブラリ : ライブラリオブジェクトは共通に使用するポリシーのリポジトリで、複数の場所

から参照できます。ライブラリはドライバセットに保存されます。ドライバセットのすべてのドライバが参照できるようにライブラリにポリシーを配置できます。

ドライバ : ドライバは、アプリケーションと識別ボールト間の接続を提供します。また、シス

テム間でデータの同期や共有も可能にします。ドライバはドライバセットに保存されます。

ジョブ : ジョブは繰り返して実行されるタスクを自動化します。たとえば、ジョブを使用する

ことで、特定の日にアカウントを無効にしたり、ワークフローを開始して会社のリソースに対するユーザのアクセス権の拡張を要求したりするようにシステムを設定できます。ジョブはドライバセットに保存されます。

7.1.4 識別ボールトのシステム要件

このセクションでは、アイデンティティボールトをインストールするサーバの小要件について記載します。インストール、特にオペレーティングシステムに関するインストールについての前提条件と考慮事項を必ず確認してください。

注 : BTRFS ファイルシステムは、アイデンティティボールトではサポートされていません。

カテゴリ要件

プロセッサ 1GHz

ディスクスペース識別ボールト用に 300MB

50,000 ユーザごとに 150MB の追加のディスク容量

メモリ 2GB

オペレーティングシステム( 認定済み )

次のいずれかの 64 ビットオペレーティングシステム :

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

NetIQ では、Identity Manager をインストールする前に、製造元の自動更新機

能に従ってオペレーティングシステムの新パッチを適用することをお勧めします。

注 : 「認定済み」とは、完全にテストされてサポートされているオペレーティングシステムを意味します。

オペレーティングシステム( サポート )

認定済みオペレーティングシステムのサービスパックの新バージョン

注 : 「サポート」とは、まだテストされていないが機能することが想定されているオペレーティングシステムを意味します。

仮想化システム Hyper-V Server 2012 R2

VMWare ESX 5.0 以降

Hyper-V を使用した Windows Server 2012 R2 仮想化 ( サポート )

NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサポー

トするエンタープライズクラスの仮想化システムで Identity Manager をサポー

トします。仮想化システムのベンダーが該当のオペレーティングシステムを正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の

Identity Manager スタック全体をサポートします。


7.2 識別ボールトのインストールの準備識別ボールトの環境を適切に設定する必要があります。たとえば、サーバには、識別ボールトのツリー名をサーバ参照に解決するために使用できる方法 ( サービスまたは指定のファイル ) が存在し

ている必要があります。このセクションは、識別ボールトをインストールする前に、ご使用の環境を準備するために役立ちます。

7.2.1 コンテナ名にピリオド (「.」) が含まれている場合のエスケープ

文字の使用

サーバ名にピリオドが使用されている Windows サーバをディレクトリツリーに追加できます。た

とえば、O=netiq.com、C=u.s.a などです。ただし、ツリー内のコンテナの名前にピリオド (「.」) が含まれている場合は、エスケープ文字を使用する必要があります。次の考慮事項を確認してください。

サーバ名の先頭にピリオドを使用しないでください。たとえば、.netiq などです。

コンテナ名のピリオドは、円記号 (「\」) でエスケープします。次に例を示します。

O=novell\.com

または

C=a\.b\.c

iMonitor、iManager、DHost iConsole、DSRepair、Backup、DSMerge、DSLogin、および

ldapconfig などのユーティリティの、ドットが含まれている管理者名およびコンテキストを入力す

る場合も、エスケープ文字を使用してください。たとえば、iMonitor にログインする場合、ツリー

内の O の名前が netiq.com である場合、「'admin.netiq\.com'」または「admin.netiq\.com」と入力しま

す。

7.2.2 ツリー名を解決するための OpenSLP または hosts.nds の使用

識別ボールトインフラストラクチャをインストールする前に、サーバには、識別ボールトのツリー名をサーバ参照に解決するために使用できる方法 ( サービスまたは指定のファイル ) が存在してい

る必要があります。NetIQ では、サービスロケーションプロトコル (SLP) サービスを使用してツ

リー名を解決することをお勧めします。eDirectory の以前のバージョンには、OpenSLP が含まれて

いました。しかし、eDirectory 8.8 以降、OpenSLP は含まれなくなりました。SLP サービスを別途

インストールするか、hosts.nds ファイルを使用する必要があります。SLP サービスを使用する場合

は、サービスのディレクトリエージェント (SLPDA) が安定している必要があります。

この節では、次のトピックについて説明します。

63 ページの「hosts.nds ファイルを使用したツリー名の解決」

64 ページの「OpenSLP の理解」

66 ページの「識別ボールト用の SLP の設定」

ディレクトリサービス NetIQ eDirectory 9.1

カテゴリ要件


hosts.nds ファイルを使用したツリー名の解決

hosts.nds ファイルは、識別ボールトアプリケーションが識別ボールトパーティションおよびサーバ

を検索するために使用するスタティックなルックアップテーブルです。SLP DA がネットワークに

存在しない場合、このファイルは、SLP マルチキャストによる遅延を回避するために役立ちます。

各ツリーまたはサーバについて、次の情報を hosts.nds ファイルに 1 行で指定する必要があります。

サーバ名またはツリー名 : ツリー名は後続ドット (.) で終了します。

インターネットアドレス : DNS名の場合もあれば IPアドレスの場合もあります。localhostは使用

しないでください。

サーバポート : オプションです。インターネットアドレスにコロン (:) が付加されます。

サーバがデフォルト以外の NCP ポートをリスンする場合を除き、ファイル内のローカルサーバの

エントリを含める必要はありません。

hosts.nds ファイルを設定するには :

1 新しいファイルを作成するか、既存の hosts.nds ファイルを開きます。

2 次の情報を追加します。

partition_name.tree_name. host_name/ip-addr:port server_name dns-addr/ip-addr:port

次に例を示します。

# This is an example of a hosts.nds file:# Tree name Internet address/DNS Resolvable Name CORPORATE. myserver.mycompany.com novell.CORPORATE. 1.2.3.4:524

# Server name Internet address CORPSERVER myserver.mycompany.com:524

3 ( オプション ) 後で、SLP を使用してツリー名を解決し、識別ボールトツリーをネットワーク

で使用できるようにすることを決めた場合は、hosts.nds ファイルに次のテキストを追加しま

す。

/usr/bin/slptool findattrs services:ndap.novell///(svcname-ws==[treename or *])"

たとえば、svcname-ws 属性が値 SAMPLE_TREE と一致するサービスを検索するには、次のコマ

ンドを入力します。

/usr/bin/slptool findattrs services:ndap.novell///(svcname-ws==SAMPLE_TREE)"

注 : SLP および識別ボールトをインストールした後、この操作を実行します。

svcname-ws 属性が SAMPLE_TREE として登録されたサービスがある場合、出力は

service:ndap.novell:///SAMPLE_TREE のようになります。それ以外の場合、出力応答はありませ

ん。


OpenSLP の理解

OpenSLP は、IETF Service Location Protocol Version 2.0 規格のオープンソースによる実装です。

この規格は、IETF Request-For-Comments (RFC) 2608 で文書化されました。

OpenSLP ソースコードが提供するインタフェースは、SLP 機能にプログラム的にアクセスするた

めの別の IETF 規格を実装したもので、RFC 2614 で文書化されています。

SLP の動作を完全に理解するため、前述の文書を読んで修得することをお勧めします。読みやすい

文書ではありませんが、インターネットでの SLP の正しい設定を行うためには重要なドキュメント

です。

OpenSLP プロジェクトの詳細については、OpenSLP および SourceForge の Web サイトを参照し

てください。OpenSLP の Web サイトには、環境設定に関する貴重なヒントを含んださまざまな文

書があります。ただし、このガイドの公開時点では、これらのドキュメントの多くは未完成です。

このセクションでは、SLP の使用、および SLP が識別ボールトとどのように関連するかについて

説明します。このセクションには、次のトピックがあります。

64 ページの「NetIQ Service Location Providers」

64 ページの「ユーザエージェント」

65 ページの「サービスエージェント」

66 ページの「ディレクトリエージェント」

NetIQ Service Location Providers

Novell のバージョンの SLP では、強力なサービスアドバータイズ環境を提供するため、SLP 標準

が一部変更されます。しかし、このために一部の拡張性を犠牲にしています。

たとえば、サービスアドバータイズのフレームワークの拡張性を改善するために、サブネット上でのブロードキャストまたはマルチキャストのパケット数が制限されます。SLP の仕様では、これを

管理するために、ディレクトリエージェントのクエリに関してサービスエージェントおよびユーザエージェントに制限を加えています。必要なスコープに対応するための初に検出されたディレクトリエージェントは、サービスエージェント ( つまり結果的にローカルユーザエージェント ) がそ

のスコープ上の将来の要求すべてに使用するエージェントとなります。

NetIQ SLP を実装すると、クエリ情報の検索について既知のディレクトリエージェントをすべてス

キャンします。スキャンの所要時間は 300 ミリ秒とかなり長く、したがって、約 3 ～ 5 秒以内で

10 台のサーバしかスキャンできません。SLP がネットワーク上で正しく設定されている場合には

このような検索の必要はありません。OpenSLP では、ネットワークが実際に SLP トラフィック用

に設定されていると見なされます。OpenSLP の応答タイムアウト値は NetIQ の SLP サービスプロ

バイダの応答タイムアウト値よりも大きい値です。ディレクトリエージェント数は、エージェントの情報が正確で完全であるかどうかに関係なく、初に応答するディレクトリエージェントに制限されます。

ユーザエージェント

ユーザエージェント (UA) の物理形式は、アプリケーションにリンクされたスタティックライブラ

リまたはダイナミックライブラリです。ユーザエージェントにより、アプリケーションは SLP サー

ビスに対して問い合わせることができます。ユーザエージェントは、クライアントがサービスを問


http://www.ietf.org/rfc/rfc2608.txt?number=2608

http://www.ietf.org/rfc/rfc2614.txt?number=2614

http://www.OpenSLP.org

http://sourceforge.net/projects/openslp

い合わせたり、サービスがそれ自体を通知するためのプログラムインタフェースを提供します。ユーザエージェントはディレクトリエージェントに接続し、指定したスコープ内の指定したサービスクラスに登録されたサービスを問い合わせます。

ユーザエージェントは、アルゴリズムに従って、クエリの送信先になるディレクトリエージェントのアドレスを取得します。指定したスコープのディレクトリエージェントの (DA) アドレスを取得

すると、ユーザエージェントはそのスコープから応答がなくなるまで同じアドレスを使用し続けます。応答がなくなると、ユーザエージェントはそのスコープに対する別の DA アドレスを取得しま

す。ユーザエージェントは、指定されたスコープのディレクトリエージェントのアドレスを次の方法で検索します。

1 現在の要求のソケットハンドルが、指定したスコープの DA に接続されているかどうかを確認

する。複数の要求の場合は、すでにキャッシュ化された接続がある可能性がある。

2 指定したスコープと一致している DA の、既知のローカル DA キャッシュをチェックする。

3 指定したスコープでローカルサービスエージェント (SA) に対して DA を確認する ( その後

キャッシュに新しいアドレスを追加します )。

4 指定したスコープに一致する DA のネットワーク設定済みのアドレスを DHCP に問い合わせる

( その後キャッシュに新しいアドレスを追加します )。

5 既知のポートで DA の検出要求をマルチキャストする ( その後キャッシュに新しいアドレスを

追加します )。

スコープを指定しない場合、指定スコープは「デフォルト」になります。つまり、SLP 設定ファイ

ルで静的に定義されたスコープがなく、クエリでスコープを指定していない場合は、使用されるスコープは「デフォルト」という単語になります。また、識別ボールトの登録では、スコープを指定しないことに注意してください。スコープが静的に設定されている場合、そのスコープが、すべてのローカル UA 要求および SA 登録に対して、指定したスコープがない場合のデフォルトのスコー

プになります。

サービスエージェント

サービスエージェントの物理形式は、ホストマシン上での個別のプロセスです。slpd.exe は、ロー

カルマシン上でサービスとして実行されます。ユーザエージェントは、既知のポート上のループバックアドレスにメッセージを送信することによって、ローカルサービスエージェントを問い合わせます。

サービスエージェントは、SLP で登録されたローカルサービスを持続的に格納し、維持する場所を

提供します。サービスエージェントは主として、登録済みのローカルサービスをメモリ内データベースとして維持します。この場合、サービスはローカル SA がない限り SLP で登録できません。

クライアントがサービスを検出するのは UA ライブラリ内のみですが、登録するには SA が必要で

す。これは主に、ディレクトリエージェントを受信して登録を維持するためには、登録済みサービスの存在を SA が定期的に表明する必要があるためです。

サービスエージェントは、潜在 DA アドレスに DA 検出要求を直接送信することにより、ディレク

トリエージェントおよびそれがサポートするスコープリストを検出してキャッシュします。DA 検

出要求は、次の方法で送信されます。

1 静的に設定された DA アドレスをすべてチェックする ( その後 SA の既知の DA キャッシュに新

しい DA アドレスを追加します )。

2 DHCP から DA とスコープのリストを要求する ( その後 SA の既知の DA キャッシュに新しい

リストを追加します )。


3 既知のポートで DA の検出要求をマルチキャストする ( その後 SA の既知の DA キャッシュに新

しいポートを追加します )。

4 DA によって定期的にブロードキャストされた DA のアドバータイズパケットを受信する ( その

後 SA の既知の DA キャッシュに新しいアドバータイズパケットを追加します )。

ユーザエージェントは常に、初にローカルサービスエージェントに対して問い合わせます。ローカルサービスエージェントの応答によってユーザエージェントが次の検出段階を続行するかどうかが決定されるため、このことは重要な点です (DHCP のこのケースについては、64 ページの「ユー

ザエージェント」のステップ 3 およびステップ 4 を参照してください )。

ディレクトリエージェント

ディレクトリエージェントは、通知されたサービスに対して長期間持続的にキャッシュを提供し、ユーザエージェントがサービスを検索するためのアクセスポイントとなります。キャッシュ機能を提供する DA は、SA が新しいサービスを通知するのを受信し、これらの通知をキャッシュします。

DA のキャッシュは、短時間でいっぱいになるか、完了します。ディレクトリエージェントは、期

限切れのアルゴリズムを使用してエントリキャッシュを有効期限切れにします。ディレクトリエージェントが起動すると、持続的な格納領域 ( 通常はハードドライブ ) からキャッシュを読み込み、

アルゴリズムに従ってエントリを有効期限切れにします。新しい DA が起動したり、キャッシュが

削除されると、DA はこの条件を検出して受信中のすべての SA に特別な通知を送信します。SAは、DA が直ちにキャッシュを作成できるようにローカルデータベースをダンプします。

ディレクトリエージェントが存在しない場合、UA は SA が応答できる一般的なマルチキャスト方式

のクエリを使用し、DA がキャッシュを作成するのとほぼ同じ方法で、要求されたサービスのリス

トを作成します。このクエリによって返されるサービスのリストは、DA が提供するリストと比較

すると不完全かつ局所的です。特に、多くのネットワーク管理者が使用するマルチキャスト方式でのフィルタ処理では、ブロードキャストおよびマルチキャストの対象がローカルサブネットのみに制限されるためです。

つまり、指定されたスコープに対してユーザエージェントが検索するものは、すべてディレクトリエージェントに依存します。

識別ボールト用の SLP の設定

%systemroot%/slp.conf ファイル内の次のパラメータによって、ディレクトリエージェントの検出が

制御されます。

net.slp.useScopes = comma-delimited scope listnet.slp.DAAddresses = comma-delimited address listnet.slp.passiveDADetection = <"true" or "false">net.slp.activeDADetection = <"true" or "false">net.slp.DAActiveDiscoveryInterval = <0, 1, or a number of seconds>

useScopes SA の通知先のスコープ、およびサービスまたはクライアントアプリケーションで作成された

登録またはクエリに指定したスコープが存在しない場合にクエリが作成されるスコープを示します。識別ボールトは常にデフォルトのスコープに通知し、問い合わせを行うため、このリストが識別ボールトのすべての登録およびクエリに対するデフォルトのスコープリストになります。


DAAddresses コンマで区切られた IP アドレスのリストで、アドレスは 10 進数とドットで表記されます。こ

のアドレスが他のすべてに対して優先されます。設定された DA のこのリストが登録またはク

エリのスコープをサポートしない場合、検出を無効にしていない限りは、SA および UA はマ

ルチキャスト方式で DA を検出します。

passiveDADetection デフォルトでは True です。ディレクトリエージェントは、設定に応じて定期的にそれ自体の存

在をサブネットの既知のポート上にブロードキャストします。これらのパケットはDAAdvert パケットと名付けられます。このオプションに「FALSE」を設定した場合、ブロー

ドキャスト方式のすべての DAAdvert パケットは SA に無視されます。

activeDADetection デフォルトでは True です。この設定により、SA はすべての DA に対して、指示された

DAAdvert パケットで応答するように、定期的にブロードキャスト方式で要求できます。指示

されたパケットはブロードキャストではありませんが、この要求に対する応答では SA に直接

送信されます。このオプションに「FALSE」を設定した場合、SA は定期的な DA の検出要求

をブロードキャストしません。

DAActiveDirectoryInterval tri-state パラメータを表します。デフォルト値は 1 です。これは、初期化の際に、SA が DA の

検出要求を 1 回送る設定であることを意味する特別な値です。このオプションに 0 を設定する

と、activeDADetection オプションに「FALSE」を設定した場合と結果は同じです。その他の

値は、検出をブロードキャストする間隔を秒数で表します。

このオプションを正しく使用すると、サービスアドバータイズに使用するネットワーク帯域幅を適切に設定できます。ただし、デフォルト設定は平均的なネットワークで拡張性を適化するように設計されています。

7.2.3 識別ボールトのパフォーマンスの向上

識別ボールトの基盤となるインフラストラクチャである eDirectory は、プロセッサ集約というより

は I/O 集約アプリケーションです。識別ボールトのパフォーマンスを向上させる 2 つの要因は、

キャッシュメモリの量を増やすことと、プロセッサの処理速度を上げることです。適な結果を得るためには、ハードウェアで可能な限り多くの DIB (Directory Information Base) セットをキャッ

シュに入れるようにします。

eDirectory は単一のプロセッサで適切にスケーリングされますが、複数のプロセッサの使用を検討

することも考えられます。プロセッサを追加すると、ユーザログインなどの領域でパフォーマンスが向上します。さらに、複数のプロセッサ上で複数のスレッドをアクティブにすることによってもパフォーマンスが向上します。

次の表は、eDirectory 内で想定されるオブジェクトの数に基づく、サーバ設定の一般的なガイドラ

インを示しています。

オブジェクトメモリハードディスク

100.000 384MB 144MB

100 万 4GB 1.5GB

1,000 万 2GB 以上 15GB


たとえば、標準スキーマを使用する基本的な eDirectory のインストールでは、50,000 ユーザごとに

約 74MB の空きディスク容量が必要です。ただし、新しい属性のセットを追加したり、既存の属性

をすべて使用すると、オブジェクトのサイズは拡大します。それに対応して、必要な空きディスク容量、プロセッサ、およびメモリが変わります。また、プロセッサの要件は、コンピュータで利用できる追加サービス、およびコンピュータが処理している認証と読み書きの数によっても決まります。暗号化や索引付けなどの処理では、プロセッサが集中して使用されることがあります。

7.2.4 識別ボールトサーバでの IPv6 アドレスの使用

識別ボールトでは、IPv4 アドレスと IPv6 アドレスの両方がサポートされています。識別ボールト

のインストール時に、IPv6 アドレスを有効にできます。以前のバージョンからアップグレードする

場合、IPv6 アドレスを手動で有効にする必要があります。

識別ボールトでは、デュアル IP スタック方式、トンネル方式、およびピュア IPv6 移行方式をサ

ポートしています。グローバルの IP アドレスのみがサポートされます。次に例を示します。

[::]

[::1]

[2015::12]

[2015::12]:524

IPv6 アドレスは、角かっこ [ ] で囲んで指定する必要があります。IP アドレスではなく、ホスト名

を用いる場合、C:\Windows\System32\drivers\etc\hosts ファイルで名前を指定し、それを IPv6 アドレ

スに関連付ける必要があります。

Windows サーバで IPv6 アドレスを使用するには、インストール時に［IPV6 の初期設定］の下の

［IPV6 を有効にする］チェックボックスを選択する必要があります。このオプションにより、

IPv6 アドレスに対して、NCP、HTTP、および HTTPS プロトコルが有効になります。インストー

ルプロセス中に IPv6 アドレスを有効にせず、後から使用することにした場合は、セットアッププロ

グラムを再度実行する必要があります。詳細については、70 ページの第 7.3 章「識別ボールトのイ

ンストール」を参照してください。

リンク http://[2015::3]:8028/nds を使用して、IPv6 アドレスを介して iMontior にアクセスできます。

7.2.5 識別ボールトと通信するための LDAP の使用

識別ボールトをインストールする場合、LDAP サーバが監視するポートを指定して、LDAP 要求を

処理できるようにする必要があります。デフォルトの設定では、平文と SSL/TLS のポート番号とし

て 389 と 636 が設定されます。

LDAP 単純バインドでは、DN およびパスワードのみが要求されます。パスワードは平文形式です。

ポート 389 を使用する場合、すべてのパケットは平文形式です。ポート 389 では平文が使用できる

ため、LDAP サーバサービスではこのポートを通じて eDirectory への読み込みおよび書き込みを処

理します。このポートの使用は開放性が高く、通信に妨害を受けることがなく、パケットが不正受信されない信頼性の高い環境に適しています。デフォルトでは、インストールの実行中にこのオプションは使用できません。

ポート 636 を通じた接続は暗号化されます。TLS( 以前の SSL) によって暗号化が管理されます。

ポート 636 への接続では、自動的にハンドシェークをインスタンス生成します。ハンドシェークが

失敗した場合、接続は拒否されます。


注 : インストールプログラムにより、TLS/SSL 通信用にデフォルトでポート 636 が選択されます。

この設定をデフォルトで選択することで、ローカル LDAP サーバに問題が発生する場合がありま

す。eDirectory がインストールされる前にホストサーバにロードされているサービスがポート 636を使用している場合は、別のポートを指定する必要があります。eDirectory 8.7 以前のインストール

では、この競合は致命的なエラーとみなされ、nldap はアンロードされます。eDirectory 8.7.3 以降、

インストールプログラムによって nldap がロードされ、dstrace.log ファイルにエラーメッセージが記

録されて、セキュリティ保護されたポートを使用せずに実行されます。

インストールプロセスで、平文パスワードおよび他のデータの使用を禁止するように識別ボールトを設定できます。［パスワードとの単純バインドに TLS を必要とする］オプションによって、閲覧可

能なパスワードの送信ができないようになっています。この設定を選択しない場合、ユーザは別の人がパスワードを閲覧しても気が付きません。このオプションは接続を許可しないように設定するもので、平文ポートにのみ適用できます。ポート 636 に対してセキュリティ保護された接続を行

い、単純バインドを実行する場合は、接続はその時点ですでに暗号化されています。このため、パスワード、データパケット、またはバインド要求を閲覧することはできません。

次のシナリオを検討します。

［パスワードとの単純バインドに TLS を必要とする］オプションが有効の場合ユーザはパスワードを要求するクライアントを使用しています。パスワードを入力した後、クライアントはサーバに接続します。ただし、LDAP サーバでは平文ポートからサーバにバイン

ドする接続は許可されていません。誰でもユーザのパスワードを見ることができますが、ユーザはバインド接続できません。

ポート 636 がすでに使用されている場合ローカルサーバで Active Directory を実行しています。Active Directory では、ポート 636 を使

用して LDAP プログラムを実行しています。eDirectory をインストールします。インストール

プログラムによってポート 636 がすでに使用されていることが検出されるため、NetIQ LDAP サーバにポート番号は割り当てられません。LDAP サーバはロードを開始し、実行され

ているように見えますが、。LDAP サーバではすでに開いているポートを複製または使用できな

いため、複製されたポートでの要求は LDAP サーバで処理されません。

ポート 389 またはポート 636 が NetIQ LDAP サーバに割り当てられているかどうかを確認する

には、ICE ユーティリティを実行します。［ベンダバージョン］フィールドに NetIQ が指定さ

れていない場合は、eDirectory の LDAP Server を再設定し、別のポートを選択する必要があり

ます。詳細については、『NetIQ eDirectory 管理ガイド』の「LDAP サーバが実行されているか

確認する」を参照してください。

Active Directory が実行中の場合 Active Directory が実行中であり、平文ポート 389 が開いている場合、ポート 389 に ICE コマ

ンドを実行し、ベンダーバージョンを問い合わせることができます。レポートに［Microsoft*］が表示されます。次に、別のポートを選択して NetIQ LDAP サーバを再設定します。

eDirectory LDAP サーバが LDAP の要求を処理できるようになります。

また、iMonitor では、ポート 389 または 636 がすでに開かれているかどうかもレポートされま

す。LDAP サーバが動作していない場合、iMonitor を使用して、詳細を特定します。詳細につ

いては、『NetIQ eDirectory 管理ガイド』の「LDAP サーバが実行されているか確認する」を参






7.2.6 管理ユーティリティがインストールされているワークステーションへの NICI の手動インストール

iManager などの管理ユーティリティを使用するすべてのワークステーションに NICI をインストー

ルする必要があります。NICI を識別ボールトとともに使用する方法の詳細については、58 ページ

の「識別ボールトのインストールに関する前提条件」を参照してください。

NICI をインストールするには、NICI_wx64.msi ファイルを使用します。このファイルは、デフォル

トでは products\eDirectory\processor_type\windows\processor_type\nici フォルダにあります。ガイド付き

プロセス ( ウィザード ) として、またはサイレントインストールとしてファイルを実行できます。

7.2.7 NMAS クライアントソフトウェアのインストール

NMAS ログインメソッドを使用する各クライアントワークステーションに、NetIQ Modular Authentication Service (NMAS) クライアントソフトウェアをインストールする必要があります。識

別ボールトをインストールするときにログインメソッドを指定します。

1 管理者アカウントを使用して、クライアントワークステーションにログインします。

2 インストールディレクトリから nmasinstall.exe プログラムを実行します。デフォルトでは、

Win:\products\eDirectory\processor_type\nmas\ にあります。

3［NMAS クライアントコンポーネント］をクリックします。

4 ( オプション ) NICI コンポーネントをインストールする NICI オプションを選択します。

5［OK］をクリックします。

6 インストールプロセスが完了したら、クライアントワークステーションを再起動します。

7.3 識別ボールトのインストールインストールプログラムは、ユーザによる識別ボールトの環境設定を支援します。インストールプログラムは、デフォルトで自動的にウィザードモードになります。ただし、サイレントインストールを実行することも可能です。

このセクションは、識別ボールトのベース構造として eDirectory を使用することを前提としていま

す。

インストールプログラムを起動すると、インストールプログラムは、Novell International Cryptographic Infrastructure (NICI) および Novell Client for Windows についてチェックします。必要

に応じて、インストールプログラムによって、それらのコンポーネントがインストールまたは更新されます。すでに Novell Client があるコンピュータに識別ボールトをインストールすると、

eDirectory は既存の Novell Client を使用します。Novell Client がなくても、識別ボールトをインス

トールできます。

NICI の詳細については、『Novell International Cryptographic Infrastructure Administration Guide』を

参照してください。Client の詳細については、Novell Client for Windows のマニュアルを参照してく

ださい。

インストールプログラムにより、NetIQ Module Authentication Service (NMAS) のサーバコンポーネ

ントをインストールできます。インストール時に、NMAS で使用するログインメソッドを指定する

必要があります。また、NMAS ログインメソッドを使用する各クライアントワークステーション

に、NMAS クライアントソフトウェアをインストールすることも必要です。


http://www.novell.com/documentation/lg/noclienu/index.html

注

eDirectory 8.8 から、すべてのユーティリティで大文字 / 小文字を区別したパスワードを使用で

きるようになりました。

コンテナ名にはピリオド ( ドット ) を使用することができます。コンテナ名にドットを使用する

場合の詳細については、「58 ページのセクション 7.1.2「識別ボールトのインストールに関する

前提条件と考慮事項」」を参照してください。

7.3.1 ウィザードを使用した識別ボールトのインストール

1 eDirectory をインストールするコンピュータに管理者ユーザとしてログインします。

2 \products\eDirectory\x64\ ディレクトリに移動します。

3 eDirectory_910_windows_x86_64.exe ファイルを実行します。

4［Basic ( 基本 )］タブで、次の詳細を指定します。

［新しいツリー］を選択する場合は、次の詳細を指定します。

Tree Name: 識別ボールトのツリー名を指定します。

Server FDN ( サーバ FDN): サーバ FDN を指定します。

注 : 識別ボールトでは、NCP サーバオブジェクトの FDN を大 256 文字まで設定で

きますが、このオブジェクトの長さに基づいて他のより長いオブジェクトが作成されるため、この変数をずっと小さい値に制限することをお勧めします。

Tree Admin ( ツリー管理者 ): 識別ボールトの管理者名を指定します。 Admin Password: 管理者パスワードを指定します。

［Existing Tree ( 既存のツリー )］を選択する場合は、次の詳細を指定します。

IP アドレス : 識別ボールトの既存ツリーの IP アドレスを指定します。

ポート番号 : 既存のツリーのポート番号を指定します。デフォルトは 524 です。

Server FDN ( サーバ FDN): サーバ FDN を指定します。

Tree Admin ( ツリー管理者 ): 識別ボールトの既存の管理者名を指定します。 Admin Password: 管理者パスワードを指定します。

5 ( 状況によって実行 )［詳細］タブで、次の詳細を指定します。

識別ボールトサーバで IPv6 アドレスを使用するには、［Enable IPv6 (IPv6 を有効にする )］を選択します。

注 : NetIQ では、このオプションを有効にすることをお勧めします。インストール後に

IPv6 アドレス指定を有効にするには、セットアッププログラムを再度実行する必要があり

ます。

拡張バックグラウンド認証 (EBA) を有効にする場合は、［EBA を有効にする］を選択します。

HTTP 平文およびセキュアポートを指定します。デフォルト値はそれぞれ 8028 と 8030 で

す。

LDAP 平文およびセキュアポートを指定します。デフォルト値はそれぞれ 389 と 636 です。

6［インストール場所］フィールドで、識別ボールトがインストールされる場所を指定します。


7［DIB Location (DIB の場所 )］フィールドで、DIB ファイルが配置される場所を指定します。

8［インストール］をクリックして、インストールを続行します。

7.3.2 識別ボールドのサイレントインストールと設定識別ボールトのサイレント ( 無人 ) インストールまたは設定をサポートするために、(Windows. ni ファイルに類似した ) セクションとキーを含む response.ni ファイルを使用できます。

注 : NetIQ SecreStore (ss) をインストールして設定する必要があります。詳細については、80 ペー

ジのセクション 7.4.1「アイデンティティボールトスキーマへの SecretStore の追加」を参照してく

ださい。

response.ni ファイルの編集

ASCII テキストエディタを使用して、response.ni ファイルを作成および編集できます。レスポンス

ファイルは、次の操作に役立ちます。

必要なすべてのユーザ入力が用意された完全無人インストールの実行。

コンポーネントのデフォルト設定の定義。

インストール中のすべてのプロンプトのバイパス .

NetIQ では、インストールキットの products\eDirectory\x64\windows\x64\NDSonNT フォルダに

response.ni ファイルが用意されています。このファイルには、必須パラメータのデフォルト設定が

含まれています。NWI:NDS セクションの eDirectory インスタンスの値を編集する必要があります。

注 : response.ni ファイルを編集する場合、キーと値のペアを結ぶ等号記号 (「=」) の前後にスペー

スが入らないようにしてください。

警告 : 無人インストールで使用する response.ni ファイルで、管理者ユーザ資格情報を指定します。

管理者資格情報が危険にさらされることを防ぐには、インストールまたは設定後にこのファイルを永久に削除する必要があります。

次のセクションでは、response.ni ファイルで必要なセクションおよびキーについて説明します。

73 ページの「NWI:NDS」

75 ページの「NWI:NMAS (NMAS メソッド )」

76 ページの「eDir:HTTP ( ポート )」

76 ページの「Novell:Languages:1.0.0 ( 言語設定 )」

76 ページの「Initialization」

77 ページの「NWI:SNMP」

77 ページの「EDIR:SLP」

77 ページの「Novell:ExistingTree:1.0.0」

78 ページの「Selected Nodes」

78 ページの「Novell:NOVELL_ROOT:1.0.0」


NWI:NDS

Upgrade Mode

インストールプログラムをアップグレードとして実行するかどうかを指定します。有効な値は、False、True、および Copy です。

モード実行するインストールのタイプを指定します。

full では、識別ボールトのインストールと設定の両方を実行できます。アイデンティティ

ボールトの新規インストールと設定、または必須ファイルのみのアップグレードと設定を実行する場合は、この値を指定します。

install では、識別ボールトの新規バージョンのインストールまたは必要なファイルのアッ

プグレードを実行できます。

configure では、識別ボールト設定の変更を実行できます。必須ファイルのアップグレー

ドのみを実行する場合、インストールプログラムはアップグレードしたファイルだけを設定します。

注

configure を指定した場合、[Initialization] セクション内の ConfigurationMode キーの

RestrictNodeRemove 値を変更しないようにしてください。

full を指定した場合は、識別ボールトのアンインストール時に、個別の設定解除およびアン

インストールオプションを選択することはできません。

新しいツリーこのインストールが新しいツリー向けのものであるか、セカンダリサーバ向けのものであるかを指定します。有効な値は、Yes および No です。たとえば、新しいツリーをインストールす

る場合は、Yes を指定します。既存のツリー向けの値の指定の詳細については、77 ページの「Novell:ExistingTree:1.0.0」を参照してください。

Tree Name これが新規のインストールである場合は、インストールするツリーの名前を指定します。セカンダリサーバをインストールするには、サーバの追加先のツリーを指定します。

サーバ名識別ボールトにインストールするサーバの名前を指定します。

Server Container サーバオブジェクトの追加先となるツリー内のコンテナオブジェクトを指定します。サーバオブジェクトには、識別ボールトサーバに固有の設定の詳細がすべて含まれています。識別ボールトの新規バージョンをインストールする場合、インストールプログラムにより、サーバオブジェクトとともにこのコンテナが作成されます。

Server Context サーバオブジェクトの完全な識別名 (DN) と、コンテナオブジェクトを指定します。たとえば、

識別ボールトサーバが EDIR-TEST-SERVER で、コンテナが Netiq である場合、EDIR-TEST-SERVER.Netiq と指定します。


Admin Context 管理者オブジェクトの追加先となるツリー内のコンテナオブジェクトを指定します。たとえば、Netiq などです。ツリーに追加されたユーザにはユーザオブジェクトがあり、そこにユーザ

固有の詳細情報がすべて入っています。識別ボールトの新規バージョンをインストールする場合、インストールプログラムにより、サーバオブジェクトとともにこのコンテナが作成されます。

Admin Login Name 少なくともこのサーバの追加先のコンテキストに対してフル権限を持つ、ツリー内の管理者オブジェクトの相対識別名 (RDN) を指定します。たとえば、Admin などです。インストールプロ

グラムは、ツリー内でのすべての操作にこの名前を使用します。

管理者パスワード管理者オブジェクトのパスワードを指定します。たとえば、netiq123 です。識別ボールトの新

規バージョンをインストールする場合、インストールプログラムにより、管理者オブジェクトのこのパスワードが設定されます。

NDS Location 識別ボールトライブラリおよびバイナリのインストール先となるローカルシステムのパスを指定します。識別ボールトコンポーネントを設定する際、関連するファイルのこのインストール場所が参照されます。デフォルトでは、インストールプログラムは C:\Novell\NDS にファイルを

配置します。

DataDir DIB ファイルのインストール先となるローカルシステムのパスを指定します。デフォルトで

は、インストールプログラムは C:\Novell\NDS\DIBFiles にファイルを配置します。

ご使用の環境の DIB データファイルが、デフォルトの場所で使用可能な容量を超える容量を必

要としている場合は、別のパスを指定することもできます。

Installation Location

( オプション ) NDS の場所にファイルをコピーするときにインストールプログラムによって使

用されるパスを指定します。たとえば、[Novell:DST:1.0.0_Location]、Path=file://C:\Novell\NDS な

どです。デフォルト値は C:\Novell\NDS です。これは、NDS の場所のデフォルトと同じです。

インストールプログラムは、指定された NDS および DataDir の場所にファイルをコピーする

とき、このパスを使用します。

System Location ( オプション ) 識別ボールトサーバのインストール先コンピュータのシステムフォルダへのパ

スを指定します。たとえば、[Novell:SYS32_DST:1.0.0_Location]、Path=file:/C:\Windows\system32などです。インストールプログラムは、インストール中に DLL をコピーしてシステム固有の

ファイルにアクセスする際に、システムフォルダへのアクセス権を必要とします。

Require TLS ( オプション ) LDAP 要求を平文で受信するとき、識別ボールトで Transport Layer Security (TLS) プロトコルを必要とするかどうかを指定します。

LDAP TLS Port ( オプション ) 識別ボールトが平文の LDAP 要求をリスンするポートを指定します。


LDAP SSL Port ( オプション ) 識別ボールトが Secure Sockets Layer (SSL) プロトコルを使用して LDAP 要求

をリスンするポートを指定します。

Install as Service ( サービスとしてインストール ) eDirectory をサービスとしてインストールするよう、インストールプログラムに指示します。

Yes を指定する必要があります。

Prompt ( プロンプト ) インストールプログラムによって、ツリー名やサーバ名などの決定を求めるプロンプトを表示するかどうかを指定します。たとえば、サイレントまたは無人インストールの場合は、Falseを指定します。

NWI:NMAS (NMAS メソッド )

識別ボールトでは、インストール時とアップグレード時の両方で、複数の NMAS メソッドがサポー

トされています。response.ni ファイルで NDS NMAS メソッドを指定する必要があります。

NMAS メソッドを何も指定しないと、インストールプログラムにより、デフォルトで NDS メソッ

ドがインストールされます。ただし、明示的リストを作成している場合は、NDS を含める必要があ

ります。

Choices インストールする NMAS メソッドの数を指定します。たとえば、5 と入力します。

Methods インストールする NMAS メソッドのタイプを指定します。複数のタイプを指定するには、カン

マで区切ります。たとえば、CertMutual,Challenge Response,DIGEST-MD5,NDS などです。

インストールプログラムは、インストールする NMAS メソッドを選択するため、文字列の正確

な比較 ( 大文字 / 小文字を区別 ) を行います。そのため、記載されているとおり正確に値を指

定する必要があります。

CertMutual

Challenge Response - NetIQ チャレンジ / レスポンス方式 NMAS メソッド。

DIGEST-MD5

高度なパスワード

Entrust

GSSAPI - eDirectory 用 SASL GSSAPI メカニズム。Kerberos チケットを使用して、LDAP を

介して行われる識別ボールトの認証。

NDS - デフォルトのログインメソッド。REQUIRED.

NDS パスワード変更

単純パスワード

Universal Smart Card

X509 拡張証明書

X509 Certificate

レスポンスファイルで NMAS メソッドを指定する際、識別ボールトは、ユーザ入力のプロンプトを

出さずに、インストール中にステータスメッセージを表示します。


eDir:HTTP ( ポート )

識別ボールトは、Web を介したアクセスのために事前設定された HTTP ポートをリスンします。た

とえば、iMonitor は、Web インタフェースを介して識別ボールトにアクセスします。適切なアプリ

ケーションにアクセスするには、特定のポートを指定する必要があります。次のオプションを使用して、特定のポートに対して識別ボールトを設定できます。

平文 HTTP ポート

平文での HTTP 操作のためのポート番号を指定します。

SSL HTTP ポート SSL プロトコルを使用した HTTP 操作のためのポート番号を指定します。

Novell:Languages:1.0.0 ( 言語設定 )

インストール時、識別ボールトのロケールおよび表示言語 ( 英語、フランス語、日本語 ) を指定で

きます。これらの値は相互排他的です。

LangID4 英語を表します。たとえば、LangID4=true などです。

LangID6 フランス語を表します。

LangID9 日本語を表します。

注

複数の言語に true を指定しないでください。

インストールプロセス全体でメッセージの表示に使用される言語を指定することもできます。

詳細については、76 ページの「Initialization」を参照してください。

Initialization

response.ni ファイルの [Initialization] セクションでは、インストールプロセスの設定を指定します。

DisplayLanguage インストールプロセスで表示されるメッセージで使用される言語を指定します。たとえば、DisplayLanguage=en_US などです。

InstallationMode

インストールプロセスの実行方法を指定します。たとえば、サイレントまたは無人インストールを実行するには、silent を指定します。

SummaryPrompt インストール設定の概要を確認することを求めるプロンプトを表示するかどうかを指定します。たとえば、サイレントまたは無人インストールの場合は、false を指定します。


確認メッセージ決定を求めるプロンプトを表示するかどうかを指定します。たとえば、サイレントまたは無人インストールの場合は、false を指定します。

NWI:SNMP

ほとんどの Windows サーバでは、SNMP が設定され、動作しています。識別ボールトをインス

トールするときは、SNMP サービスを停止し、プロセスの完了後に再起動する必要があります。手

動インストールでは、インストールを続行する前に SNMP サービスを停止するよう求めるプロンプ

トが表示されます。

サイレントまたは無人インストールでプロンプトを表示しないで SNMP サービスを停止するには、

response.ni ファイルの [NWI:SNMP] セクションで、Stop Service=yes と指定します。

EDIR:SLP

識別ボールトは、インストール時やアップグレード時、Service Location Protocol (SLP) サービスを

使用して、サブネット内の他のサーバやツリーを特定します。SLP サービスがすでにサーバにイン

ストールされている場合、識別ボールトの現在のバージョンに付属しているバージョンに置き換えるか、独自の SLP サービスを使用することができます。

Need to uninstall service ( サービスのアンインストールが必要 ) サーバにインストールされている SLP サービスをアンインストールするかどうかを指定しま

す。デフォルト値は、true です。

Need to remove files ( ファイルの削除が必要 ) サーバにインストールされている SLP サービスのファイルを削除するかどうかを指定します。

デフォルト値は、true です。

Novell:ExistingTree:1.0.0

インストールプログラムには、プライマリサーバまたはセカンダリサーバをネットワークに無人インストールする際に使用できるオプションがあります。インストールプログラムは、3 つの異なる

キーを使用して、新しいツリーをインストールするのか、既存のツリーにセカンダリサーバをインストールするのかを判断します。

注 : New Tree キーは、NWI:NDS セクションにあります。詳細については、73 ページの「NWI:NDS」を参照してください。

ExistingTreeYes 有効な値は、True および False です。たとえば、新しいツリーをインストールする場合は、

False を指定します。

ExistingTreeNo 有効な値は、True および False です。たとえば、新しいツリーをインストールする場合は、

True を指定します。

プライマリサーバまたはセカンダリサーバのインストールに関する決定を求めるプロンプトを表示しないでサイレントまたは無人インストールを実行するには、response.ni ファイルの Existing Tree セクションで、prompt=false と指定します。


Selected Nodes

response.ni ファイルのこのセクションには、識別ボールトにインストールされたコンポーネントと、

コンポーネントに関する詳細情報 ( ソースの場所、コピー先の場所、コンポーネントのバージョン

など ) が格納されたプロファイルデータベースの情報が一覧表示されます。プロファイルデータ

ベース内の詳細情報は、識別ボールトのリリースで提供される .db ファイルに蓄積されます。

コピー先の場所やバージョンに関する詳細など、決定を求めるプロンプトを表示しないでサイレントまたは無人インストールを実行するには、response.ni ファイルの [Selected Nodes] セクションで、

prompt=false と指定します。

レスポンスファイルには、このセクションが含まれている必要があります。サンプルのresponse.ni ファイルに記載されているとおりのキーと値を使用します。

Novell:NOVELL_ROOT:1.0.0

response.ni ファイルのこのセクションには、インストールプロセスにおける画像とステータスの表

示の設定が含まれています。たとえば、ファイルの書き込みの競合やファイルのコピーの判断などでインストールプログラムがどのように対応するかを指定できます。画像を表示するかどうかを指定することもできます。ほとんどの画像には、インストールされている識別ボールトのバージョン、インストールされているコンポーネント、初期画面、ライセンスファイル、カスタマイズオプション、現在インストール中のコンポーネントや完了パーセントを示すステータスメッセージなどに関する情報が含まれています。eDirectory を埋め込む一部のアプリケーションでは、このような画像

を表示しないことが望ましい場合があります。

コピー先の場所やバージョンに関する詳細など、決定を求めるプロンプトを表示しないでサイレントまたは無人インストールを実行するには、response.ni ファイルのこのセクションで、prompt=falseと指定します。

レスポンスファイルには、このセクションが含まれている必要があります。サンプルのresponse.ni ファイルに記載されているキーと値を使用します。

サイレントまたは無人インストールの実行

開始する前に、サイレントまたは無人インストールを実行するための前提条件を確認します。詳細については、58 ページのセクション 7.1.2「識別ボールトのインストールに関する前提条件と考慮

事項」を参照してください。さらに、インストールのテンプレートとして使用する response.ni ファ

イルを作成します。詳細については、72 ページの「response.ni ファイルの編集」を参照してくだ

さい。

注 : インストール、アップグレード、または設定に関するステータスウィンドウがオペレーティングシステムによって表示されないようにするには、コマンドで nopleasewait オプションを使用しま

す。

1 新しい response.ni ファイルを作成するか、既存のレスポンスファイルを編集します。レスポン

スファイルの値の詳細については、72 ページの「response.ni ファイルの編集」を参照してく

ださい。

2 識別ボールトをインストールするコンピュータに管理者アカウントでログインします。

3［管理者として実行］オプションを有効にしてコマンドプロンプトを開きます。

4 コマンドラインに、次のコマンドを入力します。

path_to_installation_files\windows\eDirectory\x64\NDSonNT>install.exe /silent /nopleasewait /template=Response file



D:\builds\eDirectory\windows\eDirectory\x64\NDSonNT>install.exe /silent /nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni

サイレント設定の実行



ださい。




Windows Drive\Program Files\Common Files\novell>install.exe /silent /restrictnoderemove /nopleasewait /template=Response file


c:\Program Files\Common Files\novell>install.exe /silent /restrictnoderemove /nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni

サイレントインストールと設定の実行

開始する前に、サイレントまたは無人インストールを実行するための前提条件を確認します。詳細については、58 ページのセクション 7.1.2「識別ボールトのインストールに関する前提条件と考慮

事項」を参照してください。さらに、インストールのテンプレートとして使用する response.ni ファ

イルを作成します。



ださい。




Unzipped Location\windows\eDirectory\x64\NDSonNT>install.exe /silent /nopleasewait /template=Response file


D:\builds\eDirectory\windows\eDirectory\x64\NDSonNT>install.exe /silent /nopleasewait /template=D:\builds\eDirectory\windows\x64\NDSonNT\response.ni


7.4 インストール後の識別ボールトの設定識別ボールトをインストールした後、識別ボールトで特定の設定タスクを実行する必要がある場合があります。

7.4.1 アイデンティティボールトスキーマへの SecretStore の追加

SecretStore 機能をサポートするためには、アイデンティティボールトスキーマを拡張する必要があ

ります。識別情報アプリケーションでは、ボールトへの接続に SecretStore が必要です。

1 アイデンティティボールトのスキーマを拡張するには、次のコマンドを入力します。

ice -S SCH -f C:\NetIQ\eDirectory\sssv3.sch -D LDAP -s serverIP -d adminDN


ice -S SCH -f C:\NetIQ\eDirectory\sssv3.sch -D LDAP -s 192.168.0.1 -d cn=admin,o=administrators

2 Windows サーバで SecretStore を設定するには、次の手順を実行します。

2a C:\NetIQ\eDirectory ディレクトリに移動します。

2b 次のコマンドを入力します。

ssscfg.exe -c

2c SecretStore の設定を指定し、ユーティリティを終了します。

2d NDSCons.exe を実行する。

2e ユーティリティで、ssncp.dlm モジュールの auto を指定します。

2f ユーティリティを終了します。

詳細については、『NetIQ eDirectory 管理ガイド』の「eDirectory サーバの SecretStore 環境設定 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)」を参照してくだ

さい。

7.4.2 特定のロケールでの識別ボールトの設定

識別ボールトを特定のロケールで設定するには、設定を行う前に、その特定のロケールに LC_ALLおよび LANG をエクスポートする必要があります。たとえば、ndsconfig ユーティリティで次のコ

マンドを入力します。

export LC_ALL=ja

export LANG=ja

7.4.3 eDirectory インスタンスの管理識別ボールトでサーバインスタンスを作成、起動、および停止できます。設定済みのインスタンスのリストを表示することもできます。


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bgnfs0d.html


識別ボールトインスタンスの表示

DHost iConsole を使用して、環境設定ファイルのパス、サーバインスタンスの完全識別名とポー

ト、および指定したユーザのインスタンスのステータス ( アクティブか、非アクティブか ) を表示

できます。

識別ボールトにおける新規インスタンスの作成

DHost ユーティリティを使用して、eDirectory に新しいインスタンスを作成します。

識別ボールトにおけるインスタンスの設定と設定解除 DHost ユーティリティを使用して、識別ボールトでインスタンスを設定および設定解除します。

アイデンティティボールトのインスタンスに対するユーティリティの呼び出し

インスタンスに対して、DSTrace などのユーティリティを実行できます。

1 C:\NetIQ\eDirectory ディレクトリに移動します。

2 NDCCons.exe を実行します。

3［NetIQ eDirectory Services (NetIQ eDirectory サービス )］コンソールで、dstrace.dlm に移動し

ます。

4［Start］をクリックします。

識別ボールトにおけるインスタンスの起動と停止

設定した 1 つ以上のインスタンスを起動または停止できます。

インスタンスを起動するには :



3 インスタンスに移動し、［開始］をクリックします。

インスタンス停止するには :



3 インスタンスに移動し、［停止］をクリックします。



8 8 エンジン、ドライバ、およびプラグインのインストールの計画

このセクションでは、識別ボールトのインストールに必要な前提条件、考慮事項、およびシステムセットアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを理解します。

83 ページのセクション 8.1「Identity Manager エンジン、ドライバ、およびプラグインのインス

トールチェックリスト」

84 ページのセクション 8.2「インストールプログラムの理解」

85 ページのセクション 8.3「Identity Manager エンジンのインストールに関する前提条件と考慮

事項」

86 ページのセクション 8.4「Identity Manager エンジンのシステム要件」

注 : このインストールプログラムでリモートローダもインストールできます。詳細については、105 ページのセクション 10.2「リモートローダのインストール」を参照してください。

8.1 Identity Manager エンジン、ドライバ、およびプラグインのインストールチェックリストインストールプロセスを開始する前に、次の手順を確認することをお勧めします。



第 1 章「Identity Manager のコンポーネントの概要」を参照してください。


41 ページのセクション 5.3「推奨されるインストールシナリオとサーバセットアップ」を参


3. Identity Manager エンジンのインストールに関する考慮事項を検討し、コンピュータが前提

条件を満たしていることを確認します。詳細については、85 ページのセクション 8.3「Identity Manager エンジンのインストールに関する前提条件と考慮事項」を参照してくださ

い。

4. Identity Manager エンジンをホストするコンピュータのハードウェアおよびソフトウェアの

要件を確認します。詳細については、147 ページの「iManager サーバのシステム要件」を


5. Identity Manager エンジンのインストール後にどのドライバが自動的に有効になるかを理解

します。詳細については、85 ページのセクション 8.3.2「ドライバと Identity Manager エン

ジンのインストールに関する考慮事項」を参照してください。

6. インストールプログラムのオプションを理解します。詳細については、84 ページのセク

ション 8.2「インストールプログラムの理解」を参照してください。

エンジン、ドライバ、およびプラグインのインストールの計画 83

8.2 インストールプログラムの理解利便性のため、このインストールプログラムには、Identity Manager ソリューションの基礎となる

フレームワークを提供する複数のコンポーネントがバンドルされています。すべてのコンポーネントを同じサーバにインストールすることも、個別のサーバにインストールすることもできます。サーバの要件の詳細については、各コンポーネントの「エンジン、ドライバ、およびプラグインのインストールの計画」、個々のドライバのガイド、および新のリリースノートを参照してください。

このインストールプログラムでは、コンポーネントのインストール時に次のオプションを使用できます。

Identity Manager サーバ Identity Manager エンジン、スキーマ、NetIQ Audit Agent、および XDAS (Distributed Audit Services) をインストールします。

接続システムサーバ (32 ビット、64 ビット、.NET) リモートローダサービスとドライバインスタンスをローダにインストールします。リモートローダを使用すると、識別ボールトおよび Identity Manager エンジンをホストしない接続シス

テムで Identity Manager ドライバを実行できます。インストールプログラムで、接続システム

上のリモートローダと共にインストールするドライバを選択できます。

ファンアウトエージェント JDBC Fan-Out ドライバ用のファンアウトエージェントをインストールします。JDBC Fan-Out ドライバはファンアウトエージェントを使用して、複数の JDBC Fan-Out ドライバのイン

スタンスを作成します。ファンアウトエージェントは、Fan-Out ドライバの接続オブジェクト

の設定に基づいて JDBC ドライバインスタンスをロードします。詳細については、『NetIQ Identity Manager Driver for JDBC Fan-Out Implementation Guide』を参照してください。

Identity Manager 用 iManager プラグイン iManager プラグインをインストールします。これにより、iManager を使用して、構造化され

たグローバル構成値 (GCV) を持つ Identity Manager ドライバを iManager で管理できるように

なります。

7. ( 状況によって実行 ) Identity Manager エンジンのガイド付きインストールプロセス ( ウィ

ザード ) については、89 ページのセクション 9「エンジン、ドライバ、および iManager プラグインのインストール」を参照してください。

8. ( 状況によって実行 ) 1 つのコマンドでコンポーネントをインストールするには、90 ページ

のセクション 9.2「サイレントインストールの実行」を参照します。

9. ( 状況によって実行 ) リモートローダをインストールするには、105 ページのセクション

10.2「リモートローダのインストール」を参照します。

10. リモートローダのドライバインスタンスを起動します。詳細については、110 ページの第

10.3 章「リモートローダとドライバの設定」を参照してください。

11. 識別情報アプリケーションや Identity Reporting など、残りの Identity Manager コンポーネ

ントをインストールします。


84 エンジン、ドライバ、およびプラグインのインストールの計画

ドライバ Identity Manager ドライバは、さまざまなタイプのディレクトリ、データベース、およびビジ

ネスアプリケーションと識別ボールトとの間で識別情報を同期します。ドライバの設定により、データを一方向または双方向で同期可能です。

インストールプログラムで、その他のコンポーネントと共にインストールするドライバを選択できます。ドライバによっては、Identity Manager エンジンをホストしないサーバにインス

トールできます。この場合、そのサーバにリモートローダサービスもインストールする必要があります。

8.3 Identity Manager エンジンのインストールに関する前提条件と考慮事項このセクションでは、Identity Manager エンジンとドライバのインストールについて説明します。

85 ページのセクション 8.3.1「Identity Manager エンジンのインストールに関する考慮事項」

85 ページのセクション 8.3.2「ドライバと Identity Manager エンジンのインストールに関する考

慮事項」

8.3.1 Identity Manager エンジンのインストールに関する考慮事項

Identity Manager エンジンをインストールする前に、次の考慮事項を確認します。

Identity Manager エンジンをインストールする前に、識別ボールトをインストールする必要が

あります。識別ボールトには、1 つ以上の部門、1 人以上のユーザ、および 1 台以上の

iManager サーバが存在するツリーが含まれている必要があります。

Identity Manager エンジンは、識別ボールトをホストするサーバと同じサーバにインストール

します。インストールプログラムは、識別ボールトのバージョンに応じて 32 ビットまたは

64 ビットの Identity Manager をインストールします。

( 状況によって実行 ) Identity Manager エンジンと同じコンピュータにリモートローダをインス

トールするには、両方のコンポーネントをサポートするオペレーティングシステムを選択するようにします。リモートローダのシステム要件の詳細については、101 ページのセクション

10.1.6「リモートローダのインストールに関する前提条件と考慮事項」を参照してください。

8.3.2 ドライバと Identity Manager エンジンのインストールに関する

考慮事項

Identity Manager エンジンをインストールするサーバのパフォーマンスは、そのサーバで実行され

るドライバの数など、さまざまな要因の影響を受けます。ドライバのインストール先を計画する際は、以下をお勧めします。

一般的に、サーバで動作するドライバの数は、それらのドライバによってサーバにかかる負荷

に応じて決まります。ドライバの中には大量のオブジェクトを処理するものもあれば、そうでないものもあります。

各ドライバで数百万個のオブジェクトを同期する計画の場合は、サーバのドライバの数を制限

してください。たとえば、このようなドライバを展開する場合は 10 個未満にします。


各ドライバで同期する計画のオブジェクトの数が 100 個以下の場合は、10 個より多くのドライ

バをサーバで実行できます。

適なドライバ数を判断するのに役立つサーバパフォーマンスのベースラインを作成するに

は、iManager のヘルスモニタリングツールを使用します。ヘルスモニタリングツールの詳細

については、『NetIQ Identity Manager Driver Administration Guide』の「ドライバヘルスのモニ

タリング」を参照してください。

インストール後に Identity Manager ドライバをアクティベートする方法の詳細については、

363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してください。

8.4 Identity Manager エンジンのシステム要件

このセクションでは、Identity Manager エンジンをインストールするサーバの小要件について記

載します。インストール、特にオペレーティングシステムに関するインストールについての前提条件と考慮事項を必ず確認してください。

カテゴリ要件


ディスクスペース 300MB

50,000 ユーザごとに 150MB の追加のディスク容量

メモリ Identity Manager エンジン用に 2GB

Identity Manager ドライバ用に 2GB



Windows Server 2016


Windows Server 2012




オペレーティングシステム ( サポート )











追加のソフトウェア NetIQ eDirectory 9.1

iManager 3.1

カテゴリ要件



9 9 エンジン、ドライバ、および iManager プラグインのインストール

このセクションでは、Identity Manager エンジン、ドライバ、iManager プラグイン、およびリモー

トローダのインストールプロセスについて説明します。これらのプログラムは、同じサーバにインストールすることも、別々のサーバにインストールすることもできます。たとえば、ドライバを、Identity Manager エンジンと同じサーバではなく接続システムにインストールできます。この場合、

接続システムにリモートローダもインストールする必要があります。

ガイド付きインストールプロセスとサイレントインストールの両方が用意されています。

89 ページのセクション 9.1「ウィザードを使用したコンポーネントのインストール」

90 ページのセクション 9.2「サイレントインストールの実行」

92 ページのセクション 9.3「アイデンティティボールトの複数のインスタンスとともにサーバ

にインストールする」

94 ページのセクション 9.4「Identity Manager ドライバの停止と起動」

9.1 ウィザードを使用したコンポーネントのインストールインストールプログラムに従って Identity Manager エンジンの設定を進めることができます。イン

ストールプログラムは、デフォルトで自動的にウィザードモードになります。

インストールの準備を行うには、83 ページのセクション 8.1「Identity Manager エンジン、ドライ

バ、およびプラグインのインストールチェックリスト」を参照してください。リリースに付属するリリースノートも参照してください。無人インストールを実行するには、90 ページのセクション

9.2「サイレントインストールの実行」を参照してください。

注 : インストールを管理者ユーザまたは非管理者ユーザのどちらとして実行するかは、識別ボールトのインストールに使用した方法に合わせて選択してください。

9.1.1 管理者ユーザとしてインストール

このセクションでは、Identity Manager エンジンを管理者ユーザとしてインストールするために、

インストールウィザードを使用する際のガイド付きプロセスについて記載します。インストールプログラムは、\products\idm\windows\setup\idm_install.exe にあります。

Identity Manager エンジンを管理者ユーザとしてインストールするには :

1 Identity Manager エンジンをインストールするコンピュータに管理者としてログインします。

2 インストールファイルが保存されているディレクトリから、idm_install.exe を見つけて実行しま

す。

3 ライセンス契約に同意して、［次へ］をクリックします。

エンジン、ドライバ、および iManager プラグインのインストール 89

4［コンポーネントの選択］ウィンドウで、インストールするコンポーネントを指定します。

オプションの詳細については、84 ページのセクション 8.2「インストールプログラムの理解」


5 ( オプション ) 個々のコンポーネント用の特定のドライバを選択するには、次の手順を実行しま

す。

5a［Customize the selected components ( 選択したコンポーネントのカスタマイズ )］をクリッ

クし、［次へ］をクリックします。

5b インストールするコンポーネントの下にある［ドライバ］を展開します。

5c インストールするドライバを選択します。

6［次へ］をクリックします。

7［Activation Notice ( アクティベーションの通知 )］ウィンドウで、［OK］をクリックします。詳

細については、363 ページのセクション 30.6「Identity Manager のアクティベート」を参照し

てください。

8［認証］で、eDirectory でスキーマを拡張するのに十分な権限を持つユーザアカウントとそのパ

スワードを指定します。ユーザ名は LDAP 形式で指定します。たとえば、cn=admin,o=companyと指定します。

9［インストール前の概要］で、設定を確認します。

10［インストール］をクリックします。

11 Identity Manager をアクティベートします。詳細については、363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してください。

12 ドライバオブジェクトを作成および設定するため、そのドライバ専用のガイドを参照します。詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。

13 ( オプション ) デフォルトのインストール場所については、インストールログを参照してくださ

い。たとえば、C:\Users\Admin1\AppData\Local\Temp\1\idmInstall.log です。

9.2 サイレントインストールの実行Identity Manager のサイレントインストールを実行するには、インストールを完了するのに必要な

パラメータを含むプロパティファイルを作成します。Identity Manager のメディアには、

\products\idm\windows\setup\silent.properties に、サンプルのプロパティファイルが収録されています。

サイレントインストールを実行する

1 インストールディレクトリで、プロパティファイルを作成するか、サンプルのsilent.properties ファイルを編集します。

2 テキストエディタで、ファイルに次のパラメータを指定します。

EDITION_INPUT_RESULTS

Identity Manager サーバのエディションを指定します。Advanced Edition、Standard Editionなど。インストールプログラムは、この情報を使用して、指定された Identity Manager エディションを設定します。

90 エンジン、ドライバ、および iManager プラグインのインストール

https://www.netiq.com/documentation/identity-manager-46-drivers/

EDIR_USER_NAME 識別ボールトの管理者アカウントの LDAP 識別名を指定します。たとえば、

c=admin,o=netiq と指定します。インストールプログラムは、このアカウントを使用して

Identity Manager エンジンを識別ボールトに接続します。

このパラメータは、サンプルの silent.properties ファイルに追加しなければならない場合が

あります。

EDIR_USER_PASSWORD 識別ボールトの管理者アカウントのパスワードを指定します。たとえば、netiq123 と指定

します。このパラメータは、サンプルの silent.properties ファイルに追加しなければならな

い場合があります。

パスワード値をファイルに記述しない場合は、このフィールドを空のままにします。その場合、インストールプログラムは EDIR_USER_PASSWORD 環境変数からパスワード値を

読み込みます。EDIR_USER_PASSWORD に対して環境変数が設定されていることを確認し

てください。

METADIRECTORY_SERVER_SELECTED Identity Manager サーバとドライバをインストールするかどうかを指定します。

CONNECTED_SYSTEM_SELECTED 32 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま

す。同じサーバに 32 ビットバージョンと 64 ビットバージョンの両方をインストールでき

ます。

FANOUTAGENT_SELECTED

JDBC ドライバ用ファンアウトエージェントをインストールするかどうかを指定します。 X64_CONNECTED_SYSTEM_SELECTED

64 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま


ます。

WEB_ADMIN_SELECTED iManager をすでにインストール済みの場合に適用されます。

iManager プラグインをインストールするかどうかを指定します。

UTLITIES_SELECTED リモートローダ用のユーティリティとシステムコンポーネントをインストールするかどうかを指定します。

DOT_NET_REMOTELOADER_SELECTED Windows サーバに .NET リモートローダサービスとドライバをインストールするかどうか

を指定します。

EDIR_NDS_CONF

識別ボールトの環境設定ファイルへのパスを指定します。

識別ボールトのインスタンスが複数ある場合は、各インスタンスに適切な値を指定します。

EDIR_IP_ADDRESS 識別ボールトの IP アドレスを指定します。

識別ボールトのインスタンスが複数ある場合は、各インスタンスのアドレスを指定します。


EDIR_NCP_PORT 識別ボールトのポート番号を指定します。

識別ボールトのインスタンスが複数ある場合は、各インスタンスのポートを指定します。

3 サイレントインストールを実行するには、プロパティファイルのディレクトリから次のコマンドを実行します : install.exe -i silent -f filename.properties

4 ( オプション ) デフォルトのインストール場所については、インストールログを参照してくださ

い。たとえば、C:\Users\Admin1\AppData\Local\Temp\1\idmInstall.log です。

9.3 アイデンティティボールトの複数のインスタンスとともにサーバにインストールするIdentity Manager は、管理者ユーザとして、およびサイレントモードでのこのインストールをサ

ポートしています。この手順では、Identity Manager をインストールする場所に各アイデンティ

ティボールトインスタンスの silent.properties ファイルを作成する必要があります。

Identity Manager をサイレントモードでインストールするには、次の手順を実行します。

1 83 ページの第 8 章「エンジン、ドライバ、およびプラグインのインストールの計画」で前提条

件とシステム要件を確認します。

2 90 ページのセクション 9.2「サイレントインストールの実行」の指示に従います。

2a silent.properties ファイルに次の設定が含まれていることを確認します。

EDITION_INPUT_RESULTS=Advanced EditionEDIR_USER_NAME=cn=admin_name,o=organization_nameEDIR_USER_PASSWORD=identity_vault_passwordMETADIRECTORY_SERVER_SELECTED=trueCONNECTED_SYSTEM_SELECTED=falseX64_CONNECTED_SYSTEM_SELECTED=falseWEB_ADMIN_SELECTED=falseUTILITIES_SELECTED=falseFANOUTAGENT_SELECTED=falseEDIR_NCP_PORT=<ncp_port>EDIR_NDS_CONF=</path/to/edir/conf>EDIR_IP_ADDRESS=ip_address_for_identity_vault

# For Customization use the following properties CUSTOM_SELECTED=true # engine custom list engine and drivers jdbc and delim CHOSEN_INSTALL_FEATURE_LIST_SERVER=ENGINE,JDBC,DELIM,additional_value

2b エンジンリストをカスタマイズするために、次の追加の値を含めることができます。

Server_DRIVERS AD EBSHR EBSTCA EBSUM DELIM EDIR BIEDIR


JDBC JMS LDAP NXSET NOTES PS REMEDY SAPUMJ SAPHR SAPBL SAPPORTAL SOAP REST SFORCE SENTREST BLACK BANNER GOOGLE AR NPUM TSS RACF AFC2 UAD RRSD

3 ( 状況によって実行 ) インストールが正常に行われたかどうかを確認するには、インストールロ

グファイルで次の行を探します。たとえば、C:\Users\Admin1\AppData\Local\Temp\1\idmInstall.log ファイルです。

NDS schema extension complete.exitValue=0Schema extendedSCHEMA_EXTENDED=true==== UpdateIDMConfigureStatus ==============================stateFile: C:\IDM\Uninstall_Identity_Manager\idmconfigure_state.confINSTALL_SUCCESS: SUCCESSenter loop: ==== Complete ==============================================INSTALL_SUCCESS=SUCCESS


9.4 Identity Manager ドライバの停止と起動

インストールプロセスやアップグレードプロセスで正しいファイルを変更または置換できるようにするには、Identity Manager ドライバを起動または停止しなければならない場合があります。この

セクションでは、次の操作について説明します。

94 ページのセクション 9.4.1「ドライバの停止」

95 ページのセクション 9.4.2「ドライバの起動」

9.4.1 ドライバの停止

ドライバのファイルを変更する場合、あらかじめドライバを停止しておくことが重要です。

94 ページの「Designer を使用したドライバの停止」

94 ページの「iManager を使用したドライバの停止」

Designer を使用したドライバの停止

1 Designer で、識別ボールトのオブジェクトを［アウトライン］タブで選択します。

2 モデラーツールバーで、［すべてのドライバを停止］アイコンをクリックします。

これにより、プロジェクトの一部であるすべてのドライバが停止します。

3 ドライバを手動開始に設定すると、アップグレードプロセスを完了しない限りドライバは開始されません。

3a［アウトライン］タブの［ドライバ］アイコンをダブルクリックします。

3b［ドライバ環境設定］ > ［起動時のオプション］の順に選択します。

3c［手動］を選択し、［OK］をクリックします。

3d 各ドライバに対して、ステップ 3a ～ステップ 3c を繰り返します。

iManager を使用したドライバの停止

1 iManager で、［Identity Manager］ > ［Identity Manager の概要］の順に選択します。

2 ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、［検索］アイコンをクリックします。

3 ドライバセットオブジェクトをクリックします。

4［ドライバ］ > ［すべてのドライバを停止］の順にクリックします。

5 各ドライバセットオブジェクトに対して、ステップ 2 ～ステップ 4 を繰り返します。

6 ドライバを手動開始に設定すると、アップグレードプロセスを完了しない限りドライバは開始されません。

6a iManager で、［Identity Manager］ > ［Identity Manager の概要］の順に選択します。

6b ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、［検索］アイコンをクリックします。

6c ドライバセットオブジェクトをクリックします。

6d ドライバアイコンの右上隅をクリックし、［プロパティの編集］をクリックします。


6e［ドライバ環境設定］ページの［起動時のオプション］で［手動］を選択し、［OK］をク

リックします。

6f ツリーの各ドライバに対して、ステップ 6a ～ステップ 6e を繰り返します。

9.4.2 ドライバの起動

Identity Manager コンポーネントがすべてアップデートされたら、ドライバを再起動します。ドラ

イバが実行状態になったら、ドライバをテストして、すべてのポリシーが依然と同様に機能していることを確認することをお勧めします。

95 ページの「Designer を使用したドライバの起動」

95 ページの「iManager を使用したドライバの起動」

Designer を使用したドライバの起動

1 Designer で、識別ボールトのオブジェクトを［アウトライン］タブで選択します。

2 モデラーツールバーの［すべてのドライバを起動］アイコンをクリックします。これにより、プロジェクト内のすべてのドライバが起動されます。

3 ドライバ起動オプションを設定します。

3a［アウトライン］タブの［ドライバ］アイコンをダブルクリックします。

3b［ドライバ環境設定］ > ［起動時のオプション］を選択します。

3c［自動開始］を選択するか、ドライバの起動方法を選択し、［OK］をクリックします。

3d 各ドライバに対して、ステップ 3a ～ステップ 3c を繰り返します。

4 ドライバをテストして、ポリシーが設計どおりに機能していることを確認します。ポリシーのテスト方法の詳細については、『NetIQ Identity Manager - Using Designer to Create Policies』の「ポリシーシミュレータを使用したポリシーのテスト」を参照してください。

iManager を使用したドライバの起動



3 ドライバセットオブジェクトをクリックします。

4［ドライバ］ > ［すべてのドライバを起動］の順にクリックして、すべてのドライバを同時に起動

します。

または

［ドライバ］アイコンの右上部分で、［ドライバの起動］をクリックして、各ドライバを別々に起動します。

5 ドライバが複数ある場合、ステップ 2 ～ステップ 4 の手順を繰り返します。

6 ドライバ起動オプションを設定します。

6a iManager で、［Identity Manager］ > ［Identity Manager の概要］の順に選択します。

6b ツリーでその場所を参照して選択し、ドライバセットオブジェクトを検索してから、［検索］アイコンをクリックします。

6c ドライバセットオブジェクトをクリックします。


6d ドライバアイコンの右上隅をクリックし、［プロパティの編集］をクリックします。

6e［ドライバ設定］ページの［起動オプション］で、［自動開始］またはドライバの起動方法を選択し、［OK］をクリックします。

6f 各ドライバに対して、ステップ 6b ～ステップ 6e を繰り返します。

7 ドライバをテストして、ポリシーが設計どおりに機能していることを確認します。

iManager にはポリシーシミュレータはありません。ポリシーをテストするには、ポリシーを

実行するイベントを発生させます。たとえば、ユーザの作成、ユーザの変更、またはユーザの削除などです。


10 10 リモートローダのインストールと管理

このセクションでは、リモートローダ、.NET リモートローダ、または Java リモートローダをイン

ストールし、ローダのドライバインスタンスを設定します。

リモートローダのインストールプログラムは Identity Manager エンジンにバンドルされています。

これらのファイルは、Identity Manager インストールパッケージの \products\IDM ディレクトリにあ

ります。デフォルトでは、インストールプログラムは C:\Netiq にコンポーネントをインストールし

ます。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、97 ページのセクション 10.1.1「リモートローダのインストールチェックリスト」を参照してく

ださい。

10.1 リモートローダのインストールの計画このセクションでは、.NET リモートローダをインストールする準備について説明します。

97 ページのセクション 10.1.1「リモートローダのインストールチェックリスト」

99 ページのセクション 10.1.2「リモートローダの理解」

100 ページのセクション 10.1.3「Java リモートローダの理解」

100 ページのセクション 10.1.4「インストールプログラムの理解」

101 ページのセクション 10.1.5「同じコンピュータでの 32 ビットリモートローダと 64 ビットリ

モートローダの使用」

101 ページのセクション 10.1.6「リモートローダのインストールに関する前提条件と考慮事項」

103 ページのセクション 10.1.7「リモートローダのシステム要件」

10.1.1 リモートローダのインストールチェックリスト

次のチェックリストの手順を完了することをお勧めします。







3. Identity Manager エンジンがインストールされていることを確認します。詳細については、

89 ページの第 9 章「エンジン、ドライバ、および iManager プラグインのインストール」を


リモートローダのインストールと管理 97

4. リモートローダのインストールに関する考慮事項を検討し、コンピュータが前提条件を満たしていることを確認します。詳細については、101 ページのセクション 10.1.6「リモート

ローダのインストールに関する前提条件と考慮事項」を参照してください。

5. リモートローダをホストするコンピュータのハードウェアおよびソフトウェアの要件を確認します。詳細については、103 ページのセクション 10.1.7「リモートローダのシステム要

件」を参照してください。

6. ( 状況によって実行 ) Identity Manager エンジンをホストしないサーバにリモートローダをイ

ンストールするには、エンジンとのセキュア接続を確立できることを確認します。詳細については、111 ページのセクション 10.3.1「Identity Manager エンジンへのセキュア接続の作

成」を参照してください。

7. 32 ビットバージョンまたは 64 ビットバージョンのどちらのリモートローダをインストール

するかを決定します。詳細については、101 ページのセクション 10.1.5「同じコンピュータ

での 32 ビットリモートローダと 64 ビットリモートローダの使用」を参照してください。

8. リモートローダをインストールします。

ガイド付きインストールについては、105 ページのセクション 10.2.1「ウィザードを使

用したリモートローダのインストール」を参照してください。

サイレントインストールについては、109 ページのセクション 10.2.5「リモートローダ

のサイレントインストールの実行」を参照してください。

9. ( 状況によって実行 ) .NET リモートローダをインストールするには、109 ページのセクショ

ン 10.2.4「.NET リモートローダのインストール」を参照します。

10. ドライバインスタンスを設定するためのパラメータを検討します。詳細については、113 ページのセクション 10.3.2「リモートローダの環境設定パラメータの理解」を参照して

ください。

11. リモートローダのドライバインスタンスを設定するには、次のいずれかのセクションを参照します。

123 ページのセクション 10.3.3「ドライバインスタンスのリモートローダの設定」

125 ページのセクション 10.3.4「ドライバインスタンスの Java リモートローダの設定」

127 ページのセクション 10.3.5「ドライバインスタンスの .NET リモートローダの設定」

12. リモートローダ用のドライバを準備します。詳細については、129 ページのセクション

10.3.6「リモートローダと連携するための Identity Manager ドライバの設定」を参照してく

ださい。

13. リモートローダのドライバインスタンスを起動します。詳細については、141 ページのセク

ション 10.4.1「リモートローダのドライバインスタンスの起動」を参照してください。

14. ( 状況によって実行 ) リモートローダと Identity Manager エンジンとの間の相互認証を設定

するには、130 ページのセクション 10.3.7「Identity Manager エンジンとの相互認証の設定」


15. リモートローダとドライバが Identity Manager エンジンおよび接続システムと通信している

ことを確認します。詳細については、139 ページのセクション 10.3.8「設定の検証」を参照


16. 識別情報アプリケーションや Identity Reporting など、残りの Identity Manager コンポーネ

ントをインストールします。


98 リモートローダのインストールと管理

10.1.2 リモートローダの理解

リモートローダを使用すると、識別ボールトおよび Identity Manager エンジンをホストしない接続

システムで Identity Manager ドライバを実行できます。.NET リモートローダは Windows ベースの

システムでのみ動作します。

リモートローダは、プラットフォーム固有のファイルに含まれる Identity Manager アプリケーショ

ンシムを JNI 経由でホストできます。さらに、プラットフォーム非依存の JAR ファイルに含まれる

より一般的な Identity Manager アプリケーションシムをホストすることもできます。リモートロー

ダはすべてのプラットフォームで実行可能です。ただし、プラットフォーム固有のシムはネイティブプラットフォーム上で実行される必要があります。

シムの理解

リモートローダはシムを使用して管理対象システム上のアプリケーションと通信します。「シム」とは、識別ボールトとアプリケーションとの間で同期するイベントを処理するコードが記述された 1つまたは複数のファイルです。リモートローダを使用する前に、Identity Manager エンジンに安全

に接続するようにアプリケーションシムを設定する必要があります。さらに、リモートローダとIdentity Manager ドライバ両方の設定も必要です。

詳細については、110 ページの第 10.3 章「リモートローダとドライバの設定」を参照してくださ

い。

リモートローダを使用すべき条件の判断

Identity Manager エンジン、識別ボールト、およびドライバシムを同じサーバにインストールでき

ます。Identity Manager エンジンは、eDirectory プロセスの一部として実行されます。Identity Manager ドライバは、Identity Manager がインストールされているサーバで実行できます。また、

Identity Manager エンジンと同じプロセスの一部として実行することもできます。ただし、次のよ

うな目的がある場合、Identity Manager エンジンをホストするサーバ上で Identity Manager ドライ

バを別のプロセスとして実行できます。

ドライバシムで発生する例外から識別ボールトを保護する

ドライバコマンドをリモートアプリケーションまたはデータベースにオフロードすることで、

Identity Manager エンジンを実行しているサーバのパフォーマンスを向上させる

Identity Manager エンジンをホストしないサーバで他のドライバを実行する

このような場合、リモートローダは Identity Manager エンジンとドライバ間の通信チャネルを提供

します。たとえば、LDAP ドライバを Identity Manager エンジンおよび識別ボールトと同じサーバ

にインストールします。続いて、リモートローダとともに Active Directory (AD) ドライバを別の

サーバにインストールします。ドライバがアプリケーションにアクセスしてアイデンティティボールトと通信できるようにするため、次の図に示すように両方のサーバにリモートローダをインストールします。


NetIQ では、可能な場合、リモートローダを使用するドライバに使用できるよう設定することをお

勧めします。アプリケーションが Identity Manager エンジンと同じサーバにある場合でも、リモー

トローダを使用してください。

10.1.3 Java リモートローダの理解

Java リモートローダは Java アプリケーションです。公式にサポートされているバージョンの Javaとともに Java リモートローダを使用することができます。

ドライバの Java リモートローダを設定するには、125 ページのセクション 10.3.4「ドライバイン

スタンスの Java リモートローダの設定」を参照します。

10.1.4 インストールプログラムの理解

利便性のため、このインストールプログラムには、Identity Manager ソリューションの基礎となる

フレームワークを提供する複数のコンポーネントがバンドルされています。すべてのコンポーネントを同じサーバにインストールすることも、個別のサーバにインストールすることもできます。リモートローダに加え、接続システムにインストールするドライバも選択できます。インストールキットには、Windows オペレーティングシステム用の .NET リモートローダオプションが用意され

ています。


10.1.5 同じコンピュータでの 32 ビットリモートローダと 64 ビットリ

モートローダの使用

デフォルトの設定では、インストールプログラムによってオペレーティングシステムのバージョンが検出され、該当するバージョンのリモートローダがインストールされます。1 つの 64 ビットオペ

レーティングシステムに 32 ビットのリモートローダと 64 ビットのリモートローダの両方をインス


64ビットオペレーティングシステム上にインストールされている32ビットのリモートローダを

アップグレードする場合、32 ビットのリモートローダが新バージョンにアップグレードされ

ると同時に、64 ビットのリモートローダもインストールされます。

32 ビットおよび 64 ビットの両方のリモートローダを同じコンピュータ上に置くことにした場

合、監査イベントは 64 ビットのリモートローダでのみ生成されます。32 ビットのリモート

ローダをインストールする前に 64 ビットのリモートローダをインストールすると、イベント

は 32 ビットのキャッシュに記録されます。

10.1.6 リモートローダのインストールに関する前提条件と考慮事項

リモートローダをインストールする前に、次の考慮事項を確認することをお勧めします。

管理対象システムと通信可能なサーバにリモートローダをインストールします。各管理対象シ

ステム用のドライバが関連 API によって利用できる必要があります。

Identity Manager エンジンをインストールしたコンピュータと同じコンピュータにリモート

ローダをインストールできます。

同じコンピュータに 32 ビットのリモートローダと 64 ビットのリモートローダの両方をインス


ネイティブのリモートローダをサポートしないプラットフォームには Javaリモートローダをイ

ンストールできます。サポートされているプラットフォームの詳細については、103 ページの

セクション 10.1.7「リモートローダのシステム要件」を参照してください。

( 状況によって実行 ) Identity Manager を Active Directory に接続するには、リモートローダと

Active Directory 用ドライバをメンバーサーバまたはドメインコントローラであるサーバにイン

ストールする必要があります。eDirectory と Identity Manager を接続システムと同じサーバに

インストールする必要はありません。リモートローダはすべてのイベントを Active Directoryから Identity Manager サーバへ送信します。その後、リモートローダが Identity Manager サー

バから情報を受信し、その情報を接続アプリケーションに渡します。

NetIQ では、可能な場合、ドライバでリモートローダの設定を使用することをお勧めします。

接続システムが Identity Manager サーバエンジンと同じサーバにある場合でも、リモートロー

ダを使用してください。

ドライバシムをリモートローダ設定で実行すると、次のような利点が得られます。

各ドライバシム間のメモリと処理が分離されるため、Identity Manager ソリューションの

パフォーマンスとモニタリングを向上できます。

ドライバシムにパッチを適用したり、ドライバシムをアップグレードしたりしても、

eDirectory や他のドライバに影響しません。

ドライバシムで発生する可能性がある致命的な問題から eDirectory が保護されます。

ドライバシムによる負荷が他のサーバに分散されます。


リモートローダの機能をサポートするドライバは次のとおりです。

Active Directory Access Review ACF 2 Azure Active Directory

バナー

黒板

データ収集サービス

区切りテキスト

GoogleApps REST

GroupWise 2014 (32 ビットのリモートローダ用 ) JDBC JMS LDAP

Linux 設定

Lotus Notes Managed System Gateway

手動タスクサービス

Null およびループバック Office 365 Oracle EBS HRMS Oracle EBS TCA Oracle EBS User Management PeopleSoft 5.2

特権ユーザ管理

Remedy SalesForce.com SAP Business Logic SAP Portal

SAP HR (Java リモートローダではサポートされていない )

SAP User Management (Java リモートローダではサポートされていない ) ServiceNow

Sentinel 用統合モジュール V2.0 SharePoint SOAP

極秘

WorkOrder


リモートローダをサポートしないドライバは次のとおりです。

双方向 eDirectory eDirectory

エンタイトルメントサービス

役割サービス


Identity Manager リモートローダの詳細については、「The Many Faces of Remote Loader in Identity Manager」を参照してください。

10.1.7 リモートローダのシステム要件

このセクションでは、リモートローダ、.Net リモートローダ、および Java リモートローダをイン

ストールするサーバの小要件について記載します。

リモートローダ (32 ビットおよび 64 ビット )

カテゴリ要件

プロセッサ 1GHz プロセッサ

メモリ 512MB



Windows Server 2016


Windows Server 2012


32 ビットオペレーティングシステムの場合 :

Windows Server 2008 SP2

重要 : Lotus Notes クライアントは、ワークステーションプラットフォームで

のみサポートされます。Windows XP、Windows 7 および 8、および SLED 32 ビットで実行しているリモートローダは、Lotus Notes ドライバの統合に対

してのみサポートされます。通常の Identity Manager のインストールでは、リ

モートローダはサーバプラットフォームでのみサポートされます。








.NET リモートローダ

.NET リモートローダは Windows ベースのサーバ用に設計されています。








カテゴリ要件

プロセッサ Pentium* III 600MH プロセッサ

メモリ 512MB



Windows Server 2016


Windows Server 2012











VMWare ESX 5.5






カテゴリ要件


Java リモートローダ

Java リモートローダは、互換性がある JRE および Java Sockets がインストールされたすべての接

続システムで動作します。

10.2 リモートローダのインストールリモートローダコンソールでは、rlconsole.exe を使用して dirxml_remote.exe を操作します。これは実

行可能ファイルで、Identity Manager エンジンサーバが、実行されている Identity Manager ドライ

バと通信できるようにします。

105 ページのセクション 10.2.1「ウィザードを使用したリモートローダのインストール」

106 ページのセクション 10.2.2「リモートローダのサイレントインストールの実行」

107 ページのセクション 10.2.3「Java リモートローダのインストール」

109 ページのセクション 10.2.4「.NET リモートローダのインストール」

109 ページのセクション 10.2.5「リモートローダのサイレントインストールの実行」

10.2.1 ウィザードを使用したリモートローダのインストール

インストールプログラムに従ってリモートローダの設定を進めることができます。このセクションでは、インストールウィザードを使用してリモートローダをインストールするためのガイド付きプロセスについて説明します。インストールプログラムは、\products\idm\windows\setup\ ディレクトリ

にあります。

インストールの準備を行うには、97 ページのセクション 10.1.1「リモートローダのインストール

チェックリスト」を参照してください。リリースに付属するリリースノートも参照してください。無人インストールを実行するには、90 ページのセクション 9.2「サイレントインストールの実行」


注 : インストールを管理者ユーザまたは非管理者ユーザのどちらとして実行するかは、識別ボールトのインストールに使用した方法に合わせて選択してください。

.NET Framework 4.x

カテゴリ要件

プロセッサ Pentium* III 600MHz 以上

メモリリモートローダ用に 512MB

JRE Java8u162 以上

注 : 公式にサポートされているバージョンの Java とともに Java リモートローダ

を使用することができます。

プラットフォームエージェント

PA v2011.1r6

カテゴリ要件


リモートローダをインストールする

1 リモートローダをインストールするコンピュータにログインします。

注 : Java リモートローダを非管理者ユーザとしてインストールできます。

2 \products\idm\windows\setup\ ディレクトリに移動します。

3 idm_install.exe プログラムを実行します。


5［コンポーネントの選択］ウィンドウで、インストールするリモートローダコンポーネントを指定します。




す。






8［Activation Notice ( アクティベーションの通知 )］ウィンドウで、［OK］をクリックします。

9［認証］で、eDirectory でスキーマを拡張するのに十分な権限を持つユーザアカウントとそのパ

スワードを指定します。ユーザ名は LDAP 形式で指定します。たとえば、cn=admin,o=companyと指定します。

10［インストール前の概要］で、設定を確認します。


12 Identity Manager をアクティベートします。詳細については、363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してください。

13 ドライバおよび Identity Manager に接続するようにリモートローダを設定します。詳細につい

ては、110 ページの第 10.3 章「リモートローダとドライバの設定」を参照してください。

14 ドライバオブジェクトを作成および設定するため、そのドライバ専用のガイドを参照します。詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。

15 ( オプション ) デフォルトのインストール場所については、インストールログファイルを参照し

てください。たとえば、C:\Users\Admin1\AppData\Local\Temp\1\i dmInstall.log です。

10.2.2 リモートローダのサイレントインストールの実行

リモートローダのサイレントインストールを実行するには、インストールを完了するのに必要なパラメータを含むプロパティファイルを作成します。Identity Manager のメディアには、サンプルの

プロパティファイルが収録されています。デフォルトでは、サンプルプロパティファイルは、\products\idm\windows\setup\ ディレクトリにあります。


1 リモートローダをインストールするコンピュータにログインします。

2 \products\idm\windows\setup\ ディレクトリに移動します。



3 プロパティファイルを作成するか、サンプルの silent.properties ファイルを編集します。

4 ファイルに次のパラメータを入力します。



ます。

X64_CONNECTED_SYSTEM_SELECTED 64 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま


ます。


DOT_NET_REMOTELOADER_SELECTED .NET リモートローダサービスとドライバをインストールするかどうかを指定します。

5 サイレントインストールを実行するには、コマンドプロンプトから次のコマンドを実行します。

install.exe -i silent -f filename.properties

10.2.3 Java リモートローダのインストール

Identity Manager は、Java リモートローダを使用して、1 つのサーバで実行されている Identity Manager エンジンと、rdxml が動作しない別の場所で実行されている Identity Manager ドライバと

の間でデータを交換します。Java リモートローダ、dirxml_jremote は、互換性のある JRE(1.8.0 以

上 ) と Java Socket がインストールされた、サポート対象の任意の Windows プラットフォームにイ

ンストールできます。

1 Identity Manager エンジンをホストするサーバで、アプリケーションシムの ..so ファイルまた

は .jar ファイルをコピーします。これらのファイルは、デフォルトでは

C:\NetIQ\idm\NDS\lib ディレクトリにあります。

2 Java リモートローダをインストールするコンピュータ ( ターゲットコンピュータ ) にログイン

します。

3 ターゲットコンピュータに、サポートされているバージョンの JRE がインストールされている

ことを確認します。

4 インストールプログラムにアクセスするため、次のいずれかの手順を実行します。

4a ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルが

ある場合は、Java リモートローダのインストールファイルが保存されているディレクト

リへ移動します。デフォルトの場所は products\idm\java_remoteloader です。

4b ( 状況によって実行 ) Java リモートローダのインストールファイルを NetIQ Downloads の

Web サイトからダウンロードした場合は、次の手順を実行します。

4b1 ダウンロードしたイメージの .tgz ファイルへナビゲートします。

4b2 ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

5 dirxml_jremote_dev.tar.gz ファイルをターゲットコンピュータ上の目的の場所にコピーします。

たとえば、ファイルを C:\NetIQ\idm にコピーします。


http://dl.netiq.com

http://dl.netiq.com

6 次のいずれかのファイルをターゲットコンピュータ上の目的の場所にコピーします。

dirxml_jremote.tar.gz

dirxml_jremote_mvs.tar

mvs の詳細については、dirxml_jremote_mvs.tar ファイルを untar し、ドキュメント

usage.html を参照してください。

7 ターゲットコンピュータで、.tar.gz ファイルを圧縮解除して展開します。

たとえば、7-Zip またはサポートされているソフトウェアを使用して、.tar.gz ファイルを圧縮解

除します。

8 CLASSPATH 環境変数を、lib フォルダに存在するすべての jar に設定します。ドライバに固有の

依存 jar がある場合、これらの jar ファイルを lib フォルダにコピーし、CLASSPATH 環境変数を

これらの jar にも設定します。

たとえば、次のように設定します。

CLASSPATH=E:\RL\JAVARL\lib\activation.jar;E:\RL\JAVARL\lib\commondrivershim.jar;E:\RL\JAVARL\lib\delimitedtextshim.jar;E:\RL\JAVARL\lib\delimitedtextutil.jar;E:\RL\JAVARL\lib\dirxml.jar;E:\RL\JAVARL\lib\dirxml_misc.jar;E:\RL\JAVARL\lib\dirxml_remote.jar;E:\RL\JAVARL\lib\jco3environment.jar;E:\RL\JAVARL\lib\mail.jar;E:\RL\JAVARL\lib\mapdb.jar;E:\RL\JAVARL\lib\nxsl.jar;E:\RL\JAVARL\lib\shimwrapper.jar;E:\RL\JAVARL\lib\xds.jar;E:\RL\JAVARL\lib\xp.jar

9 PATH 環境変数を、Java.exe 用に JDK または JRE の bin フォルダに設定します。

10 展開されていない dirxml_jremote.tar.gz ディレクトリの lib サブディレクトリから

dirxml_jremote スクリプトに jar ファイルの場所を指定する必要があります。たとえば、\lib\*.jarです。

11 サンプル環境設定ファイル config8000.txt をアプリケーションシム用に設定します。

dirxml_jremote.tar.gz jar ファイルに、このファイルが含まれています。詳細については、

110 ページの第 10.3 章「リモートローダとドライバの設定」を参照してください。

12 次のコマンドを使用してリモートローダを起動します。

12a リモートローダのパスワードを指定するには :

java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config <config file name> -sp <Remote Loader Password> <Object Driver Password>


java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config e:\RL\JAVARL\config8000.txt -sp novell novell

12b リモートローダを開始するには :

java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config <config file name>


java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config e:\RL\JAVARL\config8000.txt

12c リモートローダを停止するには :


java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config <config file name> -unload


java.exe -classpath %CLASSPATH% com.novell.nds.dirxml.remote.loader.RemoteLoader -config e:\RL\JAVARL\config8000.txt -unload

10.2.4 .NET リモートローダのインストール

.NET リモートローダを管理者ユーザとしてインストールするには :

1 .NET リモートローダをインストールするコンピュータに管理者としてログインします。

2 インストールプログラムにアクセスするため、次のいずれかの手順を実行します。

2a ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルが

ある場合は、.NET リモートローダのインストールファイルが保存されているディレクト

リへ移動します。デフォルトの場所は \products\idm\windows\setup\ ディレクトリです。

2b ( 状況によって実行 ) .NET リモートローダのインストールファイルを NetIQ Downloads の

Web サイトからダウンロードした場合は、次の手順を実行します。

ダウンロードしたイメージの .tgz ファイルへナビゲートします。

ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

3 インストールディレクトリから idm_install.exe プログラムを実行します。

4 ライセンス契約に同意して、［Next］をクリックします。

5［コンポーネントの選択］ウィンドウで、.NET リモートローダを指定します。




す。






8［Activation Notice ( アクティベーションの通知 )］ウィンドウで、［OK］をクリックします。

9 ご使用のコンピュータで、.NET リモートローダのインストールディレクトリを選択します。

10［概要］ページを確認し、［インストール］をクリックして、インストールを完了します。

10.2.5 リモートローダのサイレントインストールの実行

リモートローダのサイレントインストールを実行するには、インストールを完了するのに必要なパラメータを含むプロパティファイルを作成します。Identity Manager のメディアには、

\products\idm\windows\setup\silent.properties に、サンプルのプロパティファイルが収録されています。



1 インストールディレクトリで、プロパティファイルを作成するか、サンプルのsilent.properties ファイルを編集します。

2 テキストエディタで、ファイルに次のパラメータを指定します。



ます。

X64_CONNECTED_SYSTEM_SELECTED 64 ビットのリモートローダサービスとドライバをインストールするかどうかを指定しま


ます。


DOT_NET_REMOTELOADER_SELECTED Windows サーバに .NET リモートローダサービスとドライバをインストールするかどうか


3 サイレントインストールを実行するには、次のコマンドを実行します。

install.exe -i silent -f filename.properties

4 ( オプション ) デフォルトのインストール場所については、インストールログファイルを参照し

てください。たとえば、C:\Users\Admin1\AppData\Local\Temp\1\idmInstall.log です。

10.3 リモートローダとドライバの設定リモートローダは、.dll、.so、または .jar ファイルに含まれる Identity Manager アプリケーションシ

ムをホストできます。Java リモートローダは Java ドライバシムのみをホストします。ネイティブ

(C++) ドライバシムはロードまたはホストしません。

リモートローダを使用する前に、Identity Manager エンジンに安全に接続するようにアプリケー

ションシムを設定する必要があります。さらに、リモートローダと Identity Manager ドライバ両方

の設定も必要です。シムの詳細については、99 ページの「シムの理解」を参照してください。

111 ページのセクション 10.3.1「Identity Manager エンジンへのセキュア接続の作成」

113 ページのセクション 10.3.2「リモートローダの環境設定パラメータの理解」

123 ページのセクション 10.3.3「ドライバインスタンスのリモートローダの設定」

125 ページのセクション 10.3.4「ドライバインスタンスの Java リモートローダの設定」

127 ページのセクション 10.3.5「ドライバインスタンスの .NET リモートローダの設定」

129 ページのセクション 10.3.6「リモートローダと連携するための Identity Manager ドライバの

設定」

130 ページのセクション 10.3.7「Identity Manager エンジンとの相互認証の設定」

139 ページのセクション 10.3.8「設定の検証」


10.3.1 Identity Manager エンジンへのセキュア接続の作成

リモートローダと Identity Manager エンジンとの間でデータが安全に転送されるようにする必要が

あります。NetIQ では、通信に TLS/SSL (Transport Layer Security/Secure Socket Layer) プロトコ

ルを使用することをお勧めします。TLS/SSL 接続をサポートするには、キーストアファイルまたは

KMO に適切な自己署名証明書が必要です。このセクションでは、その証明書を作成、エクスポー

ト、および保管する方法について説明します。

注 : Identity Manager エンジンをホストするサーバとリモートローダで同じバージョンの SSL を使

用してください。サーバとリモートローダの SSL のバージョンが一致していないと、サーバから

「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセー

ジは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

通信プロセスの理解

リモートローダはクライアントのソケットを開いて、リモートインタフェースシムからの接続をリスンします。リモートインタフェースシムとリモートローダは、SSL ハンドシェークを実行してセ

キュアなチャネルを確立します。続いて、リモートインタフェースシムはリモートローダへの認証を実行します。リモートインタフェースシムの認証が成功すると、リモートローダはリモートインタフェースシムへの認証を実行します。正規の権限によって通信が確立されていることを両側から確認できた場合にのみ、同期トラフィックが発生します。

ドライバと Identity Manager エンジンとの間で SSL 接続を確立するプロセスは、次のようにドライ

バのタイプによって異なります。

ネイティブのドライバ (Active Directoryドライバなど )の場合、Base64エンコード証明書を指し

ます。詳細については、111 ページの「自己署名サーバ証明書の管理」を参照してください。

Java ドライバの場合、キーストアを作成する必要があります。詳細については、113 ページの「SSL 接続使用時のキーストアファイルの作成」を参照してください。

.NET ドライバの場合、Base64 エンコード証明書を指します。詳細については、111 ページの「自己署名サーバ証明書の管理」を参照してください。

注 : リモートローダでは、リモートローダおよび Identity Manager サーバでホストされているリ

モートインタフェースシムとの間の接続方法をカスタマイズできます。カスタム接続モジュールを設定する場合、接続文字列で必要な項目と使用可能な項目に関する情報については、モジュールに付属のマニュアルを参照してください。

自己署名サーバ証明書の管理

自己署名サーバ証明書を作成してエクスポートすることで、リモートローダと Identity Manager エンジン間のセキュアな通信を保証できます。セキュリティを追加する場合は、Suite B によって指定

される SSL 通信のより強力はサイファを設定できます。この通信では、データを暗号化するために


ECDSA (Elliptic Curve デジタル署名アルゴリズム ) 証明書を使用する必要があります。Suite B が有

効な場合、リモートローダは、通信プロトコルとして TLS 1.2 を使用します。Suite B の詳細につい

ては、「Suite B Cryptography」を参照してください。

新しく作成された証明書をエクスポートするか、既存の証明書を使用することができます。

注 : サーバがツリーに参加すると、eDirectory によって次のデフォルトの証明書が作成されます。

SSL CertificateIP SSL CertificateDNS

Suite B 対応の証明書

1 NetIQ iManager にログインします。

2 新しい証明書を作成するには、次の手順を実行します。

2a［NetIQ Certificate Server］ > ［Create Server Certificate ( サーバ証明書の作成 )］の順にク


2b 証明書を所有するサーバを選択します。

2c 証明書のニックネームを指定します。たとえば、「remotecert」と指定します。

注 : 証明書のニックネームにはスペースを使用しないことをお勧めします。たとえば、「remote cert」ではなく「remotecert」を使用します。

また、証明書のニックネームは書き留めておいてください。このニックネームは、ドライバのリモート接続パラメータの KMO 名に使用します。

2d 証明書の作成方法を選択して、［次へ］をクリックします。

次の選択肢があります。

標準 : このオプションでは、可能な大キーサイズを使用してサーバ証明書オブジェ

クトが作成され、組織 CA によって公開鍵証明書に署名されます。

カスタム : このオプションでは、ユーザが指定する設定を使用してサーバ証明書オブ

ジェクトが作成されます。サーバ証明書オブジェクトの多数のカスタマイズされた設定を指定できます。このオプションを選択すると、Suite B 通信用の ECDSA 証明書

が作成されます。

インポート : このオプションでは、PKCS12(PFX) ファイルからキーと証明書を使用

してサーバ証明書オブジェクトが作成されます。このオプションをエクスポート機能と組み合わせて使用すると、サーバ証明書のバックアップおよび復元をしたり、サーバ証明書オブジェクトをサーバから別のサーバへ移動できます。

2e 証明書パラメータを指定します。

2f 残りの項目については、証明書のデフォルト値をそのまま使用します。

2g［概要］の画面を確認し、［終了］をクリックして、［閉じる］をクリックします。

3 証明書をエクスポートするには、次の手順を実行します。

3a iManager で、［Roles and Task ( 役割とタスク )］ > ［NetIQ Certificate Access (NetIQ 証明

書へのアクセス )］ > ［Server Certificates ( サーバ証明書 )］の順に移動します。

3b 作成した証明書またはサーバが作成した証明書 (SSL CertificateDNS など ) に移動して選

択します。

3c［エクスポート］をクリックします。


http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml

3d［CA 証明書］をドロップダウンメニューから［OU=organization CA.O=TREEANAME］と

して選択します。

3e［エクスポート形式］をドロップダウンメニューから［BASE64］として選択します。

注 : リモートローダを Windows 2012 R2 64 ビットサーバで実行している場合、証明書は

Base64 形式にする必要があります。DER 形式を使用すると、リモートローダが Identity Manager エンジンに接続できません。

3f［次へ］をクリックします。

3g［保存］、［閉じる］の順にクリックします。

SSL 接続使用時のキーストアファイルの作成

Java ドライバと Identity Manager エンジンの間で SSL 接続を使用するには、キーストアを作成す

る必要があります。キーストアは、暗号化キーおよび証明書 ( オプション ) を含む Java ファイルで

す。リモートローダと Identity Manager エンジンの間で SSL を使用する必要があり、Java シムを

使用する場合は、キーストアファイルを作成する必要があります。次のセクションでは、キーストアファイルの作成方法について説明します。

113 ページの「任意のプラットフォームでのキーストアの作成」

113 ページの「キーストアの作成」

任意のプラットフォームでのキーストアの作成

任意のプラットフォームでキーストアを作成するには、コマンドラインで次のコマンドを入力します。

keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass

filename には任意の名前を指定できます (rdev_keystore など )。

キーストアの作成

Keytool ユーティリティを実行します。このユーティリティは、デフォルトでは

c:\novell\remoteloader\jre\bin ディレクトリにあります。

10.3.2 リモートローダの環境設定パラメータの理解

Identity Manager アプリケーションシムをホストするドライバインスタンスとリモートローダを連

携するには、ドライバインスタンスを設定する必要があります。たとえば、インスタンスの接続およびポートの設定を指定する必要があります。コマンドラインまたはリモートローダコンソールから設定を指定できます。インスタンスが実行状態になったら、コマンドラインを使用して、環境設定パラメータを変更したり、特定の機能を実行するようリモートローダに命令したりできます。たとえば、トレースウィンドウを開いたり、リモートローダをアンロードしたりできます。

このセクションでは、環境設定パラメータについて説明します。ここでの説明では、インスタンスの実行中にコマンドラインからパラメータを送信してリモートローダを更新できるかどうかを指定します。

新しいドライバインスタンスの設定の詳細については、123 ページのセクション 10.3.3「ドライバ

インスタンスのリモートローダの設定」を参照してください。


リモートローダのドライバインスタンスの環境設定パラメータ

ドライバインスタンスは、コマンドラインまたは環境設定ファイルで設定できます。リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファイル config8000.txtが用意されています。サンプルファイルは、デフォルトでは C:\novell\remoteloader\<architecture(64bit/32bit>\ または C:\Novell\remoteloader.NET ディレクトリにあります。たとえば、環境設定ファイルに

次の行を記述できます。

-commandport 8000-connection "port=8090"-trace 4-tracefile ./trace8000.log-class com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver

使用するパラメータは、以下のとおりです。

-assembly ( 状況によって実行 ) .NET リモートローダを使用する場合、ドライバ .dll が配置されているパ

スを指定します。環境設定ファイルにこのパラメータが含まれていることを確認します。次に例を示します。

-assembly C:\Novell\remoteloader.NET\DXMLMADDriver.dll

-description value (-desc value)

( オプション ) 文字列形式の短い説明を指定します (SAP など )。この説明は、アプリケーショ

ンによってトレースウィンドウのタイトルや監査ログに使用されます。次に例を示します。

-description SAP

-desc SAP

-class name (-cl name) ( 状況によって実行 ) Java ドライバを使用する場合、ホストする Identity Manager アプリケー

ションシムの Java クラス名を指定します。このオプションにより、Java キーストアを使用し

て証明書を読み込むようアプリケーションに指示します。次に例を示します。

-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim-cl com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

注

-module オプションを指定した場合、このオプションは使用できません。

-class オプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動

しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動するには、タブではなくスペースを使用できます。

このオプションで指定できる名前の詳細については、122 ページの「Java -class パラメー

タの名前の理解」を参照してください。

-commandport port_number (-cp port_number) ドライバインスタンスが制御目的で使用する TCP/IP ポートを指定します。たとえば、-commandport 8001 または -cp 8001 と指定します。デフォルトは 8000 です。

同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンスごとに異なる接続ポートとコマンドポートを指定します。


ドライバインスタンスがアプリケーションシムをホストしている場合、コマンドポートは、別のインスタンスが、シムをホストしているインスタンスと通信するポートになります。ドライバインスタンスが、アプリケーションシムをホストしているインスタンスにコマンドを送信する場合、コマンドポートはホストインスタンスがリスンしているポートになります。

このパラメータをコマンドラインから、アプリケーションシムをホストしているインスタンスに送信する場合、コマンドポートはホストインスタンスがリスンしているポートを表します。このコマンドはリモートローダの実行中に送信できます。

-config filename

ドライバインスタンスの環境設定ファイルを指定します。次に例を示します。

-config config.txt

環境設定ファイルには、-config 以外のあらゆるコマンドラインオプションを含めることができ

ます。コマンドラインで指定したオプションは、環境設定ファイル内で指定されたオプションよりも優先されます。

このコマンドはリモートローダの実行中に送信できます。

-connection “parameters” (-conn “parameters”) Identity Manager リモートインタフェースシムを実行する Identity Manager エンジンをホスト

しているサーバに接続するための設定を指定します。デフォルトの接続方法は、SSL を使用し

た TCP/IP です。

同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンスごとに異なる接続ポートとコマンドポートを指定します。

次の構文で接続設定を入力します。

-connection "parameter parameter parameter"


-connection "port=8091 fromaddress=198.51.100.0 rootfile=server1.pem keystore=ca.pem localaddress=198.51.100.0 hostname=198.51.100.0 kmo=remote driver cert"

TCP/IP 接続の設定を指定するには、次のパラメータを使用します。

address=IP_address ( オプション ) リモートローダが特定のローカル IP アドレスをリスンするかどうかを指定

します。これは、リモートローダをホストするサーバが複数の IP アドレスを持ち、リ

モートローダが 1 つのアドレスのみをリスンしなければならない場合に便利です。有効な

値は次のとおりです。

address=address number

address='localhost'


address=198.51.100.0

値を指定しない場合、リモートローダはすべてのローカル IP アドレスをリスンします。

fromaddress=IP_address リモートローダが接続を受け入れる元のサーバを指定します。アプリケーションは他のアドレスからの接続を無視します。サーバの IP アドレスまたは DNS 名を指定します。次に

例を示します。


fromaddress=198.51.100.0

fromaddress=testserver1.company.com

handshaketimeout=milliseconds ( 状況によって実行 ) Identity Manager エンジンからの有効な接続でハンドシェークのタイ

ムアウトが発生した場合に適用されます。リモートローダと Identity Manager エンジン間

のハンドシェークのタイムアウト時間 ( ミリ秒単位 ) を指定します。次に例を示します。

handshaketimeout=1000

ゼロ以上の整数を指定できます。ゼロは、接続がタイムアウトしないことを意味します。デフォルト値は 1000 ミリ秒です。

hostname=server

リモートローダを実行するサーバの IP アドレスまたは名前を指定します。次に例を示し

ます。

hostname=198.51.100.0

secureprotocol=TLS version

リモートローダが Identity Manager エンジンに接続するために使用する TLS プロトコルの

バージョンを指定します。次に例を示します。

secureprotocol=TLSv1_2

Identity Manager は、TLSv1 および TLSv1_2 をサポートします。デフォルトで、リモー

トローダは TLSv1_2 を使用します。TLSv1 を使用するには、パラメータでこのバージョ

ンを指定します。

enforceSuiteB=true/false ( 状況によって実行 ) リモートローダが Suite B 暗号アルゴリズムを使用して Identity Manager エンジンと通信する場合にのみ適用します。

通信に Suite B を使用するには、true を指定します。この通信は、TLS 1.2 プロトコルでの

みサポートされます。

Suite B 対応エンジンを、TLSv1.2 をサポートしないリモートローダと接続しようとする

場合、ハンドシェークが失敗し、通信が確立されません。たとえば、リモートローダ4.5.3 は、TLS v1.2 をサポートしません。

useMutualAuth=true/false ( 状況によって実行 ) リモートローダと Identity Manager エンジンが、信頼する認証局

(CA) によって発行された公開鍵証明書やデジタル証明書、または自己署名証明書を検証

することにより相互認証する場合にのみ適用します。次に例を示します。

useMutualAuth=true

keystore=filename リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むJava キーストアのファイル名を指定します。次に例を示します。

keystore=keystore filename

通常は、リモートインタフェースシムをホストしているツリーの認証局を指定します。


kmo=name SSL 接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定します。


kmo=remote driver cert

localaddress=IP_address クライアント接続用ソケットのバインド先 IP アドレスを指定します。次に例を示します。

localaddress=198.51.100.0

port=port_number リモートローダがリモートインタフェースシムからの接続をリスンする TCP/IP ポートを

指定します。デフォルトポートを指定するには、「port=8090」と入力します。

rootfile=trusted certname リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。この証明書は Base64 形式 (PEM) である必要があります。次に

例を示します。

rootfile=trustedcert

通常、このファイルはリモートインタフェースシムをホストしているツリーの認証局です。

storepass=password keystore パラメータに入力した Java キーストアのパスワードを指定します。次に例を示し

ます。

storepass=mypassword

リモートローダが Java ドライバと通信するには、次の構文を使用して、キーと値のペア


keystore=keystorename storepass=password

-datadir directory (-dd directory) リモートローダが使用するデータファイルのディレクトリを指定します。次に例を示します。

-datadir C:\novell\remoteloader

このコマンドを使用すると、リモートローダにより、カレントディレクトリが指定のディレクトリに変更されます。明示的にパスが指定されていないトレースファイルなどのファイルは、このデータディレクトリに作成されます。

-help (-h) ヘルプを表示するようアプリケーションに命令します。

-java (-j) ( 状況によって実行 ) Java ドライバシムインスタンスのパスワードを設定するよう指定します。

注 : -class の値を同時に指定しない場合、このオプションは -setpasswords オプションとともに

使用します。


-javadebugport port_number (-jdp port_number) 指定されたポートで Java デバッグを有効にするようインスタンスに命令します。次に例を示

します。

-javadebugport 8080

このコマンドは Identity Manager アプリケーションシムの開発時に使用します。このコマンド

はリモートローダの実行中に送信できます。

-javaparam parameters (-jp parameters) Java 環境の各種パラメータを指定します。次の構文で Java 環境パラメータを入力します。

-javaparam parameter-jp parameter-jp parameter

注 : Java リモートローダと一緒にこのパラメータを使用しないでください。

個々のパラメータに複数の値を指定するには、パラメータを引用符で囲みます。次に例を示します。

-javaparam DHOST_JVM_MAX_HEAP=512M-jp DHOST_JVM_MAX_HEAP=512M-jp "DHOST_JVM_OPTIONS=-Dfile.encoding=utf-8 -Duser.language=en"

Java 環境を設定するには、次のパラメータを使用します。

DHOST_JVM_ADD_CLASSPATH JVM がパッケージ (.jar) ファイルおよびクラス (.class) ファイルを検索する追加のパスを指

定します。 DHOST_JVM_INITIAL_HEAP

JVM の初期 ( 小 ) ヒープサイズを 10 進数のバイト単位で指定します。数値を指定し、

その後に単位としてバイトタイプを表す G、M、または K を指定します。次に例を示しま

す。

100M

バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。このパラメータを使用することは、java -Xms コマンドを使用することと同等です。

このパラメータは、ドライバセット属性オプションよりも優先されます。初期ヒープサイズを大きくすれば、起動時間とスループットのパフォーマンスが改善される場合があります。

DHOST_JVM_MAX_HEAP JVM の大ヒープサイズを 10 進数のバイト単位で指定します。数値を指定し、その後に

単位としてバイトタイプを表す G、M、または K を指定します。次に例を示します。

100M

バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。

このパラメータは、ドライバセット属性オプションよりも優先されます。 DHOST_JVM_OPTIONS

ドライバの JVM インスタンスの起動時に使用する引数を指定します。空白を使用して各

オプション文字列を区切ります。次に例を示します。


-Xnoagent -Xdebug -Xrunjdwp: transport=dt_socket,server=y, address=8000

このパラメータよりもドライバセット属性オプションが優先されます。この環境変数は、ドライバセット属性オプションの末尾に付加されます。有効なオプションの詳細については、JVM のマニュアルを参照してください。

-module “name” (-m “name”) ( 状況によって実行 ) ネイティブドライバを使用する場合、ホストする Identity Manager アプリ

ケーションシムが含まれるモジュールを指定します。このオプションは、rootfile 証明書を使用

するようアプリケーションに命令します。たとえば、ネイティブドライバに対しては次のいずれかを入力します。

-module "c:\Novell\RemoteLoader\ADDriver.dll"-m "c:\Novell\RemoteLoader\ADDriver.dll"

注

-class オプションを指定した場合、このオプションは使用できません。

-module オプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動

しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動するには、タブではなくスペースを使用できます。

-password value (-p value) 設定を変更するコマンドやインスタンスの操作に影響するコマンドを発行する場合は、ドライバインスタンスのパスワードを指定する必要があります。コマンドを発行するインスタンスに対して setpasswords で指定した初のパスワードと同じパスワードを指定します。次に例を

示します。

-password netiq4

コマンドの発行時にパスワードを送信しない場合、ドライバインスタンスにより、パスワードを入力するようプロンプトが表示されます。


-service value (-serv value) Win32 サービスとしてインスタンスを設定するかどうかを指定します。有効な値は install およ

び uninstall と、アプリケーションシムをホストするのに必要なその他のパラメータです。たと

えば、-module を記述する必要がある場合に、-commandport と接続設定も記述できます。

このコマンドは単にインスタンスをサービスとしてインストールか、アンインストールします。サービスを起動するものではありません。

このコマンドはリモートローダの実行中に送信できます。ただし、rdxml または Java リモート

ローダではこのコマンドを使用できません。

-setpasswords Remote_Loader_pwd optional_pwd (-sp Remote_Loader_pwd optional_pwd) ドライバインスタンスのパスワード、およびリモートローダが通信するリモートインタフェースシムの Identity Manager ドライバオブジェクトのパスワードを指定します。

パスワードを指定する必要はありません。その代わり、リモートローダによって、パスワードを入力するようプロンプトが表示されます。ただし、リモートローダのパスワードを指定した場合、Identity Manager エンジンサーバでリモートインタフェースシムに関連付けられている

Identity Manager ドライバオブジェクトのパスワードも指定する必要があります。パスワード

を指定するには、次の構文を使用します。

-setpasswords Remote_Loader_password driver_object_password



-setpasswords netiq4 idmobject6

注 : このオプションを使用すると、指定したパスワードがドライバインスタンスに設定されますが、Identity Manager アプリケーションシムはロードされず、別のインスタンスとも通信し

ません。

トレースファイルの設定 ( 状況によって実行 ) Identity Manager アプリケーションシムをホストする場合、リモートロー

ダとこのインスタンスのドライバの両方からの情報メッセージを記録するトレースファイルの設定を指定します。

環境設定ファイルに次のパラメータを追加します。

-trace integer (-t integer) トレースウィンドウに表示するメッセージのレベルを指定します。次に例を示します。

-trace 3

リモートローダのトレースレベルは、Identity Manager エンジンをホストしているサーバ

で使用されているトレースレベルに対応します。

-tracefile filepath (-tf filepath)

トレースメッセージを記録するファイルのパスを指定します。特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。次に例を示します。

-tracefile c:\temp\trace.txt

-trace パラメータがゼロより大きい場合、アプリケーションはメッセージをこのファイル

に書き込みます。メッセージをファイルに書き込むためにトレースウィンドウが開いている必要はありません。

-tracefilemax size (-tf size) このインスタンスのトレースファイルのサイズの制限を指定します。キロバイト、メガバイト、またはギガバイト単位の値を、バイトタイプを表す略語を使用して指定します。次に例を示します。

-tracefilemax 1000K

-tf 100M

-tf 10G

注

リモートローダの起動時にトレースファイルのデータが指定した大サイズよりも大

きい場合、10 ファイルすべてのロールオーバーが完了するまで、トレースファイル

のデータは指定した大値よりも大きいままとなります。

環境設定ファイルにこのオプションを追加した場合、アプリケーションは指定した名

前をトレースファイルに使用し、大 9 個の「ロールオーバー」ファイルを含めま

す。ロールオーバーファイルには、メインのトレースファイル名と「_n」に基づいた

名前が付けられます。「n」は 1 ～ 9 の値になります。


-tracechange integer (-tc integer) ( 状況によって実行 ) アプリケーションシムをホストしている既存のドライバインスタン

スがある場合に、情報メッセージの新しいレベルを指定します。トレースレベルはIdentity Manager サーバで使用されているレベルと同じです。次に例を示します。

-trace 3


-tracefilechange filepath (-tfc filepath) ( 状況によって実行 ) アプリケーションシムをホストしている既存のドライバインスタン

スがある場合に、そのインスタンスに対し、特定のトレースファイルを使用するか、使用中のファイルを閉じてこの新しいファイルに変更するよう命令します。次に例を示します。

-tracefilechange \temp\newtrace.txt


証明書パスワードの設定 ( 状況によって実行 ) useMutualAuth が環境設定ファイルで true に設定されている場合にのみ有

効です。

-keystorepassword (-ksp) Java リモートローダドライバ専用の相互認証を有効にするためにキーストアパスワード


-keypassword (-kp) Java リモートローダドライバおよびネイティブリモートローダドライバの相互認証を有

効にするためにキーパスワードを指定します。

-unload (-u) アンロードするようドライバインスタンスに命令します。リモートローダが Win32 サービスと

して実行されている場合は、サービスを停止します。


-window value (-w) value ドライバインスタンスのトレースウィンドウをオンまたはオフにするようアプリケーションに命令します。有効な値は on および off です。次に例を示します。

-window on

このコマンドはリモートローダの実行中に送信できます。このコマンドは Java リモートロー

ダでは使用できません。

-wizard (-wiz) リモートローダの設定ウィザードを起動します。コマンドラインパラメータを指定せずにdirxml_remote.exe を実行してもウィザードを起動できます。

このコマンドを実行する際に環境設定ファイルも指定した場合 (-config オプション )、ウィザー

ドは環境設定ファイルの値で起動します。環境設定ファイルを直接編集せずに、ウィザードを使用して設定を変更できます。次に例を示します。

-wizard -config config.txt

このコマンドは Java リモートローダでは使用できません。


Java -class パラメータの名前の理解

-class パラメータを使用してリモートローダおよび Java リモートローダのドライバインスタンスを

設定する場合、ホストする Identity Manager アプリケーションシムの Java クラス名を指定する必


Java クラス名ドライバ

com.novell.nds.dirxml.driver.dcsshim.DCSShim データ収集サービス用ドライバ

com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver 区切り付きテキストドライバ

be.opns.dirxml.driver.ars.arsremedydrivershim.ARSDriverShim Driver for Remedy ARS

com.novell.nds.dirxml.driver.entitlement.EntitlementServiceDriver エンタイトルメントサービスドライバ

com.novell.gw.dirxml.driver.rest.shim.GWdriverShim GroupWise 2014 ドライバ

com.novell.idm.drivers.idprovider.IDProviderShim ID プロバイダドライバ

com.novell.nds.dirxml.driver.jdbc.JDBCDriverShim JDBC ドライバ

com.novell.nds.dirxml.driver.jms.JMSDriverShim JMS ドライバ

com.novell.nds.dirxml.driver.ldap.LDAPDriverShim LDAP ドライバ

com.novell.nds.dirxml.driver.loopback.LoopbackDriverShim Loopback Driver

com.novell.nds.dirxml.driver.ebs.user.EBSUserDriver Oracle ユーザ管理ドライバ

com.novell.nds.dirxml.driver.ebs.hr.EBSHRDriver Oracle HR ドライバ

com.novell.nds.dirxml.driver.ebs.tca.EBSTCADriver Oracle TCA ドライバ

com.novell.nds.dirxml.driver.msgateway.MSGatewayDriverShim Managed System Gateway Driver

com.novell.nds.dirxml.driver.manualtask.driver.ManualTaskDriver Manual Task Driver

com.novell.nds.dirxml.driver.nisdriver.NISDriverShim NIS Driver

com.novell.nds.dirxml.driver.notes.NotesDriverShim Notes Driver

com.novell.nds.dirxml.driver.psoftshim.PSOFTDriverShim PeopleSoft Driver

com.netiq.nds.dirxml.driver.pum.PUMDriverShim 特権ユーザ管理ドライバ

com.novell.nds.dirxml.driver.salesforce.SFDriverShim SalesForce ドライバ

com.novell.nds.dirxml.driver.SAPHRShim.SAPDriverShim SAP HR ドライバ

com.novell.nds.dirxml.driver.sap.portal.SAPPortalShim SAP ポータルドライバ

com.novell.nds.dirxml.driver.sapumshim.SAPDriverShim SAP User Management Driver

com.novell.nds.dirxml.driver.soap.SOAPDriver SOAP ドライバ

com.novell.idm.driver.ComposerDriverShim ユーザアプリケーション

com.novell.nds.dirxml.driver.workorder.WorkOrderDriverShim ワークオーダードライバ


10.3.3 ドライバインスタンスのリモートローダの設定

リモートローダは、.dll、.so、または .jar ファイルに含まれる Identity Manager アプリケーションシ

ムをホストできます。リモートローダを実行するには、アプリケーションは環境設定ファイル(LDAPShim.txt など ) を必要とします。リモートローダコンソールユーティリティ ( コンソール ) は、

サーバで実行されている Identity Manager ドライバのすべてのインスタンスを管理するのに役立ち

ます。リモートローダの各インスタンスを起動、停止、追加、削除、および編集できます。リモートローダのインストールプログラムを実行すると、コンソールもインストールされます。

アップグレードを行う場合、コンソールは既存のドライバインスタンスを検出してインポートします。ドライバを自動的にインポートするには、その環境設定ファイルをリモートローダのディレクトリ ( デフォルトでは c:\novell\remoteloader) に保存する必要があります。その後、コンソールを使

用してリモートドライバを管理できます。

コマンドラインまたはリモートローダコンソールを使用して、ドライバを認識するようにリモートローダを設定できます。コマンドラインの使用の詳細については、113 ページのセクション 10.3.2

「リモートローダの環境設定パラメータの理解」を参照してください。

このセクションでは、次の操作の方法について説明します。

123 ページの「リモートローダの新しいドライバインスタンスの作成」

125 ページの「リモートローダの既存のドライバインスタンスの変更」

リモートローダの新しいドライバインスタンスの作成

1 リモートローダコンソールを開きます。

注 : インストールの際にコンソールのショートカットを作成するよう選択した場合は、デスクトップの［Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )］アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は

C:\novell\remoteloader\nnbit です。

2 このサーバにドライバのインスタンスを追加するため、［追加］をクリックします。

3［説明］に、インスタンスを表す短い名前を入力します。

コンソールは、この情報を［Config File ( 環境設定ファイル )］のデフォルト値に使用します。

4［ドライバ］で、Java クラス名を選択します。

注 : Active Directory ドライバを使用するには、［ADDriver.dll］を選択します。各ドライバのク

ラス名の詳細については、122 ページの「Java -class パラメータの名前の理解」を参照してく

ださい。

5［Config File ( 環境設定ファイル )］で、リモートローダが環境設定パラメータを保存するファイ

ルのパスを指定します。デフォルト値は C:\novell\remoteloader\nnbit\Description-config.txt です。

6 リモートローダおよびドライバオブジェクトのパスワードを指定します。

7 ( オプション ) リモートローダと Identity Manager エンジンサーバの間で TLS/SSL 接続を使用

するには、次の手順を実行します。

7a［SSL 接続の使用］を選択します。


注 : Identity Manager エンジンサーバとリモートローダの両方で同じバージョンの SSL を

使用することをお勧めします。サーバとリモートローダの SSL のバージョンが一致して

いないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセー

ジが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

7b［信頼するルートファイル］で、eDirectory ツリーの組織認証局からエクスポートされた自

己署名証明書を指定します。詳細については、111 ページのセクション 10.3.1「Identity Manager エンジンへのセキュア接続の作成」および 113 ページのセクション 10.3.2「リ

モートローダの環境設定パラメータの理解」を参照してください。

8 ( オプション ) リモートローダのトレースファイルを設定するため、次の手順を実行します。

注 : トレース機能は問題をトラブルシューティングする場合にのみ使用することをお勧めします。トレースを有効にすると、リモートローダのパフォーマンスが低下します。トレースを有効にしたまま運用しないでください。

8a［Trace Level ( トレースレベル )］で、トレースウィンドウに表示する、リモートローダと

ドライバの両方からの通知メッセージのレベルを定義するゼロより大きい値を指定します。1 ～ 4 の値はコンソールで事前定義されています。独自のメッセージタイプを作成す

るには、5 以上の値を指定します。

も一般的な設定はトレースレベル 3 で、処理全般、XML ドキュメント、およびリモー

トローダのメッセージが表示されます。

8b［Trace File ( トレースファイル )］で、トレースメッセージを記録するファイルのパスを指

定します。たとえば、C:\novell\remoteloader\64bit\Test-Delimited-Trace.log です。

特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。トレースメッセージは、トレースレベルがゼロよりも大きい場合にだけトレースファイルに書き込まれます。

8c［Maximum Disk Space Allowed for all Trace Logs (Mb) ( 全トレースログで使用できる大

ディスク領域 (MB))］で、このインスタンスのトレースファイルに使用できる大ディス

ク領域のおおよその値を指定します。

9 ( オプション ) コンピュータの起動時にリモートローダが自動的に起動できるようにするには、

［Establish Remote Loader Service for this driver instance ( このドライバインスタンスのリモー

トローダサービスを設定する )］を選択します。

注 : リモートローダが Identity Manager エンジンとの接続を確立する場合に handshaketimeoutにより SSL 接続が失敗する場合、デフォルトの handshaketimeout 変数を 10000 に更新して、

ドライバとリモートローダの両方を再起動します。

10 ( 状況によって実行 ) Java 環境設定のパラメータを変更するには、次の手順を実行します。

10a［Advanced ( 詳細 )］を選択します。

10b［Classpath ( クラスパス )］で、JVM がパッケージ (.jar) ファイルおよびクラス (.class) ファ

イルを検索するパスを指定します。

このパラメータの機能は java -classpath コマンドと同じです。

10c［JVM Options (JVM オプション )］で、ドライバの JVM インスタンスの起動時に使用する

オプションを指定します。

10d JVM インスタンスの初期ヒープサイズと大ヒープサイズを MB 単位で指定します。


10e Suite B 通信の場合、enforceSuiteB=true を指定します。この通信は、TLS 1.2 プロトコルで

のみサポートされます。

詳細については、111 ページのセクション 10.3.1「Identity Manager エンジンへのセキュ

ア接続の作成」および 113 ページのセクション 10.3.2「リモートローダの環境設定パラ

メータの理解」を参照してください。

10f［OK］をクリックします。

11 ( オプション ) リモートローダが Identity Manager エンジンとの接続中にセキュアプロトコルを

使用できるようにするには、リモートローダ設定ファイルでセキュアプロトコルバージョンを指定します。例 : secureprotocol=TLSv1_2

詳細については、113 ページのセクション 10.3.2「リモートローダの環境設定パラメータの理

解」を参照してください。

注 : すでにドライバでセキュアプロトコルバージョンを設定している場合は、この手順をスキップします。

12 ( オプション ) リモートローダ通信が Suite B で指定されたプロトコルを使用できるようにする

には、リモートローダ設定ファイルで enforceSuiteB=true を指定します。この通信は、TLS 1.2 プロトコルでのみサポートされます。



注 : すでにドライバで Suite B 通信を有効化している場合は、この手順をスキップします。


リモートローダの既存のドライバインスタンスの変更 1 リモートローダコンソールの［説明］カラムから、ドライバインスタンスを選択します。

2［停止］をクリックします。

3 リモートローダのパスワードを入力して、［OK］をクリックします。

4［編集］をクリックします。

5 設定情報を変更します。各パラメータの詳細については、123 ページの「リモートローダの新

しいドライバインスタンスの作成」を参照してください。

6 変更を保存するには、［OK］をクリックします。

10.3.4 ドライバインスタンスの Java リモートローダの設定

Java リモートローダは Java ドライバシムのみをホストします。ネイティブ (C++) ドライバシムは

ロードまたはホストしません。

1 テキストエディタで新しいファイルを作成します。

リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファイル config8000.txt が用意されています。サンプルファイルは、デフォルトでは

C:\novell\remoteloader\<architecture(64bit\32bit>\ または C:\Novell\remoteloader.NET ディレクトリに

あります。

2 新しい環境設定ファイルに次のパラメータを追加します。

-description ( オプション )


-class または -module

たとえば、-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim です。

-commandport

接続パラメータ :

port ( 必須 ) address fromaddress handshaketimeo rootfile keystore localaddress hostname kmo secureprotocol enforceSuiteB useMutualAuth

-java ( 条件付き ) -javadebugport -password -service -setpasswords

トレースファイルパラメータ ( オプション ): -trace -tracefile -tracefilemax

注 : パラメータの詳細については、113 ページのセクション 10.3.2「リモートローダの環境設

定パラメータの理解」を参照してください。

3 新しい環境設定ファイルを保存します。

コンピュータの起動時にリモートローダを自動的に起動するには、ファイルを \jremote ディレ

クトリに保存します。

4 コマンドプロンプトを開きます。

5 プロンプトで「-config filename」と入力します。filename には新しい環境設定ファイルの名前を

指定します。次に例を示します。

dirxml_jremote -config <configFile> -service

これにより、Java リモートローダサービスが開始され、トレースウィンドウが開きます。

6 ( オプション ) ドライバサービスを停止するには、［サービス］に移動し、サービスを停止しま

す。


10.3.5 ドライバインスタンスの .NET リモートローダの設定

リモートローダは、.dll ファイルに含まれる Identity Manager アプリケーションシムをホストできま

す。リモートローダを実行するには、アプリケーションは環境設定ファイル (LDAPShim.txt など ) を必要とします。リモートローダコンソールユーティリティ ( コンソール ) は、サーバで実行されて

いる Identity Manager ドライバのすべてのインスタンスを管理するのに役立ちます。リモートロー

ダの各インスタンスを起動、停止、追加、削除、および編集できます。リモートローダのインストールプログラムを実行すると、コンソールもインストールされます。

アップグレードを行う場合、コンソールは既存のドライバインスタンスを検出してインポートします。ドライバを自動的にインポートするには、その環境設定ファイルをリモートローダのディレクトリ ( デフォルトでは c:\novell\remoteloader) に保存する必要があります。ネット . その後、コンソー

ルを使用してリモートドライバを管理できます。

コマンドラインまたはリモートローダコンソールを使用して、ドライバを認識するようにリモートローダを設定できます。コマンドラインの使用の詳細については、113 ページのセクション 10.3.2

「リモートローダの環境設定パラメータの理解」を参照してください。

このセクションでは、次の操作の方法について説明します。

127 ページの「.NET リモートローダの新しいドライバインスタンスの作成」

129 ページの「.NET リモートローダの既存のドライバインスタンスの変更」

.NET リモートローダの新しいドライバインスタンスの作成 1 リモートローダコンソールを開きます。

注 : インストールの際にコンソールのショートカットを作成するよう選択した場合は、デスクトップの［Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )］アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は

C:\novell\remoteloader.net です。

2 このサーバにドライバのインスタンスを追加するため、［追加］をクリックします。

3［説明］に、インスタンスを表す短い名前を入力します。

コンソールは、この情報を［Config File ( 環境設定ファイル )］のデフォルト値に使用します。

4［ドライバ］で、適切なドライバ .dll を選択します。

5［Config File ( 環境設定ファイル )］で、リモートローダが環境設定パラメータを保存するファイ

ルのパスを指定します。デフォルト値は C:\novell\remoteloader.net\Description-config.txt です。

6 リモートローダおよびドライバオブジェクトのパスワードを指定します。

7 ( オプション ) リモートローダと Identity Manager エンジンサーバの間で TLS/SSL 接続を使用

するには、次の手順を実行します。

7a［SSL 接続の使用］を選択します。


注 : Identity Manager エンジンサーバとリモートローダの両方で同じバージョンの SSL を

使用することをお勧めします。サーバとリモートローダの SSL のバージョンが一致して

いないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセー

ジが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

7b［信頼するルートファイル］で、eDirectory ツリーの組織認証局からエクスポートされた自

己署名証明書を指定します。詳細については、111 ページのセクション 10.3.1「Identity Manager エンジンへのセキュア接続の作成」および 113 ページのセクション 10.3.2「リ

モートローダの環境設定パラメータの理解」を参照してください。

8 ( オプション ) リモートローダのトレースファイルを設定するため、次の手順を実行します。

注 : トレース機能は問題をトラブルシューティングする場合にのみ使用することをお勧めします。トレースを有効にすると、リモートローダのパフォーマンスが低下します。トレースを有効にしたまま運用しないでください。

8a［Trace Level ( トレースレベル )］で、トレースウィンドウに表示する、リモートローダと

ドライバの両方からの通知メッセージのレベルを定義するゼロより大きい値を指定します。1 ～ 4 の値はコンソールで事前定義されています。独自のメッセージタイプを作成す

るには、5 以上の値を指定します。

も一般的な設定はトレースレベル 3 で、処理全般、XML ドキュメント、およびリモー

トローダのメッセージが表示されます。

8b［Trace File ( トレースファイル )］で、トレースメッセージを記録するファイルのパスを指

定します。たとえば、C:\novell\remoteloader.net\Test-Delimited-Trace.log です。

特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。トレースメッセージは、トレースレベルがゼロよりも大きい場合にだけトレースファイルに書き込まれます。

8c［Maximum Disk Space Allowed for all Trace Logs (Mb) ( 全トレースログで使用できる大

ディスク領域 (MB))］で、このインスタンスのトレースファイルに使用できる大ディス

ク領域のおおよその値を指定します。

9 ( オプション ) コンピュータの起動時にリモートローダが自動的に起動できるようにするには、

［Establish Remote Loader Service for this driver instance ( このドライバインスタンスのリモー


注 : リモートローダが Identity Manager エンジンとの接続を確立する場合に handshaketimeoutにより SSL 接続が失敗する場合、デフォルトの handshaketimeout 変数を 10000 に更新して、

ドライバとリモートローダの両方を再起動します。

10 ( オプション ) リモートローダが Identity Manager エンジンとの接続中にセキュアプロトコルを

使用できるようにするには、リモートローダ設定ファイルでセキュアプロトコルバージョンを指定します。例 : secureprotocol=TLSv1_2



注 : すでにドライバでセキュアプロトコルバージョンを設定している場合は、この手順をスキップします。

11 ( オプション ) リモートローダ通信が Suite B で指定されたプロトコルを使用できるようにする

には、リモートローダ設定ファイルで enforceSuiteB=true を指定します。この通信は、TLS 1.2 プロトコルでのみサポートされます。




注 : すでにドライバで Suite B 通信を有効化している場合は、この手順をスキップします。


.NET リモートローダの既存のドライバインスタンスの変更

1 リモートローダコンソールの［説明］カラムから、ドライバインスタンスを選択します。




5 設定情報を変更します。各パラメータの詳細については、127 ページの「.NET リモートロー

ダの新しいドライバインスタンスの作成」を参照してください。

6 変更を保存するには、［OK］をクリックします。

10.3.6 リモートローダと連携するための Identity Manager ドライバの

設定

新しいドライバを設定するか、または既存のドライバを有効にして、リモートローダと通信できます。Identity Manager アプリケーションシムをリモートローダで使用できるように設定する必要が

あります。

注 : このセクションでは、リモートローダと通信できるようにするためのドライバの設定に関する一般的な情報について説明します。ドライバ固有の情報については、Identity Manager ドライバマ

ニュアルの Web サイトで、関連するドライバ実装ガイドを参照してください。

Designer または iManager で新しいドライバオブジェクトを追加したり、既存のドライバオブジェ

クトを変更したりするには、リモートローダのドライバインスタンスを有効にするための設定が必要です。このセクションで使用されているパラメータの詳細については、113 ページの「リモート

ローダの環境設定パラメータの理解」を参照してください。

1［概要］から Identity Manager ドライバオブジェクトを選択します。

2 ドライバオブジェクトのプロパティで、次の手順を実行します。

2a［ドライバモジュール］から、［リモートローダに接続］を選択します。

2b［ドライバオブジェクトパスワード］で、リモートローダが Identity Manager エンジンサー

バに対して自身を認証するために使用するパスワードを指定します。

このパスワードは、リモートローダで定義したドライバオブジェクトのパスワードに一致している必要があります。

2c［Remote Loader Connection Parameters ( リモートローダ接続パラメータ )］で、リモート

ローダに接続するために必要な情報を指定します。使用する構文は次のとおりです。

hostname=xxx.xxx.xxx.xxx port=xxxx kmo=certificatename localaddress=xxx.xxx.xxx.xxx

各要素の内容は次のとおりです。




hostname リモートローダをホストするサーバの IP アドレスを指定します。たとえば、

「hostname=192.168.0.1」と指定します。

port リモートローダがリスンするポートを指定します。デフォルトは 8090 です。

kmo

SSL 接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定しま

す。たとえば、「kmo=remotecert」と指定します。

localaddress

Identity Manager エンジンをホストするサーバに複数の IP アドレスが設定されている

場合、ソース IP アドレスを指定します。

2d［Remote Loader Password ( リモートローダパスワード )］で、Identity Manager エンジン (またはリモートローダシム ) がリモートローダへ認証するために必要なパスワードを指定

します。

3 セキュリティ上同等なユーザを定義します。

4［次へ］をクリックし、［終了］をクリックします。

10.3.7 Identity Manager エンジンとの相互認証の設定

相互認証を設定すると、リモートローダと Identity Manager エンジンとの間のセキュアな通信を保

証することができます。相互認証では、パスワードの代わりにハンドシェークの証明書を使用します。リモートローダと Identity Manager エンジンは、信頼する認証局 (CA) によって発行された公開

鍵証明書やデジタル証明書、または自己署名証明書を交換して検証することにより相互認証します。相互認証に成功すると、リモートローダは Identity Manager エンジンの認証を受けます。リモート

ローダと Identity Manager エンジンの両方が認証エンティティと通信しているという信頼を確立し

た後で、同期トラフィックが発生します。

相互認証を設定するには、次のタスクを実行します。

130 ページの「Identity Manager エンジンとリモートローダの証明書のエクスポート」

133 ページの「相互認証のためのドライバの有効化」

Identity Manager エンジンとリモートローダの証明書のエクスポート

相互認証が適切に機能するには、エンジン用のクライアント証明書とリモートローダ用のクライアント証明書が必要です。eDirectory からこれらの証明書をエクスポートするか、サードパーティベ

ンダーからそれらをインポートすることができます。ほとんどの場合、追加投資を行わずにeDirectory からサーバ証明書をエクスポートします。リモートローダ用のサードパーティクライア

ント証明書をエクスﾎﾟｰトしたい場合もあります。

131 ページの「eDirectory からの証明書のエクスポート」

133 ページの「リモートローダ用サードパーティ証明書のエクスポート」


eDirectory からの証明書のエクスポート

アイデンティティボールトの証明書オブジェクトはキーマテリアルオブジェクト (KMO) と呼ばれま

す。このオブジェクトには、SSL 通信に使用される証明書に関連付けられている公開鍵と秘密鍵を

含む証明書データの両方が安全に含まれています。相互認証の場合、エンジンとリモートローダに対してそれぞれ 2 つの KMO が必要です。

既存の KMO をエクスポートするか、新しい KMO を作成してそれをエクスポートすることができ

ます。クライアント KMO とサーバ KMO の作成プロセスは異なります。

KMO の作成

クライアント KMO を作成する前に、サーバ KMO を作成する必要があります。KMO を作成するに

は、次の手順を実行します。

1 NetIQ iManager にログインします。

2 左側ペインで、［NetIQ Certificate Server］ > ［Create Server Certificate ( サーバ証明書の作成 )］の順に選択します。

3 作成した証明書を所有するサーバを選択します。

4 証明書のニックネームを指定します。

たとえば、サーバ証明書には serverkmo、クライアント証明書には clientkmo を指定します。

5 証明書の作成方法で［カスタム］を選択して、［次へ］をクリックします。

6 デフォルトの［組織認証局］をそのままにして、［次へ］をクリックします。

7 ( 状況によって実行 ) クライアント KMO を作成する場合は、次の手順を実行します。

7a［Enable Extended key usage ( 拡張キーの使用を有効にする )］を選択します。

7b［カスタム］を選択し、［ユーザ認証］を選択します。

7c［次へ］をクリックします。

注 : サーバ KMO については、デフォルトの選択をそのままにして、［次へ］をクリックしま

す。

8 KMO について、［Validity period ( 有効期間 )］を指定します。

iManager システム時間が、Identity Manager コンポーネントおよび接続されているアプリケー

ションと同期されていることを確認します。

9［概要］の画面を確認し、［終了］をクリックして、［閉じる］をクリックします。

10 クライアント KMO を作成するには、これらの手順を繰り返します。

KMO のエクスポート

エンジンとリモートローダが相互認証に使用する KMO を eDirectory からエクスポートします。

Identity Manager エンジンの KMO をエクスポートするには、DirXML コマンドライン (dxcmd) ユー

ティリティを実行します。

dxcmd -user <admin DN> -password <password of admin> -exportcerts <kmoname> <server|client> <java|native|dotnet> <output dir>

where

user は、ドライバへの管理権限を持つユーザの名前を指定します。


password は、ドライバへの管理権限を持つユーザのパスワードを指定します。

exportcerts は、eDirectory から証明書と秘密鍵 / 公開鍵をエクスﾎﾟｰトします。サーバ証明書をま

たはクライアント証明書のいずれをエクスポートするかどうか、証明書を使用するドライバのタイプ、およびコマンドがこの情報を保存する宛先フォルダを指定する必要があります。

例 : dxcmd -user admin.sa.system -password novell -exportcerts serverkmo server java 'C:\certs'

このコマンドは、C:\certs ディレクトリの serverkmo_server.ks ファイルを生成します。デフォルトの

キーストアパスワードおよびキーパスワードは、dirxml です。

リモートローダの KMO をエクスポートするための dxcmd コマンドを実行している場合は、次の考

慮事項が適用されます。

dxcmd ユーティリティは LDAP モードで実行します。このモードを初めて使用する場合、

eDirectory からの証明書を信頼するかどうかの選択を求めるプロンプトが表示されます。環境

に応じて、現在のセッションのみ、または現在と今後のセッションに対して証明書を信頼する、またはすべての証明書を信頼することを選択したり、証明書を信頼しないことを選択できます。

Identity Manager サーバでリモートローダを実行している場合、LDAP またはドット形式のいず

れかでコマンドを実行します。別のサーバにリモートローダがインストールされている場合、LDAP 形式でのみコマンドを実行します。

Identity Managerサーバで認証できるようにサーバ IPアドレスまたはホスト名を解決するには、

コマンドに -host パラメータを指定します。

次の構文を使用してコマンドを実行します。

dxcmd -dnform ldap -host <IP address of the host> -user <admin DN> -password <password of admin> -exportcerts <kmoname> <client> <java|native|dotnet> <output dir>

表 10-1 異なるドライバのタイプの例

ドライバのタイプ

コマンド出力

Java ドライバ dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client java 'C:\certs'

C:\certs ディレクトリの

clientkmo_client.ks ファイ

ル

キーストアのデフォルトパスワードは dirxml です。

デフォルトの［秘密鍵パスワード］は dirxml です。

ネイティブドライバ

dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client native 'C:\certs'


clientkmo_clientcert.pem、

clientkmo_clientkey.pem お

よび trustedcert.b64 ファイ

ル。

デフォルトキーパスワードは dirxml です。


リモートローダ用サードパーティ証明書のエクスポート

リモートローダでサードパーティ証明書を使用するには、.pfx ファイルの証明書および Base 64 形

式の信頼するルートファイルをエクスポートし、.pfx 証明書をドライバが使用する形式に変換する

必要があります。たとえば、ネイティブドライバでは .pem 形式の秘密鍵と証明書キーが必要です

が、Java ドライバでは、.jks 形式のキーストアが必要です。.NET ドライバは .pfx 形式のファイルを

使用します。したがって、.NET ドライバについてはファイルを変換する必要はありません。

ネイティブドライバ次の手順に従います。

1. 秘密鍵を .pfx ファイルから .pem 形式で取得します。

コマンドを入力します (openssl pkcs12 -in servercert.pfx -out serverkey.pem など )。

2. 証明書キーを .pfx ファイルから .pem 形式で取得します。.

コマンドを入力します (openssl pkcs12 -in servercert.pfx -out servercert.pem など )。

Java ドライバ Java キーストアを .pfx ファイルから作成します。次のコマンドを入力します。

keytool -importkeystore -srckeystore servercert.pfx -srcstoretype pkcs12 -destkeystore servercert.jks -deststoretype JKS

このコマンドは、ソースキーストアパスワード (srckeystore passwd) および宛先キーストアパス

ワード (dest keystorepasswd) を入力するように求めます。これらのパスワードを適宜入力しま

す。

終手順として、ドライバのタイプに応じてリモートローダ設定ファイルの情報を指定します。詳細については、相互認証のためのドライバの有効化を参照してください。

相互認証のためのドライバの有効化

次のタスクを実行して、相互認証のためにドライバ通信を有効にします。

133 ページの「KMO またはキーストアを使用したドライバの設定」

137 ページの「新しいリモートローダドライバインスタンスの追加」

139 ページの「ドライバインスタンスのリモートローダの設定」

KMO またはキーストアを使用したドライバの設定

Designer または iManager で KMO またはキーストアを使用してドライバを設定できます。

.NET ドライバ dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client dotnet 'C:\certs'


clientkmo_clientcert.pfx お

よび trustedcert.b64 ファイ

ル。

clientkmo_clientcert.pfx の

デフォルトのキーパスワードは dirxml です。

ドライバのタイプ

コマンド出力


Designer

KMO または Designer のキーストアを使用してドライバを設定する前に、次のような基本的なドラ

イバ設定が完了していることを確認します。

1 Designer でプロジェクトを開きます。

2［モデラー］ビューのパレットで、作成するドライバを選択します。

3 ドライバのアイコンを［モデラー］ビュー上にドラッグします。

4 インストールウィザードに表示される手順に従います。

5［リモートローダ］ウィンドウで［はい］を選択します。

5a ホスト名 : ドライバのリモートローダサービスが実行されているサーバのホスト名または

IP アドレスを指定します。たとえば、［ホスト名］として「192.168.0.1」と入力します。こ

のパラメータの値を指定しない場合、値はデフォルトで localhost になります。

5b ポート : このドライバ用のリモートローダがインストールされ、動作している場所のポー

ト番号を指定します。デフォルトのポート番号は 8090 です。


7 ドライバのインストールが終了するまで、ウィザードの残りの指示に従ってください。

8 ドライバを作成するために完了するタスクの概要を確認し、［終了］をクリックします。

KMO またはキーストアを使用してドライバ設定を変更するには

1 Designer の［アウトライン］ビューで、ドライバを右クリックします。

2［プロパティ］を選択します。

3 ナビゲーションペインで、［ドライバ環境設定］を選択します。

4［認証］で、［Enable Mutual Authentication ( 相互認証を有効にする )］を選択し、次のパラメー

タを指定します。

KMO サーバ KMO の名前を指定します。

その他のパラメータ

rootfile とその絶対パスを指定します。

キーストアファイルキーストアファイルの絶対パスを指定します。

キーエイリアスサーバ KMO の名前を指定します。


図 10-1 Designer で相互認証を有効にするための設定例

5［キーストアパスワードの設定］

6［キーパスワードの設定］

注 : デフォルトで、［キーストアパスワード］および［キーパスワード］は dirxml に設定されます。

dxcmd コマンドを使用して、キーストアパスワードとキーパスワードを設定することもできます。

dxcmd -user <administrative_user> -password <admin_password>

1.［ドライバ操作］を選択します。

2. キーストアパスワードおよびキーパスワードを設定するドライバを選択します。

3.［Password Operations ( パスワード操作 )］を選択します。

4.［相互認証のキーストアパスワードの設定］を選択し、キーストアパスワードを入力します。

5.［相互認証のキーパスワードの設定］を選択し、キーパスワードを入力します。

iManager

iManager で設定を変更するには :

1 iManager を起動します。

2［Identity Manager の管理］で、［Identity Manager の概要］を選択します。

3［概要］で、Identity Manager ドライバセットを選択します。

4 設定するドライバの［プロパティの編集］を選択します。

5［ドライバ環境設定］で、次のパラメータを指定します。

5a［ドライバモジュール］で、［リモートローダに接続］を選択します。

5b リモートローダ接続パラメータで、次の接続詳細を指定します。

KMO=<server_KMO_name>rootfile=<absolute path to the file>



KMO=serverkmorootfile=C:\cacert.b64

5c［アプリケーションパスワード］を設定します。

5d［相互認証を有効にする］を選択します。

5e キーストア方法を使用するには、次の項目を指定します。

キーエイリアスサーバ KMO の名前を指定し、キーパスワードを設定します。

たとえば、serverKMO です。

キーストアファイルキーストアファイルの絶対パスを指定し、キーストアパスワードを設定します。

たとえば、C:\certs\serverkmo_server.ks です。

5f［適用］をクリックし、［OK］をクリックします。

図 10-2 iManager で相互認証を有効にするための設定例

注 : 相互認証を有効にする場合は、［リモートローダパスワード］および［ドライブオブジェクトパス

ワード］の設定は必要ありません。


新しいリモートローダドライバインスタンスの追加

1［Identity Manager リモートローダコンソール］アプリケーションを右クリックして、［管理者と

して実行］を選択します。

2 新しいリモートローダインスタンスを追加するには、［追加］をクリックします。

3［説明］を指定し、ドライバのタイプを選択します。

4 リモートローダと Identity Manager エンジンの接続に使用される［接続ポート］を指定します。

5 リモートローダインスタンスの［コマンドポート］を指定します。

6［Mutual Authentication ( 相互認証 )］を選択し、必要なドライバタイプを指定します。

Java ドライバ : 証明書を含むキーストアファイルのパスを参照します。このキーストア

ファイルには少なくとも 1 つの公開鍵 / 秘密鍵ペアが存在する必要があります。

キーストアファイル認証に使用する Java キーストアファイルのパスを指定します。キーストアファイル

には暗号化キーと証明書が含まれます。たとえば、131 ページの「eDirectory からの

証明書のエクスポート」で dxcmd によって作成された C:\certs\ ディレクトリの

clientkmo_client.ks です。

キー別名

対照鍵の生成に使用するキーストアファイル内の公開鍵 / 秘密鍵ペアの名前を指定し

ます。たとえば、clientkmo です。

キーストアパスワード

キーストアファイルをロードする際に使用するパスワードを指定します。プライベートキーパスワード

キーストアに保存されている秘密鍵のパスワードを指定します。Identity Manager は、

SSL 通信を暗号化する際にこの鍵を使用します。

図 10-3 Java リモートローダインスタンスの追加例

ネイティブドライバ : 認証用の証明書が保存されているキーファイルへのパスを参照しま

す。キーファイルは Base 64 形式である必要があります。

キーファイル認証用の鍵が保存されているファイルのパスを指定します。たとえば、dxcmd によっ

て作成された C:\certs\ ディレクトリの clientkmo_clientkey.pem ファイルです。


キーパスワード認証に使用する秘密鍵のパスワードを指定します。

証明書ファイル証明書が保存されているファイルを指定します。この証明書ファイルは Base 64 形式

である必要があります。たとえば、131 ページの「eDirectory からの証明書のエクス

ポート」で dxcmd によって作成された C:\certs\ ディレクトリの

clientkmo_clientcert.pem ファイルです。

Trusted Root File リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。信頼するルートファイルは Base 64 形式である必要が

あります。たとえば、131 ページの「eDirectory からの証明書のエクスポート」で

dxcmd によって作成された C:\certs\ ディレクトリの trustedcert.b64 ファイルです。

図 10-4 ネイティブリモートローダインスタンスを追加する例

.NET ドライバ : 認証用の証明書が保存されているキーファイルへのパスを参照します。

キーファイル認証用の鍵が保存されているファイルのパスを指定します。たとえば、131 ページの

「eDirectory からの証明書のエクスポート」で dxcmd によって作成された

C:\certs\ ディレクトリの clientkmo_clientcert.pfx ファイルです。

キーパスワード認証に使用する秘密鍵のパスワードを指定します。

Trusted Root File リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。信頼するルートファイルは Base 64 形式である必要が

あります。たとえば、131 ページの「eDirectory からの証明書のエクスポート」で

dxcmd によって作成された C:\certs\ ディレクトリの trustedcert.b64 ファイルです。


図 10-5 .NET リモートローダインスタンスの追加例

このドライバ用に、dxcmd ツールを使用して生成した出力ファイルの詳細については、132 ページの表 10-1 「異なるドライバのタイプの例」を参照してください。

ドライバインスタンスのリモートローダの設定

リモートローダ設定ファイルのドライバインスタンスを設定する必要があります。ドライバ用のリモートローダ設定ファイルのキーストアファイル、キーファイル、証明書ファイル、およびルートファイルを格納するディレクトリへの絶対パスを確実に指定します。

1 リモートローダコンソールの［説明］カラムから、ドライバインスタンスを選択します。



4［編集］をクリックし、137 ページの「新しいリモートローダドライバインスタンスの追加」

からステップ 6 を実行します。


10.3.8 設定の検証

リモートローダの起動と停止の詳細については、140 ページの第 10.4 章「リモートローダの起動と

停止」を参照してください。

1 iManager を使用してドライバを起動します。

2 次のいずれかの方法を使用してリモートローダを管理します。

リモートローダユーザインタフェース 1.［Identity Manager リモートローダ］コンソールを右クリックして、［管理者として実

行］を選択します。

2. リモートローダインタフェースを使用して、［開始］、［停止］、［追加］、［削除］、および他の操作を実行できます。

注 : リモートローダをサービスとして実行するには、［このドライバインスタンスのリモー

トローダサービスを設定する］を選択します。このオプションを選択解除すると、リモートローダがアプリケーションとして実行されます。


リモートローダコンソールリモートローダがインストールされた場所に移動し、コマンドプロンプトで次のコマンドを実行します。

1. リモートローダインスタンスを起動またはロードするには :

Java リモートローダの場合 :

dirxml_jremote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_jremote -config <configuration_filename>

ネイティブリモートローダの場合 :

dirxml_remote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_remote -config <configuration_filename>

.NET リモートローダの場合 :

RemoteLoader.exe -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

RemoteLoader.exe -config <configuration_filename>

2. リモートローダインスタンスを停止またはアンロードするには、前のコマンドの後に -u を追加します。例　　

Java リモートローダの場合 :

dirxml_jremote -config <configuration_filename> -u

ネイティブリモートローダの場合 :

dirxml_remote -config <configuration_filename> -u

.NET リモートローダの場合 :

RemoteLoader.exe -config <configuration_filename> -u

注 : リモートローダインスタンスをサービスとして実行するには、次のコマンドを使用します。

dirxml_remote -config config.txt -service install

10.4 リモートローダの起動と停止リモートローダはサービスまたはデーモンであり、場合によっては再起動が必要です。この章では、リモートローダの停止および起動の方法について説明します。

141 ページのセクション 10.4.1「リモートローダのドライバインスタンスの起動」

141 ページのセクション 10.4.2「リモートローダのドライバインスタンスの停止」


10.4.1 リモートローダのドライバインスタンスの起動

ホストコンピュータの起動時に自動的にドライバインスタンスを起動するように各プラットフォームを設定できます。手動でインスタンスを起動することもできます。

141 ページの「ドライバインスタンスの自動起動」

141 ページの「コンソールを使用したドライバインスタンスの起動」

ドライバインスタンスの自動起動

ホストコンピュータの起動時に自動的に起動するようにリモートローダのドライバインスタンスを設定できます。


インストールの際にリモートローダコンソールのショートカットを作成した場合は、デスクトップの［Identity Manager Remote Loader Console (Identity Manager リモートローダコンソール )］アイコンを使用します。そうでない場合は、rlconsole.exe を実行します。デフォルトの場所は


2 ドライバインスタンスを選択して、［編集］をクリックします。

3［Establish a Remote Loader Service for this Drive Instance ( このドライバインスタンスのリモー


4 変更内容を保存し、コンソールを閉じます。

コンソールを使用したドライバインスタンスの起動




2 ドライバインスタンスを選択し、［Start］をクリックします。］

10.4.2 リモートローダのドライバインスタンスの停止

リモートローダのドライバインスタンスを停止する方法はプラットフォームごとに異なります。このセクションで使用されているパラメータの詳細については、113 ページの「リモートローダの環

境設定パラメータの理解」を参照してください。

注 : ドライバインスタンスを停止する場合、十分な権利を持っているか、リモートローダのパスワードを指定する必要があります。たとえば、リモートローダが Windows サービスとして実行さ

れていて、リモートローダを停止するための十分な権限を持っているとします。ここでパスワードを入力したところ、パスワードが間違っていることが判明します。リモートローダは実際にはそのパスワードを「受け付けない」ため、いずれにしてもリモートローダは停止します。この場合パスワードが冗長であるため、パスワードは無視されます。サービスではなくアプリケーションとしてリモートローダを実行している場合、パスワードが使用されます。

ドライバインスタンスを停止する


リモートローダリモートローダコンソールを使用します。



Java リモートローダコマンド「dirxml_jremote -config filename -u」を入力します。次に例を示します。

dirxml_jremote -config config.txt -u


11 11iManager のインストール

このセクションでは、iManager に必要なコンポーネントのインストールプロセスを順を追って説明

します。セットアッププログラムでインストールできるコンポーネントは次のとおりです。

iManager ( サーババージョン )

iManager ワークステーション ( クライアントバージョン ) Java Novell International Cryptographic Infrastructure (NICI) Tomcat


\products\iManager\installs\server_platform\ ディレクトリにあります。デフォルトでは、インストール

プログラムは C:\Novell にコンポーネントをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、143 ページの第 11.1 章「iManager のインストールの計画」を参照してください。

11.1 iManager のインストールの計画

このセクションでは、iManager のインストールに必要な前提条件、考慮事項、およびシステムセッ

トアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを理解します。

143 ページのセクション 11.1.1「iManager のインストールチェックリスト」

144 ページのセクション 11.1.2「iManager のサーババージョンとクライアントバージョンの理

解」

145 ページのセクション 11.1.3「iManager プラグインのインストールの理解」

146 ページのセクション 11.1.4「iManager のインストールに関する前提条件と考慮事項」

147 ページのセクション 11.1.5「iManager サーバのシステム要件」

148ページのセクション11.1.6「iManagerワークステーション (クライアントバージョン )のシス

テム要件」

11.1.1 iManager のインストールチェックリスト

インストールを開始する前に、次の手順を確認することをお勧めします。




iManager のインストール 143

11.1.2 iManager のサーババージョンとクライアントバージョンの理

解

iManager は、eDirectory ツリーにアクセスできるサーバにインストールする必要があります。サー

バではなくワークステーションに iManager をインストールするには、iManager のクライアント

ベースのバージョンである iManager ワークステーションが必要です。どちらのバージョンがご使

用の環境により適しているか、または eDirectory 管理ポリシーでは両方のバージョンをインストー

ルするのが有効かどうかを判断するには、次のガイドラインに従ってください。

一人の管理者が、常に同じクライアントワークステーションから eDirectory を管理している場

合、iManager ワークステーションを有効に活用できます。iManager ワークステーションは、

完全に自己完結型で、セットアップはほとんど必要ありません。ロードまたはアンロードするときに、必要なリソースが自動的に開始および停止されます。iManager ワークステーション




3. iManager と iManager ワークステーションの違いを理解します。詳細については、144 ペー

ジのセクション 11.1.2「iManager のサーババージョンとクライアントバージョンの理解」


4. コンピュータが iManager サーバおよび iManager ワークステーションのインストールに関

する前提条件を満たしていることを確認するため、次の考慮事項を検討します。

iManager サーバについては、146 ページの「iManager サーバのインストールに関する

考慮事項」を参照してください。

iManager ワークステーションについては、147 ページの「iManager ワークステーショ

ンのインストールに関する考慮事項」を参照してください。

5. iManager のインストールファイルにアクセスします。デフォルトでは、Identity Manager インストールパッケージの .iso イメージファイル内の

\products\iManager\installs\server_platform\ ディレクトリにあります。

または、NetIQ Downloads Web サイトからインストールファイルをダウンロードします。

iManager 製品を検索して必要な iManager のバージョンを選択し、win.zip ファイルをサー

バ上のディレクトリにダウンロードします。たとえば、iMan_31_win.zip です。

6. ( オプション ) プラグインのインストールプロセスについてさらに詳しく理解するには

145 ページのセクション 11.1.3「iManager プラグインのインストールの理解」を参照しま

す。

7. ( オプション ) iManager のインストール後に実行可能な操作を確認するため、156 ページの

第 11.3 章「iManager のインストール後のタスク」を参照します。

8. iManager および iManager ワークステーションをインストールするため、次の各セクション

を参照します。

GUI インストールについては、149 ページのセクション 11.2.1「iManager および

iManager ワークステーションのインストール」を参照してください。

サイレントインストールについては、154 ページのセクション 11.2.2「iManager のサイ

レントインストール」を参照してください。


144 iManager のインストール


は、さまざまな Windows クライアントワークステーションにインストールされて実行されま

す。サーバベースの iManager には依存せず、ネットワークにインストールされている他の任

意のバージョンの iManager と共存することができます。

iManager プラグインでは、iManager インスタンス間の同期を自動的に行いません。カスタマ

イズされたプラグインを複数の管理者が使用している場合は、iManager ワークステーション

とこれらのプラグインが各管理者のクライアントワークステーションにインストールされている必要があります。

複数のクライアントワークステーションから eDirectory を管理する、または複数の管理者がい

る場合は、接続されているすべてのワークステーションから使用できるように iManager サー

バをインストールします。また、カスタマイズされたプラグインは、iManager サーバ 1 台に

つき一度だけインストールする必要があります。

11.1.3 iManager プラグインのインストールの理解

デフォルトでは、プラグインモジュールは iManager サーバ間で複製されません。必要なプラグイ

ンモジュールを各 iManager サーバにインストールする必要があります。

クリーンインストールの場合は、セットアッププログラムによって「標準」のプラグインがあらかじめ選択されています。アップグレードの場合は、更新する必要があるプラグインのみがあらかじめ選択されています。デフォルトの選択項目を上書きし、ダウンロードする新しいプラグインを追加できます。ただし、アップグレードの場合は、あらかじめ選択されているプラグインを選択解除しないことをお勧めします。原則として、旧バージョンの iManager でインストールされていたプ

ラグインは必ずアップグレードしてください。さらに、新しいプラグインは、旧バージョンのiManager と互換性がない可能性があります。

iManager の基本プラグインは、完全な iManager ソフトウェアをダウンロードした場合にのみ利用

できます ( たとえば eDirectory 管理プラグイン )。特定のアップデートがない限り、これらのプラグ

インは完全な iManager 製品に付属した形でのみダウンロードおよびインストールできます。

インストールプログラムは、XML デスクリプタファイル iman_mod_desc.xml を使用して、ダウン

ロード可能なプラグインを特定します。このファイルのデフォルトの URL は http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml です。ただし、代わりのネット

ワーク URL を指すようにインストールプログラムを設定できます。たとえば、インストールプログ

ラムがデフォルトの URL にアクセスするのを禁止しているプロキシやファイアウォールの内側に

iManager をインストールするとします。

重要 : この場合、新の iManager SDK を使用して、新しくインストールされたバージョンの環境

で使用するカスタムプラグインを再コンパイルする必要があります。

プラグインのダウンロードとインストールの方法については、次のいずれかのセクションの手順を参照してください。

GUIインストール : 149ページのセクション11.2.1「iManagerおよび iManagerワークステーショ

ンのインストール」

サイレントインストール : 154 ページのセクション 11.2.2「iManager のサイレントインストー

ル」

プラグインのダウンロードとインストールのプロセスをカスタマイズする方法の詳細については、『NetIQ iManager インストールガイド』の「インストール中のプラグインのダウンロードおよびイ



https://www.netiq.com/documentation/imanager-3/imanager_install/data/b18qmde3.html

https://www.netiq.com/documentation/imanager-3/imanager_install/data/bookinfo.html

https://www.netiq.com/documentation/imanager-3/imanager_install/data/bookinfo.html

11.1.4 iManager のインストールに関する前提条件と考慮事項

このセクションでは、iManager のサーババージョンとワークステーションバージョンのインストー

ルについて説明します。

146 ページの「iManager のインストールに関する一般的な考慮事項」

146 ページの「iManager サーバのインストールに関する考慮事項」

147 ページの「iManager ワークステーションのインストールに関する考慮事項」

iManager のインストールに関する一般的な考慮事項

iManager をインストールする前に、次の考慮事項を確認します。

Identity Manager 4.7 では、eDirectory 9.1 をサポートしています。iManager 3.1 を使用してくだ

さい。詳細については、『iManager 3.1 Installation Guide』を参照してください。

10 人を超える管理者が日常的に iManager を同時操作する計画の場合は、iManager を他の

Identity Manager コンポーネントと同じサーバにインストールしないでください。

管理者が1人のみの場合は、iManagerを Identity Managerエンジンと同じサーバにインストール

してかまいません。

以前のバージョンの iManagerが、iManagerサーバセットアッププログラムにより検出された場

合は、インストール処理を中止するか、すでにインストールされている iManager、JRE、およ

び Tomcat を削除できます。

iManager ワークステーションは自己完結型の環境であるので、同じワークステーション上に

Mobile iManager の旧バージョンを含む、複数のバージョンをインストールすることができま

す。ただし、それらを同時に実行しようとしないでください。異なるバージョンを使用する必要がある場合は、あるバージョンを実行して終了させてから、もう一方のバージョンを実行してください。

スペースを含むパスから iManager ワークステーションを実行することはできません。たとえ

ば、C:\NetIQ\iManager Workstation\working などです。

Windows サーバへの管理者アクセスが必要です。

eDirectory ツリー内で役割ベースサービス (RBS) コレクションを作成するには、管理者と同等の

権利が必要になります。

iManager RBS 環境設定ウィザードを実行するには、管理者と同等の権利が必要になります。

複数のバージョンの iManager で同じ eDirectory ツリーを管理するには、RBS コレクションを

新の iManager バージョンに更新する必要があります。

iManager サーバのインストールに関する考慮事項 Microsoft インターネットインフォメーションサービス (IIS) または Apache HTTP サーバを使用する

場合は、iManager をこれらの Web サーバインフラストラクチャに手動で統合する必要があります。

デフォルトでは、iManager は Tomcat を使用します。


https://wwwtest.netiq.com/documentation/imanager-31/imanager_install/data/bookinfo.html

iManager ワークステーションのインストールに関する考慮事項 Windows クライアントに iManager ワークステーションをインストールする前に、次の考慮事項を

確認することをお勧めします。

Internet Explorer が LAN のプロキシサーバを使用できるようにするには、［ツール］>［インター

ネットオプション］>［接続］>［LAN の設定］の順に選択し、［ローカルアドレスにはプロキシ

サーバを使用しない］を指定する必要があります。

バージョン 4.91 より前の Novell Client を実行するには、iManager ワークステーションを起動す

る前にワークステーションに NetIQ Modular Authentication Service (NMAS) クライアントをイ

ンストールする必要があります。

いずれかのディレクトリの名前にtempまたはtmpが含まれるパス(c:\programs\temp\imanagerなど)から iManager ワークステーションを実行した場合、iManager プラグインはインストールされ

ません。代わりに、C:\imanager または一時ディレクトリ以外のディレクトリから

iManager ワークステーションを実行してください。

Windows ワークステーションで初めて iManager ワークステーションを実行するときは、ワーク

ステーションの Administrators グループのメンバーであるアカウントを使用します。

11.1.5 iManager サーバのシステム要件

このセクションでは、iManager をインストールするサーバの小要件について記載します。サーバ

バージョンの iManager の詳細については、144 ページのセクション 11.1.2「iManager のサーバ

バージョンとクライアントバージョンの理解」を参照してください。

カテゴリ要件


ディスク容量 200MB

メモリ 512MB (1024MB を推奨 )

iManager プラグイン用に 80MB

オペレーティングシステム ( 認定済み )

次のいずれかのオペレーティングシステムが必要です。

Windows Server 2016


Windows Server 2012

NetIQ では、Identity Manager をインストールする前に、製造元の自動更新機能

に従ってオペレーティングシステムの新パッチを適用することをお勧めします。


Solaris プラットフォームに iManager をインストールすることはできません。た

だし、Solaris で実行される、eDirectory などのアプリケーションやリソースを、

iManager で引き続き管理して使用することができます。


11.1.6 iManager ワークステーション ( クライアントバージョン ) のシ

ステム要件

このセクションでは、iManager ワークステーションをインストールするサーバの小要件について

記載します。クライアントバージョンの iManager の詳細については、144 ページのセクション

11.1.2「iManager のサーババージョンとクライアントバージョンの理解」を参照してください。




オペレーティングシステムのホットフィックス

製造元が提供する自動更新機能を使用して、新のオペレーティングシステムパッチを適用することをお勧めします。

Web ブラウザ次のバージョン以上のいずれかのブラウザ :

Google Chrome 61

Mozilla Firefox 51

アプリケーションサーバ

Tomcat 8.5.27

注 : Windows サーバにすでに IIS または Apache Web サーバインフラストラク

チャがインストールされている場合は、手動で iManager と統合できます。

ディレクトリサービス NetIQ eDirectory 9.1 以上

デフォルトのポート 8080、8443、および 9009

カテゴリ要件

カテゴリ要件


ディスク容量 200MB

メモリ 256MB (521MB を推奨 )


次のいずれかのオペレーティングシステムが必要です。

Windows Server 2016


Windows Server 2012

NetIQ では、Identity Manager をインストールする前に、製造元の自動更新機能

に従ってオペレーティングシステムの新パッチを適用することをお勧めします。






11.2 iManager サーバとワークステーションのインストールこの章では、iManager のインストールプロセスについて説明します。インストールの準備をするた

めに、146 ページのセクション 11.1.4「iManager のインストールに関する前提条件と考慮事項」に

記載されている前提条件とシステム要件を確認します。

インストールプロセス全体を確認するには、143 ページの「iManager のインストールの計画」を


149ページのセクション11.2.1「iManagerおよび iManagerワークステーションのインストール」

154 ページのセクション 11.2.2「iManager のサイレントインストール」

11.2.1 iManager および iManager ワークステーションのインストー

ルこのセクションでは、iManager および iManager ワークステーションを Windows サーバとクライ

アントにインストールする手順について説明します。インストールの準備をするために、前提条件とシステム要件を確認します。

iManager: 146 ページの「iManager サーバのインストールに関する考慮事項」

iManager ワークステーション : 147 ページの「iManager ワークステーションのインストールに

関する考慮事項」

リリースに付属するリリースノートも参照してください。


Google Chrome 61

Mozilla Firefox 51

オペレーティングシステムのホットフィックス

製造元が提供する自動更新機能を使用して、新のオペレーティングシステムパッチを適用することをお勧めします。

アプリケーションサーバ

Tomcat 8.5.27 (iManager ワークステーションに付属 )

Java JRE 1.8.0_162 (iManager ワークステーションに付属 )

デフォルトのポート 8080、8443、および 9009

カテゴリ要件


iManager サーバのインストール

次の手順では、インストールウィザードを使用して、サーババージョンの iManager をWindows サーバにインストールする方法について説明します。無人のサイレントインストールを実

行するには、154 ページのセクション 11.2.2「iManager のサイレントインストール」を参照してく

ださい。

以前のバージョンの iManager が、iManager サーバのセットアッププログラムにより検出された場

合は、インストール処理を中止するか、すでにインストールされている iManager、JRE、および

Tomcat を削除するかを尋ねる選択肢が提示されることがあります。インストールされている以前の

バージョンの iManager がセットアッププログラムにより削除される場合、それ以前に行った設定

内容を保つために旧バージョンの TOMCAT_HOME ディレクトリを指し示すディレクトリ構造を

バックアップします。

iManager サーバをインストールするには :

1 iManager をインストールするコンピュータに管理者特権を持つユーザとしてログインします。

2 ( 状況によって実行 ) Identity Manager インストールパッケージの .iso イメージファイルがある

場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ

フォルトの場所は \products\iManager\installs\win ディレクトリです。

3 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか

らダウンロードした場合は、次の手順を実行します。

3a win.zip ファイルを見つけます。たとえば、iMan_310_win_x86_64.zip です。

3b win.zip ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

4 iManagerInstall.exe を実行します。

5 ( オプション ) インストールプログラムのデバッグ出力を表示するには、インストールプログラ

ムの起動直後に、コンソールウィンドウが表示されるまで <Ctrl> キーを押したままにします。

デバッグの詳細については、『NetIQ iManager 管理ガイド』の「Troubleshooting」を参照して

ください。

6 iManager のようこそウィンドウで言語を選択して、［OK］をクリックします。

7［Introduction ( 概要 )］ウィンドウで［次へ］をクリックします。


9 ( 状況によって実行 ) サーバに iManager の一部として特定のバージョンの JVM または Tomcatのなんらかのバージョン、あるいは他のサポートコンポーネントがすでにインストールされている場合は、［Detection Summary ( 検出の概要 )］ウィンドウで次の手順を実行します。

9a［Install the following components ( 次のコンポーネントをインストール )］で、各コンポー

ネントに対してリストされているバージョンがインストールするバージョンに一致していることを確認します。

9b ( オプション ) インストールするバージョンがセットアッププログラムにリストされてい

ない場合は、インストールフォルダで適切なコンポーネントを探します。


11［ポート入力の取得］ウィンドウで Tomcat サーバを実行するためのポート番号を指定し、［次

へ］をクリックします。

デフォルトでは HTTP ポートおよび SSL ポートの値はそれぞれ 8080 と 8443 に設定されてい

ます。ただし、他のサービスまたは Tomcat サーバがデフォルトのポートを使用している場合

は、別のポートを指定できます。



https://www.netiq.com/documentation/imanager/imanager_admin/data/bz4k320.html

https://www.netiq.com/documentation/imanager-3/imanager_admin/

12 TLS 証明書で使用する証明書公開鍵アルゴリズムを指定して、［次へ］をクリックします。デ

フォルトでは、公開鍵アルゴリズムは［RSA］に設定されます。

RSA: 証明書は 2048 ビット RSA 鍵ペアを使用します。［RSA］を選択する場合、4 つのサ

イファレベルが使用可能です。デフォルトでは、サイファレベルは［なし］に設定されています。

なし : どんなタイプのサイファレベルも可能。

低 : 56 ビットまたは 64 ビットのサイファが可能。

中 : 128 ビットのサイファが可能。

高 : 128 ビットより大きいサイファが可能。

ECDSA 256: 証明書は曲線 secp256r1 による ECDSA 鍵ペアを使用します。［ECDSA 256］を選択する場合は、1 つのサイファレベルのみが使用可能です。

SUITEB 128 のみ : 128 ビットのサイファが可能。

サイファの詳細については、『NetIQ iManager 管理ガイド』を参照してください。

13 ( オプション ) iManager で IPv6 アドレスを使用するには、［Enable IPv6 (IPv6 を有効にする )］ウィンドウで［はい］をクリックします。

iManager のインストール後に IPv6 アドレスを有効にすることもできます。詳細については、

158 ページのセクション 11.3.2「インストール後における iManager の IPv6 アドレス対応の設

定」を参照してください。


15［Choose Install Folder ( インストールフォルダの選択 )］ウィンドウで、インストールファイル

を保存するフォルダを指定して［次へ］をクリックします。

デフォルトのインストールディレクトリは、C:\Program Files\Novell です。

16 ( オプション ) インストールの一部としてプラグインをダウンロードしてインストールするに


16a［Select Plug-ins to Download and Install ( ダウンロードしてインストールするプラグインの

選択 )］ウィンドウで、目的のプラグインを選択します。

16b ( オプション ) ネットワーク上の別の場所からプラグインをダウンロードするには、

［Network URL ( ネットワーク URL)］に代替ネットワーク URL を指定します。

代替 URL を使用してプラグインをダウンロードする場合は、URL コンテンツを確認し、

プラグインが使用に適していることを確認してください。デフォルトでは、インストールプログラムはプラグインを http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml からダウンロードします。詳細については、145 ページのセクショ

ン 11.1.3「iManager プラグインのインストールの理解」を参照してください。

16c［次へ］をクリックします。

16d ( 状況によって実行 ) セットアッププログラムによって次のメッセージが表示されること

があります。

No new or updated plug-ins found. All plug-ins are downloaded or updated or the iManager download server is unavailable.

このエラーが表示される場合、次の条件が 1 つ以上存在しています。

ダウンロードサイトに利用可能な更新されたプラグインがありません。

インターネット接続に問題があります。インターネット接続を確認して再試行してく

ださい。


デスクリプタファイル (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml) への接続が、正常に行われませんでした。この URL は、利用

可能な iManager プラグインの XML デスクリプタファイルを参照します。

iManagerが、上記のURLへの接続が許可されていないプロキシの内側にインストール

されています。

16e ( オプション ) ローカルディレクトリからプラグインをインストールするには、［Select Plug-ins to Install from Disk ( ディスクからインストールするプラグインの選択 )］ウィン

ドウで、適切な .npm プラグインファイルが含まれるディレクトリパスを指定します。

この手順により、以前にダウンロードしたプラグインまたはカスタムプラグインをインストールできます。デフォルトのパスは \extracted location\products\iManager\plugins です。た

だし、任意の有効なパスを指定できます。

16f［次へ］をクリックします。

17 ( オプション )［Get User and Tree Names ( ユーザとツリー名の取得 )］ウィンドウで、許可され

たユーザ、およびこのユーザが管理する eDirectory ツリーの名前を指定します。

注

eDirectory でデフォルトポートである 524 以外のポートを使用する場合は、eDirectory サー

バの IP アドレスまたは DNS 名とポート番号を指定できます。localhost は使用しないでく

ださい。たとえば、IPv6 アドレスを指定するには、「 https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true」と入力します。

NetIQ はそれらの設定を空白のままにすることを推奨しません。これらのフィールドを空

白のままにすると、iManager で任意のユーザがプラグインをインストールし、

iManager サーバ設定を変更できるようになります。インストールプロセスの完了後に、

許可されたユーザを指定することもできます。詳細については、159 ページのセクション

11.3.3「eDirectory 用の許可されたユーザの指定」を参照してください。

インストールプログラムは、指定されたユーザの資格情報を eDirectory で検証しません。


19［インストール前の概要］ページを確認して、［インストール］をクリックします。

20 インストールが完了すると、［Install Complete ( インストール完了 )］ウィンドウに、処理が成

功したことを示す関連メッセージが表示されます。

注 : インストールが成功したにもかかわらず、［Install Complete ( インストール完了 )］ウィン

ドウに次のエラーメッセージが表示されることがあります。

The installation of iManager version is complete, but some errors occurred during the install.Please see the installation log Log file path for details. Press "Done" to quit the installer.

21 ( 状況によって実行 ) インストーラにより、ステップ 20 に示すエラーメッセージが表示される

場合は、次の手順を実行します。

21a エラーメッセージに表示されているログファイルのパスを書き留めます。

21b［Install Complete ( インストール完了 )］ウィンドウで、［完了］をクリックします。

21c ログファイルを開きます。


http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

21d ( 状況によって実行 ) ログファイルに次のようなエラーがある場合は、エラーメッセージ

を無視します。インストールが成功し、iManager は正常に機能します。

Custom Action: com.novell.application.iManager.install.InstallDLLs Status: ERROR Additional Notes: ERROR - class com.novell.application.iManager.install.InstallDLLs NonfatalInstallException C:\WINDOWS\system32\msvcr71.dll (The process cannot access the file because it is being used by another process)

21e ( 状況によって実行 ) ログファイルに記録されているエラーがステップ 21d に示すエラー

でない場合は、インストールを再試行することをお勧めします。

22［完了］をクリックします。

23 iManager の初期化が終了したら、［はじめに］ページの初のリンクをクリックしてログイン

します。詳細については、『NetIQ iManager 管理ガイド』の「Accessing iManager」を参照し

てください。

iManager ワークステーションのインストール iManager ワークステーションは自己完結型の環境です。そのため、1 台のワークステーションに複

数のバージョンをインストールできます (Mobile iManager の古いバージョンを含みます )。ただし、

それらを同時に実行しようとしないでください。異なるバージョンを使用する必要がある場合は、あるバージョンを実行して終了させてから、もう一方のバージョンを実行してください。

注 : スペースを含むパスから iManager ワークステーションを実行することはできません。たとえ

ば、C:\NetIQ\iManager Workstation\working などです。

iManager ワークステーションをインストールするには :


場合は、iManager のインストールファイルが保存されているディレクトリへ移動します。デ

フォルトの場所は \products\iManager\installs\win\ ディレクトリです。

2 ( 状況によって実行 ) iManager のインストールファイルを NetIQ Downloads の Web サイトか

らダウンロードした場合は、次の手順を実行します。

2a win.zip ファイルを見つけます。たとえば、iMan_31_workstation_win.zip です。

2b win.zip ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

3 imanager\bin フォルダから、iManager.bat ファイルを実行します。

4 iManager のログインウィンドウで、許可されたユーザの資格情報と、このユーザが管理する

eDirectory ツリーを指定します。

iManager へのアクセスの詳細については、『NetIQ iManager 管理ガイド』の「Accessing iManager」を参照してください。

5 ( オプション ) IPv6 アドレスを有効にするには、次の手順を実行します。

1. User_Install_Directory\Tomcat\conf\catalina.properties ファイルを開きます。

2. catalina.properties ファイルに以下の設定項目を設定します。

java.net.preferIPv4Stack=false


https://www.netiq.com/documentation/imanager-3/imanager_admin/data/bsxrjzp.html






java.net.preferIPv4Addresses=true

3. Tomcat サービスを再起動します。

11.2.2 iManager のサイレントインストール

サイレント ( 非対話型 ) インストールでは、ユーザインタフェースは表示されず、ユーザに対する

質問も行われません。代わりに、InstallAnywhere はデフォルトの install.properties ファイルの情報を

使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストールプロセスをカスタマイズすることもできます。

インストールの準備をするために、前提条件とシステム要件を確認します。

iManager サーバ : 146 ページの「iManager サーバのインストールに関する考慮事項」.

iManager ワークステーション : 147 ページの「iManager ワークステーションのインストールに

関する考慮事項」

リリースに付属するリリースノートも参照してください。

プロパティファイルの編集によるサイレントインストールのカスタマイズ

インストールするモジュールをさらに細かく指定するには、サイレントインストール処理をカスタマイズします。

1 install.properties ファイルを開きます。このファイルは、デフォルトでは、各オペレーティング

システム環境用のディレクトリに対応する、Identity Manager インストールパッケージの

.iso イメージファイル内にある products/iManager ディレクトリにあります。

注 : サーバに新のバージョンの iManager がインストールされている場合は、そのセット

アッププログラムによって生成された installer.properties ファイルを使用できます。このファイ

ルはデフォルトでは log ディレクトリにあり、インストール中に指定した値が記録されていま

す。

2 このプロパティファイルに次のパラメータと値を追加します。

$PLUGIN_INSTALL MODE$

プラグインをインストールするかどうかを制御するプロパティを指定します。次のいずれかの値を追加します。

DISK - ( デフォルト ) ローカルディスクからプラグインをインストールするようセット

アッププログラムに命令します。

NET - ネットワークからプラグインをインストールするようセットアッププログラム

に命令します。

BOTH - ディスクとネットワークの両方からプラグインをインストールするようセッ

トアッププログラムに命令します。

SKIP - プラグインをインストールしません。


$PLUGIN_DIR$ ローカルディスク上にあるプラグインの代替パスを指定します。デフォルトのパスは\installer_root_directory\iManager\installs\platform path\plugin です。

インストールプログラムは、サブディレクトリを除き、このプラグインディレクトリにあるモジュールをすべてインストールします。

$PLUGIN_INSTALL_URL$ インストールプログラムがプラグインをダウンロードできるネットワーク URL を指定し

ます。デフォルトでは http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml からダウンロードします。代替 URL を指定した場合は、URL の内容

と、プラグインが使用に適していることを確認してください。詳細については、145 ペー

ジのセクション 11.1.3「iManager プラグインのインストールの理解」を参照してくださ

い。 $LAUNCH_BROWSER$

インストールプロセスの完了後にインストールプログラムから gettingstarted.html ファイル

を起動するかどうかを指定します。

$USER_INSTALL_DIR$ iManager をインストールするパスを指定します。

USER_INPUT_ENABLE_IPV6 iManager で IPv6 アドレスを使用できるようにするかどうかを指定します。デフォルトで

は、インストールプログラムはこの値を yes に設定します。

3 ダウンロードしてインストールするプラグインモジュールそれぞれについて、MANIFEST.MF ファイルからモジュールの ID とバージョンを指定します。このファイルは .npm ( プラグインモジュール ) の META-INF/ フォルダにあります。次に例を示します。

$PLUGIN_MODULE_ID_1$=eDirectoryBackupAndRestore

$PLUGIN_VERSION_1$=2.7.20050517

$PLUGIN_MODULE_ID_2$=ldap

$PLUGIN_VERSION_2$=2.7.20050517

注

モジュールが定義されていない場合は、ダウンロード Web サイト上にある

iman_mod_desc.xml ファイル内で「selected」としてタグが記述された、も一般的にイン

ストールされるモジュールがインストールされます。

モジュールのバージョンを定義しない場合、.npm の名前と一致するモジュールのいずれか

がセットアッププログラムによりインストールされます。


iManager のサイレントインストールの実行

install.properties ファイルのデフォルト値を使用して、iManager をサイレントインストールできま

す。このファイルは、デフォルトでは、各オペレーティングシステム環境用のディレクトリに対応する、Identity Manager インストールパッケージの .iso イメージファイル内にある

\products\iManager ディレクトリにあります。インストール用実行可能ファイルも

\products\iManager ディレクトリに含まれている必要があります。

1 コンソールウィンドウで、ダウンロードした install.properties ファイルがあるディレクトリに移

動します。

2 コマンドラインで次のいずれかのコマンドを入力します。

iManagerInstall.exe -i silent

11.3 iManager のインストール後のタスク

iManager のインストール後、IPv6 アドレスの有効化や eDirectory ツリーの許可されたユーザの変

更などの環境設定を変更できます。さらに、インストールプロセス中に作成された自己署名証明書を置き換えることをお勧めします。

156 ページのセクション 11.3.1「iManager 用の一時的な自己署名証明書の置き換え」

158ページのセクション11.3.2「インストール後における iManagerの IPv6アドレス対応の設定」

159 ページのセクション 11.3.3「eDirectory 用の許可されたユーザの指定」

11.3.1 iManager 用の一時的な自己署名証明書の置き換え

スタンドアロンの iManager のインストールには、Tomcat によって使用される、一時的な、自己署

名証明書が含まれます。自己署名証明書の有効期限は 1 年間です。NetIQ がこの証明書を提供して

いる目的は、iManager のインストール後すぐにシステムを稼働して安全に製品を使用できるように

するためです。NetIQ および OpenSSL では、テストを目的とする場合を除き、自己署名証明書の

使用をお勧めしません。代わりに、一時的な証明書をセキュアな証明書に置き換えることをお勧めします。

Tomcat は、Tomcat (JKS) 形式のファイルを使用するキーストアに自己署名証明書を保存します。

通常、証明書を置き換えるには秘密鍵をインポートします。ただし、Tomcat のキーストアの変更に

使用する keytool で秘密鍵をインポートすることはできません。このツールは自己生成鍵のみを使用

します。

このセクションでは、NetIQ Certificate Server を使用して eDirectory 内に公開鍵 / 秘密鍵のペアを

生成する方法と、一時的な証明書を置き換える方法について説明します。eDirectory を使用してい

る場合は、追加投資を行わずに、NetIQ Certificate Server を使用して証明書の生成、追跡、格納、

および取り消しを安全に行うことができます。


iManager 自己署名証明書の置き換え

このセクションでは、eDirectory 内に鍵ペアを作成し、PKCS#12 ファイルを使用して公開鍵、秘密

鍵、およびルート CA ( 認証局 ) 鍵をエクスポートする方法について説明します。これには、

PKCS12 ディレクティブを使用し、デフォルトの JKS キーストアを使用するのではなく環境設定が

実際の P12 ファイルを参照するように、Tomcat の server.xml 環境設定ファイルを変更する手順が含

まれます。

この処理では次のファイルを使用します。

C:\Program Files\Novell\Tomcat\conf\ssl\.keystore - 一時鍵ペアが保存されています。

C:\Program Files\Novell\jre\lib\security\cacerts - ルート認証局証明書が保存されています。

C:\Program Files\Novell\Tomcat\conf\server.xml - Tomcatによる証明書の使用を設定するために使用

します。

自己署名証明書を置き換えるには :

1 新しい証明書を作成するため、次の手順を実行します。

1a iManager にログインします。

1b［NetIQ Certificate Server］>［Create Server Certificate ( サーバ証明書の作成 )］の順にク


1c 適切なサーバを選択します。

1d サーバのニックネームを指定します。

1e 残りの項目については、証明書のデフォルト値をそのまま使用します。

2 サーバ証明書をエクスポートするため、次の手順を実行します。

2a iManager で、［Directory Administration ( ディレクトリ管理 )］>［オブジェクトの変更］の

順に選択します。

2b キーマテリアルオブジェクト (KMO) を参照して選択します。

2c［証明書］>［エクスポート］の順にクリックします。

2d パスワードを入力します。

2e サーバ証明書を PKCS#12 (.pfx) として保存します。

3 .pfx ファイルを .pem ファイルに変換するため、次の手順を実行します。

注 : OpenSSL はデフォルトではインストールされません。ただし、OpenSSL Web サイトから

特定のバージョンをダウンロードすることができます。

3a コマンドを入力します (openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem など )。

3b ステップ 2 で指定した証明書のパスワードと同じパスワードを入力します。

3c 新しい .pem ファイルのパスワードを指定します。

同じパスワードを使用することもできます。

4 .pem ファイルを .p12 ファイルに変換するため、次の手順を実行します。

4a コマンドを入力します (openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat" など )。

4b ステップ 3 で指定した証明書のパスワードと同じパスワードを入力します。


http://www.openssl.org/related/binaries.html

4c 新しい .p12 ファイルのパスワードを指定します。

同じパスワードを使用することもできます。

5 .p12 ファイルを Tomcat の証明書がある場所にコピーします。デフォルトでは、C:\Program Files\Novell\Tomcat\conf\ssl\ です。

6 services.msc 起動スクリプトを使用して、Tomcat サービスを停止します。

7 Tomcat が新しく作成された .p12 証明書ファイルを使用するよう、変数 keystoreType、keystoreFile、および keystorePass を Tomcat の server.xml ファイルに追加します。次に例を示し

ます。

<Connector className="org.apache.coyote.http11.Http11AprProtocol" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />

OR,

<Connector className="org.apache.coyote.http11.Http11NioProtocol" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />

キーストアの種類を PKCS12 に設定すると、Tomcat はデフォルトの Tomcat ホームパスを使用

しなくなるため、証明書ファイルのパス全体を指定する必要があります。

8 services.msc 起動スクリプトを使用して、Tomcat サービスを開始します。

11.3.2 インストール後における iManager の IPv6 アドレス対応の設定

iManager のインストール後に、iManager が IPv6 アドレスを使用するように設定できます。

1. インストールディレクトリの catalina.properties ファイルを開きます。このファイルは、デフォ

ルトでは installation_directory\Tomcat\conf にあります。

2. プロパティファイルに次の設定エントリを設定します。

java.net.preferIPv4Stack=false

java.net.preferIPv4Addresses=true

3. Tomcat を再起動します。


11.3.3 eDirectory 用の許可されたユーザの指定

iManager のインストール後に、許可されたユーザの資格情報と、このユーザが管理する適切な

eDirectory ツリー名を変更できます。詳細については、『NetIQ iManager 管理ガイド』の

「iManager Authorized Users and Groups」を参照してください。

1 iManager にログインします。

2［Configure ( 設定 )］ビューで、［iManager Server (iManager サーバ )］>［Configure iManager (iManager の設定 )］>［Security ( セキュリティ )］の順に選択します。

3 ユーザ資格情報とツリー名を更新します。


https://www.netiq.com/documentation/imanager-3/imanager_admin/data/b7gginc.html



IV IVIdentity Applicationsのインストール

このセクションでは、次の識別情報アプリケーションに必要なコンポーネントとフレームワークのインストールプロセスについて説明します。


識別情報アプリケーションダッシュボード

役割およびリソースサービスドライバ


ユーザアプリケーションドライバ

デフォルトでは、インストールプログラムは C:\NetIQ\idm\apps にこれらのコンポーネントをインス

トールします。

識別情報アプリケーションは、インストールの実行中および実行後に、Identity Manager の他のコ

ンポーネントへのアクセスを必要とします。インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、191 ページの第 15.1 章「識別情報アプリケーショ

ンのインストールのプラニング」を参照してください。

Identity Applications のインストール 161

162 Identity Applications のインストール

12 12Identity Manager 用の PostgreSQL およびTomcat のインストール

このセクションでは、ほとんどの Identity Manager コンポーネントが使用する次のアプリケーショ

ンサーバとデータベースプログラムをインストールします。

Apache Tomcat PostgreSQL

インストールファイルは、Identity Manager インストールパッケージの

\products\CommonApplication\ ディレクトリにあります。デフォルトでは、インストールプログラム

は C:\NetIQ\idm\apps\ にアプリケーションをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、164 ページのセクション 12.1.1「Tomcat および PostgreSQL のインストールチェックリスト」


12.1 PostgreSQL および Tomcat のインストールの計画

Identity Manager 4.6 以降、NetIQ では、アプリケーションサーバとして Apache Tomcat のみをサ

ポートしています。サポートしているバージョンの Tomcat を会社で提供している場合は、それを

Identity Manager とともに使用できます。

または、利便性のために、NetIQ では Tomcat と PostgreSQL を同じインストールプログラムにバ

ンドルしています。このインストーラを使用することで、これらのアプリケーションを別途ダウンロードすることなくインストールできます。NetIQ は、NetIQ Identity Manager のマニュアルで説明

する範囲を超えて、これらのコンポーネントのアップデート、管理、環境設定、または調整情報の提供を行いません。

164 ページのセクション 12.1.1「Tomcat および PostgreSQL のインストールチェックリスト」

164 ページのセクション 12.1.2「PostgreSQL および Tomcat のインストールプロセスの理解」

165 ページのセクション 12.1.3「PostgreSQL のインストールの前提条件」

165 ページのセクション 12.1.4「Tomcat のインストールの前提条件」

166 ページのセクション 12.1.5「PostgreSQL のシステム要件」

166 ページのセクション 12.1.6「Tomcat のシステム要件」

Identity Manager 用の PostgreSQL および Tomcat のインストール 163

12.1.1 Tomcat および PostgreSQL のインストールチェックリスト


12.1.2 PostgreSQL および Tomcat のインストールプロセスの理解

一方のアプリケーションをインストールするか、それとも両方をインストールするかを選択できます。たとえば、サポートされているバージョンのアプリケーションがすでにサーバにインストールされているため、PostgreSQL は必要ない場合があります。個々のインストールには次の考慮事項

が適用されます。

PostgreSQL インストールプロセスにより、識別情報アプリケーション用のデータベースがインストールされ、データベースを所有する idmadmin という名前の管理ユーザが作成されます。ただし、イ

ンストール時には識別情報アプリケーション用のデータベース内にスキーマは作成されません。スキーマ情報は識別情報アプリケーションのインストール時に追加されます。


1. Identity Manager コンポーネント間の相互作用を理解します。詳細については、次の各セク

ションを参照してください。

32 ページのセクション 4.4「Identity Manager でのセルフサービスパスワード管理の使

用」

34 ページのセクション 4.5「Identity Manager でのシングルサインオンアクセスの使用」



3. Tomcat または PostgreSQL をインストールする前に、NetIQ Sentinel をインストールする必

要があるかどうかを決定します。詳細については、「41 ページのセクション 5.3「推奨され

るインストールシナリオとサーバセットアップ」」を参照してください。

注 : Sentinel インストールは、Linux サーバでのみサポートされます。Sentinel をインス

トールするには、ご使用の環境に Linux サーバをインストールしておく必要があります。

4. アプリケーションのインストールに関する考慮事項を検討し、コンピュータが要件を満たしていることを確認します。



5. アプリケーションをインストールします。


用した PostgreSQL と Tomcat のインストール」を参照してください。

サイレントインストールについては、169 ページのセクション 12.2.2「Identity Manager 用の PostgreSQL および Tomcat のサイレントインストール」を参照してくだ

さい。

6. 残りの Identity Manager コンポーネントをインストールします。

164 Identity Manager 用の PostgreSQL および Tomcat のインストール

サポートされているバージョンの PostgreSQL がすでにサーバで実行されている場合は、デ

フォルトの postgres ユーザのパスワードを入力するようプロンプトが表示されます。続いて、

idmadmin ユーザが作成され、postgres と同じパスワードが割り当てられます。

プロセスが終了すると、データベースインスタンスが起動されます。このデータベースを使用する他の Identity Manager コンポーネント ( ユーザアプリケーションなど ) をインストールす

る際に、インスタンスが実行中である必要があります。

識別アプリケーション用のデータベースには PostgreSQL を使用する必要はありません。

Tomcat インストールプロセス中に IDM Apps Tomcat Service が作成されます。Tomcat アプリケーショ

ンサーバをサポートするため、インストールプログラムによって Apache ActiveMQ および

Oracle JRE もインストールされます。これらの項目は、Tomcat から電子メール通知を送信す

るのに役立ちます。

インストールプログラムの完了時に Tomcat は起動されません。他の Identity Manager コン

ポーネント (Identity Reporting など ) をインストールする前に、Tomcat を停止する必要があり

ます。

12.1.3 PostgreSQL のインストールの前提条件

PostgreSQL のインストール計画を立案する前に次の考慮事項を確認します。

Identity Manger にバンドルされているバージョンの PostgreSQLを、このデータベースプログラ

ムの旧バージョンが実行されている環境にインストールできます。新たにインストールすることによって旧バージョンが上書きされないよう、ファイルに対して別のディレクトリを指定してください。

識別情報アプリケーションが使用するデータベース(PostgreSQLなど)には前提条件がいくつか

適用されます。詳細については、198 ページの「識別情報アプリケーションのデータベースを

インストールする場合の前提条件」を参照してください。

複数のバージョンの PostgreSQL をインストールすることはできません。これは、PostgreSQLのサービスアカウントが両方のインスタンスを扱えないためです。このバージョンのPostgreSQL をインストールする前に旧バージョンをアンインストールしてください。

12.1.4 Tomcat のインストールの前提条件

Tomcat のインストール計画を立案する前に次の考慮事項を確認します。

Tomcat と PostgreSQL は、同じサーバにインストールすることも、別々のサーバにインストー

ルすることもできます。

インストールプロセスにより、サポートされているバージョンの Oracle JRE と Apache ActiveMQ がインストールされます。

さらに、Apache Log4j サービスで Tomcat のイベントを監視するために必要なファイルもインス

トールされます。

Identity Manager インストールキットに付属する Tomcat インストールプログラムではなく、

ユーザが独自に入手したインストールプログラムを使用できます。ただし、ご使用のバージョンの Tomcat で Apache Log4j サービスを使用するには、適切なファイルがインストールされて


いることを確認してください。詳細については、173 ページのセクション 13.1.4「Apache Log4j サービスを使用したサインオンの記録」を参照してください。この要件は、Tomcat をOSP、識別情報アプリケーション、および Identity Reporting に使用する場合に適用されます。

ActiveMQ で確実に電子メール通知を配信するには、MQServer をインストールします。

アイデンティティアプリケーションが実行される Tomcat アプリケーションサーバには、いくつ

かの前提条件が適用されます。詳細については、196 ページの「アプリケーションサーバの前

提条件と検討事項」を参照してください。

インストールプロセスにより、JRE の場所が setenv.bat ファイルに設定されます。このファイル

は、デフォルトでは c:\NetIQ\idm\apps\tomcat\bin ディレクトリにあります。Identity Applicationsと Identity Reporting を Tomcat にインストールする際に、setenv.bat ファイルの JAVA_OPTs エ

ントリまたは CATALINA_OPTS エントリが更新されます。

12.1.5 PostgreSQL のシステム要件

PostgreSQL のコンピュータの要件は識別情報アプリケーションの要件と同じです。詳細について

は、199 ページの「識別情報アプリケーションのシステム要件」を参照してください。Identity Manager の新バージョンのリリースノート、および PostgreSQL のマニュアルも参照してくださ

い。

12.1.6 Tomcat のシステム要件

Tomcat のコンピュータの要件は識別情報アプリケーションの要件と同じです。詳細については、

199 ページのセクション 15.1.4「識別情報アプリケーションのシステム要件」を参照してください。

Identity Manager の新バージョンのリリースノート、および Tomcat のマニュアルも参照してくだ

さい。

12.2 PostgreSQL と Tomcat のインストール

このセクションでは、Tomcat と PostgreSQL のインストールプロセスを順を追って説明します。

166 ページのセクション 12.2.1「ウィザードを使用した PostgreSQL と Tomcat のインストール」

169 ページのセクション 12.2.2「Identity Manager用の PostgreSQLおよび Tomcat のサイレント

インストール」

12.2.1 ウィザードを使用した PostgreSQL と Tomcat のインストール

次の手順では、ガイド付きプロセスを使用して Windows プラットフォームに Tomcat および

PostgreSQL をインストールする方法について説明します。無人のサイレントインストールを実行

するには、169 ページのセクション 12.2.2「Identity Manager 用の PostgreSQL および Tomcat のサ

イレントインストール」を参照してください。

インストールの準備をするために、次の各セクションに記載されている考慮事項とシステム要件を確認します。



リリースに付属するリリースノート


注 : PostgreSQL をインストールする場合も、PostgreSQL の既存のバージョンを使用する場合も、

データベースのパスワードを指定する必要があります。ただし、このインストールプログラムは "または $ 文字を含むパスワードをサポートしていません。これらの特殊文字を使用する場合は、イ

ンストールプロセスが完了した後でパスワードを変更してください。

ガイド付きインストールを実行する

1 アプリケーションをインストールするコンピュータに管理者としてログインします。

2 計画したインストールパスに、次の名前が含まれるディレクトリがないことを確認します。 tomcat postgres activemq jre

注 : Standard Edition をインストールする際には、ActiveMQ をインストールする必要がありま

す。インストールしない場合、Identity Reporting にログインしても［レポーティング］ページ

がロードされません。または、PostgreSQL インストールを完了した後で activemq-all-5.15.2 jar ファイルを C:\NetIQ\idm\apps\tomcat\lib ディレクトリにコピーし、Tomcat を再起動します。


場合は、インストールファイルが保存されている\products\CommonApplication\postgre_tomcat_install ディレクトリへ移動します。

4 ( 状況によって実行 ) インストールファイルを NetIQ Downloads の Web サイトからダウンロー

ドした場合は、次の手順を実行します。

4a ダウンロードしたイメージの win.zip ファイルのある場所に移動します。

4b このファイルの内容をローカルコンピュータ上のディレクトリに抽出します。

5 インストールファイルが保存されているディレクトリから、TomcatPostgreSQL.exe を実行しま

す。

6 インストールプログラムで、インストールに使用する言語を指定して［OK］をクリックしま

す。

7 概要情報を確認して［次へ］をクリックします。


9 Tomcat または PostgreSQL の一方をインストールするか、それとも両方をインストールするか


10 ガイド付きプロセスを実行するため、次のパラメータの値を指定します。

Tomcat parent folder (Tomcat の親フォルダ )Tomcat をインストールする場合にのみ適用されます。

Tomcat のファイルをインストールするディレクトリを指定します。

Tomcat の詳細

Tomcat をインストールする場合にのみ適用されます。

Tomcat で必要なポートを指定します。 Tomcat shutdown port (Tomcat シャットダウンポート )

すべての Web アプリケーションと Tomcat を正常にシャットダウンするために使用

するポートを指定します。デフォルトは 8005 です。


http://dl.netiq.com

Tomcat http port (Tomcat HTTP ポート ) Tomcat サーバがクライアントコンピュータとの通信に使用するポートを指定します。

デフォルトは 8080 です。SSL を使用する場合、デフォルトは 8443 です。

Tomcat redirect port (Tomcat リダイレクトポート ) ( 状況によって実行 ) TLS/SSL プロトコルを使用しない場合、SSL トランスポートが

必要な要求をアプリケーションサーバがリダイレクトするポートを指定します。デフォルトは 8443 です。

Tomcat ajp port (Tomcat AJP ポート ) ( オプション ) アプリケーションサーバが http ではなく AJP プロトコルを使用する

Web コネクタと通信する場合に使うポートを指定します。デフォルトは 8009 です。

このパラメータは、アプリケーションサーバで Web アプリケーションに含まれる静

的なコンテンツを管理する場合や、アプリケーションサーバの SSL 処理を利用する

場合に使用します。

PostgreSQL 親フォルダ

PostgreSQL をインストールする場合にのみ適用されます。

PostgreSQL のファイルをインストールするディレクトリを指定します。

PostgreSQL の詳細

PostgreSQL をインストールする場合にのみ適用されます。

識別情報アプリケーション用の PostgreSQL データベースの設定を指定します。

注 : サポートされているバージョンの PostgreSQL がすでにサーバで実行されている場合

は、デフォルトの postgres ユーザのパスワードを入力するようプロンプトが表示されま

す。続いて、idmadmin ユーザが作成され、postgres と同じパスワードが割り当てられます。

このインストールプログラムは、" または $ 文字を含むパスワードをサポートしていませ

ん。

データベース名データベースの名前を指定します。デフォルト値は idmuserappdb です。

データベース管理者 idmadmin アカウントを指定します。これは、データベースのテーブルやビューなどの

アーティファクトを作成できるデータベース管理者です。

このアカウントはデフォルトの postgres ユーザとは異なります。

管理者ユーザのパスワードデータベース管理者およびデフォルトの postgres ユーザのパスワードを指定します。

このインストールプログラムは、" または $ 文字を含むパスワードをサポートしてい

ません。 PostgreSQL のポート

PostgreSQL データベースをホストするサーバのポートを指定します。デフォルトは

5432 です。

11 インストール前の概要を確認します。

12 インストールプロセスを開始します。

13 インストールプロセスが完了したら、［完了］をクリックします。


12.2.2 Identity Manager 用の PostgreSQL および Tomcat のサイレン

トインストール


質問も行われません。代わりに、InstallAnywhere はデフォルトの silent.properties ファイルの情報を

使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストールプロセスをカスタマイズすることもできます。ガイド付きインストールについては、166 ページのセクション 12.2.1「ウィザードを使用した PostgreSQL と Tomcat のイ


インストールの準備をするために、次の各セクションに記載されている考慮事項とシステム要件を確認します。



169 ページの「サイレントインストールでのパスワードの保護」

リリースに付属するリリースノート

サイレントインストールでのパスワードの保護

インストール用の postgresq_tomcat-silent.properties ファイルの中にパスワードを指定するのを望まな

い場合、代わりに環境内でパスワードを設定できます。この場合、サイレントインストーラはpostgresq_tomcat-silent.properties ファイルからではなく、環境からパスワードを読み込みます。これ

により、セキュリティが増強されます。

インストールの次のパスワードを指定する必要があります。

NETIQ_DB_PASSWORD NETIQ_DB_PASSWORD_CONFIRM

set コマンドを使用します。次に例を示します。

set NETIQ_DB_PASSWORD_CONFIRM=myPassWord

このインストールプログラムは、$ 文字に " を含むパスワードをサポートしていません。これらの

特殊文字を使用する場合は、PostgreSQL をインストールした後でパスワードを変更してください。

Tomcat および PostgreSQL のサイレントインストール

1 アプリケーションをインストールするコンピュータにログインします。


場合は、インストールファイルが保存されている\products\CommonApplication\postgre_tomcat_install ディレクトリへ移動します。






http://dl.netiq.com

4 インストールパラメータを指定するため、次の手順を実行します。

4a postgresq_tomcat-silent.properties ファイルがインストール用の実行可能ファイルと同じディ

レクトリにあることを確認します。

4b テキストエディタで postgresq_tomcat-silent.properties ファイルを開きます。

4c パラメータの値を指定します。パラメータの説明については、167 ページのステップ 10を参照してください。

4d ファイルを保存して閉じます。

5 インストールプロセスを起動するには、次のコマンドを入力します。

install -i silent -f postgresq_tomcat-silent.properties

注 : postgresq_tomcat-silent.properties ファイルがインストールスクリプトとは異なるディレクト

リにある場合は、ファイルのフルパスを指定する必要があります。このスクリプトは必要なファイルを一時ディレクトリに解凍し、サイレントインストールを起動します。


13 13 シングルサインオンコンポーネントのインストール

このセクションでは、識別情報アプリケーションおよび Identity Reporting へのシングルサインオン

アクセスをサポートする One SSO Provider (OSP) をインストールします。

インストールファイルは、Identity Manager インストールパッケージの

products\CommonApplication\osp_install ディレクトリにあります。デフォルトでは、インストールプ

ログラムは C:\NetIQ\idm\apps\osp にコンポーネントをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。

13.1 Identity Manager 用シングルサインオンをインストールするためのプラニングこのセクションでは、One SSO Provider (OSP) をインストールするために必要な前提条件、考慮事

項、およびシステムセットアップについて記載します。

171 ページのセクション 13.1.1「シングルサインオンコンポーネントのチェックリスト」

172 ページのセクション 13.1.2「One SSO Provider のインストールの前提条件」

172 ページのセクション 13.1.3「One SSO Provider のシステム要件」

173 ページのセクション 13.1.4「Apache Log4j サービスを使用したサインオンの記録」

13.1.1 シングルサインオンコンポーネントのチェックリスト




セクション 4.5「Identity Manager でのシングルサインオンアクセスの使用」を参照してく

ださい。




3. Tomcat がインストールされていることを確認します。詳細については、166 ページの第

12.2 章「PostgreSQL と Tomcat のインストール」を参照してください。

4. ( 状況によって実行 ) Apac e Log4j サービスを使用して Tomcat でイベントを記録するには、

適切なファイルが用意されていることを確認します。詳細については、173 ページのセク

ション 13.1.4「Apache Log4j サービスを使用したサインオンの記録」を参照してください。

シングルサインオンコンポーネントのインストール 171

13.1.2 One SSO Provider のインストールの前提条件

次の Identity Manager コンポーネントではユーザ認証のために OSP が必要です。


Identity Reporting

OSP をインストールする前に、次の考慮事項を確認することをお勧めします。

OSP を実行するために、Identity Manager インストールキットに付属する Tomcat インストール

プログラムではなく、ユーザが独自に入手したインストールプログラムを使用できます。ただし、独自のバージョンの Tomcat で Apache Log4j サービスを使用する場合は、適切なファイル

がインストールされていることを確認します。詳細については、173 ページのセクション

13.1.4「Apache Log4j サービスを使用したサインオンの記録」を参照してください。

OSP では、識別情報アプリケーションおよび Reporting が認証サーバと通信できるようにする

ために信頼証明書が必要です。インストールプロセス中に osp.jks ファイル内に TLS/SSL 用の

証明書が自動的に作成されます。eDirectory に対する SAML アサーション用のルート認証局証

明もこのプロセスで作成できます。

注 : これらの証明書の有効期限は作成日から 2 年です。元の証明書が期限切れになった場合

は、新しい証明書を作成する必要があります。詳細については、250 ページの「［Authentication Server( 認証サーバ )］」および 321 ページのパート VIII「Identity Manager のシングルサインオンアクセスの設定」を参照してください。

13.1.3 One SSO Provider のシステム要件

OSP には、Apache Tomcat アプリケーションサーバが必要です。Tomcat のバージョンは、識別情

報アプリケーションで必要なバージョンと同じである必要があります。

他のすべてのサーバ要件は、識別情報アプリケーションのサーバ要件に一致します。詳細については、194 ページのセクション 15.1.3「識別情報アプリケーションのインストールの前提条件と検討

事項」およびこのバージョンの新のリリースノートを参照してください。

5. OSP のインストール :


用した One SSO Provider のインストール」を参照してください。

サイレントインストールについては、176 ページのセクション 13.2.2「One SSO Provider のサイレントインストール」を参照してください。

6. 識別情報アプリケーション用ユーザパスワードを管理するための Self Service Password Reset (SSPR) をインストールします。詳細については、181 ページのセクション 14.2

「Identity Manager 用パスワード管理のインストール」を参照してください。

7. シングルサインオンアクセスを使用するように、識別情報アプリケーションをインストールして設定します。詳細については、210 ページのセクション 15.5「識別情報アプリケーショ

ンのインストール」を参照してください。


172 シングルサインオンコンポーネントのインストール

13.1.4 Apache Log4j サービスを使用したサインオンの記録

Apache Log4j または java.util.logging サービスを使用して、Tomcat で発生するイベントを記録でき

ます。Log4j に必要なファイルは Identity Manager インストールキットの Tomcat インストーラに含

まれています。ただし、独自のバージョンの Tomcat をインストールする場合、Apache のログ記録

サービスを使用するには次のファイルが必要になります。

log4j-1.2.16.jar

tomcat-juli-adapters.jar

tomcat-juli.jar

インストール済みの Tomcat にこれらのファイルを追加するには、次の手順を実行します。

1 Apache の Web サイトから Tomcat v8.5.x 用の「JULI」ファイルをダウンロードします。

tomcat-juli.jar


2 Apache の Web サイトから log4j-1.2.16.jar ファイルをダウンロードします。

3 次のファイルを $TOMCAT_HOME\lib ディレクトリに配置します。

log4j-1.2.16.jar


4 tomcat-juli.jar ファイルを $TOMCAT_HOME\bin ディレクトリに配置します。

5 CATALINA_OPTS で -Dlog4j.configuration の値を指定するか、$TOMCAT_HOME\lib ディレクトリ内

に log4j.properties ファイルを作成します。

13.2 Identity Manager 用シングルサインオンのインストール 173 ページのセクション 13.2.1「ウィザードを使用した One SSO Provider のインストール」

176 ページのセクション 13.2.2「One SSO Provider のサイレントインストール」

177 ページのセクション 13.2.3「シングルサインオンアクセスの設定」

13.2.1 ウィザードを使用した One SSO Provider のインストール

次の手順では、インストールウィザードを使用して Windows プラットフォームに OSP をインス

トールする方法について説明します。無人のサイレントインストールを実行するには、176 ページ

のセクション 13.2.2「One SSO Provider のサイレントインストール」を参照してください。インス

トールの準備をするために、171 ページのセクション 13.1.1「シングルサインオンコンポーネント

のチェックリスト」に記載されている前提条件とシステム要件を確認します。

1 OSP をインストールするサーバに管理者としてログインします。

2 Tomcat サーバを停止します。


場合は、OSP のインストールファイルが保存されているディレクトリへ移動します。デフォル

トの場所は products\CommonApplication\osp_install ディレクトリです。


http://tomcat.apache.org/download-70.cgi

http://archive.apache.org/dist/logging/log4j/1.2.16/

4 ( 状況によって実行 ) OSP のインストールファイルをダウンロードした場合は、次の手順を実

行します。



5 インストールファイルが保存されているディレクトリから、osp-install-win.exe ファイルを実行

します。

6 使用許諾契約書の条項を確認して同意し、［次へ］をクリックします。

7 インストールするファイルのパスを指定します。

8 次のパラメータを使用して、ガイド付きプロセスを実行します。

Tomcat の詳細

Tomcat サーバのホームディレクトリを指定します。たとえば、C:\NetIQ\idm\apps\tomcat\ です。インストールプロセス中に OSP 用の複数のファイルがこのフォルダに追加されます。

Tomcat Java ホーム

Tomcat サーバ上の Java のホームディレクトリを指定します。たとえば、C:\NetIQ\idm\jreです。インストールプロセス中に OSP 用の複数のファイルがこのディレクトリに追加さ

れます。

アプリケーションアドレス

ユーザが Tomcat サーバ上の OSP に接続するために必要な URL の設定を指定します。た

とえば、https://myserver.mycompany.com:8543 を指定します。プロトコル

http または https のどちらを使用するのかを指定します。SSL (Secure Sockets Layer)を使用して通信する場合は https を指定します。

Host Name ( ホスト名 ) OSP をインストールするサーバの DNS 名または IP アドレスを指定します。localhostは使用しないでください。

ポートサーバがクライアントコンピュータとの通信に使用するポートを指定します。

ログイン画面のカスタマイズ

ユーザログイン画面に表示するカスタム名を指定します。デフォルト値は［Identity Access (Identity Access)］です。

注 : Latin1 標準文字セットのみがサポートされます。

認証の詳細

アプリケーションにログイン可能なユーザのリストが保存されている認証サーバに接続するための要件を指定します。認証サーバの詳細については、34 ページのセクション 4.5.1

「One SSO Provider による認証の理解」を参照してください。

LDAP ホスト LDAP 認証サーバの DNS 名または IP アドレスを指定します。localhost は使用しない

でください。


LDAP ポート LDAP 認証サーバが Identity Manager との通信に使用するポートを指定します。たと

えば、セキュアポート以外を使用する場合は 389、SSL 接続を使用する場合は 636 を

指定します。

SSL を使用

識別ボールトと認証サーバ間の接続に Secure Sockets Layer プロトコルを使用する

かどうかを指定します。

JRE トラストストア (cacerts) ファイル LDAP 接続に SSL を使用する場合にのみ適用されます。

証明書のパスを指定します。たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacerts です。

JRE トラストストアパスワード LDAP 接続に SSL を使用する場合にのみ適用されます。

cacerts ファイルのパスワードを指定します。

管理者 DN 新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの管理者アカウントの DN を指定します。たとえば、

cn=admin,ou=sa,o=system です。

管理者パスワード新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの管理者アカウントのパスワードを指定します。

ユーザコンテナ新しい認証サーバをインストールする場合にのみ適用されます。

Access Review にログイン可能なユーザアカウントを保存する LDAP 認証サーバ内の

コンテナを指定します。たとえば、o=data です。

管理者コンテナ新しい認証サーバをインストールする場合にのみ適用されます。

管理者アカウントを保存する LDAP 認証サーバ内のコンテナを指定します。たとえ

ば、ou=sa,o=system です。

識別ボールト識別ボールトを指定します。

キーストアパスワード新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの新しいキーストア用に作成するパスワードを指定します。

パスワードは 6 文字以上にする必要があります。

［監査の詳細 (OSP)］

認証サーバで発生する OSP イベントを監査するための設定を指定します。

( 状況によって実行 ) OSP の監査を有効にする OSP イベントを監査サーバに送信するかどうかを指定します。

この設定を選択する場合は、監査ログキャッシュの場所も指定する必要があります。


監査ログキャッシュフォルダ OSP に対して監査を有効にする場合にのみ適用されます。

監査で使用するキャッシュディレクトリの場所を指定します。たとえば、C:\NetIQ\idm\naudit\jcache です。

既存の証明書を指定 / 証明書を生成 NAudit サーバで既存の証明書を使用するか、それとも新しい証明書を作成するかを

指定します。

パブリックキーを入力既存の証明書を使用する場合にのみ適用されます。

監査メッセージを認証するために NAudit サービスで使用するカスタム公開鍵証明書

のリストを入力します。

RSA キーを入力既存の証明書を使用する場合にのみ適用されます。

監査メッセージを認証するために NAudit サービスで使用するカスタム公開鍵ファイ

ルのパスを入力します。

9 SSPR をインストールするには、179 ページのパート 14「パスワード管理コンポーネントのイ

ンストール」に移動してください。

パスワードを忘れた場合の管理の詳細については、231 ページのセクション 15.7.8「パスワー

ドを忘れた場合の管理の設定」を参照してください。

13.2.2 One SSO Provider のサイレントインストール


質問も行われません。

1 コンポーネントをインストールするコンピュータに管理者としてログインします。

2 Tomcat を停止します。


場合は、OSP のインストールファイルが保存されているディレクトリへ移動します。デフォル

トの場所は osp ディレクトリです。



4a ダウンロードしたイメージの .zip ファイルのある場所に移動します。

4b ファイルの内容をローカルコンピュータ上のフォルダに抽出します。

5 書き込みアクセス権がある場所に osp.configure.properties ファイルをコピーし、このファイルを

編集します。

インストール用の設定の詳細については、ステップ 7 および 174 ページのステップ 8 を参照し

てください。


osp-install-win.exe -i silent -f path_to_silent.properties_file

このコマンドで、ファイルの絶対パスを指定します。次に例を示します。


http://dl.netiq.com

osp-install-win.exe -i silent -f c:\NetIQ\idm\apps\osp\osp.silent.properties

7 SSPR をインストールします。詳細については、179 ページのパート 14「パスワード管理コン

ポーネントのインストール」を参照してください。

13.2.3 シングルサインオンアクセスの設定

OSP のインストール後すぐに、いくつかのアクションを実行してシングルサインオンアクセスを設

定する必要があります。ただし、終的な設定を行うには、まず識別情報アプリケーションをインストールする必要があります。詳細については、321 ページのパート VIII「Identity Manager のシン

グルサインオンアクセスの設定」を参照してください。

注 : One SSO Provider をサイレントモードで設定する際には、osp.silent.properties ファイルにイン

ストール、Java、Tomcat、および SSL キーストアの各フォルダの正しいパスを必ず指定してくだ

さい。次に例を示します。

インストールフォルダ : USER_INSTALL_DIR=C:\NetIQ\idm\apps\osp

Tomcat フォルダ : NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Windows: NETIQ_TOMCAT_HOME=C:\NetIQ\idm\apps\tomcat

Java フォルダ : NETIQ_JAVA_HOME=C:\NetIQ\idm\apps\jre

SSL キーストアフォルダ : USER_INSTALL_DIR=C:\NetIQ\idm\apps\jre\lib\security\cacerts



14 14 パスワード管理コンポーネントのインストール

このセクションでは、ユーザがパスワードをリセットできるように Identity Manager を設定するの

に役立つ Self Service Password Reset (SSPR) をインストールします。

SSPR は識別情報アプリケーション、Identity Reporting、および OSP と統合され、パスワードを変

更する必要があるユーザが他の操作を実行することなく適切な Web ページに移動できるようにし

ます。ユーザがセルフサービス作業を完了すると、SSPR は、ユーザが初にアクセスを試みたア

プリケーションへユーザをリダイレクトします。

注 : Identity Manager 4.6 以降のバージョンでは、プライマリパスワード管理ツールとして SSPR を

使用します。

Identity Manager に SSPR は必須ではありません。ユーザパスワードをリセットするために別の方

法を使用できます。ただし、Identity Manager の一部の環境設定を変更する必要がある場合があり

ます。詳細については、231 ページのセクション 15.7.8「パスワードを忘れた場合の管理の設定」


インストールファイルは、\products\CoomonApplication\sspr_install ディレクトリにあります。デフォ

ルトでは、インストールプログラムは C:\NetIQ\idm\apps\sspr に SSPR コンポーネントをインストー

ルします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。

14.1 Identity Manager 用パスワード管理をインストールするためのプラニングこのセクションでは、Self Service Password Reset (SSPR) をインストールするために必要な前提

条件、考慮事項、およびシステムセットアップについて記載します。

180 ページのセクション 14.1.1「パスワード管理コンポーネントをインストールするための

チェックリスト」

180 ページのセクション 14.1.2「Self Service Password Reset のインストールの前提条件」

180 ページのセクション 14.1.3「Self Service Password Reset のシステム要件」

181 ページのセクション 14.1.4「Apache Log4j サービスを使用したパスワードイベントの記録」

パスワード管理コンポーネントのインストール 179

14.1.1 パスワード管理コンポーネントをインストールするためのチェックリスト


14.1.2 Self Service Password Reset のインストールの前提条件

インストールする NetIQ Self Service Password Reset (SSPR) が識別情報アプリケーションのサー

バ要件に一致する必要があります。考慮事項は次のとおりです。

SSPR では通信用に TSL/SSL プロトコルが必要です。

SSPR ではサポートされているバージョンの Tomcat アプリケーションサーバが必要です。詳細

については、165 ページのセクション 12.1.4「Tomcat のインストールの前提条件」およびこ

のバージョンの新のリリースノートを参照してください。

『NetIQ Self Service Password Reset Administration Guide』に記載されている前提条件と要件

を確認することをお勧めします。

14.1.3 Self Service Password Reset のシステム要件

SSPR は Apache Tomcat アプリケーションサーバが必要です。Tomcat のバージョンは、識別情報

アプリケーションで必要なバージョンと同じである必要があります。

他のすべてのサーバ要件は、識別情報アプリケーションのサーバ要件に一致します。詳細については、194 ページのセクション 15.1.3「識別情報アプリケーションのインストールの前提条件と検討

事項」およびこのバージョンの新のリリースノートを参照してください。



セクション 4.4「Identity Manager でのセルフサービスパスワード管理の使用」を参照して

ください。




3. Tomcat がインストールされていることを確認します。詳細については、166 ページの第

12.2 章「PostgreSQL と Tomcat のインストール」を参照してください。




5. SSPR をインストールします。


用した Self Service Password Reset のインストール」を参照してください。

サイレントインストールについては、185 ページのセクション 14.2.2「Self Service Password Reset のサイレントインストール」を参照してください。

6. 識別情報アプリケーションをインストールし、シングルサインオンアクセスおよびパスワード管理を使用するように設定します。詳細については、210 ページの第 15.5 章「識別情報

アプリケーションのインストール」を参照してください。

180 パスワード管理コンポーネントのインストール


14.1.4 Apache Log4j サービスを使用したパスワードイベントの記録

Apache Log4j または java.util.logging サービスを使用して、Tomcat で発生するイベントを記録でき

ます。Log4j に必要なファイルは Identity Manager インストールキットの Tomcat インストーラに含

まれています。ただし、独自のバージョンの Tomcat をインストールする場合、Apache のログ記録

サービスを使用するには次のファイルが必要になります。

log4j-1.2.16.jar


tomcat-juli.jar

インストール済みの Tomcat にこれらのファイルを追加するには、次の手順を実行します。

1 Apache の Web サイトから Tomcat v8.5.x 用の「JULI」ファイルをダウンロードします。

tomcat-juli.jar


2 Apache の Web サイトから log4j-1.2.16.jar ファイルをダウンロードします。

3 次のファイルを $TOMCAT_HOME\lib ディレクトリに配置します。

log4j-1.2.16.jar


4 tomcat-juli.jar ファイルを $TOMCAT_HOME/bin ディレクトリに配置します。

5 CATALINA_OPTS で -Dlog4j.configuration の値を指定するか、$TOMCAT_HOME\lib ディレクトリ内

に log4j.properties ファイルを作成します。

14.2 Identity Manager 用パスワード管理のインストール

このセクションでは、SSPR のインストールプロセスについて説明します。OSP コンポーネントが

インストールされる同一サーバまたは別のサーバにこれらのプログラムをインストールできます。

182 ページのセクション 14.2.1「ウィザードを使用した Self Service Password Reset のインス

トール」

185 ページのセクション 14.2.2「Self Service Password Reset のサイレントインストール」

185 ページのセクション 14.2.3「インストール後のタスク」

188 ページのセクション 14.2.4「クラスタリング用の OSP と SSPR の設定」

注 : 古い方法である「パスワードを忘れた場合」を使用する場合、SSPR のインストールは必要あ

りません。詳細については、33 ページのセクション 4.4.2「レガシパスワード管理プロバイダの理



http://tomcat.apache.org/download-70.cgi

http://archive.apache.org/dist/logging/log4j/1.2.16/

14.2.1 ウィザードを使用した Self Service Password Reset のインス

トール

次の手順では、インストールウィザードを使用して Windows プラットフォームに SSPR をインス

トールする方法について説明します。無人のサイレントインストールを実行するには、185 ページ

のセクション 14.2.2「Self Service Password Reset のサイレントインストール」を参照してくださ

い。インストールの準備をするために、180 ページのセクション 14.1.1「パスワード管理コンポー

ネントをインストールするためのチェックリスト」に記載されている前提条件とシステム要件を確認します。

1 SSPR をインストールするサーバに管理者としてログインします。

2 Tomcat サーバを停止します。


場合は、SSPR のインストールファイルが保存されているディレクトリへ移動します。デフォ

ルトの場所は products\CommonApplication\sspr_install ディレクトリです。

4 ( 状況によって実行 ) SSPR のインストールファイルをダウンロードした場合は、次の手順を実

行します。



5 インストールファイルが保存されているディレクトリから、sspr-install-win.exe ファイルを実行

します。


7 インストールするファイルのパスを指定します。

8 次のパラメータを使用して、ガイド付きプロセスを実行します。

Tomcat の詳細

Tomcat サーバのホームディレクトリを指定します。たとえば、C:\NetIQ\idm\apps\tomcat です。インストールプロセス中に SSPR 用の複数のファイルがこのフォルダに追加されま

す。

Tomcat の接続

ユーザが Tomcat サーバ上の SSPR に接続するために必要な URL の設定を指定します。

たとえば、https://myserver.mycompany.com:8080 を指定します。

注 : 次の考慮事項が当てはまる場合は、［外部認証サーバに接続する］を選択し、外部サーバの値も指定する必要があります。

SSPR をインストールする場合。

OSPをSSPRとは異なるサポートされているアプリケーションサーバのインスタンス

で実行する場合。

プロトコル http または https のどちらを使用するのかを指定します。SSL (Secure Sockets Layer)を使用して通信する場合は https を指定します。

Host Name ( ホスト名 ) SSPR をインストールするサーバの DNS 名または IP アドレスを指定します。

localhost は使用しないでください。



Connect to an external authentication server ( 外部認証サーバへの接続 )

Tomcat の異なるインスタンスが認証サーバ (OSP) をホストするかどうかを指定しま

す。認証サーバには、SSPR にログイン可能なユーザのリストが保存されています。

この設定を選択する場合は、認証サーバの［プロトコル］、［ホスト名］、および［ポー

ト］も指定する必要があります。

Tomcat Java ホーム

Tomcat サーバ上の Java のホームディレクトリを指定します。たとえば、C:\NetIQ\idm\jreです。インストールプロセス中に OSP 用の複数のファイルがこのディレクトリに追加さ

れます。

認証の詳細

アプリケーションにログイン可能なユーザのリストが保存されている認証サーバに接続するための要件を指定します。認証サーバの詳細については、34 ページのセクション 4.5.1

「One SSO Provider による認証の理解」を参照してください。

LDAP ホスト LDAP 認証サーバの DNS 名または IP アドレスを指定します。localhost は使用しない

でください。

LDAP ポート

LDAP 認証サーバが Identity Manager との通信に使用するポートを指定します。たと

えば、セキュアポート以外を使用する場合は 389、SSL 接続を使用する場合は 636 を

指定します。

SSL を使用識別ボールトと認証サーバ間の接続に Secure Sockets Layer プロトコルを使用する

かどうかを指定します。

JRE トラストストア (cacerts) ファイル LDAP 接続に SSL を使用する場合にのみ適用されます。

証明書のパスを指定します。たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacerts です。

JRE トラストストアパスワード LDAP 接続に SSL を使用する場合にのみ適用されます。

cacerts ファイルのパスワードを指定します。

管理者 DN 新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの管理者アカウントの DN を指定します。たとえば、

cn=admin,ou=sa,o=system です。

管理者パスワード新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの管理者アカウントのパスワードを指定します。


ユーザコンテナ新しい認証サーバをインストールする場合にのみ適用されます。

Access Review にログイン可能なユーザアカウントを保存する LDAP 認証サーバ内の

コンテナを指定します。たとえば、o=data です。

管理者コンテナ新しい認証サーバをインストールする場合にのみ適用されます。

Access Review の管理者アカウントを保存する LDAP 認証サーバ内のコンテナを指定

します。たとえば、ou=sa,o=system です。

キーストアパスワード新しい認証サーバをインストールする場合にのみ適用されます。

LDAP 認証サーバの新しいキーストア用に作成するパスワードを指定します。

パスワードは 6 文字以上にする必要があります。

SSPR の詳細

SSPR を設定するために必要な設定を指定します。

設定パスワード管理者が SSPR を設定する場合に使用するパスワードを作成するよう指定します。

デフォルトでは、SSPR に設定パスワードは設定されていません。パスワードを設定

しないと、SSPR にログイン可能なユーザであれば誰でも設定を変更できます。 SSPR redirect URL (SSPR のリダイレクト URL)

SSPR でパスワード変更や秘密の質問などの操作が完了したときにクライアントをリ

ダイレクトする絶対 URL を指定します。たとえば、ダッシュボードに転送します。

使用するフォーマットは、protocol://server:port/path です。たとえば、http://idm_userapp_server_ip:port_no/idmdash/#/landing と指定します。

認証サーバの詳細

SSPR サービスがサーバ上の OSP クライアントへ接続時に使用するために作成するパス

ワードを指定します。クライアントシークレットととも呼ばれます。

インストール後にこのパスワードを変更するには、RBPM 環境設定ユーティリティを使用

します。

［監査の詳細 (SSPR)］

認証サーバで発生する SSPR イベントを監査するための設定を指定します。

( 状況によって実行 ) SSPR の監査を有効にする SSPR イベントを監査サーバに送信するかどうかを指定します。

この設定を選択する場合は、syslog サーバの設定も指定する必要があります。

Syslog のホスト名 SSPR に対して監査を有効にする場合にのみ適用されます。

Syslog サーバをホストするサーバの DNS または IP アドレスを指定します。localhostは使用しないでください。

Syslog のポート

SSPR に対して監査を有効にする場合にのみ適用されます。

Syslog サーバをホストするサーバのポートを指定します。


9 SSPR を使用するように識別情報アプリケーションおよび Identity Reporting を設定するため、

191 ページの第 15 章「Identity Applications のインストール」に進みます。

10 設定更新ユーティリティで、SSO クライアントパラメータを更新します。詳細については、

257 ページの「セルフサービスパスワードリセット」を参照してください。

パスワードを忘れた場合の管理の詳細については、231 ページのセクション 15.7.8「パスワー

ドを忘れた場合の管理の設定」を参照してください。

14.2.2 Self Service Password Reset のサイレントインストール


質問も行われません。

1 コンポーネントをインストールするコンピュータに管理者としてログインします。



場合は、SSPR のインストールファイルが保存されているディレクトリへ移動します。デフォ

ルトの場所は sspr ディレクトリです。



4a ダウンロードしたイメージの .zip ファイルのある場所に移動します。


5 sspr-silent.properties ファイルを SSPR のインストール用に編集します。このファイルは、デ

フォルトではインストールスクリプトと同じディレクトリにあります。

インストール用の設定の詳細については、182 ページのステップ 7 および 182 ページのステッ

プ 8 を参照してください。


sspr-install-win.exe -i silent -f path_to_silent.properties_file

7 設定更新ユーティリティで、SSO クライアントパラメータを更新します。詳細については、

257 ページの「セルフサービスパスワードリセット」を参照してください。

14.2.3 インストール後のタスク

インストールにエラーがないことの確認

SSPR のインストール後、デフォルトプロファイルの LDAP グループ DN における管理者許可の変

更や、転送 URL の変更などの環境設定を変更できます。また、インストールプロセス中に作成され

た URL を確認し、必要に応じてそれらを変更することもお勧めします。

1 SSPR ログインページを開くには、ブラウザで次の URL を入力します。

protocol://server:port/web-context


http://192.168.0.1:8080/sspr/

2 SSPR ログインページの右上隅で、リストから［Configuration Editor ( 環境設定エディタ )］を

選択します。


http://dl.netiq.com

3 設定パスワードを指定し、［Sign In ( サインイン )］をクリックします。

4 ツリービューから、［デフォルト設定］を選択し、［LDAP Vendor Default Settings (LDAP ベンダ

のデフォルト設定 )］リストで［NetIQ IDM/OAuth Integration (NetIQ IDM/OAuth 統合 )］が選択

されていることを確認します。

5 ツリービューから、［LDAP］ > ［LDAP ディレクトリ］ > ［デフォルト］ > ［接続］ > ［LDAP Certificates (LDAP 証明書 )］の順にクリックし、［Import From Server ( サーバからインポート

)］をクリックして、証明書をインポートします。

( 状況によって実行 ) 同じページで［Test LDAP Profile (LDAP プロファイルをテスト )］をク

リックし、すべての設定済み LDAP サーバにアクセス可能であることを確認します。

6 ツリービューから、［モジュール］ > ［Authenticated ( 認証済み )］ > ［管理］の順にクリックし

て、管理者許可がデフォルトプロファイルの LDAP グループ DN に割り当てられていることを

確認します。

SSPR の新規インストールを実行している場合は、リストが空になっています。iManager で新

しいグループを作成し、そのグループに admin ユーザを追加する必要があります。

7 ツリービューから、［設定］ > ［アプリケーション］ > ［アプリケーション］の順にクリックし、

［Forward URL (URL の転送 )］が http://<Server:Port>/idmdash/#/landing に設定されていることを

確認します。

たとえば、http:/192.168.0.1:8080/idmdash/#/landing です。

8 ツリービューから、［設定］ > ［ユーザインタフェース］ > ［Look & Feel ( ルックアンドフィール

)］の順にクリックし、［Interface Theme ( インタフェーステーマ )］を［Micro Focus (mdefault) (Micro Focus (mdefault))］に変更します ( まだ指定していない場合 )。

9 ツリービューから、［設定］ > ［Single Sign On (SSO) Client ( シングルサインオン (SSO) クライ

アント )］ > ［OAuth］の順にクリックし、次のパラメータに対して値が正しく指定されている


OAuth ログイン URL OAuth サーバログインの URL を指定します。ユーザがログインすると、この URL は

OSP で認証するためにユーザをリダイレクトします。

例 : http://192.168.0.1:8080/osp/a/idm/auth/oauth2/grant

OAuth コード解決サービスの URL OAuth コード解決サービスの URL を指定します。SSPR はこの Web サービス URL を使

用して、OAuth ID サーバが戻すアーティファクトを解決します。

例 : http://192.168.0.1:8080/osp/a/idm/auth/oauth2/authcoderesolve

OAuth プロファイルサービス URL ユーザから属性データを戻すために Identity Manager が提供する Web サービスの URL を

指定します。

例 : http://192.168.0.1:8080/osp/a/idm/auth/oauth2/getattributes

OAUTH Web サービスサーバ証明書

( 状況によって実行 ) HTTPS が有効な場合は、OAuth Web サービスサーバの証明書をイ

ンポートします。

OAuth クライアント ID OAuth クライアントのクライアント ID を指定します。たとえば、sspr です。


OAuth 共有シークレット OAuth 共有シークレットのパスワードを指定します。このパスワードは、OSP と

SSPR アプリケーション間で共有されます。 OAuth ユーザ名 /DN ログイン属性

OAuth サーバをリクエストするために SSPR が使用するユーザ属性を指定することで、

ユーザをローカルで認証します。たとえば、name です。

10 ページの右上隅からをクリックして、設定を保存します。

11 SSPR ログインページの右上隅で、リストから［Configuration Manager ( 環境設定マネージャ

)］を選択します。

12［Restrict Configuration ( 設定の制限 )］をクリックします。

ユーザコンテナへのユニバーサルパスワードポリシーの割り当てユーザコンテナにユニバーサルパスワードポリシーを割り当てるには、次の手順を実行します。


2［Roles and Tasks ( 役割とタスク )］ > ［パスワードポリシー］の順に選択し、パスワードポリ

シーを選択します。

3 管理者権限を持つユーザを選択するには、次の手順を実行します。

3a［ユニバーサルパスワード］ > ［Configuration Options ( 環境設定オプション )］ > ［Universal Password Retrieval ( ユニバーサルパスワードの取得 )］の順にクリックします。

3b［Allow admin to retrieve passwords ( 管理者がパスワードを取得することを許可 )］または

［Allow the following to retrieve passwords ( パスワードを取得するために以下を許可 )］を

選択し、［OK］をクリックします。

たとえば、cn=uaadmin,ou=sa,o=data です。

4［Policy Assignment ( ポリシー割り当て )］をクリックし、ユーザが存在するコンテナに

container を割り当てます。

たとえば、o=data または管理者ユーザです。

pwmResponseSet 属性への権利の付与

認証された権利を持つユーザは、ユーザの接続に関連付けられている許可に基づいて操作を実行します。認証されたユーザは、自身のユーザエントリに対する次の権利が必要です。

［エントリ権］に対するブラウズ権

pwmResponseSet に対する読み込み権、比較権、および書き込み権

pwmResponseSet 属性に権利を付与するには、次の手順を実行します。


2 をクリックします。

3［iManager サーバ］>［iManager の設定］の順にクリックします。

4［その他］>［Enable [this] ([ これ ] を有効にする )］をクリックします。

5 をクリックします。


6［ツリー］ビューから、ディレクトリ内のすべてのユーザのトップレベルコンテナを選択します。

7［current level ( 現在のレベル )］チェックボックスをオンにし、［アクション］>［トラスティの

変更］の順にクリックします。

8 リストから［[This] ([ この ])］をクリックし、［Add Trustee ( トラスティの追加 )］をクリックし

ます。

9［適用］をクリックします。

10［[This] ([ この ])］トラスティの［Assigned Rights ( 割り当てられた権利 )］をクリックします。

11［プロパティの追加］をクリックし、［スキーマ内のすべてのプロパティを表示する］チェックボックスをオンにします。

12 リストから［pwmResponseSet］を選択します。

書き込み、比較、読み込み、および継承オプションが選択されていることを確認します。


14.2.4 クラスタリング用の OSP と SSPR の設定

Identity Manager は、Tomcat クラスタ環境の SSPR 設定をサポートします。

クラスタリングをサポートするための SSPR の設定

別のコンピュータ上にすでに存在している SSPR を設定するには、次の手順を実行します。

1 180 ページのセクション 14.1.1「パスワード管理コンポーネントをインストールするための

チェックリスト」で前提条件とシステム要件を確認します。

2 182 ページのセクション 14.2.1「ウィザードを使用した Self Service Password Reset のインス

トール」の手順に従って、次の手順がインストールプロセス中に考慮されていることを確認します。

a. アプリケーションサーバの接続ページで、［Connect to external authentication server ( 外部認証サーバへの接続 )］を選択し、ロードバランサがインストールされている

サーバの DNS 名を入力します。

b.［認証の詳細］ページで、Identity Manager エンジンサーバの IP アドレスとポートを

入力します。CA 証明書のパスワードは「changeit」です。

c. SSPR のインストールを完了した後で、SSL 設定を更新します。詳細については、

357 ページのセクション 29.8「セルフサービスパスワードリセットの SSL 設定の更

新」を参照してください。

3 クラスタの 1 番目のノードで SSPR 情報を更新するには、

C:\NetIQ\idm\apps\UserApplication\configupdate.bat から設定ユーティリティを起動します。

表示されるウィンドウで、［SSO クライアント］ > ［Self Service Password Reset］をクリック

し、［クライアント ID］、［パスワード］、および［OSP Auth redirect URL (OSP 認証リダイレクト

URL)］パラメータの値を入力します。


クラスタノード上でのタスクの設定

クラスタノード上で次の設定タスクを実行します。

1 SSPR IP アドレスで［パスワードを忘れた場合］リンクを更新するには、1 番目のノードで

ユーザアプリケーションにログインし、［管理］ > ［パスワードを忘れた場合］をクリックしま

す。

SSPR 設定の詳細については、231 ページのセクション 15.7.8「パスワードを忘れた場合の管

理の設定」を参照してください。

2［パスワードの変更］リンクを変更するには、236 ページの「分散環境またはクラスタ化環境

におけるダッシュボードの SSPR リンクの更新」を参照してください。

3［パスワードを忘れた場合］および［パスワードの変更］リンクがクラスタの他のノードのSSPR IP アドレスで更新されていることを確認します。

注 : ［パスワードの変更］および［パスワードを忘れた場合］リンクがすでに SSPR IP アドレ

スで更新されている場合、変更は必要ありません。

4 1 番目のノードで、Tomcat を終了し、次のコマンドを使用してロードバランササーバの

DNS 名を指定して、新しい osp.jks ファイルを生成します。

C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"

例 : C:NetIQ\idm\apps\jre\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

注 : キーパスワードが OSP インストール中に入力したパスワードと同じであることを確認し

ます。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。

5 ( 状況に応じて実行 ) osp.jks ファイルが変更で更新されているかどうかを確認するには、次の

コマンドを実行します。

C:NetIQ\idm\apps\jre\bin\keytool -list -v -keystore osp.jks -storepass changeit

6 C:\NetIQ\idm\apps\osp にある元の osp.jks ファイルのバックアップをとり、新しい osp.jks ファイ

ルをこの場所にコピーします。新しい osp.jks ファイルは、手順 3 で作成されています。

7 1 番目のノードからクラスタ内の他のユーザアプリケーションノードのすべてに、

C:\NetIQ\idm\apps\osp\ にある新しい osp.jks ファイルをコピーします。

8 1 番目のノードで設定ユーティリティを起動し、［ランディングページへの URL リンク］や

［OAuth リダイレクト URL］などの URL 設定のすべてを［SSO クライアント］タブのロード

バランサ DNS 名に変更します。

8a 設定ユーティリティで変更を保存します。

8b クラスタの他のすべてのノードにこの変更を反映させるには、1 番目のノードから他の

ユーザアプリケーションノードのすべてに、\TOMCAT_INSTALLED_HOME\conf にある ism-configuration properties ファイルをコピーします。

注 : 1 番目のノードから、クラスタ内の他のノードに ism.properties ファイルをコピーして

います。ユーザアプリケーションのインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードで設定更新ユーティリティを使用して修正されていることを確認します。


このシナリオでは、OSP とユーザアプリケーションの両方が同じサーバにインストール

されます。したがって、同じ DNS 名がリダイレクト URL に使用されます。

OSP およびユーザアプリケーションが別のサーバにインストールされている場合は、

OSP URL をロードバランサを参照する異なる DNS 名に変更します。OSP がインストー

ルされるすべてのサーバに対してこれを実行します。これにより、すべての OSP 要求が

OSP クラスタ DNS 名にロードバランサを介してディスパッチされます。これには、

OSP ノードに別のクラスタがある必要があります。

9 \TOMCAT_INSTALLED_HOME\bin\ ディレクトリの setenv.bat ファイルで次のアクションを実行し

ます。

9a mcast_addr バインディングが成功するためには、JGroup で preferIPv4Stack プロパティが

［true］に設定されている必要があります。これを実行するには、すべてのノードの

setenv.bat ファイルに JVM プロパティ「-Djava.net.preferIPv4Stack=true」を追加します。

9b 1 番目のノードの setenv.bat ファイルに「-Dcom.novell.afw.wf.Engine-id=Engine」を追加

します。

エンジン名は固有である必要があります。1 番目のノードのインストール中に指定された

名前を提供します。名前が指定されてない場合、デフォルト名は「エンジン」です。

同様に、クラスタ内の他のノードに固有のエンジン名を追加します。たとえば、2 番目の

ノードの場合、エンジン名は Engine2 にできます。

10 ユーザアプリケーションでクラスタリングを有効にします。詳細については、222 ページのス

テップ 10 を参照してください。

11 クラスタリングのパーミッションインデックスを有効にします。詳細については、207 ページ

のセクション 15.4.2「クラスタリングのパーミッションインデックスの有効化」を参照してく

ださい。

12 Tomcat クラスタを有効にします。詳細については、207 ページのセクション 15.4.3「識別情報

アプリケーションを実行するアプリケーションサーバの準備」の手順 9 を参照してください。

13 すべてのノードで Tomcat を再起動します。

14 クラスタリング用のユーザアプリケーションドラバを設定します。詳細については、224 ペー

ジのセクション 15.6.2「クラスタリング用のユーザアプリケーションドライバの環境設定」を



15 15Identity Applications のインストール

このセクションでは、次の識別情報アプリケーションに必要なコンポーネントとフレームワークのインストールプロセスについて説明します。


識別情報アプリケーションダッシュボード

役割およびリソースサービスドライバ



デフォルトでは、インストールプログラムは C:\NetIQ\idm\apps にこれらのコンポーネントをインス


識別情報アプリケーションは、インストールの実行中および実行後に、Identity Manager の他のコ

ンポーネントへのアクセスを必要とします。インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、191 ページの第 15.1 章「識別情報アプリケーショ

ンのインストールのプラニング」を参照してください。

15.1 識別情報アプリケーションのインストールのプラニング識別情報アプリケーションのインストールには、次のコンポーネントが含まれます。


Identity Manager 管理コンソール


役割およびリソースサービスドライバ (RRSD)

ユーザアプリケーションドライバ (UAD)

インストールには、識別情報アプリケーションに必要なユーザアプリケーションドライバと役割とリソースサービスドライバの 2 つのドライバが含まれていません。

注 : 技術的には、Identity Reporting も SSPR と OSP を使用するため、識別情報アプリケーション

と考えられ、RBPM 設定ユーティリティで設定を変更します。しかし、Identity Reporting には独自

のインストールプログラムがあり、個別のサーバにインストール可能であり、使用するデータベースが異なります。詳細については、264 ページのセクション 16.5「Identity Reporting のシステム要


192 ページのセクション 15.1.1「識別情報アプリケーションのインストールのチェックリスト」

193 ページのセクション 15.1.2「Identity Applications のインストールプログラムの理解」


194 ページのセクション 15.1.3「識別情報アプリケーションのインストールの前提条件と検討

事項」

199 ページのセクション 15.1.4「識別情報アプリケーションのシステム要件」

15.1.1 識別情報アプリケーションのインストールのチェックリスト

インストールプロセスを開始する前に、次の手順を確認することをお勧めします。



セクション 4.3.1「ユーザアプリケーションおよび Roles Based Provisioning Module」を参




3. アイデンティティアプリケーションをインストールする前に、Sentinel をインストールする

必要があるかどうかを判断します。詳細については、41 ページのセクション 5.3「推奨され

るインストールシナリオとサーバセットアップ」を参照してください。

4. Identity Manager エンジンがインストールされていることを確認します。エンジンのインス

トールの詳細については、83 ページの第 8 章「エンジン、ドライバ、およびプラグインの

インストールの計画」を参照してください。

5. 識別情報アプリケーションとそのサポートフレームワークをインストールする場合の検討事項をレビューして、サーバが前提条件を満たしていることを確認します。詳細については、194 ページのセクション 15.1.3「識別情報アプリケーションのインストールの前提条件と検

討事項」を参照してください。

6. 識別情報アプリケーションとそのサポートフレームワークをホストするコンピュータのハードウェアとソフトウェアの要件をレビューします。詳細については、199 ページの「識別情

報アプリケーションのシステム要件」を参照してください。

7. 無効なスキーマに関するエラーメッセージが出力されないように、デフォルトの LDAP ポー

トの 389 と 636 で eDirectory が動作していることを確認します。eDirectory スキーマは、イ

ンストール後に手動で拡張できます。詳細については、201 ページのセクション 15.2.1「ユーザアプリケーションスキーマをログアプリケーションとして Audit サーバに追加する」


8. eDirectory 識別ボールトにユーザアプリケーション管理者アカウントを作成します。詳細に

ついては、202 ページのセクション 15.2.2「識別ボールト管理者およびユーザアプリケー

ション管理者アカウントに権利を割り当てる」を参照してください。

9. ローカルコンピュータまたは接続されたサーバに識別情報アプリケーション用のデータベースをインストールし、設定します。

データベースの詳細については、198 ページの「識別情報アプリケーションのデータ

ベースをインストールする場合の前提条件」を参照してください。

データベースをインストールする方法については、203 ページの第 15.3 章「識別情報ア

プリケーションのデータベースの設定」を参照してください。


15.1.2 Identity Applications のインストールプログラムの理解 Identity Applications のインストールファイルは、インストールパッケージの

\products\UserApplication\ ディレクトリにあります。

インストールプログラム (IdmUserApp.exe) は次の処理を実行します。

使用する既存のバージョンのアプリケーションサーバを指定する。

使用する既存のバージョンのデータベースを指定する。このデータベースには、識別情報アプ

リケーションのデータと環境設定情報が格納されます。

アイデンティティアプリケーション (Tomcat上で実行されている )がアイデンティティボールト

およびユーザアプリケーションドライバを使用して安全に通信できるように、JDK の証明書

ファイルを設定する。

ユーザアプリケーション用のJava Webアプリケーションアーカイブ (WAR)ファイルを設定し、

Tomcat に展開する。

10. ローカルコンピュータ上またはクラスタ内のアプリケーションサーバを準備します。

要件を理解するには、196 ページの「アプリケーションサーバの前提条件と検討事項」


クラスタを準備する方法については、206 ページの第 15.4 章「識別情報アプリケーショ

ンを実行する環境の準備」を参照してください。

アプリケーションサーバをインストールする方法については、207 ページのセクション

15.4.3「識別情報アプリケーションを実行するアプリケーションサーバの準備」を参照





12. 識別情報アプリケーションインストールキットの内容をレビューして、現在の環境に必要なファイルを決定します。詳細については、193 ページのセクション 15.1.2「Identity Applications のインストールプログラムの理解」を参照してください。

13. ユーザアプリケーションドライバと役割とリソースサービスドライバを作成し、展開します。詳細については、223 ページの第 15.6 章「識別情報アプリケーション用のドライバの

作成と展開」を参照してください。

14. 識別情報アプリケーションをインストールします。詳細については、210 ページの第

15.5 章「識別情報アプリケーションのインストール」を参照してください。

15. インストールプロセスの終タスクを実行するには、225 ページの第 15.7 章「識別情報ア

プリケーションのインストールの完了」を参照してください。

16. 識別情報アプリケーションとシングルサインオンの設定を正しく設定していることを確認します。詳細については、343 ページの第 28 章「識別情報アプリケーションへのシングルサ

インオンアクセスの検証」を参照してください。

17. ( オプション ) アイデンティティアプリケーションの使用を開始するには、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』を参照してください。



必要な場合、Sentinel の監査クライアントを使用してログを有効にする。

識別情報アプリケーションの特定のインストールを復元したり、クラスタをサポートしたりす

るために、既存のマスタキーをインポートできるようにします。

15.1.3 識別情報アプリケーションのインストールの前提条件と検討事項

識別情報アプリケーションのインストールプロセスを開始する前に、その前提条件とコンピュータ要件をレビューすることをお勧めします。ユーザアプリケーション環境の設定の詳細については、

『NetIQ Identity Manager - User’s Guide to the Identity Applications』を参照してください。

194 ページの「識別情報アプリケーションのインストールの検討事項」

195 ページの「識別情報アプリケーションの設定と使用方法の検討事項」

196 ページの「アプリケーションサーバの前提条件と検討事項」

197 ページの「クラスタ環境で識別情報アプリケーションをインストールする場合の前提条

件」

198 ページの「識別情報アプリケーションのデータベースをインストールする場合の前提条

件」

識別情報アプリケーションのインストールの検討事項

識別情報アプリケーションのインストールには次の検討事項が適用されます。

次の Identity Manager コンポーネントのサポートされるバージョンが必要です。 Designer

識別ボールト



One SSO Provider

これらのコンポーネントの必要なバージョンとパッチの詳細については、新のリリースノートを参照してください。

アイデンティティボールトに作成および展開されたユーザアプリケーション、および役割とリ

ソースサービスドライバが含まれていることを確認します。詳細については、223 ページの第

15.6 章「識別情報アプリケーション用のドライバの作成と展開」を参照してください。

識別情報アプリケーションをインストールする前に次のフレームワーク項目をインストールし

ます。

ローカルコンピュータ上のアプリケーションサーバ。詳細については、196 ページの「ア

プリケーションサーバの前提条件と検討事項」を参照してください。

ローカルコンピュータまたは接続されたサーバ上のデータベース。詳細については、198 ページの「識別情報アプリケーションのデータベースをインストールする場合の前提条



( オプション ) Identity Manager コンポーネント間の通信では、SSL (Secure Sockets Layer) プロ

トコルを有効にすることをお勧めします。SSL プロトコルを使用するには、現在の環境で SSLを有効にして、インストール時に［https］を指定する必要があります。SSL の有効化について

は、『NetIQ Analyzer for Identity Manager Administration Guide』の Configuring Security in the Identity Applications を参照してください。

役割とリソースドライバを作成する前に、ユーザアプリケーションドライバを作成します。役

割とリソースドライバは、ユーザアプリケーションドライバ内の役割ボールトコンテナ(RoleConfig.AppConfig) を参照します。

役割とリソースサービスドライバは jClient を使用するので、リモートローダと組み合わせて使

用することはできません。

JAVA_HOME環境変数を、識別情報アプリケーションと一緒に使用する JDKを参照するように設

定します。JAVA_HOME を上書きするには、インストール時に手動でパスを指定します。

インストールプロセスはデフォルトで、このプログラムのファイルを C:\NetIQ\idm ディレクトリ

に配置します。

デフォルト以外の場所にユーザアプリケーションをインストールする場合は、新しいディレクトリが存在し、書き込み可能である必要があります。

各ユーザアプリケーションインスタンスは 1 つのユーザコンテナのみ処理できます。たとえば、

インスタンスに関連付けられているコンテナに対してのみユーザの追加、検索、およびクエリを実行できます。また、アプリケーションとコンテナの関係は永続的なものと見なされます。

( 状況によって実行 ) 外部パスワード管理を使用する場合、現在の環境が次の要件を満たしてい

る必要があります。

アイデンティティアプリケーションと IDMPwdMgt.war ファイルを展開している Tomcat でSecure Sockets Layer (SSL) プロトコルを有効にします。

SSL ポートがファイアウォール上で開いていることを確認します。

Tomcat で SSL を有効化する方法の詳細については、357 ページのセクション 29.8「セルフ

サービスパスワードリセットの SSL 設定の更新」を参照してください。

IDMPwdMgt.war ファイルの詳細については、231 ページのセクション 15.7.8「パスワードを忘

れた場合の管理の設定」を参照してください。

( オプション ) 管理対象システムから認証を取得するには、Identity Manager の 1 つまたは複数の

ドライバをインストールします。

Identity Manager 3.6.1または4.0以降によりサポートされているドライバを使用する必要が

あります。ドライバのインストールの詳細については、NetIQ Identity Manager ドライバ

マニュアルの Web サイトで該当するドライバガイドを参照してください。

ドライバを管理するには、Designer または iManager の適切なプラグインがインストールさ

れている必要があります。詳細については、145 ページのセクション 11.1.3「iManager プラグインのインストールの理解」を参照してください。

識別情報アプリケーションの設定と使用方法の検討事項

識別情報アプリケーションを設定および初めて使用する際、次の検討事項が適用されます。

ユーザが識別情報アプリケーションにアクセスできるようにするには、次のアクティビティを

完了する必要があります。

必要なすべての Identity Manager ドライバがインストールされていることを確認します。




識別ボールトのインデックスがオンラインモードであることを確認します。インストール

時にインデックスを設定する方法の詳細については、246 ページの「その他」を参照して

ください。

すべてのブラウザで cookie を有効にします。cookie が無効な場合、アプリケーションは機

能しません。

ユーザは Identity Applications にログインせずに、ゲストまたは匿名ユーザとして Identity Applications にアクセスすることはできません。ユーザインタフェースにログインするように

メッセージが表示されます。詳細については、「321 ページのパート VIII「Identity Manager のシングルサインオンアクセスの設定」」を参照してください。

Identity Manager でユニバーサルパスワード機能が適用されることを保証するには、ユーザの

初回ログインプロセスとして NMAS ログインを使用するように識別ボールトを設定します。

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment レジストリキーに

NDSD_TRY_NMASLOGIN_FIRST とその文字列値 true を追加します。

( 状況によって実行 ) レポートを実行するには、現在の環境に Identity Reporting のコンポーネン

トがインストールされている必要があります。詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。

インストールプロセス中、インストールプログラムによりログファイルがインストールディレ

クトリに書き込まれます。これらのファイルには、設定に関する情報が含まれています。現在の識別情報アプリケーション環境を設定した後で、これらのログファイルを削除するか、安全な場所に保存することを検討する必要があります。インストールプロセス中、データベーススキーマをファイルに書き込むことも選択できます。このファイルにはデータベースについての説明的な情報が含まれているので、インストールプロセスが完了した後で、安全な場所に移動する必要があります。

(状況によって実行 )アイデンティティアプリケーションを監査するには、現在の環境に Identity Reporting と監査サービスがインストールされ、イベントをキャプチャするように設定されて

いる必要があります。また、識別情報アプリケーションを監査用に設定する必要があります。詳細については、『NetIQ Identity Manager - Configuring Auditing in Identity Manager』を参照し

てください。

アプリケーションサーバの前提条件と検討事項

アイデンティティアプリケーションを使用するには、Tomcat がインストールされている必要があり

ますが、次の考慮事項があります。

Tomcat は、JDK (Java Development Kit) または JRE (Java Runtime Environment) と一緒に実行

されている必要があります。サポートされるバージョンの詳細については、199 ページの「識

別情報アプリケーションのシステム要件」を参照してください。

JAVA_HOME環境変数を、ユーザアプリケーションと一緒に使用する JDKを参照するように設定

します。JAVA_HOME を上書きするには、インストール時に手動でパスを指定します。

( 状況によって実行 ) Tomcat インストールプログラムは、Identity Manager インストールキット

に同梱のものではなく、独自に用意したものを使用できます。ただし、独自のバージョンのTomcat で Apache Log4j サービスを使用する場合は、適切なファイルがインストールされてい

ることを確認します。詳細については、173 ページのセクション 13.1.4「Apache Log4j サービ

スを使用したサインオンの記録」を参照してください。

( 状況によって実行 ) デジタル署名したドキュメントを保管するには、Tomcat のアプリケーショ

ンサーバ上に識別情報アプリケーションをインストールして、Novell Identity Audit を使用する

必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュ


メントを保管するには、ログ記録を有効にする必要もあります。詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Setting Up Logging in the Identity Applications」を参照してください。

( 状況によって実行 ) 大量のユーザデータをログ記録する環境やディレクトリサーバに大量のオ

ブジェクトが置かれている環境では、複数のアプリケーションサーバを使用して識別情報アプリケーションを展開できます。適なパフォーマンス設定の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の

「Tuning·the·Performance·of·the·Applications」を参照してください。

( 状況によって実行 ) アプリケーションサーバに Tomcat を使用する場合、インストールプロセス

を完了するまでアプリケーションサーバを起動しないでください。

( 状況によって実行 ) 外部パスワード管理を使用する場合、次の手順を実行して、SSL プロトコ

ルを有効にする必要があります。

アイデンティティアプリケーションと IDMPwdMgt.war ファイルを展開している Tomcat でSSL を有効にします。

SSL ポートがファイアウォール上で開いていることを確認します。

IDMPwdMgt.war ファイルの詳細については、パスワードを忘れた場合の管理の設定および

『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』を参照してくださ

い。

Tomcat サーバでは、このインストールプロセスで JAVA_HOME または JRE_HOME のエントリが

変更されることはありません。デフォルトでは、Tomcat 用の簡易インストーラは

setenv.bat ファイルを C:\NetIQ\idm\apps\tomcat\bin\ ディレクトリに配置します。同時に、この

ファイルの JRE の場所も設定されます。

クラスタ環境で識別情報アプリケーションをインストールする場合の前提条件

Tomcat がサポートする環境に識別情報アプリケーション用のデータベースをインストールできます

が、次の検討事項があります。

クラスタには、固有のクラスタパーティション名、マルチキャストアドレス、およびマルチ

キャストポートが必要です。固有の識別子を使用して複数のクラスタを分離することによって、パフォーマンスの問題や異常な動作の発生を防ぎます。

クラスタの各メンバーで、識別情報アプリケーションのデータベースの待ち受けポートの

ポート番号として同一の値を指定する必要があります。

クラスタの各メンバーで、識別情報アプリケーションのデータベースをホストするサーバ

のホスト名または IP アドレスとして同一の値を指定する必要があります。

クラスタ内のサーバの時刻を同期化する必要があります。サーバの時刻が同期していない場

合、セッションタイムアウトが早期に発生し、HTTP セッションのフェールオーバーが正しく

機能しない可能性があります。

同一ホストでは、複数のブラウザタブまたは複数のブラウザセッションで複数のログインを使

用しないことをお勧めします。一部のブラウザはすべてのタブとプロセス間で cookie を共有し

ます。そのため、複数のログインを行うと、(1 台のコンピュータを複数ユーザが共有すること

で認証機能に予期しない動作が発生するおそれがあるだけでなく ) HTTP セッションのフェー

ルオーバーの際に問題が発生する可能性があります。


クラスタノードは同じサブネットに存在しています。

フェールオーバープロキシまたは負荷分散ソリューションは、別のコンピュータにインストー

ルされています。

クラスタ環境で識別情報アプリケーションを設定する方法の詳細については、206 ページの第

15.4 章「識別情報アプリケーションを実行する環境の準備」を参照してください。

識別情報アプリケーションのデータベースをインストールする場合の前提条件

このデータベースには、識別情報アプリケーションのデータと環境設定情報が格納されます。

データベースインスタンスをインストールする前に、次の前提条件をレビューします。

Tomcat でデータベースを使用するように設定するには、JDBC ドライバを作成する必要があり

ます。識別情報アプリケーションは標準の JDBC コールを使用してデータベースのアクセスや

更新を行います。識別情報アプリケーションは、JNDI ツリーにバインドされた JDBC データ

ソースファイルを使用して、データベースへの接続を開きます。

データベースを参照するデータソースファイルが既存である必要があります。ユーザアプリ

ケーションのインストールプログラムは、データベースを参照する server.xml と context.xml にTomcat のデータソースエントリを作成します。

次の情報を手元に用意します。

データベースサーバのホストとポート。

作成するデータベースの名前。識別情報アプリケーションのデフォルトのデータベースは

idmuserappdb です。

データベースのユーザ名およびパスワード。データベースのユーザ名は、管理者アカウン

トを表すか、データベースサーバでテーブルを作成できる十分な許可を持っている必要があります。ユーザアプリケーションのデフォルトの管理者は idmadmin です。

使用しているデータベース用にデータベースベンダーから提供されるドライバ .jar ファイ

ル。NetIQ はサードパーティベンダーから提供されるドライバ JAR ファイルをサポートし

ません。

データベースインスタンスは、ローカルコンピュータまたは接続されたサーバのどちらにも配

置できます。

データベース文字セットは Unicode エンコーディングを使用する必要があります。たとえば、

UTF-8 は Unicode エンコード方式を使用する文字セットですが、Latin1 は Unicode エンコード

方式を使用しません。文字セットの指定の詳細については、205 ページの「文字セットの設

定」または 204 ページのセクション 15.3.1「Oracle データベースの設定」を参照してくださ

い。

マイグレーション時に重複キーエラーが発生しないように、大文字と小文字を区別する照合を

使用します。重複キーエラーが発生した場合は、照合を確認して修正してから、識別情報アプリケーションを再インストールします。

( 状況によって実行 ) 1 つのデータベースインスタンスを監査目的とアイデンティティアプリ

ケーションの両方で使用する場合、アイデンティティアプリケーションを実行する Tomcat をホストするサーバとは別の専用サーバにデータベースをインストールすることをお勧めします。

( 状況によって実行 ) 新しいバージョンの識別情報アプリケーションに移行する場合、移行前の

インストールで使用していたデータベースと同じデータベースを使用する必要があります。


データベースクラスタリングは、個々のデータベースサーバの機能です。クラスタリングは本

製品の機能とは無関係なので、NetIQ はどのクラスタ化データベース設定についても公式なテ

ストを実行していません。したがって、次の警告付きで、クラスタ化データベースサーバをサポートします。

デフォルトで、大接続数は 100 に設定されます。この値は、クラスタ内のワークフロー

要求を処理するには小さすぎる場合があります。次の例外が表示される場合があります。

(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections."

大接続数を増やすには、my.cnf ファイルにある max_connections 変数をより高い値に設

定してください。

クラスタ化データベースサーバの一部の機能または側面を無効にする必要がある場合があ

ります。たとえば、トランザクションレプリケーションは、重複キーを挿入しようとしたときに制約違反になるので、特定のテーブルでは無効にする必要があります。

クラスタ化データベースサーバのインストール、設定、または適化について、クラスタ

化データベースサーバへの弊社製品のインストールも含めて、支援を提供することはありません。

クラスタ化データベース環境で弊社製品を使用する際に問題が発生した場合は、その解決

に向けて善の努力を尽くします。複雑な環境におけるトラブルシューティング方法の多くは、問題を解決するために連携作業を必要とします。NetIQ は、自社製品の分析、プラ

ニング、およびトラブルシューティングを実行するための専門知識を提供します。他のサードパーティ製品の分析、プラニング、およびトラブルシューティングを実行するための専門知識は、お客様から提供していただく必要があります。NetIQ 製品の問題とクラス

タ設定の潜在的な問題を切り分けるために、お客様には問題の再現または非クラスタ化環境におけるコンポーネントの動作の分析をお願いします。

15.1.4 識別情報アプリケーションのシステム要件

このセクションでは、Identity Applications をインストールするための小要件について説明しま

す。

カテゴリ要件


ディスクスペース 1GB

注 : データベースやアプリケーションサーバのログなど、サポートするアプリケーションのコンテンツを格納できる十分な容量 .

メモリ 4GB




Windows Server 2016


Windows Server 2012










仮想化システム VMWare ESX 5.5 以降





データベース PostgreSQL 9.6.6

Oracle 12c

MsSQL 2016、 2014

注 : Tomcat のクラスパスに PostgreSQL バージョン (9.6.6 など ) を含めない

でください。ホームページイメージは、これらのバージョンが指定される場合にはロードされない可能性があります。


Google Chrome 61

Mozilla Firefox 51

注 : ブラウザで Cookie が有効になっている必要があります。

アプリケーションサーバ Apache Tomcat 8.5.27

Java JRE 1.8.0_162

ポート 8180

カテゴリ要件


15.2 識別情報アプリケーションで使用するアイデンティティボールトの準備このセクションでは、識別情報アプリケーションをインストールする準備について説明します。識別情報アプリケーションは、Roles Based Provisioning Module(RBPM) という名前のフレームワー

ク上で動作します。Identity Manager エンジンをインストールすると、インストールプロセスが自

動的に netiq-DXMLuad-4.7.0-0.noarch をインストールします。これはユーザアプリケーションドライ

バおよび役割とリソースドライバをインストールし、RBPM とやりとりする eDirectory スキーマを

拡張します。


products\UserApplication\ ディレクトリにあります。

201 ページのセクション 15.2.1「ユーザアプリケーションスキーマをログアプリケーションと

して Audit サーバに追加する」

202 ページのセクション 15.2.2「識別ボールト管理者およびユーザアプリケーション管理者ア

カウントに権利を割り当てる」

15.2.1 ユーザアプリケーションスキーマをログアプリケーションとして Audit サーバに追加する

Audit サーバがログアプリケーションとしてユーザアプリケーションを使用する場合、dirxml.lsc ファ

イルを Audit サーバにコピーする必要があります。このセクションは、Novell Identity Audit にのみ

適用されます。

1 dirxml.lsc ファイルを見つけます。

このファイルは、Identity Manager ユーザアプリケーションインストールディレクトリにあり

ます。たとえば、C:\NetIQ\idm\apps\UserApplication ディレクトリです。

2 Web ブラウザを使って、Novell Identity Audit プラグインがインストールされた iManager にア

クセスし、管理者としてログインします。

3［Roles and Tasks ( 役割とタスク )］ > ［Auditing and Logging ( 監査とログ )］の順に移動し、

［Logging Server Options ( ログサーバオプション )］を選択します。

4 ツリー内の［Logging Services container ( ログサービスコンテナ )］を参照して適切な［Audit Secure Logging Server ( 監査セキュアログサーバ )］を選択し、［OK］をクリックします。

5［Log Applications ( ログアプリケーション )］タブで、適切なコンテナ名を選択して［New Log Application ( 新規ログアプリケーション )］リンクをクリックします。

6［New Log Application ( 新規ログアプリケーション )］ダイアログボックスで次の手順を実行し

ます。

6a［Log Application Name ( ログアプリケーション名 )］では現在の環境で有効な名前を指定

します。

6b［Import LSC File (LSC ファイルのインポート )］で dirxml.lsc ファイルを参照します。

6c［OK］をクリックします。

7［OK］をクリックして Audit サーバの設定を完了します。


8 ログアプリケーションのステータスが［ON ( オン )］に設定されている ( ステータスの下の円

が緑色である ) ことを確認します。

9 Audit サーバを再起動して、新しいログアプリケーション設定をアクティブ化します。

15.2.2 識別ボールト管理者およびユーザアプリケーション管理者アカウントに権利を割り当てる

識別ボールト管理者は、識別ボールトを設定する権利を持つユーザです。これは、論理的な役割で、他のタイプの管理ユーザと共有することができます。

識別ボールト管理者は、次の権利を必要とします。

ユーザアプリケーションドライバと、そのすべてのオブジェクトに対するスーパバイザ権。こ

のためには、ドライバコンテナレベルで権限を設定し、それを継承可能にします。

ディレクトリ抽象化層ユーザエンティティ定義を通じて定義されたユーザに対するスーパバイ

ザエントリ権。これには、objectClass、および DirXML-EntitlementRecipient、srvprvEntityAux、お

よび srvprvUserAux 補助クラスに関連するすべての属性への属性書き込み権がなければなりま

せん。

コンテナオブジェクト cn=DefaultNotificationCollection, cn=Security に対するスーパバイザ権。この

オブジェクトは、自動プロビジョニング電子メールに使用される電子メールサーバ設定に保持されます。これには、電子メールサーバ自体を認証する SecretStore 資格情報を含めることが

できます。

コンテナオブジェクト cn=Authorized Login Methods, cn=Security に対するスーパバイザ権。ユーザ

アプリケーションのインストール中に、このコンテナ内に SAML アサーションオブジェクトが

作成されます。

ユーザアプリケーションをインストールする前に、cn=Security コンテナに対するスーパバイザ

権があることを確認します。ユーザアプリケーションのインストール中に、コンテナcn=RBPMTrustedRootContainer が cn=Security コンテナの下に作成されます。

または、cn=RBPMTrustedRootContainer, cn=Security コンテナを手動で作成 (Security コンテナ内

に NDSPKI:Trusted Root オブジェクトクラスを持つ Trusted Root Container というオブジェクトを

作成 ) し、そのコンテナにスーパーバイザ権を割り当てます。

Roles Based Provisioning Module を正常にインストールするには、アイデンティティボールトに

ユーザアプリケーション管理者アカウントを手動で作成する必要があります。ユーザアプリケーション管理者アカウントは、上位コンテナのトラスティである必要があり、そのコンテナに対するスーパバイザ権を持つ必要があります。

ユーザアプリケーション管理者アカウントを作成したら、この新しいユーザアカウントにパスワードポリシーを割り当てる必要があります。詳細については、『Password Management Administration Guide』の「Creating Password Policies」を参照してください。

ユーザアプリケーション管理者アカウントの許可を作成するには、LDAP Data Interchange Format (LDIF) ファイルの次のコマンドを実行します。


https://www.netiq.com/documentation/password_management33/pwm_administration/data/bookinfo.html


dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 1#subtree#[Root]#[Entry Rights] dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#description dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#directReports dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#mail dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#manager dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#photo dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvQueryList dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvUserPrefs dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#telephoneNumber dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#title

dn: %%RBPM_USER_APP_CONTAINER_DN%%changetype: modifyadd: ACLACL: 17#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[Entry Rights]ACL: 35#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[All Attributes Rights]

15.3 識別情報アプリケーションのデータベースの設定識別情報アプリケーションのデータベースは、設定データの保存やワークフローアクティビティのデータの保存などのタスクをサポートします。アプリケーションをインストールする前に、データベースがインストールされ、設定されている必要があります。サポートされるデータベースの詳細については、199 ページのセクション 15.1.4「識別情報アプリケーションのシステム要件」を参照

してください。ユーザアプリケーションデータベースの検討事項の詳細については、198 ページの「識別情報アプリケーションのデータベースをインストールする場合の前提条件」を参照してください。


注 : 新しいバージョンの RBPM と識別情報アプリケーションに移行する場合、前のインストールで

使用していたデータベースと同じデータベースを使用する必要があります。前のインストールとは、移行元のインストールのことです。

204 ページのセクション 15.3.1「Oracle データベースの設定」

205 ページのセクション 15.3.2「PostgreSQL データベースの設定」

205 ページのセクション 15.3.3「SQL Server データベースの設定」

15.3.1 Oracle データベースの設定

このセクションでは、ユーザアプリケーションで Oracle データベースを使用する場合の設定オプ

ションについて説明します。サポートされる Oracle のバージョンについては、199 ページの「識

別情報アプリケーションのシステム要件」を参照してください。

データベースの互換性レベルの確認

Oracle の異なるリリースからのデータベースは、これらが同じ機能をサポートし、これらの機能が

同様に実行される場合には互換性があります。互換性がない場合は、特定の機能または操作が想定されるように動作しない場合があります。たとえば、識別情報アプリケーションを展開できないスキーマの作成は失敗します。

データベースの互換性レベルを確認するには、次の手順を実行します。

1. データベースエンジンに接続します。

2. SQL Server データベースエンジンの適切なインスタンスに接続した後で、［オブジェクトエク

スプローラ］で、サーバ名をクリックします。

3.［データベース］を展開します。さらに、データベースに応じて、ユーザデータベースを選択するか、［システムデータベース］を展開してシステムデータベースを選択します。

4. データベースを右クリックし、［プロパティ］をクリックします。

［データベースのプロパティ］ダイアログボックスが開きます。

5.［ページの選択］ペインで、［オプション］をクリックします。

現在の互換性レベルが［互換性レベル］リストボックスに表示されます。

6.［互換性レベル］を確認するには、クエリウィンドウで以下を入力し、［実行］をクリックします。

SQL> SELECT name, value FROM v$parameter

WHERE name = 'compatible';

予期される結果は 12.1.0.2 です

文字セットの設定

ユーザアプリケーションデータベースは、Unicode エンコーディング文字セットを使用する必要が

あります。データベースを作成する際に AL32UTF8 を使用してこの文字セットを指定します。

Oracle 12c データベースに UTF-8 が設定されていることを確認するには、次のコマンドを実行しま

す。

select * from nls_database_parameters;


データベースに UTF-8 が設定されていない場合、次の情報が表示されます。

NLS_CHARACTERSETWE8MSWIN1252

設定されている場合、データベースに UTF-8 が設定されていることを示す次の情報が表示されま

す。

NLS_CHARACTERSETAL32UTF8

注 : JDBC JAR バージョン ojdbc6.jar を使用することをお勧めします。

文字セットの設定の詳細については、「Choosing an Oracle Database Character Set」を参照してく

ださい。

管理者ユーザアカウントの設定

ユーザアプリケーションを使用するには、Oracle データベースユーザアカウントが特定の特権を持

つ必要があります。SQL Plus ユーティリティで、次のコマンドを入力します。

CREATE USER idmuser IDENTIFIED BY passwordGRANT CONNECT, RESOURCE to idmuserALTER USER idmuser quota 100M on USERS;

ここで、idmuser はユーザアカウントを表します。

15.3.2 PostgreSQL データベースの設定

ユーザの便宜を図るために、PostgreSQL のインストールプログラムが提供されています。このプ

ログラムは、Identity Manager 内のフレームワークのサービスとアプリケーションを完全にサポー

トします。インストールプログラムの指示に従って設定プロセスを実行します。詳細については、166 ページの第 12.2 章「PostgreSQL と Tomcat のインストール」を参照してください。

15.3.3 SQL Server データベースの設定

このセクションでは、ユーザアプリケーションで SQL Server データベースを使用する場合の設定

オプションについて説明します。サポートされる SQL Server のバージョンについては、199 ペー

ジの「識別情報アプリケーションのシステム要件」を参照してください。

文字セットの設定

SQL Server では、ユーザはデータベースの文字セットを指定できません。ユーザアプリケーション

は SQL Server の文字データを NCHAR カラムタイプ (UTF-8 をサポート ) で保存します。

管理者ユーザアカウントの設定

Microsoft SQL Server のサポートされているバージョンをインストールした後、SQL Server Management Studio などのアプリケーションを使用してデータベースとデータベースユーザを作成

します。データベースユーザアカウントは、次の特権を持つ必要があります。

CREATE TABLE


http://docs.oracle.com/cd/B28359_01/server.111/b28298/ch2charset.htm

DELETE

INSERT

SELECT

UPDATE

注 : Microsoft SQL Server 2014 では JDBC JAR バージョン sqljdbc4.jar を、Microsoft SQL Server 2016 では sqljdbc42.jar を使用することをお勧めします。

15.4 識別情報アプリケーションを実行する環境の準備識別情報アプリケーションをクラスタ内で実行すると、可用性が高くなるという利点があります。また、識別情報アプリケーションは HTTP のセッションレプリケーションとセッションフェール

オーバーをサポートします。つまり、ノードでセッション処理中にノードにエラーが発生した場合、誰も介入しなくても、そのセッションは同じクラスタ内の別のサーバ上で再開されます。

このセクションでは、識別情報アプリケーションと連携して動作するように、クラスタ環境などの環境を準備する方法について説明します。211 ページのセクション 15.5.2「ガイドによる識別情報

アプリケーションインストールプロセス」の手順に従って、この章の手順を完了する必要があります。

クラスタ環境の要件の詳細については、194 ページのセクション 15.1.3「識別情報アプリケーショ

ンのインストールの前提条件と検討事項」と 199 ページのセクション 15.1.4「識別情報アプリケー

ションのシステム要件」を参照してください。

206 ページのセクション 15.4.1「パーミッションインデックスの場所の指定」

207 ページのセクション 15.4.2「クラスタリングのパーミッションインデックスの有効化」

207 ページのセクション 15.4.3「識別情報アプリケーションを実行するアプリケーションサー

バの準備」

208 ページのセクション 15.4.4「識別情報アプリケーションで使用するクラスタの準備」

15.4.1 パーミッションインデックスの場所の指定

アイデンティティアプリケーションをインストールすると、Tomcat のパーミッションインデックス

が作成されます。インデックスの場所を指定しない場合、一時ディレクトリにフォルダが作成されます。次に例を示します。Tomcat 上で C:\NetIQ\idm\apps\tomcat\temp\permindex を指定します。

通常は、テスト環境では場所は問題になりません。ただし、運用環境またはステージング環境では、一時ディレクトリにパーミッションインデックスを配置することが好ましくない場合があります。

インデックスの場所を指定するには


2 テキストエディタで ism-configuration.properties ファイルを開きます。

3 ファイルの末尾に、次のテキストを追加します。

com.netiq.idm.cis.indexdir = path\permindex

例 :

com.netiq.idm.cis.indexdir = C:\NetIQ\idm\apps\tomcat\temp\permindex


4 ファイルを保存して閉じます。

5 一時ディレクトリの既存の permindex フォルダを削除します。

6 Tomcat を起動します。

15.4.2 クラスタリングのパーミッションインデックスの有効化

このセクションでは、クラスタリングのパーミッションインデックスの有効化手順について説明します。

1. クラスタの 1 番目のノードで iManager にログインし、［View Objects ( オブジェクトの表示 )］に移動します。

2.［システム］の下で、［ユーザアプリケーションドライバ］を含むドライバセットに移動します。

3.［AppConfig］ > ［AppDefs］ > ［環境設定］の順に選択します。

4. XMLData 属性を選択し、com.netiq.idm.cis.clustered プロパティを［true］に設定します。


<property>

<key>com.netiq.idm.cis.clustered</key>

<value>true</value>

</property>

5.［OK］をクリックします。

15.4.3 識別情報アプリケーションを実行するアプリケーションサーバの準備

アイデンティティアプリケーションを実行する Tomcat を準備する必要があります。ユーザの便宜

を図るために、インストールキットで Apache Tomcat が提供されています。クラスタ環境でアプリ

ケーションを使用する方法の詳細については、208 ページのセクション 15.4.4「識別情報アプリ

ケーションで使用するクラスタの準備」も参照してください。

Identity Manager インストール用の .iso には、Tomcat( およびオプションで PostgreSQL) のインス

トールプログラムが含まれています。詳細については、166 ページの第 12.2 章「PostgreSQL と

Tomcat のインストール」を参照してください。

ユーザの便宜を図るためにインストールパッケージで提供されるインストーラのかわりに、ユーザが独自に入手した Tomcat インストールプログラムを使用できます。ただし、別のインストールプ

ログラムを使用する場合、Tomcat が識別情報アプリケーションと連携して正常に動作するために追

加手順を実行する必要があります。

インストールプロセスを開始する前に、インストールするコンポーネントのバージョンが識別情報アプリケーションのバージョンでサポートされていることを確認します。詳細については、194 ページのセクション 15.1.3「識別情報アプリケーションのインストールの前提条件と検討事項」


1 サーバにサービスとして Apache Tomcat をインストールします。

詳細については、「Tomcat Setup」を参照してください。


http://tomcat.apache.org/tomcat-8.0-doc/setup.html

2 Tomcat をインストールしたサーバに次のコンポーネントをインストールします。

Java Runtime Environment (JRE): 詳細については、『Java Platform Installation Guide』を参照してください。

Apache ActiveMQ: 詳細については、『ActiveMQ』を参照してください。

PostgreSQL: 詳細については、「PostgreSQL Manuals」を参照してください。

3 activemq-all-5.15.2 jar ファイルを C:\NetIQ\idm\apps\activemq フォルダにコピーします。

4 ロギング用に次のファイルを C:\NetIQ\idm\apps\tomcat\bin にコピーします。

log4j.jar

log4j.properties


5 setenv.bat ファイルに次のプロパティを設定します。

JAVA_HOMEJRE_HOMEPATH (set Java path)JAVA_OPTS="-Xms1024m -Xmx1024m"

6 postgresql-9.4.1212jdbc42.jar ファイルを C:\NetIQ\idm\apps\tomcat\bin フォルダにコピーします。

7 ( 状況によって実行 ) クラスタ環境で、デフォルトで、クラスタの 1 番目のノードの

\TOMCAT_INSTALLED_HOME\conf\ ディレクトリにある server.xml ファイルを開き、次の行のコ

メントを解除します。

<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

クラスタ内のすべてのノードに対してこれを実行します。

高度な Tomcat クラスタリング設定の場合、Apache Tomcat のドキュメントの手順を実行しま

す。

15.4.4 識別情報アプリケーションで使用するクラスタの準備

識別情報アプリケーションは HTTP のセッションレプリケーションとセッションフェールオーバー

をサポートします。つまり、ノードでセッション処理中にノードにエラーが発生した場合、そのセッションは中断されることなく、同じクラスタ内の別のサーバ上で再開されます。クラスタに識別情報アプリケーションをインストールする前に、環境を準備する必要があります。

208 ページの「Tomcat 環境のクラスタグループの理解」

209 ページの「ワークフローエンジン ID のシステムプロパティの設定」

209 ページの「クラスタ内の各ユーザアプリケーションでの同じマスタキーの使用」

Tomcat 環境のクラスタグループの理解

ユーザアプリケーションクラスタグループは UUID 名を使用して、ユーザがサーバに追加する他の

クラスタグループと競合するリスクを小限に抑えます。ユーザアプリケーション管理機能を使用して、ユーザアプリケーションクラスタグループの環境設定を変更できます。クラスタ設定の変更がサーバノードで有効になるのは、そのノードを再起動した場合のみです。

クラスタ環境にインストールする場合の前提条件の詳細については、194 ページのセクション

15.1.3「識別情報アプリケーションのインストールの前提条件と検討事項」を参照してください。


https://docs.oracle.com/javase/8/docs/technotes/guides/install/install_overview.html

http://activemq.apache.org/getting-started.html

http://www.postgresql.org/docs/manuals/

https://tomcat.apache.org/tomcat-8.5-doc/cluster-howto.html

ワークフローエンジン ID のシステムプロパティの設定

クラスタ内で識別情報アプリケーションをホストする各サーバでは、ワークフローエンジンを実行できますクラスタとワークフローエンジンのパフォーマンスを保証するために、クラスタ内のすべてのサーバが同じパーティション名とパーティション UDP グループを使用する必要があります。

また、クラスタ内の各サーバを起動する際に一意のワークフローエンジン ID を指定する必要があり

ます。なぜなら、ワークフローエンジンのクラスタリングは、識別情報アプリケーションのキャッシュフレームワークとは独立して動作するからです。

ワークフローエンジンが適切に動作することを保証するには、Tomcat のシステムプロパティを設定

する必要があります。

1 クラスタ内の識別情報アプリケーションサーバごとに、新しい JVM システムプロパティを作

成します。

2 このシステムプロパティに com.novell.afw.wf.engine-id という名前を付けます。ここで、engine-id は一意な値です。

クラスタ内の各ユーザアプリケーションでの同じマスタキーの使用

識別情報アプリケーションは、マスタキーを使用して機密データを暗号化します。クラスタ内のすべての識別情報アプリケーションが同じマスタキーを使用する必要があります。このセクションでは、クラスタ内のすべての識別情報アプリケーションが同じマスタキーを使用することを保証する方法について説明します。

マスタキーの作成の詳細については、211 ページのステップ 6 の「［セキュリティ - マスタキー］」を

参照してください。アイデンティティアプリケーションにおける機密データの暗号化の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Encrypting Sensitive Identity Applications Data」を参照してください。

1 クラスタ内の 1 番目のノードにユーザアプリケーションをインストールします。

2 インストールプログラムの［セキュリティ - マスタキー］ウィンドウで、識別情報アプリケー

ションの新しいマスタキーが格納される master-key.txt ファイルの場所を書き留めます。デフォ

ルトでは、このファイルはインストールディレクトリにあります。

3 クラスタ内の他のノードに識別情報アプリケーションをインストールします。

4［セキュリティ - マスタキー］ウィンドウで［はい］をクリックして、［次へ］をクリックしま

す。

5［マスタキーのインポート］ウィンドウで、ステップ 2 で作成したテキストファイルからマス

タキーをコピーします。


15.5 識別情報アプリケーションのインストールこの章では、ユーザアプリケーションと RBPM をインストールして、これらを使用できるようにア

プリケーションサーバを設定する方法について説明します。アプリケーションサーバに合わせて正しいバージョンの Java 環境を設定する必要があります。

Tomcat と Java の要件の詳細については、199 ページのセクション 15.1.4「識別情報アプリケー

ションのシステム要件」を参照してください。

210 ページのセクション 15.5.1「識別情報アプリケーションのインストールのチェックリスト」

211 ページのセクション 15.5.2「ガイドによる識別情報アプリケーションインストールプロセ

ス」

217 ページのセクション 15.5.3「インストール後の手順」

220ページのセクション15.5.4「Identity ManagerをSSPRと統合するためのHTMLフレーム化抑

制設定の無効化」

220 ページのセクション 15.5.5「ユーザプロパティの確認」

221 ページのセクション 15.5.6「識別情報アプリケーションの起動」

15.5.1 識別情報アプリケーションのインストールのチェックリスト

次のチェックリストに従って、識別情報アプリケーションをインストールするプロセスを実行します。


1. ( 状況によって実行 ) クラスタ環境で Tomcat に識別情報アプリケーションをインストールす

る場合の検討事項をレビューします。詳細については、208 ページの「Tomcat 環境のクラ

スタグループの理解」を参照してください。

2. サポートされているバージョンのアプリケーションサーバおよび Java 開発キットまたは

Java ランタイム環境をインストールします。詳細については、199 ページのセクション

15.1.4「識別情報アプリケーションのシステム要件」を参照してください。

3. Tomcat が正しく設定されていることを確認します。詳細については、207 ページのセク

ション 15.4.3「識別情報アプリケーションを実行するアプリケーションサーバの準備」を参


4. 使用するデータベースに合わせてデータソースファイルと JDBC ドライバを設定します。

5. 識別情報アプリケーションをインストールします。詳細については、211 ページのセクショ

ン 15.5.2「ガイドによる識別情報アプリケーションインストールプロセス」を参照してくだ

さい。

6. アイデンティティアプリケーション用に Tomcat を設定します。詳細については、217 ペー

ジのセクション 15.5.3「インストール後の手順」を参照してください。

7. 識別情報アプリケーションを展開して起動します。詳細については、221 ページの「識別情

報アプリケーションの起動」を参照してください。


15.5.2 ガイドによる識別情報アプリケーションインストールプロセス

次の手順では、インストールウィザードを使用して Identity Applications をインストールする方法に

ついて説明します。

インストールを準備するには、210 ページのセクション 15.5.1「識別情報アプリケーションのイン

ストールのチェックリスト」の一覧に示すアクティビティをレビューします。リリースに付属するリリースノートも参照してください。

注

インストールプログラムは、ウィザードの各ウィンドウでユーザが入力した値を保存しませ

ん。［前へ］をクリックして 1 つ前のウィンドウに戻った場合、設定値を再入力する必要があり

ます。

インストールプログラムは、「novlua」ユーザアカウントを作成し、Tomcat で許可をこのユー

ザに設定します。たとえば、services.msc スクリプトはこのユーザアカウントを使用して

Tomcat を実行します。

ガイドによるインストールプロセスを実行するには

1 Identity Applications をインストールするコンピュータに管理者ユーザとしてログインします。



場合は、インストールファイルが保存されているディレクトリへ移動します。デフォルトの場所は products\UserApplication\ ディレクトリです。

4 ( 状況によって実行 ) インストールファイルをダウンロードした場合、次の手順を実行します。



5 インストールファイルが保存されているディレクトリから、IdmUserApp.exe ファイルを実行し

ます。

6 次のパラメータを使用してガイドによるプロセスを完了します。

アプリケーションサーバプラットフォーム

アイデンティティアプリケーションを実行している Tomcat を表します。Tomcat はすでに

インストールされている必要があります。

インストールフォルダ

インストールプログラムがアプリケーションファイルを作成するディレクトリへのパスを表します。

データベースプラットフォーム

ユーザアプリケーションデータベースのプラットフォームを表します。データベースソフトウェアはすでにインストールされている必要があります。ただし、インストール時にデータベーススキーマを作成する必要はありません。

ユーザの便宜を図るために、PostgreSQL が提供されています。

データベースホストおよびポート

ユーザアプリケーションデータベースをホストするサーバの設定を表します。


注 : クラスタ環境では、クラスタ内の各メンバーに同じデータベース設定を指定する必要があります。

ホストサーバの名または IP アドレスを指定します。

ポートサーバがユーザアプリケーションとの通信に使用するポートを指定します。

データベースのユーザ名およびパスワード

ユーザアプリケーションデータベースを実行するための設定を表します。

注

このバージョンの Identity Manager をインストールする際にその一部として

PostgresSQL をインストールしていた場合、データベースとデータベース管理者はイ

ンストールプロセスによりすでに作成されています。デフォルトでは、インストールされるデータベースは idmuserappdb、データベースユーザは idmadmin です。

PostgreSQL のインストールで使用した値と同じ値を指定します。

クラスタ環境では、クラスタ内の各メンバーに同じデータベース名、ユーザ名、およ

びパスワードを指定する必要があります。

データベース名または SID データベースプラットフォームに従ってデータベースの名前を指定します。デフォルトでは、データベース名は idmuserappdb です。

PostgreSQL または SQL Server のデータベースの場合は名前を指定します。

Oracle データベースの場合は、データベースインスタンスに付けられているセ

キュリティ識別子 (SID) を指定します

データベースユーザ名ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカウント名を指定します。

データベースパスワード指定したユーザ名のパスワードを指定します。

データベースドライバ JAR ファイルデータベースプラットフォームの JAR ファイルを指定します。

ドライバ JAR ファイルは、データベースベンダーにより提供され、データベース

サーバのシンクライアント JAR を表します。たとえば、PostgreSQL の場合は

postgresql-9.4-1212.jdbc42.jar を指定します。このファイルはデフォルトでは

C:\NetIQ\idm\apps\Postgres フォルダにあります。

NetIQ はサードパーティベンダーから提供されるドライバ JAR ファイルをサポート

しません。

データベース管理者

オプション

データベース管理者の名前とパスワードを表します。

このフィールドには、［データベースユーザ名］と［データベースパスワード］に指定したユーザアカウントとパスワードが自動的に表示されます。このアカウントを使用する場合は何も変更しません。


データベース管理者 ( オプション ) データベースのテーブル、ビュー、または他のアーティファクトを作

成できるデータベース管理者のアカウントを指定します。

パスワード ( オプション ) データベース管理者のパスワードを指定します。

データベーステーブルの作成

インストールプロセスの実行中または実行後に新規または既存のデータベースを設定するかどうかを指定します。

テーブルを今すぐ作成インストールプログラムは、インストールプロセスの実行中にデータベーステーブルを作成します。

アプリケーションの開始時にテーブルを作成インストールプログラムは、ユーザアプリケーションの初回実行時にテーブルを作成する手順を残します。

SQL をファイルに書き込むデータベース管理者がデータベースを作成するために実行できる SQL スクリプトを

生成します。このオプションを選択する場合、［スキーマファイル］に名前を指定する必要もあります。この設定は、［SQL 出力ファイル］設定にあります。

現在の環境でデータベースを作成または変更する許可を持たない場合は、このオプションを選択できます。このファイルを使用してテーブルを作成する方法の詳細については、226 ページのセクション 15.7.2「手動によるデータベーススキーマの作成」


新しいデータベースまたは既存のデータベース

既存の空のデータベースを使用するか、既存のデータベースに新しいテーブルを作成するかどうかを指定します。次の検討事項を使用します。

新しいデータベース

使用しているデータベースが新しい場合は、［新しいデータベース］をクリックします。このオプションを選択する前に、このデータベースが存在することを確認します。

既存のデータベース

データベースが存在し、以前のインストールからのユーザアプリケーションのテーブルがある場合、［既存のデータベース］を選択します。

既存データベースが Oracle プラットフォームで実行されている場合、スキーマを更

新する前に Oracle を準備する必要があります。

データベースタイプを選択した後で、データベーステーブルを作成する日付を指定する必要があります。［Create Database Tables ( データベーステーブルの作成 )］画面では、イ

ンストール時、またはアプリケーションの起動時にテーブルを作成するオプションを選択できます。または、インストール時にスキーマファイルを作成することができます。このファイルを使用して、データベース管理者が後からテーブルを作成します。

スキーマファイルを生成する場合、［SQL をファイルに書き込む］ボタンを選択し、［ス

キーマ出力ファイル］フィールドにファイルの名前を入力します。

データベース接続のテスト

直接テーブルを作成するため、または .sql ファイルを作成するために、インストーラを

データベースに接続するかどうかを指定します。.


［次へ］をクリックするか、<［Enter］> を押すと、インストールプログラムは接続を試み

ます。

注 : データベース接続に失敗しても、インストールは続行できます。ただし、インストール後に手動でテーブルを作成し、データベースに接続する必要があります。詳細については、226 ページの「データベーススキーマを生成する SQL ファイルの手動による作成」


Java のインストール

インストールプログラムを起動するために使用する JRE ファイルへのパスを表します。

たとえば、C:\NetIQ\idm\jre です。

Application_Server Configuration (Application_Server 設定 )Tomcat のためのインストールファイルへのパスを表します。たとえば、C:\NetIQ\idm\jre で

す。インストールプロセスはいくつかのファイルをこのフォルダに追加します。

IDM 環境設定

URL やワークフローエンジンで使用する識別情報アプリケーションコンテキストの設定を

表します。

アプリケーションコンテキスト Tomcat 設定、アプリケーション WAR ファイル、および URL コンテキストにおける

名前を表す名前を指定します。

インストールスクリプトは、サーバ設定を作成した後、Tomcat のインストール時に

作成された名前に基づいてサーバ設定に名前を付けます。たとえば、IDMProv です。

重要 : ［Application Context］に指定した値を書き留めておくことをお勧めします。

このアプリケーション名は、ブラウザから識別情報アプリケーションを起動する際にURL で使用します。

Audit によるログ記録のタイプを選択

CEF または Sentinel Log Management for IGA のどちらを有効にするかを示します。［は

い］または［いいえ］を指定します。

Audit のログ

［Audit によるログ記録のタイプを選択］に［はい］を指定した場合にのみ適用されます。

有効にするログ記録のタイプを指定します。

ログ記録の設定の詳細については、『ユーザアプリケーション : 管理ガイド』を参照してく

ださい。

Sentinel Log Management for IGA ユーザアプリケーションの Novell クライアントまたは NetIQ クライアントを通じた

ログ記録を有効にします。

注 : このオプションを選択する場合、クライアントサーバのホスト名または IP アド

レス、およびログキャッシュへのパスを指定する必要もあります。

CEF ユーザアプリケーションの CEF を通じた、イベントのログ記録を有効にします。

注 : このオプションを選択する場合、syslog サーバのホスト名または IP アドレス、

および syslog ポートを指定する必要もあります。


セキュリティ - マスタキー

既存のマスタキーをインポートするかどうかを指定します。ユーザアプリケーションは、マスタキーを使用して暗号化データにアクセスします。［はい］または［いいえ］を指定します。

次の状況では、マスタキーをインポートできます。

クラスタに識別情報アプリケーションの初のインスタンスをインストールした後。

クラスタ内のユーザアプリケーションインスタンスはすべて、同じマスタキーを使用する必要があります。詳細については、209 ページの「クラスタ内の各ユーザアプリ

ケーションでの同じマスタキーの使用」を参照してください。

インストールをステージングシステムから運用システムに移行する際、ステージング

システムで使用していたデータベースへのアクセスを維持する必要がある場合。

ユーザアプリケーションを復元する際、前のバージョンのユーザアプリケーションに

よって格納されていた暗号化データにアクセスする必要がある場合。

はい既存のマスタキーをインポートすることを指定します。

いいえインストールプログラムでキーを作成することを指定します。

デフォルトでは、インストール手順で、インストールディレクトリにある master-key.txt ファイルに暗号化マスタキーが書き込まれます。

マスタキーのインポート

［セキュリティ - マスタキー］に［はい］を指定した場合にのみ適用されます。

使用するマスタキーを指定します。master-key.txt ファイルからマスタキーをコピーできま

す。

Application server connection ( アプリケーションサーバ接続 )ユーザが Tomcat 上のアイデンティティアプリケーションに接続するために必要な URL の

設定を表します。たとえば、https:myserver.mycompany.com:8080 です。

注 : OSP が Tomcat アプリケーションサーバの別のインスタンスで実行されている場合、

［Connect to an external authentication server ( 外部認証サーバへの接続 )］を選択して

OSP サーバの値を指定する必要もあります。

プロトコル http または https のどちらを使用するのかを指定します。SSL (Secure Sockets Layer)を使用して通信する場合は https を指定します。

Host Name ( ホスト名 ) OSP をホストするサーバの DNS 名または IP アドレスを指定します。localhost は使用



Connect to an external authentication server ( 外部認証サーバへの接続 ) Tomcat の異なるインスタンスが認証サーバ (OSP) をホストするかどうかを指定しま

す。認証サーバには、SSPR にログイン可能なユーザのリストが保存されています。

この設定を選択する場合、認証サーバの［Protocol ( プロトコル )］、［Host name ( ホスト名 )］、および［ポート］も指定します。


Authentication server details ( 認証サーバの詳細 )識別情報アプリケーションが認証サーバに接続する際に使用するパスワードを指定します。クライアントシークレットとも呼ばれます。インストールプロセスでこのパスワードは作成されます。

7［Config Update (Config の更新 )］ウィンドウで識別情報アプリケーションを設定します。

7a［識別ボールト DN］を参照します。

7b［OK］をクリックします。

注

ユーザアプリケーションおよび役割とリソースサービスドライバがすでに作成され、アイ

デンティティボールトに展開されていることを確認します。詳細については、194 ページ

の「識別情報アプリケーションのインストールの検討事項」を参照してください。

［キャンセル］をクリックすると、インストーラにより［アプリケーションサーバの接続］

ウィンドウに戻ります。

configureupdate.bat ファイルの設定の多くは、ユーザアプリケーションのインストール後に

変更できます。これらの設定の値を指定する方法の詳細については、237 ページの第

15.8 章「識別情報アプリケーションの設定の管理」を参照してください。

8 ( 状況によって実行 ) GUI インストールで識別情報アプリケーションを即時設定するには、

［IDM の設定］ウィンドウで次の手順を実行します。

8a［はい］をクリックしてから［次へ］をクリックします。

8b［役割ベースプロビジョニングモジュール環境設定］で［詳細オプションの表示］をクリックします。

8c 必要に応じて、設定を変更します。

注

値の指定の詳細については、237 ページの第 15.8 章「識別情報アプリケーションの設

定の管理」を参照してください。

運用環境では、すべての管理者の割り当てがライセンスによって制限されます。

NetIQ は、運用環境が契約内容に必ず準拠するように、監査データベース内に監視

データを収集します。また、セキュリティ管理者の許可は 1 ユーザにのみ付与するこ

とをお勧めします。

8d［OK］をクリックします。


10［インストール前の概要］ウィンドウで［Install ( インストール )］をクリックします。

11 ( オプション ) インストールログファイルをレビューします。基本インストールの結果について

は、C:\NetIQ\idm\apps\UserApplication\logs\ ディレクトリにある user_application_install_log.log ファ

イルを参照してください。

Identity Applications の設定については、C:\NetIQ\idm\apps\UserApplication ディレクトリにある

NetIQ-Custom-Install.log ファイルを参照してください。

12 ( オプション ) 外部パスワード管理 WAR を使用している場合は、この WAR を、インストール

ディレクトリおよび外部パスワード WAR 機能を実行するリモートアプリケーションサーバ展

開ディレクトリに手動でコピーします。

13 225 ページの第 15.7 章「識別情報アプリケーションのインストールの完了」の説明に従って、

インストール後タスクに進みます。


15.5.3 インストール後の手順

このセクションでは、識別情報アプリケーションのインストール後に Tomcat 環境を更新する方法

について説明します。

217 ページの「クラスタリング用のユーザアプリケーションドライバの環境設定」

217 ページの「preferIPv4Stack プロパティを JVM に渡す」

218 ページの「サーバのヘルスの確認」

218 ページの「ヘルスの統計の監視」

219 ページの「複合インデックスの作成」

219 ページの「クライアントが開始した SSL 再ネゴーシエーションを拒否するように Identity Applications を設定する」

ユーザの便宜を図るために提供される Tomcat のインストーラを使用した場合、Identity Manager のインストーラプログラムによって自動的に Tomcat の設定が実行されます。ユーザが独自に用意し

た Tomcat プログラムを使用してインストールした場合、次の問題について検討します。

実行効率が高くなるように Tomcat サービスを変更できます。詳細については、「So You Want High Performance」を参照してください。

イベントのログ記録のサポートを追加できます。詳細については、173 ページのセクション

13.1.4「Apache Log4j サービスを使用したサインオンの記録」を参照してください。

クラスタリング用のユーザアプリケーションドライバの環境設定

詳細については、224 ページのセクション 15.6.2「クラスタリング用のユーザアプリケーションド

ライバの環境設定」を参照してください。

preferIPv4Stack プロパティを JVM に渡す

識別情報アプリケーションは、JGroups を使用してキャッシュを実装します。環境設定によって

は、mcast_addr のバインディングが確実に成功するように、preferIPv4Stack プロパティを true に

設定するように JGroups が要求します。

このオプションが設定されていない場合、次のエラーが発生する可能性があります。

[10/1/09 16:11:22:147 EDT] 0000000d UDP W org.jgroups.util.UtilcreateMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sureyour mcast_addr is of the same type as the IP stack (IPv4 or IPv6).

次のエラーも発生する可能性があります。

[3/21/12 10:04:32:470 EDT] 00000024 UDP E org.jgroups.protocols.TP downfailed sending message to null (131 bytes) java.lang.Exception: dest=/228.8.8.8:45654 (134 bytes) at org.jgroups.protocols.UDP._send(UDP.java:353)

パラメータ java.net.preferIPv4Stack=true は、たとえば extend.local.config.dir のようなその他のシステ

ムプロパティと同じ方法で設定できるシステムプロパティです。


https://tomcat.apache.org/articles/performance.pdf

https://tomcat.apache.org/articles/performance.pdf

サーバのヘルスの確認

ほとんどのロードバランサは、HTTP サーバが稼働しおよびリスンしているかどうかを判断するた

めのヘルスチェック機能を提供します。ユーザアプリケーションには、ロードバランサに HTTP ヘ

ルスチェックを設定するために使用できる URL が含まれます。URL は次のとおりです。

http://<NodeIP>:port/IDMProv/jsps/healthcheck.jsp

ヘルスの統計の監視

REST API により、ユーザアプリケーションのヘルスに関する情報を取得できます。 API は、現在実

行中のスレッド、メモリ消費、キャッシュ、およびクラスタ情報についてシステムにアクセスし、GET 操作を使用して情報を返します。

メモリの情報 (JVM およびシステムメモリ ): システムメモリ、JVM によって消費されるメモリ

などのメモリ関連の情報を読み込みます。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/memoryinfo

スレッドの情報 : CPU 集約型スレッドに関する情報を読み込み、CPU の高負荷の原因となる

トップスレッドのリストを返します。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo

JVM のスレッドのスタックトレースにアクセスするには、スタックパラメータを［True］に設

定します。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?stack=true

JVM のスレッド数を指定するには、［thread-count］パラメータの値を指定します。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?thread-count=1

キャッシュの情報 : ユーザアプリケーションのキャッシュ情報を読み込みます。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/cacheinfo

クラスタの情報 : クラスタ関連の情報を読み込みます。


http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/clusterinfo

注 : REST API を使用して、ユーザアプリケーションヘルス統計を表示するには、セキュリティ管

理者である必要があります。


複合インデックスの作成

アイデンティティアプリケーションをインストールまたはアップグレードした後で、Identity Manager ダッシュボードでユーザをソートするために使用する各属性の複合インデックスを手動で

作成します。eDirectory インストールパスにある ndsindex ユーティリティを使用して複合インデッ

クスを作成できます。複合インデックスに $ 記号を使用して区切られる複数の属性を指定できま

す。複合インデックスに必要な基本属性を以下に示します。

Surname,Given Name Given Name,Surname cn,Surname Title,Surname Telephone Number,Surname Internet Email Address,Surname L,Surname OU,Surname

次のコマンドは、ndsindex ユーティリティを使用して複合インデックスを作成できます。

ndsindex add [-h <hostname>] [-p <port>] -D <admin DN> -W|[-w <password>] -s <eDirectory Server DN> [<indexName1>, <indexName2>.....]

たとえば、［Title ( 役職 )］に基づいてユーザをソートするには、次のコマンドを実行します。

ndsindex add -h <hostname> -p <ldap port> -D <admin DN> -w <admin passwd> -s <eDirectory Server DN> Title-SN;Title$Surname;value

変換エクスポートユーティリティを使用して複合インデックスを作成することもできます。

インデックスを作成するには、LDIF ファイルを使用する必要があります。LDIF ファイルがイン

ポートされた後で、リンバをトリガすることでインデックス作成アクティビティを起動します。そうでない場合は、リンバが自動的にトリガされるときにインデックスが作成されます。

［タイトル］属性でユーザをソートするための複合インデックスを作成する LDIF ファイルの例 :

dn: cn=osg-nw5-7, o=Novell

changetype: modify

add: indexDefinition

indexDefinition: 0$sntitleindex$0$0$0$1$Title$surname

詳細については、『NetIQ eDirectory 管理ガイド』の「LDIF ファイル」を参照してください。

クライアントが開始した SSL 再ネゴーシエーションを拒否するように

Identity Applications を設定する

デフォルトでは、Identity Applications インストーラは非セキュア接続 (http) を設定します。特定の

条件下では、非セキュア接続を使用すると、クライアントが開始した Identity Applications サーバと

の SSL 再ネゴーシエーションが原因で、Identity Manager がサービス拒否攻撃にさらされる可能性

が高まります。この問題を回避するため、<tomcat-install-directory>\bin\setenv.bat ファイルの

CATALINA_OPTS エントリに次のフラグを追加します。

"-Djdk.tls.rejectClientInitiatedRenegotiation=true"



https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j6ajkf.html

15.5.4 Identity Manager を SSPR と統合するための HTML フレーム

化抑制設定の無効化

このセクションでは、Identity Manager 4.5 によって展開されない既存の SSPR 4.2 環境を Identity Manager に統合するために必要な設定について説明します。SSPR の［Prevent HTML Framing (HTML フレーム化の抑制 )］設定オプションを使用すると、iframe HTML ソースコードを使用してい

る任意のアプリケーションでインラインフレームに SSPR を表示できます。このオプションを選択

すると、SSPR はアプリケーションで指定している iFrame には表示されません。Identity Managerでこのオプションを無効にするには、次の手順を実行します。

1 http://<IP/DNS name>:<port>/sspr にアクセスします。SSPR ポータルに移動します。

2 SSPR 管理者としてログインします。

3 ページ上部にある［Configuration Editor ( 環境設定エディタ )］をクリックし、OSP 設定パス

ワードを指定します。

4［設定］ > ［セキュリティ］>［Always Show Advanced Settings ( 常に詳細設定を表示 )］の順に

クリックし、次のアクションを実行します。

4a［Prevent HTML Framing (HTML フレーム化の抑制 )］を参照して［有効］の選択を解除し、

［保存］をクリックして設定を保存します。

4b 確認ウィンドウで［OK］をクリックします。

15.5.5 ユーザプロパティの確認

ユーザが Identity Applications を使用できるようにするためには、すべてのシステムユーザで構成さ

れるコンテナに対して、必要な権利を持つユーザプロパティが追加されていることを確認する必要があります。iManager を使用してこれらのプロパティを確認できます。iManager で次の手順を実

行して、これらの設定を確認します。

1 アイデンティティボールト IP アドレスをツリーとして使用し、管理者として iManager にログ

インします。

2［ツリー］パネルで、Identity Applications が設定されているツリーを選択します。

3 すべてのシステムユーザで構成されるコンテナの［Assigned Rights ( 割り当てられた権利 )］を

クリックします。

4 次の列挙されているプロパティに必要な権利があることを確認します。

説明

Internet EMail Address ( インターネット電子メールアドレス )

ログインスクリプト

Print Job Configuration ( プリントジョブ環境設定 )

Telephone Number ( 電話番号 )

Title ( タイトル ) directReports

manager ( マネージャ ) photo srvprvQueryList srvprvUserPrefs


プロパティがない場合は、［プロパティの追加］をクリックします。

4a リストから必要なプロパティを選択し、［完了］をクリックします。

4b プロパティに必要な権利を選択し、［完了］をクリックします。

図 15-1 ユーザコンテナへのプロパティの追加

15.5.6 識別情報アプリケーションの起動

このセクションでは、識別情報アプリケーションを起動し、アプリケーションサーバに初めてログインする方法について説明します。クラスタ環境では、プライマリノードで手順を開始します。識別情報アプリケーションがインストールされ、展開する準備ができている必要があります。インストール後のタスクの詳細については、225 ページの第 15.7 章「識別情報アプリケーションのインス

トールの完了」を参照してください。

services.msc 起動スクリプトを使用して、Tomcat サービスを開始します。このファイルを使用して、

Tomcat サービスを停止および再起動することもできます。

ここまでの手順を実行してもブラウザにユーザアプリケーションページが表示されない場合、端末コンソールでエラーメッセージをチェックし、429 ページの第 37 章「トラブルシューティング」

を参照します。

識別情報アプリケーションを起動するには

1 識別情報アプリケーションのデータベースを起動します。詳細については、データベースのマニュアルを参照してください。

2 ユーザアプリケーションでレポートを実行するには、Tomcat の起動スクリプトに

Djava.awt.headless=true フラグを追加します。次に例を示します。

JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:MaxPermSize=512m

注 : X11 Windows システム上で実行している場合は、この手順を実行する必要はありません。

3 アイデンティティアプリケーションをインストールしている Tomcat を起動します。


注 : クラスタでは、プライマリノードのみ起動します。

4 コマンドラインで、インストールディレクトリを作業ディレクトリにします。

5 起動スクリプトを実行します。

6 ユーザアプリケーションドライバと通信できるようにするには、次の手順を実行します。


6b 左側ナビゲーションフレームの［Roles and Tasks ( 役割とタスク )］ > ［Identity Manager］の下で［Identity Manager Overview (Identity Manager の概要 )］をクリックします。

6c コンテンツビューで、ユーザアプリケーションドライバを含むドライバセットを指定し、［検索］をクリックします。

6d ドライバセットとそれに関連付けられているドライバが表示されているグラフで、ユーザアプリケーションドライバを表す赤と白のアイコンをクリックします。

6e［ドライバの起動］をクリックします。

ドライバは、起動時にユーザアプリケーションと「ハンドシェーク」しようとします。アプリケーションサーバが実行されていない場合または WAR が正常に展開されていなかっ

た場合、ドライバはエラーを返します。それ以外の場合、ドライバステータスは陰陽記号に変化し、ドライバが起動されていることを示します。

7 役割とリソースのサービスドライバを起動するには、ステップ 6 の手順を繰り返します。

8 ユーザアプリケーションを起動してログインするには、Web ブラウザで次の URL を入力しま

す。

http://hostname:port/ApplicationName

hostname アプリケーションサーバ (Tomcat) の名前を表します。たとえば、myserver.domain.com で

す。

port アプリケーションサーバのポート番号を表します。たとえば、8180 です。

ApplicationName

インストール時にアプリケーションサーバの設定情報を指定する際にアプリケーションに指定した名前を表します。たとえば、IDMProv です。

9 ユーザアプリケーションのランディングページの右上隅で［ログイン］をクリックします。

10 ( 状況によって実行 ) クラスタグループでユーザアプリケーションを有効にするには、次の手順

を実行します。

10a［管理］をクリックします。

10b アプリケーション設定ポータルで［キャッシング］をクリックします。

10c［キャッシュマネージャー］ウィンドウの［有効なクラスタ］で［True］を選択します。

10d［保存］をクリックします。

10e サーバを再起動します。

10f ( 状況によって実行 ) ローカル設定を使用するには、クラスタ内の各サーバでこの手順を

繰り返します。


15.6 識別情報アプリケーション用のドライバの作成と展開RBPM のインストールプロセスは、識別情報アプリケーション用のドライバを作成するためのファ

イルを追加します。ドライバ環境設定サポートでは、次の処理を実行できます。

1つのユーザアプリケーションドライバと1つの役割サービスドライバおよびリソースサービス

ドライバとの関連付け

1 つのユーザアプリケーションと 1 つのユーザアプリケーションドライバとの関連付け

ドライバの設定を開始する前に、Designer の［パッケージカタログ］で必要なパッケージがすべて

揃っていることを確認します。新しい Identity Manager プロジェクトを作成すると、新しいプロ

ジェクトにいくつかのパッケージをインポートするようにユーザインタフェースによって自動的に要求されます。

223 ページのセクション 15.6.1「ユーザアプリケーションドライバの作成」

224 ページのセクション 15.6.2「クラスタリング用のユーザアプリケーションドライバの環境

設定」

224 ページのセクション 15.6.3「役割とリソースサービスドライバの作成」

225 ページのセクション 15.6.4「ユーザアプリケーションのドライバの展開」

15.6.1 ユーザアプリケーションドライバの作成

ユーザアプリケーションドライバはランタイムコンポーネントとしてだけでなく、ディレクトリオブジェクト ( ユーザアプリケーションのランタイムの生成物で構成される ) のストレージラッパー

としても動作します。アプリケーション固有の環境設定データを保存する役割もあります。また、識別ボールトで重要なデータ値が変更されると、ディレクトリ抽象化レイヤに通知します。この通知により、ディレクトリ抽象化レイヤがそのキャッシュを更新します。


2［モデラー］ > ［プロビジョニング］ビューで、パレットから［ユーザアプリケーション］を選択

します。

3［ユーザアプリケーション］のアイコンを［モデラー］ビュー上にドラッグします。

4 ドライバ環境設定ファイルウィザードで、［User Application Base ( ユーザアプリケーション

ベース )］を選択し、［次へ］をクリックします。

5 さまざまな追加パッケージのインストールを確認するプロンプトで［OK］をクリックします。

6 ( オプション ) ドライバの名前を指定します。

［次へ］をクリックします。

7 接続パラメータウィンドウで、ユーザアプリケーション管理者の ID とパスワードを指定しま

す。

8 ユーザアプリケーションサーバのホストとポートを指定します。

9 ユーザアプリケーションサーバのアプリケーションコンテキストを指定します。

10 ( オプション ) プロビジョニング管理者が代理として指名されている別のユーザ名でワークフ

ローを開始できるようにするには、［Allow Initiator Override ( イニシエータの無効化を許可 )］に対して［はい］を選択します。

11［インストールタスクの確認］ウィンドウで、［終了］をクリックします。


15.6.2 クラスタリング用のユーザアプリケーションドライバの環境設定

クラスタ化された環境で、ユーザアプリケーションの複数のインスタンスとともに単一のユーザアプリケーションドライバを使用できます。ドライバには、アプリケーション固有のさまざまな情報( 例 : ワークフロー環境設定情報、クラスタ情報 ) が保持されています。ドライバはクラスタのディ

スパッチャまたはロードバランサのホスト名または IP アドレスを使用するように設定する必要があ

ります。

1 アイデンティティボールトを管理する iManager のインスタンスにログインします。

2 ナビゲーションフレームで、［Identity Manager］を選択します。

3［Identity Manager の概要］を選択します。

4 ユーザアプリケーションドライバのドライバセットを含む Identity Manager の概要を表示する

には、検索ページを使用します。

5 ドライバアイコンの右上隅にある円形のステータスインジケータをクリックします。

6［プロパティの編集］を選択します。

7［ドライバパラメータ］で、［ホスト］をディスパッチャのホスト名または IP アドレスに変更し

ます。


15.6.3 役割とリソースサービスドライバの作成

ユーザアプリケーションは、役割とリソースのサービスドライバを使用して、リソースのバックエンド処理を行います。たとえば、すべてのリソース要求の管理、リソース要求のワークフローの開始、およびリソース要求のプロビジョニングプロセスの開始などです。


2［モデラー］ > ［プロビジョニング］ビューのパレットで［役割サービス］を選択します。

3［役割サービス］のアイコンを［モデラー］ビュー上にドラッグします。

4 ドライバ環境設定ウィザードで［Role and Resource Service Base ( 役割とリソースサービス

ベース )］を選択し、［次へ］をクリックします。

5 ( 状況によって実行 ) これが Designer でインストールした初のドライバである場合、［OK］

をクリックして［Common Settings Advanced Edition ( 共通設定拡張エディション )］パッケー

ジをインストールします。

5a ユーザアプリケーションサーバの URL を指定します。

5b ユーザアプリケーション管理者の eDirectory DN を指定します。

5c ユーザアプリケーションプロビジョニングサービスアカウントの LDAP DN を指定します。

ユーザアプリケーション管理者と同じアカウントまたは別のアカウントを指定できます。

役割またはリソースのプロビジョニング要求がこのサービスアカウントによって開始された場合、この役割またはリソースに関連付けられている承認またはプロビジョニングワークフローは無視されます。

6 ( オプション ) ドライバの名前を指定します。



8［User Application/Workflow Connection ( ユーザアプリケーション / ワークフロー接続 )］ウィ

ンドウで、ユーザグループベースコンテナ DN と、直前に作成したユーザアプリケーションド

ライバを指定します。

このドライバはまだ展開されていないので、参照機能では直前に設定したユーザアプリケーションドライバは表示されません。ドライバの DN を入力する必要がある場合があります。

9 ユーザアプリケーションの URL を指定します。

10 ユーザアプリケーション管理者アカウントの LDAP DN を指定します。

承認ワークフローを開始するために、ユーザアプリケーション管理者アカウントをユーザアプリケーションで認証します。詳細については、202 ページのセクション 15.2.2「識別ボールト

管理者およびユーザアプリケーション管理者アカウントに権利を割り当てる」を参照してください。

11 ユーザアプリケーション管理者アカウントのパスワードを指定します。


13［インストールタスクの確認 .］ウィンドウで、［終了］をクリックします。

15.6.4 ユーザアプリケーションのドライバの展開

ユーザアプリケーションと役割とリソースサービスドライバは、展開されるまで使用できません。

注 : eDirectory の環境を複製するには、レプリカに Identity Manager の NCP サーバオブジェクトが

含まれていることを確認する必要があります。Identity Manager は、サーバのローカルレプリカに

制約されます。そのため、セカンダリサーバにサーバオブジェクトが含まれていない場合は、役割とリソースサービスドライバが正しく開始されない可能性があります。

ドライバを展開するには


2［モデラー］または［アウトライン］ビューで［ドライバセット］を選択します。

3［ライブ］ > ［展開］をクリックします。

15.7 識別情報アプリケーションのインストールの完了このセクションでは、識別情報アプリケーションとそのフレームワークをインストールした後に実行できるアクティビティの手順について説明します。

226 ページのセクション 15.7.1「クラスタ環境におけるサーバのヘルスの確認」

226 ページのセクション 15.7.2「手動によるデータベーススキーマの作成」

227 ページのセクション 15.7.3「アイデンティティボールトへの Identity Applications および

Identity Reporting 証明書の手動インポート」

228 ページのセクション 15.7.4「マスタキーの記録」

228 ページのセクション 15.7.5「識別情報アプリケーションで使用する識別ボールトの設定」

228 ページのセクション 15.7.6「ユーザアプリケーションのデフォルトコンテキスト名の変更」

231 ページのセクション 15.7.7「識別情報アプリケーションの WAR ファイルの再設定」

231 ページのセクション 15.7.8「パスワードを忘れた場合の管理の設定」


15.7.1 クラスタ環境におけるサーバのヘルスの確認

詳細については、「218 ページの「サーバのヘルスの確認」」を参照してください。

15.7.2 手動によるデータベーススキーマの作成

識別情報アプリケーションをインストールする際、データベースへの接続またはデータベーステーブルの作成を後回しにできます。データベースに対する許可を持たないユーザは、このオプションを選択する必要がある場合があります。インストールプログラムは、ユーザがデータベーススキーマを作成するために使用できる SQL ファイルを作成します。インストール後に、再インストールを

行わずに、データベーステーブルを再作成することもできます。それには、識別情報アプリケーションのデータベースを削除して、それと同じ名前で新しいデータベースを作成します。

SQL ファイルによるデータベーススキーマの生成

このセクションでは、ユーザがデータベーススキーマを生成するために使用できる SQL ファイルを

インストールプログラムが作成していると想定しています。この SQL ファイルが存在しない場合

は、226 ページの「データベーススキーマを生成する SQL ファイルの手動による作成」を参照し

てください。

注 : この SQL ファイルを SQL*Plus で実行しないでください。このファイルの行長は 4000 文字を

超えています。

1 アプリケーションサーバを停止します。

2 データベースサーバにログインします。

3 識別情報アプリケーションが使用するデータベースを削除します。

4 ステップ 3 で削除したデータベースと同じ名前で新しいデータベースを作成します。

5 インストールプロセスで作成された SQL スクリプトのある場所に移動します。デフォルトで

は、/installation_path/userapp/sql ディレクトリにあります。

6 データベース管理者に、ユーザアプリケーションデータベースを作成および設定する SQL ス

クリプトを実行させます。

7 Tomcat を再起動します。

データベーススキーマを生成する SQL ファイルの手動による作成

インストール後に、SQL ファイルがなくても、再インストールを行わずに、データベーステーブル

を再作成できます。このセクションでは、SQL ファイルを持たない場合にデータベーススキーマを

作成する方法について説明します。


2 識別情報アプリケーションデータベースをホストするサーバにログインします。

3 既存のデータベースを削除します。

4 ステップ 3 で削除したデータベースと同じ名前で新しいデータベースを作成します。

5 テキストエディタで NetIQ-Custom-Install.log ファイルを開きます。このファイルは、デフォルト

では、識別情報アプリケーションのインストールディレクトリのルートにあります。次に例を示します。


C:\NetIQ\idm\apps\UserApplication

6 NetIQ-Custom-Install.log ファイルで次のコマンドを検索し、コピーします。

C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" -Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war --changeLogFile=DatabaseChangeLog.xml --url="jdbc:postgresql://localhost:5432/idmuserappdb" --contexts="prov,newdb" --logLevel=info --logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** --password=******** update

7 識別情報アプリケーションで使用するデータベースをインストールしたサーバにログインします。

8 端末でコピーしたコマンド文字列を貼り付けます。

注 : 正しいコマンドは updateSQL です。update だった場合は updateSQL に変更してください。

9 コマンドでデータベースユーザ名とパスワードを表すアスタリスク (*) を、認証に必要な実際

の値で置き換えます。また、SQL ファイルの名前が一意であることを確認します。

10 コマンドを実行します。

11 ( 状況によって実行 ) インストールプロセスでデータベースにデータを設定せずに SQL ファイ

ルを生成した場合、データベース管理者にそのファイルを渡してデータベースサーバにインポートします。詳細については、226 ページの「SQL ファイルによるデータベーススキーマ

の生成」を参照してください。

12 データベース管理者が SQL ファイルをインポートした後、Tomcat を起動します。

15.7.3 アイデンティティボールトへの Identity Applications および

Identity Reporting 証明書の手動インポート

Identity Applications および Identity Reporting コンポーネントのカスタム証明書がある場合は、

これらの証明書を C:\NetIQ\eDirectory\jre\lib\security\cacerts にあるアイデンティティボールトにイ

ンポートします。

たとえば、次の keytool コマンドを使用して、証明書をアイデンティティボールトにインポー

トすることができます。

keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

ユーザアプリケーションサーバとは異なるサーバに SSPR をインストールする場合は、

SSPR アプリケーション証明書がユーザアプリケーション cacerts に追加されていることを確認

します。


15.7.4 マスタキーの記録

インストールの後は速やかに暗号化マスタキーをコピーして、安全な場所に記録することをお勧めします。このインストールがクラスタの初のメンバーである場合、クラスタの他のメンバーに識別情報アプリケーションをインストールする際にこの暗号化マスタキーを使用します。

警告 : 暗号化マスタキーのコピーは常に保持してください。マスタキーを紛失した場合、暗号化

データに再びアクセスするために暗号化マスタキーが必要になります。たとえば、機器が故障した後にこのキーが必要になる可能性があります。

15.7.5 識別情報アプリケーションで使用する識別ボールトの設定

識別情報アプリケーションは、識別ボールト内のオブジェクトとデータをやり取りできる必要があります。

識別情報アプリケーションのパフォーマンスを高めるために、eDirectory 管理者は manager、ismanager、および srvprvUUID の各属性に値インデックスを作成する必要があります。これらの属

性に値インデックスがない場合、識別情報アプリケーションユーザは、特にクラスタ化環境で、パフォーマンスの低下を感じる可能性があります。

RBPM 設定ユーティリティで［詳細］ > ［Create eDirectory Indexes (eDirectory インデックスの作成

)］を選択すると、インストール中に自動的にこれらの値インデックスを作成できます。Index Manager を使用して値インデックスを作成する方法の詳細については、『NetIQ eDirectory 管理ガイ

ド』を参照してください。

15.7.6 ユーザアプリケーションのデフォルトコンテキスト名の変更

デフォルトのコンテキスト名を使用するかわりに、組織の要件に基づいて新しいコンテキストを作成できます。次のアクションを実行して、コンテキスト名を変更できます。

1 services.msc ファイルを使用して、Tomcat サービスを停止します。

2 ユーザアプリケーションディレクトリに移動します。このディレクトリの場所はC:\NetIQ\idm\apps\UserApplication です。

3 GUI モードで configupdate ユーティリティを起動します。

configupdate.bat.properties ファイルで、use_console オプションが false に設定されていることを

確認します。

4［ユーザアプリケーション］タブで、［詳細オプションの表示］をクリックし、次の手順を実行します。

4a［RBPM コンテキスト名の変更］を選択します。

4b［RBPM コンテキスト名］でカスタムコンテキスト名を指定します。たとえば、

IDMProvCustom です。

4c 役割ドライバ DN をブラウズして選択します。たとえば、cn=Role and Resource Service Driver,cn=Driver Set,o=system です。


https://www.netiq.com/documentation/edirectory-9/edir_admin/



5 war ファイルの名前が変更されていることを確認します。

Tomcat webapps フォルダに移動し、IDMProvCustom.war エントリが更新されているかどうか

を確認します。

\TOMCAT_INSTALLED_HOME\conf にある ism-configuration プロパティファイルに移動し、

portal.context エントリが新しいコンテキスト名を指定しているかどうかを確認します。

6 C:\NetIQ\idm\apps\UserApplication にある update-context.bat ファイルを使用して、新しいコンテキ

スト名でデータベースを更新します。

次のコマンドを実行して、update-context.bat ファイルを実行します。

ua:C:\NetIQ\idm\apps\UserApplication # vi update-context.bat

画面に次のエントリが表示されるはずです。

# copy and paste or execute this script before changing context name

# Substitute your new context where indicated

#


C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=[New Context Here] -Ddriver.dn=[UA Driver DN] -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml --url="jdbc:postgresql://localhost:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug --username=******** --password=******** update

たとえば、PostgreSQL データベースを使用している場合は、次のスクリプトを実行します。

C:\NetIQ\idm\apps\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProvCustom -Ddriver.dn= cn=Role and Resource Service Driver,cn=driverset1,o=system -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml --url="jdbc:postgresql://<Database Server:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug -–username=dbadmin --password=******** update

where

-Dwar.context.name=IDMProvCustom は、新しいコンテキストを指定します。

-Ddriver.dn ="cn=User Application Driver,cn=driverset1,o=system" は、ユーザアプリケーションドラ

イバ DN を指定します。

--username=dbadmin は、データベーステーブル、ビュー、および他のアーティファクトを作成

できるデータベース管理者ユーザ名を指定します。

重要 : スクリプト内で、他のサポートされるデータベースのドライバ詳細を変更しないでください。

7 データベーステーブルに新しいコンテキスト名があることを確認します。

たとえば、次の SQL コマンドを実行して、PORTALPRODUCERS テーブルの新しいコンテキス

ト名を確認します。

Select * from PORTALPRODUCERS;

テーブル名確認する列

PORTALPRODUCERS producerid

PORTALPRODUCERREGISTRY producerid

PORTALREGISTRY producerid

PORTALPORTLETSETTINGS producerid

PORTALPORTLETHANDLES producerid

PROFILEGROUPPREFERENCES elementid


コマンドは新しいコンテキスト名のみを返すはずです。

8 services.msc ファイルを使用して、Tomcat サービスを開始します。

15.7.7 識別情報アプリケーションの WAR ファイルの再設定

識別情報アプリケーションの WAR ファイルを更新するには、RBPM 設定ユーティリティを実行し

ます。

1 このユーティリティを実行するには、インストールディレクトリで configupdate.bat を実行しま

す。

ユーティリティパラメータの詳細については、237 ページの第 15.8 章「識別情報アプリケー

ションの設定の管理」を参照してください。

2 新しい WAR ファイルをアプリケーションサーバに展開します。

Tomcat の単一サーバでは、変更は展開されている WAR に適用されます。

15.7.8 パスワードを忘れた場合の管理の設定

Identity Manager インストールには、忘れたパスワードをリセットするプロセスの管理に役立つセ

ルフサービスパスワードリセットが含まれています。それとは別に、外部パスワード管理システムを使用する方法があります。

231 ページの「Self Service Password Reset によるパスワードを忘れた場合の管理」

233 ページの「レガシプロバイダによるパスワードを忘れた場合の管理」

235 ページの「外部システムによるパスワードを忘れた場合の管理」

236 ページの「分散環境またはクラスタ化環境におけるダッシュボードの SSPR リンクの更新」

Self Service Password Reset によるパスワードを忘れた場合の管理

SSPR と識別情報アプリケーションをインストールすると、通常はパスワードを忘れた場合の管理

を有効にできます。ただし、パスワードを変更した後に SSPR がユーザを転送する識別情報アプリ

ケーションのランディングページの URL を指定していない場合があります。また、パスワードを忘

れた場合の管理を有効にする必要がある場合もあります。この節では、次のトピックについて説明します。

231 ページの「セルフサービスパスワードリセットを使用するための Identity Manager の設定」

232 ページの「Identity Manager で使用するためのセルフサービスパスワードリセットの設定」

232 ページの「SSPR 設定のロック」

セルフサービスパスワードリセットを使用するための Identity Manager の設定

このセクションでは、SSPR を使用するために Identity Manager を設定する方法について説明しま

す。

1 識別情報アプリケーションをインストールしたサーバにログインします。

2 RBPM 設定ユーティリティを実行します。詳細については、237 ページのセクション 15.8.1「識別情報アプリケーション設定ユーティリティの実行」を参照してください。

3 ユーティリティで［認証］ > ［パスワードの管理］の順に移動します。


4［パスワード管理プロバイダ］では［SSPR］を指定します。

5［パスワードを忘れた場合］を選択します。

6［SSO クライアント］ > ［セルフサービスパスワードリセット］の順に移動します。

7［OSP client ID (OSP クライアント ID)］では認証サーバに認識させる SSPR のシングルサイン

オンクライアントの名前を指定します。デフォルト値は sspr です。

8［OSP client secret (OSP クライアントシークレット )］では SSPR のシングルサインオンクライ

アントのパスワードを指定します。

9［OSP redirect URL (OSP リダイレクト URL)］では認証完了時に認証サーバがブラウザクライア

ントをリダイレクトする絶対 URL を指定します。

次の形式を使用を使用します : protocol://server:port/path。たとえば、http://10.10.10.48:8180/sspr/public/oauth です。

10 変更を保存して、ユーティリティを閉じます。

Identity Manager で使用するためのセルフサービスパスワードリセットの設定

このセクションでは、Identity Manager と一緒に使用するために SSPR を設定する方法について説

明します。たとえば、パスワードポリシーや秘密の質問の答えの質問を変更できます。

Identity Manager と一緒に SSPR をインストールしたときに、管理者がこのアプリケーションを設

定するために使用できるパスワードを指定しました。SSPR 設定を変更してから、管理者アカウン

トまたは管理者グループが SSPR を設定できるように指定することをお勧めします。設定パスワー

ドの詳細については、181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストー

ル」を参照してください。

1 インストール時に指定した設定パスワードを使用して、SSPR にログインします。

2［設定］ページで、パスワードポリシーと秘密の質問の答えの質問の設定を変更します。SSPR 設定のデフォルト値を設定する方法の詳細については、『NetIQ Self Service Password Reset Administration Guide』の「Configuring Self Service Password Reset」を参照してくださ

い。

3 SSPR 設定ファイル (SSPRConfiguartion.xml) をロックします。設定ファイルのロックの詳細に

ついては、232 ページの「SSPR 設定のロック」を参照してください。

4 ( オプション ) 設定をロックした後で SSPR 設定を変更するには、SSPRConfiguartion.xml ファイ

ルで configIsEditable 設定を true に設定する必要があります。

5 SSPR からログアウトします。

6 変更を有効にするには、Tomcat を再起動します。

SSPR 設定のロック

1［http://<IP/DNS name>:<port>/sspr］にアクセスします。SSPR ポータルに移動します。

2 Identity Manager に管理者アカウントでログインするか、または既存のログイン資格情報でロ

グインします。

3 ページ上部の［Configuration Manager ( 環境設定マネージャ )］をクリックし、インストール時

に指定した設定パスワードを指定します。

4［Configuration Editor ( 環境設定エディタ )］をクリックし、［設定］ > ［LDAP Settings (LDAP 設

定 )］の順に移動します。


https://www.netiq.com/documentation/self-service-password-reset-41/adminguide/data/b14gnrxl.html

https://www.netiq.com/documentation/self-service-password-reset-41/adminguide/data/b14gnrxl.html

https://www.netiq.com/documentation/self-service-password-reset-41/adminguide/data/bookinfo.html

5 SSPR 設定ファイル (SSPRConfiguartion.xml) をロックします。

5a［Administrator Permission ( 管理者許可 )］セクションで、識別ボールト内の SSPR に対す

る管理者権限を持つユーザまたはグループを表すフィルタを LDAP フォーマットで定義し

ます。デフォルトでは、このフィルタは groupMembership=cn=Admins,ou=Groups,o=exampleと設定されています。

たとえば、ユーザアプリケーション管理者の場合は「uaadmin (cn=uaadmin)」と設定しま

す。

これにより、設定を変更するためのすべての権限を持つ SSPR 管理者ユーザを除いて、

ユーザは SSPR で設定を変更できなくなります。

5b LDAP クエリが結果を返していることを確認するために、［View Matches ( 一致の表示 )］をクリックします。

設定にエラーがある場合は、次の設定オプションに進めません。SSPR は問題のトラブル

シューティングに役立つエラー詳細を表示します。

5c［保存］をクリックします。

5d ポップアップされる確認ウィンドウで［OK］をクリックします。

SSPR がロックされている間は、管理者ユーザが表示する管理インタフェースには、

［Dashboard ( ダッシュボード )］、［User Activity ( ユーザアクティビティ )］、［Data Analysis ( データ分析 )］など、SSPR がロックされる前は表示されていなかった追加オプ

ションが表示されます。

6 ( オプション ) 設定をロックした後で SSPR 設定を変更するには、SSPRConfiguartion.xml ファイ

ルで configIsEditable 設定を true に設定する必要があります。

7 SSPR からログアウトします。

8 ステップ 3 で定義されている管理者ユーザとして SSPR に再ログインします。

9［Close Configuration ( 設定を閉じる )］をクリックし、［OK］をクリックして変更を確認しま

す。

10 変更を有効にするには、Tomcat を再起動します。

レガシプロバイダによるパスワードを忘れた場合の管理

パスワードを忘れた場合の管理機能に、SSPR ではなく、Identity Manager のレガシプロバイダを

使用できます。レガシプロバイダを選択する場合、SSPR をインストールする必要はありません。

ただし、パスワード管理のための共有ページにアクセスする許可をユーザに再割り当てする必要があります。このセクションでは、次のアクティビティを実行する手順について説明します。

234 ページの「パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定」

234 ページの「パスワード管理ページの許可の再割り当て」

レガシプロバイダの詳細については、33 ページのセクション 4.4.2「レガシパスワード管理プロバ

イダの理解」を参照してください。共有ページおよび許可の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Page Administration」を参照して

ください。


パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定

1 識別情報アプリケーションをインストールしたサーバにログインします。


3 ユーティリティで［認証］ > ［パスワードの管理］の順に移動します。

4［パスワード管理プロバイダ］では［ユーザアプリケーション ( レガシ )］を指定します。

5［パスワードを忘れた場合］では［内部］を指定します。

6［SSO クライアント］ > ［セルフサービスパスワードリセット］の順に移動します。

7［OSP redirect URL (OSP リダイレクト URL)］では、設定を空にする必要があります。

8 変更を保存して、ユーティリティを閉じます。

パスワード管理ページの許可の再割り当て

識別情報アプリケーションの設定は、インストール時にデフォルトで SSPR に設定されます。パス

ワードの管理のための共有ページにアクセスさせるユーザ、グループ、またはコンテナの許可の割り当てまたは再割り当てを実行する必要があります。ユーザにコンテナページまたは共有ページの表示許可を割り当てると、ユーザはそのページにアクセスできるようになり、使用可能なページのリストにそのページが表示されます。

1 Identity Manager がレガシプロバイダを使用していることを確認します。詳細については、234 ページの「パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定」を参照


2 ユーザアプリケーションにアプリケーション管理者としてログインします。たとえば、uaadmin としてログインします。

3［管理］ > ［ページ管理］の順に移動します。

4［共有ページ］パネルで［パスワードの管理］に移動します。

5 許可を指定するページを選択します。たとえば、［パスワードの変更］または［パスワード確認の回答］を選択します。

6 右側パネルで［許可の割り当て］をクリックします。

7［表示］で、ページを割り当てるユーザ、グループ、またはコンテナを選択します。

8 ( オプション ) 指定したページにアプリケーション管理者だけがアクセスできることを保証する

には、［表示許可を管理者のみに設定］を選択します。

9［保存］をクリックします。

10 設定するページごとに、ステップ 5 ～ステップ 9 を実行します。

11 ダッシュボードに戻るには、［ホーム］アイコンを選択します。

12［アプリケーション］に移動し、を選択します。

13［アプリケーションの管理］ページで、SSPR へのリンクを UserApp PwdMgt へのリンクで置き

換えます。

詳細については、236 ページの「分散環境またはクラスタ化環境におけるダッシュボードの

SSPR リンクの更新」およびアイデンティティアプリケーションのヘルプを参照してくださ

い。

14 ログアウトしてから Tomcat を再起動します。


外部システムによるパスワードを忘れた場合の管理外部システムを使用するには、パスワードを忘れた場合機能を含む WAR ファイルの場所を指定す

る必要があります。このプロセスには次の作業が含まれます。

235 ページの「外部からパスワードを忘れた場合を管理する WAR ファイルの指定」

236 ページの「外部パスワードを忘れた場合の環境設定のテスト」

236 ページの「アプリケーションサーバ間の SSL 通信の設定」

外部からパスワードを忘れた場合を管理する WAR ファイルの指定

インストール時にこの値を指定せずに、後で設定を変更する場合、RBPM 設定ユーティリティを使

用するか、ユーザアプリケーションで管理者として変更します。

1 ( 状況によって実行 ) RBPM 設定ユーティリティで設定を変更するには、次の手順を実行しま

す。

1a 識別情報アプリケーションをインストールしたサーバにログインします。

1b RBPM 設定ユーティリティを実行します。詳細については、237 ページのセクション

15.8.1「識別情報アプリケーション設定ユーティリティの実行」を参照してください。

1c ユーティリティで［認証］ > ［パスワードの管理］の順に移動します。

1d［パスワード管理プロバイダ］では［ユーザアプリケーション ( レガシ )］を指定します。

2 ( 状況によって実行 ) ユーザアプリケーションで設定を変更するには、次の手順を実行します。

2a ユーザアプリケーションの管理者としてログインします。

2b［管理］ > ［アプリケーション環境設定］ > ［パスワードモジュールのセットアップ］ > ［ログイ

ン］の順に移動します。

3［パスワードを忘れた場合］では、［外部］を指定します。

4［パスワードを忘れた場合］リンク］では、ログインページでユーザが［パスワードを忘れた場合］をクリックしたときに表示するリンクを指定します。ユーザがこのリンクをクリックすると、アプリケーションはユーザを外部パスワード管理システムに転送します。次に例を示します。

http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

5［パスワードを忘れた場合の返信リンク］では、ユーザがパスワードを忘れた場合の手順の実行完了後に表示するリンクを指定します。このリンクをクリックすると、指定したリンクにリダイレクトされます。次に例を示します。

http://localhost/IDMProv

6［パスワードを忘れた場合の Web サービス URL］では、パスワードを忘れた場合の外部 WAR が

識別情報アプリケーションを呼び戻すために使用する Web サービスの URL を指定します。次

の形式を使用してください。

https://idmhost:sslport/idm/pwdmgt/service

識別情報アプリケーションに対してセキュアな Web サービス通信を保証するために、返信リ

ンクでは SSL を使用する必要があります。詳細については、236 ページの「アプリケーショ

ンサーバ間の SSL 通信の設定」を参照してください。

7 ExternalPwd.war を、外部パスワード WAR 機能を実行するリモートアプリケーションサーバ展

開ディレクトリに手動でコピーします。


外部パスワードを忘れた場合の環境設定のテスト

外部パスワード WAR ファイルがあり、これにアクセスして［パスワードを忘れた場合］機能をテ

ストする場合は、次の場所でアクセスできます。

ブラウザ内で直接アクセスします。外部パスワード WAR ファイルで［パスワードを忘れた場

合］ページに移動します。たとえば、http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp に移動します。

ユーザアプリケーションログインページで、［パスワードを忘れた場合］のリンクをクリックし

ます。

アプリケーションサーバ間の SSL 通信の設定

外部パスワード管理システムを使用する場合、アイデンティティアプリケーションおよびパスワードを忘れた場合の外部管理 WAR ファイルを展開している Tomcat インスタンス間に SSL 通信を設

定する必要があります。詳細については、Tomcat マニュアルを参照してください。

分散環境またはクラスタ化環境におけるダッシュボードの SSPR リンク

の更新

インストールプロセスは、識別情報アプリケーションおよび Identity Reporting と同じアプリケー

ションサーバ上に SSPR が展開されていると想定しています。デフォルトでは、ダッシュボードの

［アプリケーション］ページにある組み込みリンクは、ローカルシステム上の SSPR を参照する相対

URL フォーマットを使用します。たとえば、\sspr\private\changepassword です。分散環境またはクラ

スタ化環境にアプリケーションをインストールする場合、SSPR リンクの URL を更新する必要があ

ります。

詳細については、アイデンティティアプリケーションのヘルプを参照してください。

1 ダッシュボードに管理者としてログインします。たとえば、uaadmin としてログインします。


3［Edit Home Items ( ホームアイテムの編集 )］ページで、更新するアイテムの上にマウスを移動

し、編集アイコンをクリックします。たとえば、［マイパスワードの変更］を選択します。

4［リンク］では絶対 URL を指定します。たとえば、「http://10.10.10.48:8180/sspr/changepassword」と指定します。


6 更新する SSPR リンクごとにこの手順を繰り返します。

7 終了したら、［I'm done ( 完了 )］をクリックします。

8 ログアウトしてから一般ユーザとしてログインし、変更されているかどうかをテストします。


15.8 識別情報アプリケーションの設定の管理識別情報アプリケーション設定ユーティリティを使用して、ユーザアプリケーションドライバと識別情報アプリケーションの設定を管理できます。識別情報アプリケーションのインストールプログラムは、アプリケーションの設定にかかる時間を短縮するために、このユーティリティを呼び出します。これらの設定のほとんどは、インストール後にも変更できます。

設定ユーティリティ (configupdate.bat) を実行するファイルは、デフォルトでは、Identity Applications (C:\NetIQ\idm\apps\UserApplication) のインストールサブディレクトリにあります。

注 : クラスタでは、そのすべてのメンバーの環境設定は同一です。

このセクションでは、設定ユーティリティの設定について説明します。これらの設定は複数のタブとして編成されています。Identity Reporting をインストールする場合、インストールプロセスは

ユーティリティに Identity Reporting 用のパラメータを追加します。

237 ページのセクション 15.8.1「識別情報アプリケーション設定ユーティリティの実行」

237 ページのセクション 15.8.2「User Application Parameters ( ユーザアプリケーションのパラ

メータ )」

248 ページのセクション 15.8.3「Reporting Parameters (Reporting パラメータ )」

250 ページのセクション 15.8.4「認証パラメータ」

254 ページのセクション 15.8.5「SSO Clients Parameters (SSO クライアントパラメータ )」

258 ページのセクション 15.8.6「CEF 監査パラメータ」

15.8.1 識別情報アプリケーション設定ユーティリティの実行

1 テキストエディタで configupdate.properties ファイルを開き、次のオプションが設定されている


edit_admin="true"

use_console="false"

2 コマンドプロンプトで、設定ユーティリティ (configupdate.bat) を実行します。

注 : ユーティリティが起動するまで数分待つ必要がある場合があります。

15.8.2 User Application Parameters ( ユーザアプリケーションのパ

ラメータ )識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションが識別ボールトと通信する場合に使用する値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。

デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、［詳

細オプションの表示］をクリックします。このタブには、次の設定グループがあります。

238 ページの「識別ボールト設定」

239 ページの「識別ボールト DN」


242 ページの「識別ボールトユーザ ID」

243 ページの「識別ボールトユーザグループ」

244 ページの「識別ボールト証明書」

244 ページの「電子メールサーバ設定」

246 ページの「トラステッドキーストア」

246 ページの「NetIQ Sentinel デジタル署名証明書 & キー」

246 ページの「その他」

248 ページの「コンテナオブジェクト」

識別ボールト設定このセクションでは、識別情報アプリケーションが識別ボールト内のユーザの識別情報と役割にアクセスできるようにする設定を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。

識別ボールトサーバ必須

LDAP サーバのホスト名または IP アドレスを指定します。たとえば、「myLDAPhost」と指定し

ます。

LDAP ポート識別ボールトが平文の LDAP 要求をリスンするポートを指定します。デフォルトは 389 です。

LDAP セキュアポート識別ボールトが SSL (Secure Sockets Layer) プロトコルを使用した LDAP 要求をリスンする

ポートを指定します。デフォルトは 636 です。

eDirectory がインストールされる前にサーバにロードされているサービスがデフォルトのポー

トを使用している場合は、別のポートを指定する必要があります。

識別ボールト管理者

必須

LDAP 管理者の資格情報を指定します。たとえば、「cn=admin」というようになります。この

ユーザは識別ボールトにすでに存在している必要があります。

識別情報アプリケーションはこのアカウントを使用して、識別ボールトへの管理接続を行います。この値は、マスタキーに基づいて暗号化されます。

識別ボールト管理者パスワード必須

LDAP 管理者のパスワードを指定します。このパスワードは、マスタキーに基づいて暗号化さ

れます。

パブリック匿名アカウントの使用ログインしていないユーザが LDAP パブリック匿名アカウントにアクセスできるかどうかを指

定します。


セキュア管理者接続 RBPM が管理者アカウント関連のすべての通信で SSL プロトコルを使用するかどうかを指定

します。この設定を行っても、SSL を必要としない他の処理は SSL を使用せずに処理を実行

できます。

注 : このオプションを選択すると、パフォーマンスが低下する可能性があります。

セキュアなユーザ接続 RBPM がログインユーザアカウント関連のすべての通信で TLS/SSL プロトコルを使用するか

どうかを指定します。この設定を行っても、TLS/SSL を必要としない他の処理は TLS/SSL を

使用せずに動作できます。

注 : このオプションを選択すると、パフォーマンスが低下する可能性があります。

識別ボールト DNこのセクションでは、識別情報アプリケーションと Identity Manager の他のコンポーネントの間で

通信できるようにするコンテナとユーザアカウントの識別名を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。

ルートコンテナ DN

必須

ルートコンテナの LDAP 識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが

指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。たとえば、「o=mycompany」と指定します。

ユーザコンテナ DN 必須

詳細オプションを表示すると、このパラメータは［識別ボールトユーザ識別情報］に表示されます。

ユーザコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には次

の考慮事項が適用されます。

このコンテナ ( とその下位 ) のユーザは、識別情報アプリケーションへのログインを許可さ

れます。

Identity Applications をホストする Tomcat を起動したことがある場合、configupdate.bat ファ

イルを使用してこの設定を変更することはできません。

このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定した

ユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。


グループコンテナ DN 必須

詳細オプションを表示すると、このパラメータは［識別ボールトユーザグループ］に表示されます。

グループコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には

次の考慮事項が適用されます。

ディレクトリ抽象化レイヤ内のエンティティ定義では、この DN を使用します。



ユーザアプリケーションドライバ必須

ユーザアプリケーションドライバの識別名を指定します。

たとえば、ドライバが UserApplicationDriver、ドライバセットの名前が myDriverSet、ドライ

バセットのコンテキストが o=myCompany である場合、

「cn=UserApplicationDriver,cn=myDriverSet,o=myCompany」と指定します。

ユーザアプリケーション管理者必須

ユーザアプリケーションの指定したユーザコンテナの管理タスクを実行する権限を持つ識別ボールト内の既存のユーザアカウントを指定します。この設定には次の考慮事項が適用されます。

ユーザアプリケーションをホストする Tomcat を起動したことがある場合、

configupdate.bat ファイルを使用してこの設定を変更することはできません。

ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーショ

ンの［管理］ > ［セキュリティ］ページを使用します。

このユーザアカウントは、ユーザアプリケーションの［管理］タブを使用してポータルを

管理する権利を持ちます。

ユーザアプリケーション管理者が、iManager、Designer、またはユーザアプリケーション

(［要求と承認］タブ ) に公開されているワークフロー管理タスクに参加する場合は、この

管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細については、『User Application Administration Guide』を参照してください。

プロビジョニング管理者ユーザアプリケーション全体で使用可能なプロビジョニングワークフロー機能を管理する識別ボールト内の既存のユーザアカウントを指定します。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの［管理］ > ［管理者の割り当て］ページを使用します。


整合性管理者［コンプライアンス］タブのすべての機能を実行することをメンバーに許可するシステム役割を実行する識別ボールト内の既存のアカウントを指定します。この設定には次の考慮事項が適用されます。

識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリ

ケーションの［管理］ > ［管理者の割り当て］ページを使用します。

設定を更新する際、この値に対する変更が有効になるのは、有効なコンプライアンス管理

者が割り当てられていない場合のみです。有効なコンプライアンス管理者が存在する場合は、変更は保存されません。

役割管理者任意の役割の作成、削除、または変更および任意のユーザ、グループ、またはコンテナへの役割割り当ての付与または取消をメンバーに許可する役割を指定します。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。この設定には次の考慮事項が適用されます。

デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。



設定を更新する際、この値に対する変更が有効になるのは、有効な役割管理者が割り当て

られていない場合のみです。有効な役割管理者が存在する場合は、変更は保存されません。

セキュリティ管理者セキュリティドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアク

ションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者は RBPM 内のすべてのドメインのすべてのオブジェクトのアクセス許可を設定できます。

セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその他のセキュリティ管理者も割り当てることができます。



リソース管理者リソースドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべ

て実行できます。




RBPM 設定管理者構成ドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

RBPM 設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべ

て実行できます。RBPM 設定管理者は、RBPM 内のナビゲーション項目へのアクセスを制

御します。また、RBPM 設定管理者は委任と代理サービス、ユーザインタフェースのプロ

ビジョニング、およびワークフローエンジンを設定します。



RBPM レポーティング管理者レポーティング管理者を指定します。デフォルトでは、インストールプログラムが他のセキュリティフィールドと同じユーザをこの値に表示します。

識別ボールトユーザ IDこのセクションでは、識別情報アプリケーションが識別ボールト内のユーザコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。

このセクションの設定は、［詳細オプションの表示］を選択した場合のみ表示されます。

ユーザコンテナ DN 必須

詳細オプションを表示していない場合、このパラメータは［識別ボールト DN］に表示されま

す。

ユーザコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には次

の考慮事項が適用されます。

このコンテナ ( とその下位 ) のユーザは、識別情報アプリケーションへのログインを許可さ

れます。



このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定した

ユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。

ユーザ検索スコープ識別ボールトユーザがコンテナを検索できるスコープの深さを指定します。

ユーザオブジェクトクラス LDAP ユーザのオブジェクトクラスを指定します。通常は inetOrgPerson です。

ログイン属性ユーザのログイン名を表す LDAP 属性を指定します。たとえば、「cn」と指定します。

名前付け属性

ユーザまたはグループをルックアップする際に識別子として使用する LDAP 属性を指定しま

す。これはログイン属性とは異なります。ログイン属性はログイン時にのみ使用されます。たとえば、「cn」と指定します。


ユーザメンバーシップ属性 ( オプション ) ユーザのグループメンバーシップを表す LDAP 属性を指定します。この名前を

指定する際、スペースを使用しないでください。

識別ボールトユーザグループ

このセクションでは、識別情報アプリケーションが識別ボールト内のグループコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。


グループコンテナ DN 必須

詳細オプションを表示していない場合、このパラメータは［識別ボールト DN］に表示されま

す。

グループコンテナの LDAP 識別名 (DN) または完全修飾 LDAP 名を指定します。この設定には

次の考慮事項が適用されます。

ディレクトリ抽象化レイヤ内のエンティティ定義では、この DN を使用します。



グループコンテナのスコープ識別ボールトユーザがグループコンテナを検索できるスコープの深さを指定します。

グループオブジェクトクラス

LDAP グループのオブジェクトクラスを指定します。通常は groupofNames です。

グループメンバーシップ属性 ( オプション ) ユーザのグループメンバーシップを指定します。この名前にはスペースを使用


ダイナミックグループの使用ダイナミックグループを使用するかどうかを指定します。

［ダイナミックグループオブジェクトクラス］の値も指定する必要があります。

ダイナミックグループオブジェクトクラス［ダイナミックグループの使用］を選択している場合のみ適用されます。

LDAP ダイナミックグループのオブジェクトクラスを指定します。通常は dynamicGroup です。


識別ボールト証明書

このセクションでは、JRE キーストアのパスとパスワードを定義します。いくつかの設定は、イン

ストールプロセスを完了するために必須です。

キーストアパス必須

Tomcat が動作するために使用している JRE のキーストア (cacerts) ファイルへのフルパスを指

定します。手動でパスを入力するか、または cacerts ファイルを参照して指定できます。この

設定には次の考慮事項が適用されます。

現在の環境における RBPM のインストールディレクトリを指定する必要があります。デ

フォルト値は正しい場所に設定されます。

識別情報アプリケーションのインストールプログラムは、キーストアファイルを変更しま

す。Linux では、ユーザにこのファイルへの書き込み許可が必要です。

キーストアパスワード必須

キーストアファイルのパスワードを指定します。デフォルトは、「changeit」です。

電子メールサーバ設定

このセクションでは、電子メールベースの承認に使用できる、電子メール通知を有効にする値を定義します。詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Enabling Support for Digital Signatures」およびアイデンティティアプリケーショ

ンのヘルプの「Manage Approvals by Email」を参照してください。

通知テンプレートホストアイデンティティアプリケーションをホストする Tomcat の名前または IP アドレスを指定しま

す。たとえば、「myapplication serverServer」と指定します。

この値は、電子メールテンプレートの $HOST$ トークンと置き換えられます。インストールプ

ログラムはこの情報を使用して、プロビジョニング要求タスクと承認通知を参照する URL を

作成します。

通知テンプレート PORT アイデンティティアプリケーションをホストする Tomcat のポート番号を指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの $PORT$ トーク

ンがこの値で置き換えられます。

通知テンプレートセキュアポートアイデンティティアプリケーションをホストする Tomcat のセキュアポート番号を指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$ トークンがこの値で置き換えられます。

通知テンプレートプロトコルユーザの電子メールを送信する際に URL に使用する非セキュアプロトコルを指定します。た

とえば、「http」と指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$ トークンがこの値で置き換えられます。


通知テンプレートセキュアプロトコルユーザの電子メールを送信する際に URL に使用するセキュアプロトコルを指定します。たと

えば、「https」と指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$ トークンがこの値で置き換えられます。

通知 SMTP 電子メール送信者識別情報アプリケーションが電子メール通知を送信するために使用する電子メールアカウントを指定します。

SMTP サーバ名識別情報アプリケーションがプロビジョニング電子メールに使用する SMTP 電子メールホスト

の IP アドレスまたは DNS 名を指定します。localhost は使用しないでください。

サーバには認証が必要ですサーバに認証が必要かどうかを指定します。

電子メールサーバに対する資格情報も指定する必要があります。

ユーザ名［サーバには認証が必要です］を有効にした場合にのみ適用されます。

電子メールサーバのログインアカウントの名前を指定します。

［Password ( パスワード )］［サーバには認証が必要です］を有効にした場合にのみ適用されます。

メールサーバのログインアカウントのパスワードを指定します。

SMTP TLS の使用メールサーバ間の転送中に電子メールメッセージのコンテンツをセキュリティ保護するかどうかを指定します。

電子メール通知イメージの場所電子メール通知に添付するイメージへのパスを指定します。たとえば、「http://localhost:8080/IDMProv/images」と指定します。

Sign email ( 電子メールの署名 ) 送信メッセージにデジタル署名を追加するかどうかを指定します。

このオプションを有効にする場合は、キーストアと署名キーの設定も指定する必要があります。

キーストアパス［Sign email ( 電子メールの署名 )］を有効にした場合にのみ適用されます。

電子メールをデジタルで署名するために使用するキーストア (cacerts) ファイルへのフルパスを

指定します。手動でパスを入力するか、または cacerts ファイルを参照して指定できます。

たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacerts です。


［Sign email ( 電子メールの署名 )］を有効にした場合にのみ適用されます。

キーストアファイルのパスワードを指定します。たとえば、changeit です。


Alias of signature key ( 署名キーのエイリアス ) ［Sign email ( 電子メールの署名 )］を有効にした場合にのみ適用されます。

キーストアの署名キーの別名を指定します。たとえば、idmapptest です。

Signature key password ( 署名キーのパスワード ) ［Sign email ( 電子メールの署名 )］を有効にした場合にのみ適用されます。

署名キーを含むファイルを保護するパスワードを指定します。たとえば、changeit です。

トラステッドキーストア

このセクションでは、識別情報アプリケーションのトラステッドキーストアの値を定義します。このセクションの設定は、［詳細オプションの表示］を選択した場合のみ表示されます。

トラステッドストアパス信頼される署名者のすべての証明書が含まれるトラステッドキーストアへのパスを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティ javax.net.ssl.trustStoreからパスを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトで jre\lib\security\cacerts に設定します。

トラステッドストアパスワードトラステッドキーストアのパスワードを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティ javax.net.ssl.trustStorePassword からパスワードを取得します。こ

のシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでchangeit に設定します。

このパスワードは、マスタキーに基づいて暗号化されます。

トラステッドストアタイプトラステッドストアパスがデジタル署名に Java キーストア (JKS) または PKCS12 のどちらを

使用するかを指定します。

NetIQ Sentinel デジタル署名証明書 & キー

このセクションでは、Identity Manager がイベント監査のために Sentinel と通信できるようにする

値を定義します。このセクションの設定は、［詳細オプションの表示］を選択した場合のみ表示されます。

Sentinel デジタル署名証明書

Sentinel に送信される監査メッセージを OAuth サーバが認証するために使用するカスタム公開

鍵証明書が表示されます。

Sentinel デジタル署名秘密鍵 Sentinel に送信される監査メッセージを OAuth サーバが認証するために使用するカスタム秘密

鍵ファイルへのパスを指定します。

その他



OCSP URI クライアントインストールがオンライン証明書状態プロトコル (OCSP) を使用する際に使用す

る Uniform Resource Identifier(URI) を指定します。たとえば、「http://host:port/ocspLocal」と指

定します。

OCSP URI によって、トラステッド証明書オンラインの状態は更新されます。

許可設定パス許可環境設定ファイルの完全修飾名を指定します。

識別ボールトインデックスインストール時にインストールプログラムで manager、ismanager、および srvprvUUID の各

属性にインデックスを作成するかどうかを指定します。インストール後にそれらのインデックスの新しい場所を参照するように設定を変更できます。この設定には次の考慮事項が適用されます。

これらの属性にインデックスがない場合、Identity Applications ユーザは、Identity Applications のパフォーマンスの低下を感じる可能性があります。

識別情報アプリケーションをインストールした後、iManager を使用して、手動でこれらの

インデックスを作成できます。

パフォーマンスを大化するには、インストール時にインデックスを作成する必要があり

ます。

識別情報アプリケーションをユーザが使用できるようにする前に、これらのインデックス

をオンラインモードにする必要があります。

インデックスを作成または削除するには、［サーバ DN］にも値を指定する必要があります。

サーバ DN 識別ボールトインデックスを作成または削除する必要がある場合にのみ適用されます。

インデックスを作成または削除する eDirectory サーバを指定します。

指定できるサーバは一度に 1 つだけです。複数の eDirectory サーバでインデックスを設定する

には、RBPM 設定ユーティリティを複数回実行する必要があります。

Reinitialize RBPM Security (RBPM セキュリティの再初期化 ) インストールプロセスの終了時に RBPM セキュリティをリセットするかどうかを指定します。

識別情報アプリケーションを再展開する必要もあります。

IDMReport URL Identity Manager Reporting モジュールの URL を指定します。たとえば、「http://hostname:port/IDMRPT」と指定します。

カスタムテーマのコンテキスト名

ブラウザで Identity Applications を表示する際に使用するカスタマイズしたテーマの名前を指定

します。

ログメッセージの識別子プレフィックス idmuserapp_logging.xml ファイルの CONSOLE アペンダと FILE アペンダのレイアウトパターン

で使用する値を指定します。デフォルト値は RBPM です。


RBPM コンテキスト名の変更 RBPM のコンテキスト名を変更するかどうかを指定します。

役割とリソースドライバの新しい名前と DN も指定する必要があります。

RBPM コンテキスト名［RBPM コンテキスト名の変更］を選択している場合にのみ適用されます。

RBPM の新しいコンテキスト名を指定します。

役割ドライバの DN ［RBPM コンテキスト名の変更］を選択している場合にのみ適用されます。

役割とリソースドライバの DN を指定します。

コンテナオブジェクト

このセクションのパラメータはインストール時にのみ適用されます。

このセクションでは、コンテナオブジェクトの値を定義したり、新しいコンテナオブジェクトを作成したりできます。

Selected( 選択済み ) 使用するコンテナオブジェクトタイプを指定します。

コンテナオブジェクトタイプコンテナの地域、国、部門、組織、またはドメインを指定します。

iManager 内で自分のコンテナを定義でき、これを［新規コンテナオブジェクトの追加］の下に

追加できます。

コンテナ属性名指定したコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。

新規コンテナオブジェクトの追加 : コンテナオブジェクトタイプ

新しいコンテナとして使用可能な識別ボールトのオブジェクトクラスの LDAP 名を指定しま

す。

新規コンテナオブジェクトの追加 : コンテナ属性名新しいコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。

15.8.3 Reporting Parameters (Reporting パラメータ )識別情報アプリケーションを設定する際、このタブでは、Identity Reporting を管理するための値を

定義します。Identity Reporting をインストールすると、このタブが追加されます。



249 ページの「電子メール配信設定」

249 ページの「レポート保持の値」

250 ページの「ロケールの変更」

250 ページの「役割の設定」


電子メール配信設定

このセクションでは、通知を送信するための値を定義します。

SMTP サーバホスト名 Identity Reporting が通知を送信する際に使用する電子メールサーバの DNS 名または IP アドレ

スを指定します。localhost は使用しないでください。

SMTP サーバポート SMTP サーバのポート番号を指定します。

SMTP は SSL を使用電子メールサーバとの通信に TLS/SSL プロトコルを使用するかどうかを指定します。

サーバは認証が必要電子メールサーバとの通信に認証を使用するかどうかを指定します。

SMTP ユーザ名認証に使用する電子メールアドレスを指定します。

値を指定する必要があります。サーバで認証が不要の場合は、無効なアドレスを指定できます。

SMTP ユーザパスワードサーバは認証が必要と指定している場合にのみ適用されます。

SMTP ユーザアカウントのパスワードを指定します。

デフォルト電子メールアドレス電子メールサーバとの通信に認証を使用するかどうかを指定します。

レポート保持の値

このセクションでは、完了したレポートを保持するための値を定義します。

レポートの単位 , レポート有効期間 Identity Reporting が完了したレポートを保持する期間を指定します。この期間が経過すると、

完了したレポートは削除されます。たとえば、6 カ月を指定するには、［レポート有効期間］

フィールドに「6」と入力し、［レポートの単位］フィールドで［月］を選択します。

レポートの場所レポート定義を保存する場所のパスを指定します。たとえば、C:\NetIQ\idm\apps\IdentityReporting です。


ロケールの変更

このセクションでは、Identity Reporting の使用言語に関する値を定義します。Identity Reporting は

特定のロケールを使用して検索します。詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。

役割の設定

このセクションでは、Identity Reporting がレポートを生成する際に使用する認証ソースに関する値

を定義します。

認証ソースの追加レポーティングのために追加する認証ソースのタイプを指定します。次の認証ソースを指定できます。

デフォルト

LDAP ディレクトリ

File ( ファイル )

15.8.4 認証パラメータ

アイデンティティアプリケーションを設定する際、このタブでは、Tomcat がユーザをアイデンティ

ティアプリケーションおよびパスワード管理のページに転送するために使用する値を定義します。



250 ページの「［Authentication Server( 認証サーバ )］」

251 ページの「認証の設定」

252 ページの「認証方式」

252 ページの「パスワード管理」

253 ページの「Sentinel デジタル署名証明書とキー」

［Authentication Server( 認証サーバ )］このセクションでは、識別情報アプリケーションが認証サーバに接続するための設定を定義します。

OAuth サーバのホスト識別子必須

トークンを OSP に発行する認証サーバの相対 URL を指定します。たとえば、「192.168.0.1」と指定します。

OAuth サーバの TCP ポート認証サーバのポートを指定します。

OAuth サーバは TLS/SSL を使用しています認証サーバが通信に TLS/SSL を使用するかどうかを指定します。


オプションの TLS/SSL トラストストアファイル［OAuth サーバは TLS/SSL を使用しています］を選択し、詳細オプションを表示している

場合にのみ適用されます。

オプションの TLS/SSL トラストストアパスワード

［OAuth サーバは TLS/SSL を使用しています］を選択し、詳細オプションを表示している

場合にのみ適用されます。

TLS/SSL 認証サーバのキーストアファイルをロードする際に使用するパスワードを指定し

ます。

注 : キーストアパスおよびパスワードを指定せず、認証サーバの信頼証明書が JRE トラストス

トア (cacerts) に存在しない場合、Identity Applications は TLS/SSL プロトコルを使用する認証

サービスに接続できません。

認証の設定

このセクションでは、認証サーバの設定を定義します。

管理コンテナの LDAP DN 必須

OSP が認証する必要がある管理者ユーザオブジェクトが含まれる識別ボールト内のコンテナの

識別名を指定します。たとえば、「ou=sa,o=data」と指定します。

重複解決名前付け属性同じ cn 値を持つ複数の eDirectory ユーザオブジェクトを区別するために使用する LDAP 属性

の名前を指定します。デフォルト値は mail です。

コンテキストへの認証ソースの制限識別ボールト内のユーザコンテナおよび管理者コンテナにおける検索を、そのコンテナ内のユーザオブジェクトのみに限定するのか、それともサブコンテナも検索対象にするのかを指定します。

セッションタイムアウト ( 分 ) ユーザが何も操作せずに一定時間が経過するとサーバはそのユーザセッションをタイムアウトさせますが、その時間を分単位で指定します。デフォルト値は 20 分です。

アクセストークンのライフタイム ( 秒 ) OSP アクセストークンの有効期間の秒数を指定します。デフォルト値は 60 秒です。

リフレッシュトークンのライフタイム ( 時間 ) OSP リフレッシュトークンの有効期間の秒数を指定します。リフレッシュトークンは OSP が

内部的に使用します。既定値は 48 時間です。


認証方式

このセクションでは、Identity Manager のブラウザベースのコンポーネントにログインするユーザ

を OSP が認証できるようにする値を定義します。

メソッドユーザがログオンする際に Identity Manager が使用する認証タイプを指定します。

［名前とパスワード］: OSP は識別ボールトを使用して認証を検証します。

［Kerberos］: OSP は Kerberos チケットサーバと識別ボールトの両方から認証を受け入れ

ます。［マッピング属性名］の値も指定する必要があります。

［SAML 2.0］: OSP は SAML アイデンティティプロバイダとアイデンティティボールトの

両方から認証を受け入れます。［マッピング属性名］と［メタデータ URL］の値も指定する

必要があります。

マッピング属性名［Kerberos］または［SAML］を指定している場合にのみ適用されます。

Kerberos チケットサーバまたは識別情報プロバイダの SAML 表現にマッピングする属性の名

前を指定します。

メタデータ URL ［SAML］を指定している場合にのみ適用されます。

OSP が認証要求を SAML にリダイレクトする際に使用する URL を指定します。

パスワード管理

このセクションでは、ユーザがパスワードの変更をセルフサービス操作として実行できるようにする値を定義します。

パスワード管理プロバイダ使用するパスワード管理システムのタイプを指定します。

［ユーザアプリケーション ( レガシ )］: Identity Manager が従来使用していたパスワード管理プ

ログラムを使用します。このオプションを使用すると、外部パスワード管理プログラムを使用することもできます。

パスワードを忘れた場合このチェックボックスパラメータは、SSPR を使用する場合にのみ適用されます。

ユーザがパスワードを忘れた場合にヘルプデスクに連絡せずに回復するように設定するかどうかを指定します。

パスワードを忘れた場合の機能で秘密の質問の答えに関するポリシーも設定する必要があります。詳細については、『NetIQ Self Service Password Reset Administration Guide』を参照して

ください。

パスワードを忘れた場合このメニューリストは、［ユーザアプリケーション ( レガシ )］を選択している場合にのみ適用さ

れます。



ユーザアプリケーションまたは外部システムのどちらに統合されているパスワード管理システムを使用するかを指定します。

［内部］: デフォルトの内部パスワード管理機能を使用します。/jsps/pwdmgt/ForgotPassword.jsp( 初は http(s) プロトコルなし )。これは、ユーザを、外部 WAR ではな

く、ユーザアプリケーションに組み込まれた［パスワードを忘れた場合］機能にリダイレクトします。

［外部］: パスワードを忘れた場合の外部 WAR を使用して、Web サービス経由でユーザア

プリケーションを呼び戻します。外部システムの設定も指定する必要があります。

Forgotten Password Link (［パスワードを忘れた場合］リンク )

外部パスワード管理システムを使用する場合にのみ適用されます。

パスワードを忘れた場合の機能ページを参照する URL を指定します。外部または内部のパス

ワード管理 WAR にある ForgotPassword.jsp ファイルを指定します。

Forgotten Password Return Link ( パスワードを忘れた場合の返信リンク ) 外部パスワード管理システムを使用する場合にのみ適用されます。

ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、［パスワードを

忘れた場合の返信リンク］の URL を指定します。

Forgotten Password Web Service URL ( パスワードを忘れた場合の Web サービス URL) 外部パスワード管理システムを使用する場合にのみ適用されます。

パスワードを忘れた場合の外部 WAR がユーザアプリケーションを呼び戻してパスワードを忘

れた場合のコア機能を実行するために使用する URL を指定します。次の形式を使用してくだ

さい。

https://<idmhost>:<sslport>/<idm>/pwdmgt/service

Sentinel デジタル署名証明書とキー

このセクションでは、Identity Manager がイベント監査のために Sentinel と通信できるようにする

値を定義します。

Sentinel デジタル署名証明書監査システムに送信される監査メッセージを OSP サーバが認証するために使用するカスタム

公開鍵証明書を指定します。

Novell Audit で使用するために証明書を設定する方法の詳細については、『Novell Audit Administration Guide』の「Managing Certificates」を参照してください。

Sentinel デジタル署名秘密鍵監査システムに送信される監査メッセージを OSP サーバが認証するために使用するカスタム

秘密鍵ファイルへのパスを指定します。


http://www.novell.com/documentation/novellaudit20/novellaudit20/data/b5f4vw6.html

http://www.novell.com/documentation/novellaudit20/novellaudit20/data/b5f4vw6.html

http://www.novell.com/documentation/novellaudit20/novellaudit20/data/bookinfo.html

15.8.5 SSO Clients Parameters (SSO クライアントパラメータ )識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションへのシングルサインオンアクセスを管理する値を定義します。



254 ページの「IDM ダッシュボード」

255 ページの「IDM 管理者」

255 ページの「RBPM」

256 ページの「レポーティング」

257 ページの「IDM データ収集サービス」

257 ページの「DCS Driver (DCS ドライバ )」

257 ページの「セルフサービスパスワードリセット」

IDM ダッシュボード

このセクションでは、ユーザが識別情報アプリケーションのプライマリログインの場所である、Identity Manager ダッシュボードにアクセスするために使用する必要がある URL の値を定義しま

す。

図 15-2 IDM ダッシュボード

OAuth クライアント ID 必須

ダッシュボードのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値は idmdash です。

OAuth クライアントシークレット必須

ダッシュボードのシングルサインオンクライアントのパスワードを指定します。

OSP OAuth リダイレクト URL 必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対 URL を指定します。

使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/idmdash/oauth.html です。


IDM 管理者

このセクションでは、ユーザが［Identity Manager 管理者］ページにアクセスするために必要な

URL の値を定義します。


Identity Manager 管理者のシングルサインオンクライアントを認証サーバに認識させるために

使用する名前を指定します。デフォルト値は idmadmin です。


［Identity Manager 管理者］のシングルサインオンクライアントのパスワードを指定します。



使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/idmadmin/oauth.html です。

RBPMこのセクションでは、ユーザがユーザアプリケーションにアクセスするために必要な URL の値を定

義します。

図 15-3 RBPM


ユーザアプリケーションのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値は rbpm です。


ユーザアプリケーションのシングルサインオンクライアントのパスワードを指定します。

ランディングページへの URL リンク必須

ユーザアプリケーションから［ダッシュボード］にアクセスするために使用する相対 URL を

指定します。デフォルト値は /landing です。




使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/IDMProv/oauth です。

RBPM から eDirectory SAML への設定必須

SSO 認証に必要な、RBPM から eDirectory SAML への設定を指定します。

レポーティング

このセクションでは、ユーザが Identity Reporting にアクセスするために必要な URL の値を定義し

ます。このセクションの値は、Identity Manager ソリューションに Identity Reporting を追加してい

る場合にのみ表示されます。

図 15-4 レポーティング


Identity Reporting のシングルサインオンクライアントを認証サーバに認識させるために使用す

る名前を指定します。デフォルト値は rpt です。


Identity Reporting のシングルサインオンクライアントのパスワードを指定します。

ランディングページへの URL リンク必須

Identity Reporting から［ダッシュボード］にアクセスするために使用する相対 URL を指定し

ます。デフォルト値は /idmdash/#/landing です。

Identity Reporting と識別情報アプリケーションを異なるサーバにインストールしている場合

は、絶対 URL を指定します。使用するフォーマットは、protocol://server:port/path です。たとえ

ば、https://192.168.0.1:8543/IDMRPT/oauth です。



使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/IDMRPT/oauth です。


IDM データ収集サービス

このセクションでは、ユーザが Identity Manager データ収集サービスにアクセスするために必要な

URL の値を定義します。


Identity Manager データ収集サービスのシングルサインオンクライアントを認証サーバに認識

させるために使用する名前を指定します。デフォルト値は idmdcs です。


Identity Manager データ収集サービスのシングルサインオンクライアントのパスワードを指定

します。

OSP OAuth リダイレクト URL

必須


使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/idmdcs/oauth.html です。

DCS Driver (DCS ドライバ )このセクションでは、データ収集サービスドライバを管理するための値を定義します。

図 15-5

OAuth クライアント ID データ収集サービスドライバのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。このパラメータのデフォルト値は dcsdrv です。

OAuth クライアントシークレットデータ収集サービスドライバのシングルサインオンクライアントのパスワードを指定します。


このセクションでは、ユーザが SSPR にアクセスするために必要な URL の値を定義します。


SSPR のシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指

定します。デフォルト値は sspr です。



SSPR のシングルサインオンクライアントのパスワードを指定します。



使用するフォーマットは、protocol://server:port/path です。たとえば、https://192.168.0.1:8543/sspr/public/oauth.html です。

15.8.6 CEF 監査パラメータ

このセクションでは、CEF 監査パラメータを管理するための値を定義します。

Send audit events ( 監査イベントの送信 ) CEF を Identity Applications の監査イベントに使用するかどうかを指定します。

[ 接続先のホスト ] 監査サーバの DNS 名または IP アドレスを指定します。

送信先ポート監査サーバのポートを指定します。

Network Protocol ( ネットワークプロトコル ) CEF イベントを受信するために監査サーバによって使用されるネットワークプロトコルを指定

します。

Use TLS (TLS の使用 ) ネットワークプロトコルとして TCP を使用する場合にのみ適用します。

監査サーバが TCP と TLS を併用するように設定されているかどうかを指定します。

Intermediate event store directory ( 中間イベントストアディレクトリ ) CEF イベントが監査サーバに送信される前のキャッシュディレクトリの場所を指定します。

注 : novlua 許可がキャッシュディレクトリに設定されていることを確認します。設定されてい

ない場合、IDMDash および IDMProv アプリケーションにアクセスできません。また、OSP イ

ベントのどれもキャッシュディレクトリに記録されません。たとえば、chown novlua:novlua /<directorypath> コマンドを使用して、ディレクトリの許可と所有権を変更できます。ここで、

<directorypath> はキャッシュファイルディレクトリパスです。


V VIdentity Reporting のインストール

このセクションでは、レポートの実行に必要なコンポーネントのインストールプロセスを順を追って説明します。インストールプロセスでは、アプリケーションに必要な次のコンポーネントがすべてインストールされます。

NetIQ Identity Reporting

Identity Manager 管理対象システムのゲートウェイドライバ (MSGW ドライバ )

Identity Manager データ収集サービス用ドライバ (DCS ドライバ )


\products\Reporting ディレクトリにあります。デフォルトでは、インストールプログラムは

C:\NetIQ\idm\apps\IDMReporting にコンポーネントをインストールします。

便宜上、Identity Manager インストールキットには、組み込み監査サービスとして使用するために、

Sentinel Log Management for IGA (Sentinel) が含まれます。詳細については、『NetIQ Identity Manager Setup Guide for Linux』の「Installing Sentinel Log Management for Identity Governance and Administration」を参照してください。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、261 ページの第 16 章「Identity Reporting のインストールの計画」を参照してください。

Identity Reporting のインストール 259

260 Identity Reporting のインストール

16 16Identity Reporting のインストールの計画

このセクションでは、Identity Reporting のコンポーネントのインストールを準備するためのガイド

が記載されています。Sentinel を監査イベントに使用できます。

261 ページのセクション 16.1「Identity Reporting のインストールチェックリスト」

262 ページのセクション 16.2「Identity Reporting コンポーネントのインストールプロセスの理

解」

263 ページのセクション 16.3「Identity Reporting コンポーネントのインストールの前提条件」

264 ページのセクション 16.4「Identity Reporting の監査イベントの識別」

264 ページのセクション 16.5「Identity Reporting のシステム要件」

16.1 Identity Reporting のインストールチェックリスト




セクション 3.3.4「Identity Reporting」を参照してください。




3. Identity Reporting のインストールに関する考慮事項を確認します。詳細については、

263 ページのセクション 16.3「Identity Reporting コンポーネントのインストールの前提条


4. Identity Reporting をホストするコンピュータのハードウェアおよびソフトウェアの要件を確

認します。詳細については、264 ページのセクション 16.5「Identity Reporting のシステム要


5. 識別情報アプリケーションがインストールされていることを確認します。詳細については、191 ページの第 15.1 章「識別情報アプリケーションのインストールのプラニング」を参照


6. イベントを監査するには、Linux サーバに Sentinel をインストールします。詳細について

は、『NetIQ Identity Manager Setup Guide for Linux』の「Installing Sentinel Log Management for Identity Governance and Administration」を参照してください。

7. Identity Reporting をインストールするサーバに Tomcat などのアプリケーションサーバがイ

ンストールされていることを確認します。詳細については、166 ページの第 12.2 章

「PostgreSQL と Tomcat のインストール」を参照してください。




Identity Reporting のインストールの計画 261

16.2 Identity Reporting コンポーネントのインストールプロセスの理解Sentinel、Identity Reporting、およびレポーティングドライバは同じサーバにインストールできま

す。ただし、ワークロードを考慮し、Sentinel とレポーティングは別々のサーバにインストールす

ることをお勧めします。

新規インストールの場合、インストールプログラムによりデータベースにテーブルが作成され、接続性が確認されます。さらに、PostgreSQL JDBC ドライバの JAR ファイルをインストールし、自

動的にこのファイルをデータベース接続に使用します。

たとえば、SIEM などのデータを EAS から PostgreSQL データベースに移行した場合、インストー

ルプログラムは既存のデータベースに接続します。

Identity Reporting のインストールプログラムは、次の機能を実行します。

アプリケーションサーバプラットフォームを選択できるようにする

レポーティング用のユーザインタフェースコンポーネントが含まれるクライアントWARファイ

ル (DCS およびレポーティング ) を Tomcat に展開する

レポーティングに必要なコアRESTサービスが含まれるコアWARファイル (DCSおよびレポー

ティング ) を展開する

レポーティングに必要なコアRESTサービスのマニュアルが含まれるAPI WARファイルを展開

する

レポーティングに必要な Identity Manager データ収集サービスが含まれる API WAR ファイルを

展開する

Identity Reporting の認証サービスを設定する

9. Identity Reporting をインストールします。

ガイド付きインストールについては、267 ページのセクション 17.1「ガイド付きプロセ

スを使用した Identity Reporting のインストール」を参照してください。

Reporting をサイレントインストールするには、272 ページのセクション 17.2「Identity Reporting のサイレントインストール」を参照してください。

10. Identity Reporting のセットアップを完了します。詳細については、277 ページの第 18 章

「Identity Reporting の設定」を参照してください。

11. 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを設定します。詳細については、279 ページのセクション 19.1「Identity Reporting 用のドライバの設

定」を参照してください。

12. ドライバを展開して起動します。詳細については、285 ページのセクション 19.2「Identity Reporting 用ドライバの展開と起動」を参照してください。

13. ドライバに合わせて環境を設定します。詳細については、290 ページのセクション 19.3「ラ

ンタイム環境の設定」を参照してください。

14. データをドライバに送信するように Identity Manager および eDirectory を設定します。詳細

については、300 ページのセクション 19.4「ドライバの監査フラグの設定」を参照してくだ

さい。


262 Identity Reporting のインストールの計画

Identity Reporting の電子メール配信システムを設定する

Identity Reporting のコアレポーティングサービスを設定する

Identity Reporting のユーザアカウント (idmrptsrv および idmrptuser) を作成する

Sentinel との相互作用に使用するユーザアカウント (appuser および rptuser) を作成する

16.3 Identity Reporting コンポーネントのインストールの前提条件Identity Reporting をインストールする際は、次の前提条件と考慮事項を検討します。

サポートされていて設定済みのバージョンの次の Identity Managerコンポーネントが必要です。

ユーザアプリケーションドライバを含む識別情報アプリケーション。

別の Linux コンピュータにインストールされた Sentinel。

データ収集サービス用ドライバ。

管理対象システムのゲートウェイサービス用ドライバ。

これらのコンポーネントの必要なバージョンとパッチの詳細については、新のリリースノートを参照してください。ドライバのインストールの詳細については、279 ページの第 19 章

「Reporting 用ドライバの管理」を参照してください。

Identity Reporting をクラスタ環境のサーバにインストールしないでください。

ローカルデータベース以外のデータベースを使用する場合は、別のサーバにデータベースを作

成してから、Identity Reporting のインストール中にその詳細を指定する必要があります。

( 状況によって実行 ) Oracle 12c データベースに対してレポートを実行するには、適切な

JDBC ファイルをインストールする必要があります。詳細については、277 ページのセクショ

ン 18.1「Oracle データベースでのレポートの実行」を参照してください。

( 状況によって実行 ) Tomcat インストールプログラムは、Identity Manager インストールキット

に同梱のものではなく、独自に用意したものを使用できます。ただし、独自のバージョンのTomcat で Apache Log4j サービスを使用する場合は、適切なファイルがインストールされてい

ることを確認します。詳細については、173 ページのセクション 13.1.4「Apache Log4j サービ

スを使用したサインオンの記録」を参照してください。

レポーティング機能にアクセスできるようにするすべてのユーザにレポート管理者の役割を割

り当てます。

Identity Manager 環境のすべてのサーバが同時に設定されていることを確認します。サーバの

時刻を同期していない場合、レポートによっては実行時に空になることがあります。たとえば、Identity Manager エンジンをホストしているサーバとウェアハウスをホストしているサー

バでタイムスタンプが異なる場合、この問題により、新しいユーザに関連するデータが影響を受ける可能性があります。ユーザを作成してから変更すると、レポートにデータが取り込まれます。

インストールプロセスにより、Tomcat 用 setenv.bat ファイルの JRE マッピングのための

JAVA_OPTs エントリまたは CATALINA_OPTS エントリが変更されます。

デフォルトでは、Tomcat 用の簡易インストーラは setenv.bat ファイルを

C:\NetIQ\idm\apps\tomcat\bin ディレクトリに配置します。さらに、このファイルに JRE の場所

も設定します。


16.4 Identity Reporting の監査イベントの識別

このセクションでは、Identity Manager レポートおよびカスタムレポートに必要な異なる監査イベ

ントを識別する方法について説明します。すべてのレポートソースを解凍し、次のスクリプトを実行して、監査イベントを識別することができます。

find . -name *.jrxml -print0 |xargs -0 grep -H "'000[B3]" | perl -ne '($file) = /^\.\/(.*?)\//;@a = /000[3B]..../g; foreach $a (@a) { print "$file;$a\n"}' |sort -u

次のセクションでは、Identity Manager レポートおよびカスタムレポートのさまざまな監査イベン

トを識別して選択する方法について説明します。

16.5 Identity Reporting のシステム要件

このセクションでは、Identity Reporting コンポーネントをインストールするサーバの小要件につ

いて記載します。

イベント名監査フラグ

認証およびパスワードの変更 SSPR を使用した監査フラグの選択 : ［SSPR Configuration Editor］を起動し、［Audit Configuration ( 監査環境設定 )］を選

択して、次の監査フラグから選択します。

Authenticate

パスワードの変更

パスワードのロック解除

パスワードの回復

侵入者の試み

侵入者ロック

侵入者ロックユーザ

iManager を使用した監査フラグの選択 : ［iManager Roles and Tasks (iManager 役割とタスク )］ > ［eDirectory Auditing］ > > ［Audit Configuration ( 監査環境設定 )］ > ［Novell Audit］の順に

移動し、次の監査フラグから選択します。


パスワードの確認

ログイン

ログアウト

他のすべてのレポーティングイベント［NetIQ Identity Manager UserApp］ > ［管理］ > ［ログ記録］ > ［監査サービスを有効にする］の順に移動します。

カテゴリ要件

プロセッサ 1GHz プロセッサ



注 : データベースやアプリケーションサーバのログなど、サポートするアプリケーションのコンテンツを格納できる十分な容量 .

メモリ 512MB(4GB 推奨 )



Windows Server 2016


Windows Server 2012

NetIQ では、Identity Manager をインストールする前に、製造元の自動更

新機能に従ってオペレーティングシステムの新パッチを適用することをお勧めします。







NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ

ポートするエンタープライズクラスの仮想化システムで Identity Managerをサポートします。仮想化システムのベンダーが該当のオペレーティングシステムを正式にサポートしていれば、NetIQ はそのオペレーティングシ

ステム上の Identity Manager スタック全体をサポートします。

データベース PostgreSQL 9.6.6

Oracle 12c

MsSQL 2014、2016

アプリケーションサーバ Apache Tomcat 8.5.27

Java Java Development Kit (JDK)

または

Sun (Oracle) からの Java Runtime Environment (JRE) バージョン

1.8.0_162 以降

カテゴリ要件



Desktop

Apple Safari 9

Windows 用 Apple Safari 5.1.7

Google Chrome 61

Microsoft Internet Explorer 11

Mozilla Firefox 51

iPad

Apple Safari 9

Google Chrome 61

注 : ブラウザで Cookie が有効になっている必要があります。Cookie が無

効な場合、この製品は動作しません。

Audit Sentinel Log Management for IGA

カテゴリ要件


17 17Identity Reporting のインストール

このセクションでは、Identity Reporting のインストールプロセスについて説明します。

267 ページのセクション 17.1「ガイド付きプロセスを使用した Identity Reporting のインストー

ル」

272 ページのセクション 17.2「Identity Reporting のサイレントインストール」

273 ページのセクション 17.3「データベーススキーマの手動生成」

274 ページのセクション 17.4「リモート PostgreSQL データベースへの接続」

17.1 ガイド付きプロセスを使用した Identity Reportingのインストール次の手順では、インストールウィザードを使用して Identity Reporting をインストールする方法につ

いて説明します。無人のサイレントインストールを実行するには、272 ページのセクション 17.2「Identity Reporting のサイレントインストール」を参照してください。

インストールの準備をするために、264 ページのセクション 16.5「Identity Reporting のシステム要

件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリースノートも参照してください。

1 Identity Reporting をインストールするコンピュータにログインします。



場合は、Identity Reporting のインストールファイルが保存されているディレクトリへ移動しま

す。デフォルトの場所は \products\Reporting ディレクトリです。

4 ( 状況によって実行 ) Identity Reporting のインストールファイルを NetIQ Downloads の Web サ

イトからダウンロードした場合は、次の手順を実行します。

4a ダウンロードしたイメージの .tgz ファイルへ移動します。


5 インストールファイルが保存されているディレクトリから、rpt-install-win.exe ファイルを実行し

ます。

6 インストールプログラムで、インストールに使用する言語を指定して［OK］をクリックしま

す。

7 概要のテキストを確認して［次へ］をクリックします。

8 使用許諾契約に同意し、［次へ］をクリックします。

9 次のパラメータを使用してガイドによるプロセスを完了します。

インストールフォルダ

インストールログファイル、ヘルパースクリプト、設定スクリプトなど、インストールプログラムがアプリケーションファイルを作成するディレクトリへのパスを指定します。

「Reporting Setup ( レポーティングのセットアップ」




Identity Reporting を追加する環境とその設定を表します。［Identity Manager］の場合、次

の値を指定します。

識別ボールトサーバ eDirectory サーバへのホスト名を指定します。

セキュア LDAP ポート SSL 経由で eDirectory サーバへの LDAP 接続を確立するために使用するポートを指

定します。デフォルトポートは 636 です。

Provisioning Home ( プロビジョニングホーム ) Identity Manager プロビジョニングホームの場所を指定します。これには、アプリ

ケーションサーバの完全な URL またはその URL の相対パスを指定できます。

「アプリケーションサーバの詳細」

Identity Reporting を実行する Tomcat を表します。アプリケーションサーバはすでにイン

ストールされている必要があります。

セカンダリ現在のインストールをクラスタのセカンダリノード上で行うかどうかを指定します。

「Tomcat root folder (Tomcat の root フォルダ )」 Tomcat インスタンスへのパスを指定します。たとえば、C:\NetIQ\idm\apps\tomcat です。

Java JRE Base フォルダ Java JRE Base フォルダの場所を指定します。

このパスには設定更新ユーティリティのファイルが含まれ、Identity Reporting のイン

ストール後に、このユーティリティを起動するために使用します。

「アプリケーションアドレス」

Identity Reporting をホストするサーバの設定を表します。

プロトコル［http］または［https］のどちらを使用するかを指定します。通信に SSL を使用する

には、［https］を指定します。

ホスト名 Tomcat の DNS 名または IP アドレスを指定します。localhost は使用しないでくださ

い。

ポート Tomcat が Identity Reporting アプリケーションとの通信に使用するポートを指定しま

す。 Connect to an external authentication server ( 外部認証サーバへの接続 )

Tomcat の異なるインスタンスが認証サーバ (OSP) をホストするかどうかを指定しま

す。認証サーバには、Identity Reporting にログイン可能なユーザのリストが保存され

ています。

この設定を選択する場合、認証サーバの［プロトコル］、［ホスト名］、および［ポート］

の値を指定します。

「認証サーバの詳細」

Identity Reporting サービスのパスワードを指定します。


Identity Manager では、このパスワードを使用して、認証サーバ上の OSP クライアントに

接続します。

Database Details( データベース詳細 )インストールプロセスでデータベースを作成するか、またはデータベースをあとで作成するために SQL ファイルを生成するかなど、レポーティングデータベースの設定を表しま

す。

データベース名要件に応じてデータベース名を指定します。

新規インストールである場合は、レポーティングデータベースの名前を指定しま

す。たとえば、idmrptdb または SIEM を指定します。

EAS からマイグレートしている場合は、EAS データベースの名前を指定します。

たとえば、SIEM です。データベースホスト

要件に応じてデータベースホストを指定します。

新規インストールである場合は、データベースを作成する必要があるサーバの

DNS 名または IP アドレスを指定します。

EAS からマイグレートしている場合は、SIEM データベースをホストするサーバ

の DNS 名または IP アドレスを指定します。

データベースタイプ使用するデータベースを選択します。

［Oracle］を選択する場合は、次の詳細を指定します。

JDBC ドライバの JAROracle JDBC ドライバの JAR ファイルのパスを指定します。たとえば、

C:\oracle\ojdbc7.jar です。

詳細については、277 ページのセクション 18.1「Oracle データベースでのレ

ポートの実行」を参照してください。

JDBC ドライバのクラス名

JDBC ドライバのクラスを指定します。

JDBC ドライバのタイプ

JDBC ドライバのタイプを指定します。

［PostgresSQL］を選択する場合は、［次へ］をクリックします。

「Share password ( パスワードの共有 )」データベースに接続する場合は、すべてのレポーティングユーザに単一のパスワードを指定できます。

Specify password for each user ( 各ユーザのパスワードの指定 ) 各レポーティングユーザにデータベースへの固有のパスワードを指定できます。idm_rpt_data_password、idm_rpt_cfg_password、および idmrptuserpassword にパスワー

ドを指定する必要があります。

データベースポートデータベースに接続するポートを指定します。デフォルトポートは 5432 です。


「Configure database now or at startup ( 今すぐまたは起動時にデータベースを設定する

)」インストールプログラムがデータベースをすぐにまたはレポーティングの起動時に作成できるように、データベースのログイン設定を行うことを示します。次の値を指定する必要もあります。

DBA ユーザ IDSIEM データベースサーバの管理アカウントの名前を指定します。たとえば、

「postgres」です。

DBA パスワード

データベースの管理アカウントのパスワードを指定します。

データベース接続のテスト : データベースに対して指定した値をインストールプ

ログラムでテストするかどうかを指定します。

［次へ］をクリックするか、<［Enter］> を押すと、インストールプログラムは

接続を試みます。

注 : データベース接続に失敗しても、インストールは続行できます。ただし、インストール後に手動でテーブルを作成し、データベースに接続する必要があります。詳細については、273 ページのセクション 17.3「データベーススキーマの

手動生成」を参照してください。

「Generate SQL for later ( 後で使用するために SQL を生成 )」インストールプロセスの完了後に、データベース管理者がデータベースを作成するために使用する SQL ファイルを生成するようにインストールプログラムに指示します。

インストール後にデータベースを作成するには、273 ページのセクション 17.3「デー

タベーススキーマの手動生成」を参照してください。

［デフォルト言語］

Identity Reporting が検索で使用する言語を指定します。

識別ボールトの資格情報

Identity Reporting がアイデンティティボールトへの接続に使用する設定を表します。

識別ボールト管理者 LDAP 管理者の識別名を指定します。たとえば、「cn=admin」というようになります。

このユーザは識別ボールトにすでに存在している必要があります。

識別ボールト管理者パスワードアイデンティティボールト管理者のパスワードを指定します。

キーストアパス Tomcat が動作するために使用している JRE のキーストア (cacerts) ファイルへのフル

パスを指定します。


キーストアファイルのパスワードを指定します。

レポーティング管理者の役割コンテナの DN レポーティング管理者の役割を保管するコンテナの DN を指定します。

レポーティング管理者ユーザの DN Identity Reporting の管理タスクを実行する権限を持つアイデンティティボールト内の

既存のユーザアカウントを指定します。



アプリケーションドライバ、ドライバセット、およびドライバセットコンテナの名前を表します。

ユーザアプリケーションドライバユーザアプリケーションドライバの名前を指定します。

ドライバセット名

ドライバセットの名前を指定します。

ドライバセットのコンテナドライバセットコンテナの名前を指定します。

「電子メール配信」

レポート通知を送信する SMTP サーバの設定です。インストール後にこれらの設定を変更

するには、RBPM 環境設定ユーティリティを使用します。

デフォルトの電子メールアドレス Identity Reporting が電子メール通知の発信元として使用する電子メールアドレスを指

定します。

SMTP サーバー Identity Reporting が通知に使用する SMTP 電子メールホストの IP アドレスまたは

DNS 名を指定します。localhost は使用しないでください。 SMTP サーバーポート

SMTP サーバのポート番号を指定します。デフォルトポートは 465 です。

SMTP に SSL を使用 SMTP サーバとの通信に SSL プロトコルを使用するかどうかを指定します。

サーバ認証が必要

SMTP サーバとの通信に認証を使用するかどうかを指定します。次の値を指定する必

要もあります。

SMTP ユーザ名

SMTP サーバのログインアカウントの名前を指定します。

SMTP パスワード

SMTP サーバのログインアカウントのパスワードを指定します。

レポートの詳細

レポート定義の設定と完了したレポートを表します。

終了したレポートを次の目的のために保持 Identity Reporting が完了したレポートを削除するまでの保持期間を指定します。

たとえば、6 カ月を指定するには、「6」と入力して［月］を選択します。

レポート定義の場所レポート定義を保存する場所のパスを指定します。

たとえば、C:\NetIQ\idm\apps\IdentityReporting です。

10［インストール前の概要］ウィンドウで［Install ( インストール )］をクリックします。


17.2 Identity Reporting のサイレントインストール


質問も行われません。代わりに、システムは .properties ファイルの情報を使用します。デフォルト

のファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストールプロセスをカスタマイズすることもできます。ガイド付きインストールを実行するには、267 ページの「ガイド付きプロセスを使用した Identity Reporting のインストール」を参照してくださ

い。

インストールの準備をするために、264 ページのセクション 16.5「Identity Reporting のシステム要

件」に記載されている前提条件とシステム要件を確認します。リリースに付属するリリースノートも参照してください。

1 ( 状況によって実行 ) インストールで使用する管理者パスワードをサイレントインストール用の

.properties ファイルで指定しないようにするには、export または set コマンドを使用します。次

に例を示します。set NOVL_ADMIN_PWD=myPassWord

この場合、サイレントインストールプロセスでは、.properties ファイルからではなく環境から

パスワードが読み込まれます。

次のパスワードを指定します。

NOVL_DB_RPT_USER_PASSWORD SIEM データベースの管理者のパスワードを指定します。

NOVL_IDM_SRV_PWD レポーティング用のデータベーススキーマとオブジェクトの所有者のパスワードを指定します。

NOVL_IDM_USER_PWD レポーティングデータに対する読み込み専用アクセス権を持つ idmrptuser のパスワードを

指定します。

NOVL_ADMIN_PWD ( 状況によって実行 ) ログイン時にサブコンテナを検索できるようにするには、LDAP 管理

者のパスワードを指定します。

NOVL_SMTP_PASSWORD ( 状況によって実行 ) 電子メールの通信に認証を使用するには、デフォルトの SMTP 電子

メールユーザのパスワードを指定します。

2 インストールパラメータを指定するため、次の手順を実行します。

2a .properties ファイルがインストール実行可能ファイルと同じディレクトリにあることを確

認します。

利便性のため、NetIQ は次の 2 つの .properties ファイルを提供しています。これらのファ

イルは、デフォルトでは .iso イメージの products\Reporting ディレクトリにあります。

rpt_installonly.properties - デフォルトのインストール設定を使用する場合

rpt_configonly.properties - インストール設定をカスタマイズする場合

2b テキストエディタで .properties ファイルを開きます。

2c パラメータの値を指定します。パラメータの説明については、267 ページのステップ 9 を



注 : Standard Edition をインストールするための .properties ファイルには、そのバージョン

に必要なパラメータのみが含まれています。

2d ファイルを保存して閉じます。

3 インストールプロセスを起動するには、次のコマンドを入力します。

rpt-install.exe -i silent -f path_to_properties_file

注 : .properties ファイルがインストールスクリプトとは異なるディレクトリにある場合は、ファ

イルのフルパスを指定する必要があります。スクリプトによって、必要なファイルが一時ディレクトリに解凍され、サイレントインストールが開始されます。

17.3 データベーススキーマの手動生成インストール後に、再インストールすることなくデータベーステーブルを作成できます。このセクションは、データベーススキーマを作成する場合に役立ちます。

1 services.msc ファイルを使用して、Tomcat を停止します。

2 ( 状況によって実行 ) 新しいデータベースを作成します。

データベースが別のサーバ上で実行されている場合は、そのデータベースサーバに接続する必要があります。リモートインストールされた PostgreSQL データベースの場合、そのデータ

ベースサーバが実行中であることを確認します。リモート PostgreSQL データベースに接続す

るには、274 ページのセクション 17.4「リモート PostgreSQL データベースへの接続」を参照

してください。Oracle データベースに接続する場合は、そのデータベースサーバに

Oracle データベースインスタンスが作成されていることを確認します。詳細については、

Oracle のマニュアルを参照してください。

3 C:\NetIQ\idm\apps\IdentityReporting\sql から次の SQL を使用してデータベースに必要な役割を追

加します。

PostgreSQL: create_dcs_roles_and_schemas.sql および create_rpt_roles_and_schemas.sql

Oracle: create_dcs_roles_and_schemas-orcale.sql および create_rpt_roles_and_schemas-orcale.sql

4 IDM_RPT_DATA、IDM_RPT_CFG、および IDMRPTUSER 役割を作成するには、次のアク

ションを実行します。

PostgreSQL: 指定の順序で次のコマンドを実行します。

Select CREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>');

Select CREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>', '<Set pwd for IDMRPTUSER>');

Oracle: 指定の順序で次のコマンドを実行します。

beginCREATE_DCS_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_DATA>');end;

beginCREATE_RPT_ROLES_AND_SCHEMAS('<Set pwd for IDM_RPT_CFG>', '<Set pwd for IDMRPTUSER>');end;


5 IDM_RPT_DATA スキーマに get_formatted_user_dn 機能を追加します。

5a データベース管理者ユーザとしてデータベースにログインします。

5b C:\NetIQ\idm\apps\IdentityReporting\sql から get_formatted dn 関数を追加します。

PostgreSQL の場合は get_formatted_user_dn.sql、Oracle の場合は get_formatted_user_dn-oracle.sql を見つけます。

6 C:\NetIQ\idm\apps\IdentityReporting\sql にある次の .sql ファイルのデータベースチェックサムをク

リアします。

DbUpdate-01-run-as-idm_rpt_cfg.sql


DbUpdate-03-run-as-idm_rpt_data.sql




6a 各 SQL の始めに次の行を追加します。

update DATABASECHANGELOG set MD5SUM = NULL;

変更されたコンテンツは次のようになるはずです。

-- *********************************************************************-- Update Database Script-- *********************************************************************-- Change Log: IdmDcsDataDropViews.xml-- Ran at: 2/23/18 5:17 PM-- Against: IDM_RPT_CFG@jdbc:oracle:thin:@192.99.170.20:1521/orcl-- Liquibase version: 3.5.1-- *********************************************************************update databasechangelog set md5sum = null;

6b 対応するユーザで各 SQL を実行します。

7 データベースに変更をコミットします。

8 services.msc ファイルを使用して、Tomcat を起動します。

17.4 リモート PostgreSQL データベースへの接続

PostgreSQL データベースが別のサーバにインストールされている場合は、リモートデータベース

の postgresql.conf および pg_hba.conf ファイルのデフォルト設定を変更する必要があります。

1 postgresql.conf ファイルのリスニングアドレスを変更します。

デフォルトでは、PostgreSQL で localhost 接続をリスンできます。リモート TCP/IP 接続は許

可されません。リモート TCP/IP 接続を許可するには、

C:\NetIQ\idm\postgres\data\postgresql.conf ファイルに次のエントリを追加します。

listen_addresses = '*'

サーバ上に複数のインタフェースがある場合は、リスンされる特定のインタフェースを指定できます。

2 pg_hba.conf ファイルにクライアント認証エントリを追加します。


デフォルトでは、PostgreSQL は localhost からの接続のみを受け入れます。リモート接続は拒

否します。これは、有効なパスワード (md5 キーワード ) を入力したユーザには IP アドレスか

らのログインを許可する、アクセス制御ルールを適用することによって制御されます。リモート接続を受け入れるには、C:\NetIQ\idm\postgres\data\pg_hba.conf ファイルに次のエントリを追加

します。

host all all 0.0.0.0/0 md5

たとえば、192.168.104.24/26 trust です。

これは IPv4 アドレスでのみ機能します。IPv6 アドレスの場合、次のエントリを追加します。

host all all ::0/0 md5

特定のネットワーク上にある複数のクライアントコンピュータからの接続を許可する場合は、このエントリに CIDR アドレス形式でネットワークアドレスを指定します。

pg_hba.conf ファイルは、次のクライアント認証形式をサポートしています。

ローカルデータベースユーザ認証方法 [ 認証オプション ]

ホストデータベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

hostssl データベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

hostnossl データベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

CIDR アドレス形式の代わりに、次の形式を使用して別のフィールドに IP アドレスとネット

ワークマスクを指定できます。

ホストデータベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

hostssl データベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

hostnossl データベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

3 リモート接続をテストします。

3a リモート PostgreSQL サーバを再起動します。

3b ユーザ名とパスワードを使用してリモートでサーバにログインします。



18 18Identity Reporting の設定

Identity Reporting をインストールした後でも、configupdate.bat ファイルを実行して、インストール

プロパティの多くを変更することができます。

環境設定ツールで Identity Reporting の設定を変更した場合、変更を反映するには Tomcat を再起動

する必要があります。ただし、Identity Reporting の Web ユーザインタフェースで変更を加えた場

合は、サーバの再起動は必要ありません。

277 ページのセクション 18.1「Oracle データベースでのレポートの実行」

277 ページのセクション 18.2「Identity Reporting 用の REST API の展開」

277 ページのセクション 18.3「リモート PostgreSQL データベースへの接続」

18.1 Oracle データベースでのレポートの実行

Identity Reporting は、リモートの Oracle データベースに対してレポートを実行できます。ただし、

ご使用のアプリケーションサーバ用のライブラリに Oracle JDBC ファイルを追加する必要がありま

す。

1 Oracle の Web サイトから ojdbc7.jar ファイルをダウンロードします。

2 Tomcat サーバの適切な場所にファイルをコピーします (tomcat_lib の common/lib ディレクトリ

)。

サポートされている Oracle データベースの詳細については、264 ページのセクション 16.5「Identity Reporting のシステム要件」を参照してください。

18.2 Identity Reporting 用の REST API の展開

Identity Reporting には、レポーティング機能内でさまざまな機能を可能にする複数の REST API が組み込まれています。これらの REST API は認証に OAuth2 プロトコルを使用します。

Tomcat では、Identity Reporting のインストール時に rptdoc war が自動的に展開されます。

ステージング環境または運用環境で作業する際は、Tomcat 上の使用環境から rptdoc war のファイル

とフォルダを手動で削除します。

18.3 リモート PostgreSQL データベースへの接続

PostgreSQL データベースが別のサーバにインストールされている場合は、リモートデータベース

の postgresql.conf および pg_hba.conf ファイルのデフォルト設定を変更する必要があります。

1 postgresql.conf ファイルのリスニングアドレスを変更します。

Identity Reporting の設定 277

http://www.oracleimg.com/technetwork/database/features/jdbc/jdbc-drivers-12c-download-1958347.html

デフォルトでは、PostgreSQL で localhost 接続をリスンできます。リモート TCP/IP 接続は許

可されません。リモート TCP/IP 接続を許可するには、

C:\NetIQ\idm\apps\postgres\data\postgresql.conf ファイルに次のエントリを追加します。

listen_addresses = '*'

サーバ上に複数のインタフェースがある場合は、リスンされる特定のインタフェースを指定できます。

2 pg_hba.conf ファイルにクライアント認証エントリを追加します。

デフォルトでは、PostgreSQL は localhost からの接続のみを受け入れます。リモート接続は拒

否します。これは、有効なパスワード (md5 キーワード ) を入力したユーザには IP アドレスか

らのログインを許可する、アクセス制御ルールを適用することによって制御されます。リモート接続を受け入れるには、C:\NetIQ\idm\apps\postgres\data\pg_hba.conff ファイルに次のエントリ

を追加します。

host all all 0.0.0.0/0 md5

たとえば、192.168.104.24/26 trust です。

これは IPv4 アドレスでのみ機能します。IPv6 アドレスの場合、次のエントリを追加します。

host all all ::0/0 md5

特定のネットワーク上にある複数のクライアントコンピュータからの接続を許可する場合は、このエントリに CIDR アドレス形式でネットワークアドレスを指定します。

pg_hba.conf ファイルは、次のクライアント認証形式をサポートしています。

ローカルデータベースユーザ認証方法 [ 認証オプション ]

ホストデータベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

hostssl データベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

hostnossl データベースユーザ CIDR アドレス認証方法 [ 認証オプション ]

CIDR アドレス形式の代わりに、次の形式を使用して別のフィールドに IP アドレスとネット

ワークマスクを指定できます。

ホストデータベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

hostssl データベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

hostnossl データベースユーザ IP アドレス IP マスク認証方法 [ 認証オプション ]

3 リモート接続をテストします。

3a リモート PostgreSQL サーバを再起動します。

3b ユーザ名とパスワードを使用してリモートでサーバにログインします。

278 Identity Reporting の設定

19 19Reporting 用ドライバの管理

Identity Reporting に必要なドライバは次のとおりです。

Identity Manager 管理対象システムのゲートウェイドライバ

Identity Manager データ収集サービス用ドライバ

Designer に付属するパッケージ管理ツールを使用して、ドライバをインストールおよび設定できま

す。このプロセスには次の作業が含まれます。

279 ページのセクション 19.1「Identity Reporting 用のドライバの設定」

285 ページのセクション 19.2「Identity Reporting 用ドライバの展開と起動」

290 ページのセクション 19.3「ランタイム環境の設定」

300 ページのセクション 19.4「ドライバの監査フラグの設定」

19.1 Identity Reporting 用のドライバの設定

このセクションは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを Identity Reporting 用にインストールおよび設定するのに役立ちます。

注 : このセクションは、ユーザアプリケーションドライバと RBPM 用の役割およびリソースドライ

バがインストールおよび設定済みであることが前提です。詳細については、223 ページの第 15.6 章

「識別情報アプリケーション用のドライバの作成と展開」を参照してください。

279 ページのセクション 19.1.1「Identity Reporting 用のドライバパッケージのインストール」

280 ページのセクション 19.1.2「管理対象システムのゲートウェイドライバの設定」

281 ページのセクション 19.1.3「データ収集サービス用ドライバの設定」

284 ページのセクション 19.1.4「識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定」

19.1.1 Identity Reporting 用のドライバパッケージのインストール

ドライバを設定する前に、ドライバに必要なすべてのパッケージがパッケージカタログに含まれている必要があります。Designer で新しい Identity Manager プロジェクトを作成すると、新しいプロ

ジェクトにいくつかのパッケージをインポートするようにユーザインタフェースによって自動的に要求されます。インストール中にパッケージをインポートする必要はありませんが、Identity Reporting を適切に機能させるには、一定の段階でパッケージをインストールする必要があります。


2［パッケージカタログ］ > ［パッケージのインポート］の順に選択します。

3［パッケージの選択］ダイアログボックスで、［すべて選択］をクリックし、［OK］をクリック

します。

Reporting 用ドライバの管理 279

Designer によって、［パッケージカタログ］にいくつかの新しいパッケージフォルダが追加され

ます。これらのパッケージフォルダは、Designer 内の［モデラー］ビューの右側にあるパレッ

トに含まれるオブジェクトに対応します。


19.1.2 管理対象システムのゲートウェイドライバの設定


2［モデラー］ビューのパレットで、［サービス］ > ［管理対象のシステムゲートウェイ］の順に選択

します。

3［管理対象のシステムゲートウェイ］のアイコンを［モデラー］ビューにドラッグします。

4 ドライバ環境設定ウィザードで、［Managed System Gateway Base ( 管理対象のシステムゲート

ウェイベース )］を選択して、［次へ］をクリックします。

5［必須機能の選択］ウィンドウで、必須機能を選択して［次へ］をクリックします。

6 ( 状況によって実行 )「［Advanced Java Class ( 拡張 Java クラス )］」という名前の追加パッ

ケージを指定するようプロンプトが表示される場合は、そのパッケージを選択して［OK］をク


7 ( オプション ) ドライバに使用する名前を指定します。


9［Connection Parameters ( 接続パラメータ )］に、Identity Reporting がドライバにデータを要

求する場合に使用する値を指定します。

複数の IP アドレスを指定した場合は、引き続き同じポート番号を使用してすべてのインタ

フェースをリスンします。たとえば、アドレスに「192.168.0.1,127.0.0.1」、ポートに「9000」を

指定した場合、ドライバは次の設定を使用します。

192.168.0.1:9000127.0.0.1:9000

10 ( オプション ) エンドポイントトレースを有効にするため、［true］を選択してトレースファイ

ルの場所を指定します。


12 ( オプション ) ドライバをリモートローダに接続するため、次の手順を実行します。

12a［リモートローダ］ウィンドウで［はい］を選択します。

12b 使用するリモートローダ設定を指定します。


14［インストールタスクの確認］ウィンドウの情報を確認して、［終了］をクリックします。

15 ( オプション ) ドライバの他の設定を行うため、［モデラー］ビューで次の手順を実行します。

15a 管理対象システムのゲートウェイドライバとドライバセットを結ぶ線を右クリックして、［プロパティ］をクリックします。

15b［プロパティ］ダイアログボックスで、［ドライバ環境設定］ > ［起動オプション］の順に選

択します。

15c［起動オプション］で［手動］を選択して、［適用］をクリックします。

15d［ドライバパラメータ］タブを選択します。

15e ( オプション )［ドライバオプション］タブで、ドライバ、接続、およびエンドポイントト

レースの設定を変更します。

280 Reporting 用ドライバの管理

設定を表示するには、［Connection Parameters ( 接続パラメータ )］および［ドライバパラ

メータ］の下にある［show ( 表示 )］を選択しなければならない場合があります。

15f ( オプション ) 発行者チャネル上でドライバから定期的にステータスメッセージを送信す

るため、［発行者オプション］タブを選択し、［Publisher heartbeat interval ( 発行者のハー

トビート間隔 )］に値を分単位で指定します。

指定した間隔内に発行者チャネル上でトラフィックが発生しないと、ドライバは新しいハートビートを送信します。

15g［Apply ( 適用 )］をクリックします。

16 ( オプション ) サーバのグローバル構成値を指定するため、次の手順を実行します。

16a ナビゲーションペインで［GCV］を選択します。

16b 次のようなグローバル構成値を指定します。

Query Managed Systems across driversets ( ドライバセット全体に管理対象システムを

問い合わせる ) 管理対象システムのゲートウェイドライバの操作スコープを定義します。［true］に

設定すると、ドライバはドライバセット全体の管理対象システムに関する情報を返します。他の設定の場合、スコープはローカルドライバセットに制限されます。

Add end-point request data to queries (クエリにエンドポイント要求データを追加する )

ドライバによって送信されるクエリにエンドポイント要求データを追加するかどうかを指定します。これは operation-data ノードとして追加されます。

End-point request data node name ( エンドポイント要求データのノード名 ) クエリの operation-data に追加するノード名を指定します。ノード属性に要求の詳細

が含まれるようになります。

16c［Apply ( 適用 )］をクリックします。

17 ( オプション ) インストールされたパッケージを確認するため、ナビゲーションペインで［パッ

ケージ］をクリックします。

特定のパッケージをアンインストールする場合を除き、［操作］の設定を変更する必要はありません。


19 Identity Reporting が正しく機能するよう、購読者チャネルを有効にします。

19.1.3 データ収集サービス用ドライバの設定


2［モデラー］ビューのパレットで、［サービス］ > ［データ収集サービス］の順に選択します。

3［データ収集サービス］のアイコンを［モデラー］ビュー上にドラッグします。

4 ドライバ環境設定ウィザードで、［Data Collection Service Base ( データ収集サービスベース )］を選択して、［次へ］をクリックします。

5［必須機能の選択］ウィンドウで、必須機能を選択して［次へ］をクリックします。

6 適用するオプション機能を選択し、［次へ］をクリックします。


7 ( 状況によって実行 )「［LDAP Library (LDAP ライブラリ )］」という名前の追加パッケージを指

定するようプロンプトが表示される場合は、次の手順を実行します。

7a パッケージを選択し、［OK］をクリックします。

7b ( オプション ) すべてのドライバを対象にしたグローバルな接続プロファイルを設定する

には、［Install LDAP Library (LDAP ライブラリのインストール )］ページで［はい］を選択

します。


9 ( オプション ) ドライバに使用する名前を指定します。


11［Connection Parameters ( 接続パラメータ )］に、Identity Reporting がドライバにデータを要

求する場合に使用する値を指定します。

たとえば、認証に使用するレポーティング管理者のユーザとパスワードを指定します。

複数の IP アドレスを指定した場合は、引き続き同じポート番号を使用してすべてのインタ

フェースをリスンします。たとえば、アドレスに「192.168.0.1,127.0.0.1」、ポートに「9000」を

指定した場合、ドライバは次の設定を使用します。

192.168.0.1:9000127.0.0.1:9000


13［Identity Vault Registration ( 識別ボールトの登録 )］に、識別ボールトの設定を指定します。

IP アドレスを指定する必要があります。［Identity Vault Registration ( 識別ボールトの登録 )］に

localhost アドレスを指定しないでください。

14 ( オプション ) 管理対象システムのゲートウェイドライバを登録するため、次の手順を実行しま

す。

14a［Managed System Gateway Registration ( 管理対象システムのゲートウェイの登録 )］で

［はい］をクリックします。

14b ドライバの DN に加え、LDAP 管理者のユーザおよびパスワードを指定します。

注 : ドライバがまだ展開されていないので、ブラウズ機能では設定したばかりの管理対象システムのゲートウェイドライバは表示されません。したがって、ドライバの DN を入力



16 ( オプション ) ドライバをリモートローダに接続するため、次の手順を実行します。

16a［リモートローダ］ウィンドウで［はい］を選択します。

16b 使用するリモートローダ設定を指定します。


18［Scoping Configuration ( スコープ設定 )］で、データ収集サービスドライバの役割を指定しま

す。

19［インストールタスクの確認］ウィンドウの情報を確認して、［終了］をクリックします。


20 ( オプション ) ドライバの他の設定を行うため、［モデラー］ビューで次の手順を実行します。

20a データ収集サービスドライバとドライバセットを結ぶ線を右クリックして、［プロパティ］

をクリックします。

20b［プロパティ］ダイアログボックスで、［ドライバ環境設定］ > ［起動オプション］の順に選

択します。

20c［起動オプション］で［手動］を選択して、［適用］をクリックします。

20d［ドライバパラメータ］タブを選択します。

ドライバが多数のイベントを受信する環境では、ファイルごとのバッチ数を 5 以下に設定

することをお勧めします。このパラメータを 5 より大きい値に設定する場合、ドライバは

イベントを効率的に処理できません。

20e ( オプション )［ドライバオプション］タブで、ドライバ、接続、および登録の設定を変更

します。

テスト環境では、低い数値を使用して、イベントが正常に処理されるかどうかを確認できます。ただし運用環境では、多くの場合、高い数値を使用して、システムが必要以上にイベントを処理しないようにします。

IP アドレス

Identity Reporting をホストするサーバの IP アドレスを指定します。

ポート Identity Reporting が REST 接続に使用するポート番号を指定します。

プロトコル Identity Reporting にアクセスするためのプロトコルを指定します。［HTTPS］を選択

した場合は、サーバの証明書を信頼するかどうかも指定する必要があります。名前

Identity Reporting 内で識別ボールトを参照するために使用する名前を指定します。

説明識別ボールトの短い説明を指定します。

アドレス識別ボールトの IP アドレスを指定します。

たとえば、192.168.0.1 です。

注 : IP アドレスを指定する必要があります。［Identity Vault Registration ( 識別ボール

トの登録 )］に「localhost」アドレスを指定しないでください。

Register Managed System Gateway ( 管理対象システムのゲートウェイの登録 ) 管理対象システムのゲートウェイドライバを登録するかどうかを指定します。

Managed System Gateway Driver DN (LDAP) ( 管理対象システムのゲートウェイドライ

バの DN (LDAP)) 管理対象システムのゲートウェイドライバの DN をスラッシュ形式で指定します。

Managed System Gateway Driver Configuration Mode ( 管理対象システムのゲートウェ

イドライバの環境設定モード ) ドライバをローカルまたはリモートのどちらで設定するかを指定します。


ユーザ DN (LDAP) 管理対象システムのゲートウェイドライバへの認証でドライバが使用するユーザのLDAP DN を指定します。この DN は識別ボールトに存在している必要があります。

パスワードユーザのパスワードを指定します。

Time interval between submitting events ( イベント送信間隔 ) イベントを DCS ( および Identity Reporting 用データベース ) に送信する前に永続レ

イヤー内に保持しておくことができる大時間 ( 分単位 )。

20f ( 状況によって実行 ) 識別情報アプリケーションからデータを収集するには、［SSO Service Support (SSO サービスのサポート )］の値を指定します。詳細については、

284 ページのセクション 19.1.4「識別情報アプリケーションからのデータ収集に関する

Identity Reporting の設定」を参照してください。

20g［適用］をクリックします。

21 DN を設定するため、次の手順を実行します。

21a ナビゲーションメニューで［エンジン制御値］を選択します。

21b［Qualified form for DN-syntax attribute values (DN 構文属性値の識別形式 )］の設定で、

［True］を選択します。

21c［Apply ( 適用 )］をクリックします。

22 ( オプション ) サーバのグローバル構成値を指定するため、次の手順を実行します。

22a ナビゲーションペインで［GCV］を選択します。

22b［Show override options ( 上書きオプションの表示 )］で［Show ( 表示 )］を選択します。

22c 設定を変更してグローバル構成値を上書きします。

22d［適用］をクリックします。


19.1.4 識別情報アプリケーションからのデータ収集に関する Identity Reporting の設定

Identity Reporting で識別情報アプリケーションからデータを収集するには、シングルサインオンプ

ロセスをサポートするように DCS ドライバを設定する必要があります。


2［アウトライン］ビューで、データ収集サービスドライバを右クリックし、［プロパティ］をクリックします。

3［ドライバ環境設定］ > ［ドライバパラメータ］の順にクリックします。

4［Show connection parameters ( 接続パラメータの表示 )］ > ［show ( 表示 )］の順にクリックし

ます。

5［SSO Service Support (SSO サービスのサポート )］ > ［はい］の順にクリックします。

6 シングルサインオン機能のパラメータを指定します。


SSO Service Address (SSO サービスのアドレス ) 必須

トークンを OSP に発行する認証サーバの相対 URL を指定します。たとえば、10.10.10.48と入力します。

この値は、RBPM 環境設定ユーティリティの［OSP server host identifier (OSP サーバのホ

スト識別子 )］で指定した値と同じ値にする必要があります。詳細については、250 ページ

の「［Authentication Server( 認証サーバ )］」を参照してください。

SSO Service Port (SSO サービスのポート ) 必須

認証サーバのポートを指定します。デフォルトは 8180 です。

この値は、RBPM 環境設定ユーティリティの［OSP server TCP port (OSP サーバの

TCP ポート )］で指定した値と同じ値にする必要があります。詳細については、250 ペー

ジの「［Authentication Server( 認証サーバ )］」を参照してください。

SSO Service Client ID (SSO サービスクライアント ID) 必須

DCS ドライバのシングルサインオンクライアントを認証サーバに対して識別するために

使用する名前を指定します。デフォルト値は dcsdrv です。

この値は、RBPM 環境設定ユーティリティの［OSP client ID (OSP クライアント ID)］で指

定した値と同じ値にする必要があります。詳細については、256 ページの「レポーティン

グ」を参照してください。

SSO Service Client Secret (SSO サービスクライアントシークレット ) 必須

DCS ドライバのシングルサインオンクライアントのパスワードを指定します。

この値は、RBPM 環境設定ユーティリティの［OSP client secret (OSP クライアントシーク

レット )］で指定した値と同じ値にする必要があります。詳細については、256 ページの「レポーティング」を参照してください。

プロトコルサービスクライアントが認証サーバとの通信時に http ( 非セキュア ) プロトコルまたは

https ( セキュア ) プロトコルのどちらを使用するかを指定します。

7［適用］をクリックし、［OK］をクリックします。

8 ( 状況によって実行 ) ドライバの展開後にこれらの設定を変更した場合、ドライバを展開して再

起動する必要があります。詳細については、285 ページのセクション 19.2「Identity Reporting 用ドライバの展開と起動」を参照してください。

9 現在の環境内にある DCS ドライバごとに、この手順を繰り返します。

19.2 Identity Reporting 用ドライバの展開と起動

Identity Reporting に必要なドライバは次のとおりです。

Identity Manager 管理対象システムのゲートウェイドライバ

Identity Manager データ収集サービス用ドライバ


このプロセスには次の作業が含まれます。

286 ページのセクション 19.2.1「ドライバの展開」

286 ページのセクション 19.2.2「管理対象システムの動作の確認」

289 ページのセクション 19.2.3「Identity Reporting 用ドライバの起動」

これらのドライバのインストールと設定の詳細については、279 ページのセクション 19.1「Identity Reporting 用のドライバの設定」を参照してください。

19.2.1 ドライバの展開

Identity Reporting 用に 2 つのドライバを展開する必要があります。


2［モデラー］ビューまたは［アウトライン］ビューで、展開するドライバセットを右クリックします。

3［ライブ］>［展開］順に選択します。

4 選択したドライバの識別ボールト資格情報を指定します。

19.2.2 管理対象システムの動作の確認

管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを起動する前に、基礎となる管理対象システムが適切に設定されていることを確認する必要があります。このプロセスは、レポーティングドライバの環境設定と関係のない、使用環境上の問題を切り分けるのに役立ちます。

たとえば、Active Directory 環境をトラブルシューティングする場合、ユーザアプリケーションでリ

ソースを割り当てることによって、Active Directory のエンタイトルメントをテストできます。

注 : Active Directory ドライバの詳細については、『NetIQ Identity Manager Driver for Active Directory Implementation Guide』を参照してください。

次の手順は、Active Directory が適切に設定されているかどうかを確認する方法の 1 つを示していま

す。

1 ユーザアプリケーションと Identity Reporting の両方が同じサーバで実行されていることを確認

します。

2 iManager で、ユーザアプリケーションドライバと役割およびリソースサービスドライバが実

行されていることを確認してから、管理対象システム用のドライバが実行されていることを確認します。

3 ユーザアプリケーションが Active Directory から情報を取得できることを確認するため、ユー

ザアプリケーションにユーザアプリケーション管理者としてログインします。

4 リソースカタログで、Active Directory アカウント用の新しいリソースを作成します。

5 そのリソースを Active Directory ドライバ内のエンタイトルメント (［User Account Entitlement ( ユーザアカウントエンタイトルメント )］など ) にバインドします。


https://www.netiq.com/documentation/identity-manager-46-drivers/ad/

https://www.netiq.com/documentation/identity-manager-46-drivers/ad/

これで、ユーザアプリケーションはドライバからエンタイトルメントを取得できます。

6 この特定のリソースはアカウントに関係しているため、アカウントの値を割り当てるようにリソースを設定します。

7 アカウントの値を選択して、［追加］をクリックします。

8 グループを割り当てる別のリソースを作成します。


9 そのリソースを、グループに適したエンタイトルメントにバインドします。この特定のリソースを［Group Membership Entitlement ( グループメンバーシップエンタイトルメント )］に割り当

てます。

10 ユーザが要求時にエンタイトルメントの値を割り当てるようにリソースを設定し、ユーザが 1つの割り当て要求に対して複数の値を選択できるようにします。

11 エンタイトルメントが正常に作成されたことを確認します。

この時点で、管理対象システムの基礎となるアーキテクチャ ( この場合は Active Directory) が正しく機能していることを確認できます。これは、後になって問題が発生した場合に、問題のトラブルシューティングに役立ちます。


19.2.3 Identity Reporting 用ドライバの起動

このセクションでは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバの起動方法について説明します。

1 iManager を開きます。

2 管理対象システムのゲートウェイドライバを右クリックし、［ドライバの起動］をクリックします。

3 データ収集サービスドライバを右クリックし、［ドライバの起動］をクリックします。

4 ドライバが起動したら、コンソールにより、サーバコンソールに追加情報が表示されることを確認します。次に例を示します。

5 Identity Reporting にレポーティング管理者としてログインします。

6 左側のナビゲーションペインで、［概要］をクリックします。

7［環境設定］セクションに、識別ボールトが設定済みとレポートされることを確認します。

8 ナビゲーションペインで、［識別ボールト］をクリックします。

9［識別ボールト］ページに、データ収集サービスドライバおよび管理対象システムのゲートウェイドライバの詳細が表示されることを確認します。管理対象システムのゲートウェイドライバのステータスには、ドライバが初期化済みであることが示されている必要があります。

この時点で識別情報ウェアハウスの内容を確認すると、識別ボールト関連の豊富な保存データのほか、エンタープライズ内の管理対象システムをさらに詳しく把握できます。

10 識別情報ウェアハウス内のデータを参照するには、データベース管理ツール (PostgreSQL の場

合は PGAdmin など ) を使用して SIEM データベースの内容を確認します。SIEM データベース

を参照すると、次のスキーマが表示されます。 idm_rpt_cfg

レポート定義やスケジュールなどのレポーティング環境設定データが保存されています。このスキーマは、Identity Reporting のインストールプログラムによってデータベースに追

加されます。

idm_rpt_data 管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバによって収集された情報が保存されています。このスキーマは、Identity Reporting のインストールプ

ログラムによってデータベースに追加されます。

11 ドライバによって収集されたデータを表示するため、［idm_rpt_data］ > ［Tables ( テーブル )］ > ［idmrpt_idv］の順に展開します。

12 新しいデータ収集サービスドライバに対して、このテーブルに行が 1 つ追加されていることを

確認します。


13 このテーブルのデータが識別ボールトの名前を示していることを確認します。

このテーブルに新しい行が表示されている場合、ドライバの登録プロセスは正常に完了しています。

19.3 ランタイム環境の設定このセクションでは、ランタイム環境が正常に動作していることを確認するために必要な追加の設定手順について説明します。さらに、トラブルシューティングの手法に加え、注意を要するデータベーステーブルに関する情報についても説明します。


291 ページのセクション 19.3.1「識別情報アプリケーションからのデータ収集に関するデータ

収集サービスドライバの設定」

292 ページのセクション 19.3.2「データ収集サービスドライバの移行」

294 ページのセクション 19.3.3「カスタム属性とカスタムオブジェクトのサポートの追加」

297 ページのセクション 19.3.4「複数のドライバセットのサポートの追加」

298 ページのセクション 19.3.5「SSL を使用したリモートモードでのドライバ実行設定」

理解が困難な問題が 1 つ以上のドライバで発生する場合は、『Administrator Guide to NetIQ Identity Reporting』の「Troubleshooting」を参照してください。


19.3.1 識別情報アプリケーションからのデータ収集に関するデータ収集サービスドライバの設定

識別情報アプリケーションを Identity Reporting と適切に連携させるには、OAuth プロトコルをサ

ポートするように DCS ドライバを設定する必要があります。

注

現在の環境で Identity Reporting を使用している場合は、DCS ドライバをインストールして設定

するだけで済みます。

現在の環境で DCS ドライバが複数設定されている場合は、各ドライバに対して次の手順を実行


1 Designer にログインします。


3 ( 状況によって実行 ) プロジェクトにまだデータ収集サービスドライバが組み込まれていない場

合は、ドライバをプロジェクトにインポートします。詳細については、223 ページの第 15.6 章

「識別情報アプリケーション用のドライバの作成と展開」を参照してください。

4 ( 状況によって実行 ) DCS ドライバをサポートされているパッチバージョンにまだアップグ

レードしていない場合は、次の手順を実行します。

4a 新の DCS ドライバパッチファイルをダウンロードします。

4b パッチファイルをサーバ上の場所に展開します。

4c ターミナルで、ご使用の環境用のパッチ RPM を展開した場所へ移動し、次のコマンドを

実行します。

rpm -Uvh novell-DXMLdcs.rpmchange this

4d eDirectory を再起動します。

4e Designer で、サポートされているバージョンのデータ収集サービスベースパッケージがイ

ンストールされていることを確認します。必要に応じて、続行する前に新バージョンをインストールします。ソフトウェア要件の詳細については、263 ページのセクション 16.3

「Identity Reporting コンポーネントのインストールの前提条件」を参照してください。

4f Designer で DCS ドライバを再展開して再起動します。

5［アウトライン］ビューで、DCS ドライバを右クリックし、［プロパティ］を選択します。

6［ドライバ環境設定］をクリックします。

7［ドライバパラメータ］タブをクリックします。

8［Show connection parameters ( 接続パラメータの表示 )］をクリックし、［show ( 表示 )］を選

択します。

9［SSO Service Support (SSO サービスのサポート )］をクリックし、［はい］を選択します。

10 Reporting Module の IP アドレスとポートを指定します。

11 SSO サービスクライアントのパスワードを指定します。デフォルトのパスワードは driver です。

12［適用］をクリックし、［OK］をクリックします。


13［アウトライン］ビューで、DCS ドライバを右クリックし、［プロパティ］ > ［展開］の順に選択

します。

14［展開］をクリックします。

15 DCS ドライバの再起動を求めるプロンプトが表示される場合は、［はい］をクリックします。


19.3.2 データ収集サービスドライバの移行

オブジェクトを識別情報ウェアハウスに同期するには、データ収集サービスドライバを移行する必要があります。


2 データ収集サービスドライバの［概要］パネルで、［Migrate From Identity Vault ( 識別ボールト

からの移行 )］を選択します。

3 関連データが含まれる組織を選択して、［開始］をクリックします。

注 : 保存されているデータの量によっては、マイグレーションプロセスに数分かかる場合があります。次に進む前にマイグレーションプロセスが完了するまで待ってください。

4 マイグレーションプロセスが終わるまでしばらく待ちます。

5 識別ボールト内にある識別情報とアカウントの情報を提供する［idmrpt_identity］テーブルお

よび［idmrpt_acct］テーブルに、次のタイプの情報が含まれていることを確認します。

6 LDAP ブラウザで、マイグレーションプロセスによって［DirXML-Associations (DirXML 関連付

け )］に次の参照が追加されていることを確認します。

各ユーザについて次のタイプの情報を確認します。


各グループについて次のタイプの情報を確認します。

7［idmrpt_group］テーブルのデータが次の情報のように表示されることを確認します。

このテーブルには、各グループの名前のほかに、そのグループが動的であるか、それともネストされているかを示すフラグが表示されます。さらに、グループが移行済みかどうかも表示されます。オブジェクトがユーザアプリケーションで変更されているものの、まだ移行されていない場合、同期ステータス (idmrpt_syn_state) が 0 に設定されている可能性があります。たと

えば、ユーザをグループに追加し、ドライバがまだ移行されていない場合、この値が 0 に設定

されている可能性があります。

8 ( オプション ) 次のテーブルのデータを確認します。

idmrpt_approver idmrpt_association idmrpt_category idmrpt_container idmrpt_idv_drivers idmrpt_idv_prd


idmrpt_role idmrpt_resource idmrpt_sod

9 ( オプション ) 管理対象システムのゲートウェイドライバのデータ収集状態に関する情報が表示

される［idmrpt_ms_collect_state］テーブルに新しい行が含まれていることを確認します。

このテーブルには、管理対象システムのどの REST エンドポイントが実行されたかに関する

データが記録されます。この時点では、まだこのドライバのデータ収集プロセスを開始していないため、テーブルに行はありません。

19.3.3 カスタム属性とカスタムオブジェクトのサポートの追加

デフォルトのデータ収集スキームに含まれないカスタム属性とカスタムオブジェクトのデータを収集して永続化するよう、データ収集サービスドライバを設定できます。このためには、データ収集サービスドライバフィルタを変更する必要があります。フィルタを変更しても、オブジェクトの同期はすぐにはトリガされません。その代わりに、新しく追加した属性とオブジェクトは、識別ボールトで追加、変更、または削除イベントが発生したときにデータ収集サービスに送信されます。

カスタム属性とカスタムオブジェクトのサポートを追加する場合、レポートを変更して拡張属性と拡張オブジェクトの情報を組み込む必要があります。拡張オブジェクトと拡張属性に関する新データと履歴データは、次のビューで提供されます。

idm_rpt_cfg.idmrpt_ext_idv_item_v idm_rpt_cfg.idmrpt_ext_item_attr_v


294 ページの「拡張オブジェクトを使用するためのドライバの設定」

295 ページの「データベースへの名前と説明の組み込み」

296 ページの「既知のオブジェクトタイプへの拡張属性の追加」

拡張オブジェクトを使用するためのドライバの設定

任意のオブジェクトまたは属性をデータ収集サービスフィルタポリシーに追加できます。新しいオブジェクトまたは属性を追加する場合、GUID ( 購読者同期を使用 ) およびオブジェクトクラス ( 購読者通知を使用 ) をマップする必要があります。次に例を示します。


<filter-class class-name="Device" publisher="ignore" publisher-create-homedir="true" publisher-track-template-member="false" subscriber="sync"> <filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> <filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceModel" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> <filter-attr attr-name="sampleDeviceType" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> </filter-class>

データベースへの名前と説明の組み込み

データベースにオブジェクトの名前と設定を指定する場合、_dcsName および _dcsDescription に

対するスキーママッピングポリシーを追加する必要があります。このスキーママッピングポリシーは、オブジェクトインスタンスの属性値をそれぞれ列 idmrpt_ext_idv_item.item_name および

idmrpt_ext_idv_item.item_desc にマップします。スキーママッピングポリシーを追加しない場合、

属性は子テーブル idmrpt_ext_item_attr で設定されます。


<attr-name class-name="Device"> <nds-name>CN</nds-name> <app-name>_dcsName</app-name> </attr-name> <attr-name class-name="Device"> <nds-name>Description</nds-name> <app-name>_dcsDescription</app-name> </attr-name>

次の SQL の例では、データベース内にあるこれらのオブジェクトと属性の値を表示できます。


SELECT item.item_dn, item.item_name, item.item_desc, attr.attribute_name, itemAttr.attribute_value, item.idmrpt_deleted as item_deleted, itemAttr.idmrpt_deleted as attr_deleted, item.item_desc, obj.object_class FROM idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj WHERE item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id ORDER BY item.item_dn, item.item_name

既知のオブジェクトタイプへの拡張属性の追加

属性をデータ収集サービスドライバのフィルタポリシーに追加し、XML 参照ファイル

(IdmrptIdentity.xml) でレポーティングデータベースに明示的にマップしていない場合、値には

idmrpt_ext_attr テーブルの属性参照が取り込まれ、idmrpt_ext_item_attr テーブルで管理されます。

次の SQL の例は、これらの拡張属性を示しています。

SELECT acct.idv_acct_dn, attrDef.attribute_name, attribute_value, attrVal.idmrpt_valid_from, cat_item_attr_id, attrVal.idmrpt_deleted, attrVal.idmrpt_syn_state FROM idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY'

ユーザオブジェクトのほかに、次のオブジェクトのフィルタポリシーにも拡張属性を追加し、データベースにそれらの属性を入力できます。

nrfRole nrfResource

コンテナ

注 : インストールした製品は organizationUnit、Organization、および Domain をサポートして

います。コンテナタイプは idmrpt_container_types テーブルで管理されます。

グループ

nrfSod


拡張属性と親テーブルまたはオブジェクトの関連付けは、idmrpt_cat_item_types.idmrpt_table_name 列を参照することで確認できます。この列には、

idm_rpt_data.idmrpt_ext_item_attr.cat_item_id 列を親テーブルのプライマリキーに結合する方法が

記述されています。

19.3.4 複数のドライバセットのサポートの追加

新しい Data Collection Service Scoping パッケージ (NOVLDCSSCPNG) は、複数のドライバセット

と、データ収集サービスドライバおよび管理対象システムのゲートウェイドライバのペアを複数使用するエンタープライズ環境において、静的および動的なスコープ設定機能を実現します。

インストール中またはインストール後に、このパッケージをインストールするデータ収集サービスドライバの役割を決定する必要があります。次のいずれかの役割を選択する必要があります。

プライマリこのドライバは、他のドライバセットのサブツリーを除くすべてを同期します。プ

ライマリデータ収集サービスドライバは、識別ボールト全体にサービスを提供したり、1 つ以

上のセカンダリドライバと連携して動作したりする可能性があります。

セカンダリこのドライバは専用のドライバセットのみを同期し、それ以外は何も同期しませ

ん。通常、セカンダリデータ収集サービスドライバには、別のドライバセットで実行されているプライマリドライバが必要です。そうでない場合、ローカルドライバセットの外部にあるデータはデータ収集サービスに送信されません。

さらに、この 2 つ目のサーバでデータ収集サービスドライバをプライマリとして使用した場

合、ドライバは、レポートする必要があるオブジェクトの変更を認識できません。このようなサーバでデータ収集サービスドライバを設定するには、281 ページのセクション 19.1.3「デー

タ収集サービス用ドライバの設定」を参照してください。

Custom 管理者はカスタムスコープ設定ルールを定義できます。暗黙のスコープはローカルド

ライバセットのみで、それ以外は、カスタムスコープのリストに明示的に追加されていない限り、すべてスコープの範囲外とみなされます。カスタムスコープは、同期するサブオーディネートまたはサブツリーが含まれる識別ボールト内にあるコンテナのスラッシュ形式の識別名です。

このスコープ設定パッケージが必要になるのは、次に挙げるような特定の設定シナリオのみです。

1 つのサーバと、1 つのドライバセットの識別ボールト。このシナリオでは、スコープを設定す

る必要がないため、スコープ設定パッケージをインストールする必要はありません。

複数のサーバと、1 つのドライバセットの識別ボールト。このシナリオでは、次のガイドライ

ンに従う必要があります。

Identity Manager サーバがデータ収集元の全パーティションのレプリカを保持する必要が

あります。

このシナリオでは、スコープ設定は必要ないため、スコープ設定パッケージはインストー

ルしません。

複数のサーバと、複数のドライバセットの識別ボールト。このシナリオでは、次の 2 つの基本

設定があります。

すべてのサーバがデータ収集元の全パーティションのレプリカを保持する設定。

この設定では、次のガイドラインに従う必要があります。

複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ設定が

必要です。

すべての DCS ドライバにスコープ設定パッケージをインストールする必要がありま

す。


1 つの DCS ドライバをプライマリドライバとして選択する必要があります。

他の DCS ドライバはすべてセカンダリドライバになるように設定する必要がありま

す。

すべてのサーバがデータ収集元の全パーティションのレプリカを「保持しない」設定。

この設定では、次の 2 つの状況が考えられます。

データ収集元の全パーティションは「1 つの」Identity Manager サーバによってのみ保

持されます。

この場合、次のガイドラインに従う必要があります。

複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ

設定が必要です。

すべての DCS ドライバにスコープ設定パッケージをインストールする必要があ

ります。

すべての DCS ドライバをプライマリドライバになるように設定する必要があり

ます。

データの収集元の全パーティションは「1 つの Identity Manager サーバのみによって保

持されません」( 一部のパーティションは複数の Identity Manager サーバで保持され

ます )。

この場合、次のガイドラインに従う必要があります。

複数の DCS ドライバによって同じ変更が処理されるのを避けるため、スコープ

設定が必要です。

すべての DCS ドライバにスコープ設定パッケージをインストールする必要があ

ります。

すべての DCS ドライバをプライマリドライバになるように設定する必要があり

ます。

各ドライバに対してカスタムスコープ設定ルールを定義し、作成したスコープが重複していないことを確認する必要があります。

19.3.5 SSL を使用したリモートモードでのドライバ実行設定

リモートモードで実行する場合、データ収集サービスドライバおよび管理対象のシステムゲートウェイドライバを、SSL を使用するように設定できます。このセクションでは、SSL を使用してリ

モートモードで実行されるようにドライバを設定する手順について説明します。

管理対象システムのゲートウェイドライバに対してキーストアを使用して SSL を設定する

1 iManager でサーバ証明書を作成します。

1a［Roles and Tasks ( 役割とタスク )］ビューで、［NetIQ Certificate Server］ > ［Create Server Certificate ( サーバ証明書の作成 )］の順にクリックします。

1b 管理対象システムのゲートウェイドライバがインストールされているサーバオブジェクトを参照して選択します。

1c 証明書のニックネームを指定します。

1d 作成方法として［Standard ( 標準 )］を選択し、［次へ］をクリックします。

1e［終了］をクリックし、［閉じる］をクリックします。


2 iManager を使用してサーバ証明書をエクスポートします。

2a［Roles and Tasks ( 役割とタスク )］ビューで、［NetIQ Certificate Access (NetIQ 証明書ア

クセス )］ > ［Server Certificates ( サーバ証明書 )］の順にクリックします。

2b 298 ページのステップ 1 で作成した証明書を選択して、［エクスポート］をクリックしま

す。

2c［証明書］メニューで、証明書の名前を選択します。

2d［Export private key ( 秘密鍵のエクスポート )］がオンになっていることを確認します。

2e パスワードを入力し、［次へ］をクリックします。

2f［Save the exported certificate ( エクスポートされた証明書の保存 )］をクリックし、エクス

ポートされた pfx 証明書を保存します。

3 299 ページのステップ 2 でエクスポートした pfx 証明書を Java キーストアにインポートしま

す。

3a Java に付属するキーツールを使用します。JDK 6 以上を使用する必要があります。

3b コマンドプロンプトで次のコマンドを入力します。

keytool -importkeystore -srckeystore pfx certificate -srcstoretypePKCS12 -destkeystore Keystore Name


keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12-destkeystore msgw.jks

3c 要求されたときにはパスワードを入力してください。

4 iManager を使用して、このキーストアを使用するように管理対象システムのゲートウェイド

ライバの設定を変更します。

4a［Identity Manager Overview (Identity Manager の概要 )］から、管理対象システムのゲート

ウェイドライバが含まれるドライバセットをクリックします。

4b［driver state ( ドライバ状態 )］アイコンをクリックし、［Edit properties ( プロパティの編

集 )］ > ［Driver configuration ( ドライバ環境設定 )］の順に選択します。

4c［Show Connection Parameters ( 接続パラメータの表示 )］を［true］に設定し、［Driver configuration mode ( ドライバ環境設定モード )］を［remote ( リモート )］に設定します。

4d キーストアファイルの完全なパスとパスワードを入力します。

4e 保存してドライバを再起動します。

5 iManager を使用して、このキーストアを使用するようにデータ収集サービスドライバの設定

を変更します。

5a［Identity Manager Overview (Identity Manager の概要 )］から、管理対象システムのゲート

ウェイドライバが含まれるドライバセットをクリックします。

5b［driver state ( ドライバ状態 )］アイコンをクリックし、［Edit properties ( プロパティの編

集 )］ > ［Driver configuration ( ドライバ環境設定 )］の順に選択します。

5c［Managed System Gateway Registration ( 管理対象システムのゲートウェイの登録 )］とい

う見出しの下にある［Managed System Gateway Driver Configuration Mode ( 管理対象シ

ステムのゲートウェイドライバの環境設定モード )］を［remote ( リモート )］に設定しま

す。


5d キーストアの完全なパス、パスワード、および 298 ページのステップ 1c で入力した別名

を入力します。

5e 保存してドライバを再起動します。

19.4 ドライバの監査フラグの設定このセクションでは、管理対象システムのゲートウェイドライバおよびデータ収集サービスドライバを監査する場合の推奨設定の概要について説明します。

300 ページのセクション 19.4.1「Identity Manager での監査フラグの設定」

301 ページのセクション 19.4.2「eDirectory での監査フラグの設定」

19.4.1 Identity Manager での監査フラグの設定

NetIQ では、Identity Manager でドライバに対して監査フラグを設定することをお勧めします。こ

れらのフラグは Novell Audit 用です (XDAS 用ではありません )。

iManager でフラグを設定するには、［Driver Set Properties ( ドライバセットのプロパティ )］ > ［ログ

レベル］ > ［特定のイベントの記録］の順に選択します。

カテゴリ推奨フラグ

Metadirectory Engine Events ( メタディレクトリエン

ジンイベント ) Metadirectory Engine Warnings ( メタディレクト

リエンジン警告 )

ステータスイベント Success ( 成功 )

注 : ［Correlated Resource Assignment Events per User ( ユーザあたりの相関リソース割り当

てイベント )］レポートには［Success ( 成功 )］フラグが必要です。このレポートまたはそのカスタマイズバージョンを実行できるようにするには、［Success ( 成功 )］フラグを有効にする必


Error ( エラー )

Fatal


19.4.2 eDirectory での監査フラグの設定

NetIQ では、eDirectory でドライバに対して監査フラグを設定することをお勧めします。これらの

フラグは Novell Audit 用です (XDAS 用ではありません )。

iManager でフラグを設定するには、［eDirectory Auditing (eDirectory の監査 )］ > ［Audit Configuration ( 監査環境設定 )］ > ［Novell Audit］の順に選択します。

操作イベント変更

関連付けの追加


値の追加

追加

リネーム

関連付けの削除

オブジェクトパスワードの確認

属性のクリア

値の削除

Named Password ( 名前付きパスワード ) の取得

削除

Move


値の追加 ( 変更時 )

属性のリセット

変換イベントパスワードのリセット

ユーザエージェントの要求

パスワードの同期

資格情報プロビジョニングイベント SSO 資格情報の設定

SSO 資格情報のクリア

SSO パスフレーズの設定



Global 複製されたイベントを送信しない

メタ ( すべてのフラグを選択 )


オブジェクト追加するプロパティ

ログインの許可


セキュリティ等号の変更

作成

削除

プロパティの削除

ログイン

ログアウト

RDN の変更

移動 ( ソース )

移動 ( ターゲット )

削除

名前の変更

復元

検索


属性 ( すべてのフラグを選択 )

エージェント DS のリロード

ローカルエージェントを開く

ローカルエージェントを閉じる

NLM のロード

その他 CA キーの生成

公開キーの再認証



LDAP LDAP バインド

LDAP レスポンスのバインド

LDAP 変更

LDAP レスポンスの変更

LDAP パスワード変更

LDAP アンバインド

LDAP 削除

LDAP レスポンスの削除

LDAP DN の変更

LDAP DN レスポンスの変更

LDAP 検索

LSAP 応答の検索

LDAP 追加

LDAP レスポンスの追加




VI VIDesigner のインストール

このセクションでは、Designer for Identity Manager のインストールプロセスを順を追って説明しま

す。デフォルトでは、インストールプログラムは C:\NetIQ にコンポーネントをインストールしま

す。

重要 : Designer インストールプログラムを含むディレクトリ名にスペースが含まれていないことを

確認します。ディレクトリ名にスペースが含まれている場合、Designer のインストール中に NICIがインストールされません。たとえば、ディレクトリ名は Designer Install にしないでください。代

わりに、DesignerInstall にしてください。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、307 ページの第 20 章「Designer のインストールの計画」を参照してください。

Designer のインストール 305

306 Designer のインストール

20 20Designer のインストールの計画

このセクションでは、Designer のインストールに必要な前提条件、考慮事項、およびシステムセッ

トアップについて説明します。まず、次のチェックリストを参照してインストールプロセスを理解します。

307 ページのセクション 20.1「Designer のインストールチェックリスト」

308 ページのセクション 20.2「Designer のインストールの前提条件」

308 ページのセクション 20.3「Designer のシステム要件」

20.1 Designer のインストールチェックリスト

インストールを開始する前に、次の手順を確認することをお勧めします。


1. 製品のアーキテクチャ情報を確認して Identity Manager コンポーネント間の相互作用を理解

します。詳細については、19 ページの第 1 章「Identity Manager のコンポーネントの概要」





3. Designer のインストールに関する考慮事項を検討し、コンピュータが前提条件を満たして

いることを確認します。詳細については、308 ページのセクション 20.2「Designer のイン

ストールの前提条件」を参照してください。

4. Designer をインストールするコンピュータが指定されたソフトウェアおよびハードウェア

要件を満たしていることを確認します。詳細については、308 ページのセクション 20.3「Designer のシステム要件」を参照してください。

5. Designer をインストールするため、次のいずれかのセクションを参照します。

311 ページの「Windows の実行可能ファイルの実行」

311 ページの「サイレントインストールプロセスの使用」

6. 残りの Identity Manager コンポーネントをインストールします。

7. ( オプション ) Identity Manager ソリューション用のプロジェクトを開始するため、『NetIQ Designer for Identity Manager Administration Guide』を参照します。

Designer のインストールの計画 307

20.2 Designer のインストールの前提条件

このセクションでは、Designer をインストールするための前提条件とシステム要件について説明し

ます。

Designer をインストールまたはアップグレードする前に、次の考慮事項を確認します。

Designerをインストールする前に、32ビットのNovell International Cryptographic Infrastructure (NICI) パッケージをインストールする必要があります。

Designer 2.1x のワークスペースを Designer 3.0 以上で使用することはできません。古いワーク

スペースバージョンは新しいバージョンの Designer との互換性がないためです。Designer は、

プロジェクトおよび設定情報をワークスペースに保存します。たとえば、「Windows 10 および

Windows 7」では、Designer 4.x ワークスペースはデフォルトで

%UserProfile%\designer_workspace ディレクトリにインストールされます。

20.3 Designer のシステム要件

このセクションでは、Designer をインストールするサーバの小要件について記載します。インス

トール、特にオペレーティングシステムに関するインストールについての前提条件と考慮事項を必ず確認してください。

カテゴリ要件



メモリ 1GB

オペレーティングシステム ( 認定済み ) 次のいずれかの 64 ビットオペレーティングシステム ( 小 )

サーバ

Windows Server 2016


Desktops

Windows 10

Windows 8

オペレーティングシステム ( サポート ) 認定済みオペレーティングシステムのサービスパックの新バージョン


308 Designer のインストールの計画



Hyper-Vを使用したWindows Server 2012 R2仮想化(サポート)

NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正

式にサポートするエンタープライズクラスの仮想化システムでIdentity Manager をサポートします。仮想化システムのベンダーが

該当のオペレーティングシステムを正式にサポートしていれば、NetIQ はそのオペレーティングシステム上の Identity Manager スタック全体をサポートします。


Internet Explorer 11

Chrome 61

Firefox 51

カテゴリ要件

Designer のインストールの計画 309

310 Designer のインストールの計画

21 21Designer のインストール

Identity Manager Designer は、ターゲットコンピュータに応じて、実行可能ファイル、バイナリ

ファイル、またはテキストモードを使用してインストールできます。サイレントインストールも実行可能です。インストールプログラムを使用します。このプログラムは、デフォルトでは\products\Designer\ ディレクトリにあります。

Identity Manager の複数のコンポーネントでは Designer のパッケージが必要です。Designer をイン

ストールする際に、インストールプログラムは自動的に複数のパッケージを新しいプロジェクトに追加します。

311 ページのセクション 21.1「Windows の実行可能ファイルの実行」

311 ページのセクション 21.2「サイレントインストールプロセスの使用」

312 ページのセクション 21.3「スペース文字が含まれるインストールパスの変更」

21.1 Windows の実行可能ファイルの実行

1 Designer をインストールするコンピュータに管理者アカウントでログインします。

2 NetIQ Downloads の Web サイトから Identity_Manager_4.7_Windows_Designer.zip をダウンロード

します。

3 Identity_Manager_4.7_Windows_Designer.zip ファイルを抽出します。

4 install.exe ファイルを実行します。

5 インストールプロセスが完了するまで、ウィザードの手順に従います。

21.2 サイレントインストールプロセスの使用スクリプトを使用することで、Designer をサイレントインストールできます。ユーザによる操作は

必要ありません。designerInstaller.properties ファイルを編集していない限り、-i silent オプションはイ

ンストールにデフォルトのパラメータ値を使用します。

1 Designer をインストールするコンピュータに管理者アカウントでログインします。

2 インストールプログラムが含まれるディレクトリに移動します。

3 ( オプション ) Designer のインストールディレクトリと言語を設定するため、次の手順を実行

します。

3a designerInstaller.properties ファイルを開きます。このファイルは、デフォルトでは

Path_to_unzipped_Designer_file\products\Designer ディレクトリにあります。

3b このプロパティファイルで、次のパラメータの値を変更します。

USER_INSTALL_DIR

Designer をインストールする場所のパスを指定します。次に例を示します。

Designer のインストール 311

USER_INSTALL_DIR=C:\designer

末尾が designer ディレクトリでないパスを指定した場合、Designer のインストール

プログラムによって自動的に designer ディレクトリが付加されます。

SELECTED_DESIGNER_LOCALE インストール後に Designer を起動する言語を次の中から 1 つ指定します。

zh_CN - 中国語 ( 簡体字 )

zh_TW - 中国語 ( 繁体字 )

nl - オランダ語

en - 英語

fr - フランス語

de - ドイツ語

it - イタリア語

ja - 日本語

pt_BR - ポルトガル語 ( ブラジル )

es - スペイン語

3c プロパティファイルを保存して閉じます。

4 次のいずれかのコマンドを実行します。

install -i silent -f Path\designerInstaller.properties

21.3 スペース文字が含まれるインストールパスの変更ディレクトリ名にスペースが含まれる場所に Designer をインストールできます。ただし、Designerのインストール後、Designer が適切に機能するよう、StartDesigner.bat ファイルと Designer.ini ファ

イルを変更する必要があります。スペースを手動でエスケープ文字 (「\」) に置き換えます。次に例

を示します。

変更前 :

C:\designer installation

変更後 :

C:\designer\ installation

312 Designer のインストール

VII VIIAnalyzer のインストール

このセクションでは、Analyzer for Identity Manager のインストールプロセスを順を追って説明しま

す。Analyzer は、ワークステーションにインストールするシッククライアントコンポーネントで

す。Analyzer を使用して、Identity Manager ソリューションに追加する接続システムのデータを調

査し、クリーンアップできます。計画段階で Analyzer を使用すると、必要な変更、およびそれらの

変更を行うための善の方法を判断できます。


\products\Analyzer ディレクトリにあります。デフォルトでは、インストールプログラムは

C:\NetIQ\Analyzer にコンポーネントをインストールします。

インストールを開始する前にインストールプロセスを確認することをお勧めします。詳細については、315 ページのセクション 22.1「Analyzer のインストールチェックリスト」を参照してくださ

い。

Analyzer のインストール 313

314 Analyzer のインストール

22 22Analyzer のインストールの計画

このセクションには、Analyzer for Identity Manager のインストールを準備するためのガイドが記載

されています。インストールを開始する前にインストールプロセスを確認することをお勧めします。

315 ページのセクション 22.1「Analyzer のインストールチェックリスト」

316 ページのセクション 22.2「Analyzer のインストールのシステム要件」

22.1 Analyzer のインストールチェックリストインストールプロセスを開始する前に、次の手順を確認することをお勧めします。







3. 使用環境が Analyzer をホストするための考慮事項と要件を満たしていることを確認します。

詳細については、316 ページのセクション 22.2「Analyzer のインストールのシステム要件」


4. Analyzer をインストールするため、次の各セクションを参照します。

インストールウィザードを使用するには、317 ページのセクション 23.1「ウィザードを

使用した Analyzer のインストール」を参照してください。

サイレントインストールについては、318 ページのセクション 23.2「Analyzer のサイレ

ントインストール」を参照してください。

5. ( オプション ) Analyzer から自動的に監査イベントを受信して表示するには、XDAS クライ

アントをインストールします。詳細については、318 ページのセクション 23.3「Analyzerの監査クライアントのインストール」を参照してください。

6. Analyzer をアクティベートするため、365 ページの「Analyzer のアクティベート」を参照

します。

7. ( オプション ) Analyzer をアップグレードするには、401 ページのセクション 32.7「Analyzer のアップグレード」を参照します。

Analyzer のインストールの計画 315

22.2 Analyzer のインストールのシステム要件

このセクションでは、Analyzer をインストールするサーバの小要件について記載します。インス

トール、特にオペレーティングシステムに関するインストールについての前提条件と考慮事項を必ず確認してください。

カテゴリ要件


メモリ 512MB(4GB 推奨 )

ビデオ解像度 1024*768 (1280*1025 推奨 )



Windows Server 2016


Windows Server 2012

NetIQ では、Identity Manager をインストールする前に、製造元の自動更

新機能に従ってオペレーティングシステムの新パッチを適用することをお勧めします。







NetIQ では、NetIQ 製品が動作するオペレーティングシステムを正式にサ

ポートするエンタープライズクラスの仮想化システムで Identity Managerをサポートします。仮想化システムのベンダーが該当のオペレーティングシステムを正式にサポートしていれば、NetIQ はそのオペレーティングシ

ステム上の Identity Manager スタック全体をサポートします。

316 Analyzer のインストールの計画

23 23Analyzer のインストール

このセクションでは、Analyzer のインストールプロセス、および使用環境を Analyzer 用に設定す

るプロセスを順を追って説明します。

317 ページのセクション 23.1「ウィザードを使用した Analyzer のインストール」

318 ページのセクション 23.2「Analyzer のサイレントインストール」

318 ページのセクション 23.3「Analyzer の監査クライアントのインストール」

23.1 ウィザードを使用した Analyzer のインストール

次の手順では、インストールウィザードを使用して Analyzer をインストールする方法について説明

します。無人のサイレントインストールを実行するには、318 ページのセクション 23.2「Analyzerのサイレントインストール」を参照してください。

インストールの準備をするために、315 ページのセクション 22.1「Analyzer のインストールチェッ

クリスト」に記載されている前提条件とシステム要件を確認します。

1 Analyzer をインストールするコンピュータにログインします。


場合は、Analyzer のインストールファイルが保存されているディレクトリへ移動します。デ

フォルトの場所は \products\Analyzer ディレクトリです。

3 ( 状況によって実行 ) Analyzer のインストールファイルをダウンロードした場合は、次の手順




4 \products\Analyzer ディレクトリから install.exe インストールプログラムを実行します。

5 ウィザードの指示に従って、Analyzer のインストールを完了します。

6 インストールプロセスが完了したら、インストール後の概要を参照し、Analyzer のインストー

ルステータスおよびログファイルの場所を確認します。


8 ( オプション ) Windows コンピュータで Analyzer のロールベースサービスを設定するため、

gettingstarted.html の Web サイトへのリンクを開きます。このファイルは、デフォルトでは

C:\Program Files (x86)\NetIQ\Tomcat\webapp\nps\help\en\install ディレクトリにあります。

iManager を使用してロールベースサービスを設定します。

9 Analyzer をアクティベートするため、365 ページの「Analyzer のアクティベート」を参照し

ます。


23.2 Analyzer のサイレントインストール


質問も行われません。代わりに、InstallAnywhere はデフォルトの analzerInstaller.properties ファイル

の情報を使用します。デフォルトのファイルを使用してサイレントインストールを実行することも、ファイルを編集してインストールプロセスをカスタマイズすることもできます。

デフォルトでは、インストールプログラムは Analyzer を Program Files (x86)\NetIQ\Analyzer ディレク

トリにインストールします。

1 Analyzer をインストールするコンピュータにログインします。


場合は、Analyzer のインストールファイルが保存されているディレクトリへ移動します。デ

フォルトの場所は \products\Analyzer ディレクトリです。

3 ( 状況によって実行 ) Analyzer のインストールファイルを NetIQ Downloads の Web サイトから

ダウンロードした場合は、次の手順を実行します。



4 ( オプション ) デフォルト以外のインストールパスを指定するには、次の手順を実行します。

4a analzerInstaller.properties ファイルを開きます。このファイルは、デフォルトでは

\products\Analyzer ディレクトリにあります。

4b このプロパティファイルに次のテキストを追加します。

USER_INSTALL_DIR=installation_path


install.exe -i silent -f analyzerInstaller.properties

6 Analyzer をアクティベートするため、365 ページの「Analyzer のアクティベート」を参照し

ます。

23.3 Analyzer の監査クライアントのインストール

Analyzer には、更新したデータをアプリケーションに戻す際にデータブラウザエディタから監査イ

ベントを自動生成する XDAS ライブラリが付属します。データブラウザエディタを使用してソース

アプリケーションのデータを更新する方法の詳細については、『NetIQ Analyzer for Identity Manager Administration Guide』の「Modifying Data」を参照してください。

これらの監査イベントを表示するには、Analyzer から監査イベントを受信可能な XDAS クライアン

トをインストールします。XDAS の詳細については、OpenXDAS プロジェクト (http://openxdas.sourceforge.net) を参照してください。

Analyzer には、ダウンロードパッケージの一部として Windows 版の XDAS クライアントが付属し

ます。ただし、Analyzer 用のインストールプログラムでは XDAS クライアントはインストールされ

ません。

1 Analyzer をインストールします。

2 OpenXDAS のインストールファイルに移動します。これらのファイルは、デフォルトでは

.iso イメージファイルの \products\Analyzer\openxdas\Operating_system ディレクトリにあります。



http://openxdas.sourceforge.net

3 XDAS クライアントのインストールプログラム (.msi ファイル ) を起動します。

4 プロンプトに従って XDAS クライアントをインストールします。

5 インストールプロセスが完了したら、XDAS クライアントを起動して Analyzer から監査イベン

トを自動的に受信して表示します。



VIII VIIIIdentity Manager のシングルサインオンアクセスの設定

Identity Manager は、デフォルトでは OSP を使用して Identity Manager でのシングルサインオンア

クセスを実行します。Identity Reporting と識別情報アプリケーションをインストールする際、ユー

ザ認証の基本設定を指定します。ただし、OSP 認証サーバを設定して、Kerberos チケットサーバ

または SAML IDP から認証を受け入れることもできます。たとえば、SAML を使用して、NetIQ Access Manager による認証をサポートできます。OSP の詳細については、34 ページのセクション

4.5「Identity Manager でのシングルサインオンアクセスの使用」を参照してください。

Identity Manager のシングルサインオンアクセスの設定 321

322 Identity Manager のシングルサインオンアクセスの設定

24 24 シングルサインオンアクセスの準備

Identity Manager は、デフォルトでは OSP を使用して Identity Manager でのシングルサインオンア

クセスを実行します。Identity Reporting と識別情報アプリケーションをインストールする際、ユー

ザ認証の基本設定を指定します。ただし、OSP 認証サーバを設定して、Kerberos チケットサーバ

または SAML IDP から認証を受け入れることもできます。たとえば、SAML を使用して、NetIQ Access Manager による認証をサポートできます。



1. Identity Manager が OSP を使用してシングルサインオンアクセスを実現する方法を理解し

ます。詳細については、34 ページのセクション 4.5「Identity Manager でのシングルサイン

オンアクセスの使用」を参照してください。

2. OSP をインストールします。詳細については、179 ページのパート 14「パスワード管理コ

ンポーネントのインストール」を参照してください。

3. 識別情報アプリケーションをインストールします。詳細については、161 ページのパート IV「Identity Applications のインストール」を参照してください。

4. ( オプション ) Identity Reporting をインストールします。詳細については、259 ページの

パート V「Identity Reporting のインストール」を参照してください。

5. OSP を使用するシングルサインオンアクセス用に識別情報アプリケーションを設定します。

詳細については、325 ページの第 25 章「One SSO Provider による Identity Manager でのシ

ングルサインオンアクセス」を参照してください。

6. Identity Manager で使用する認証システムをインストールします。たとえば、Access Manager または Kerberos を使用します。

7. ( 状況によって実行 ) Access Manager と OSP を設定します。詳細については、329 ページ

の第 26 章「NetIQ Access Manager での SAML 認証によるシングルサインオン」を参照し

てください。

8. シングルサインオン設定を検証します。詳細については、343 ページの第 28 章「識別情報

アプリケーションへのシングルサインオンアクセスの検証」を参照してください。

シングルサインオンアクセスの準備 323

324 シングルサインオンアクセスの準備

25 25One SSO Provider による Identity Manager でのシングルサインオンアクセス

識別情報アプリケーションへのシングルサインオンアクセスを提供するには、RBPM 設定ユーティ

リティで環境設定する必要があります。OSP をインストールする際にシングルサインオンに必要な

証明書と鍵をすでに取得している必要があります。

この手順では、現在の環境では eDirectory、SSO コントローラ、および OAuth Provider 用の証明書

を 1 つ使用することを想定しています。組織として分離レイヤを追加する必要がある場合、OAuth Provider の証明書を個別に作成します。

25.1 シングルサインオンアクセスで使用する eDirectoryの準備eDirectory のインストールの一環として、識別情報アプリケーションと Identity Reporting のシング

ルサインオンアクセスをサポートするように識別ボールトを設定する必要があります。

228 ページのセクション 15.7.5「識別情報アプリケーションで使用する識別ボールトの設定」の手

順を実行します。すでに eDirectory スキーマを拡張して SAML スキーマを追加し、必要な

NMAS メソッドをインストールしている場合は、この手順を再実行する必要はありません。その場

合はルート認証局コンテナの作成に関するサブセクションに進みます。

25.2 シングルサインオンアクセスの基本設定の変更識別情報アプリケーションをインストールする際、通常はシングルサインオンアクセスの基本設定を設定します。このセクションでは、現在の環境でその設定が正常に機能することを保証する方法について説明します。


2 認証設定を変更するには、次の手順を実行します。

2a［認証］をクリックします。

2b ( 状況によって実行 ) 実際のサーバの DNS 名または IP アドレスを指定するには、localhostのすべてのインスタンスを変更します。

指定するアドレスは、すべてのクライアントが解決可能である必要があります。

localhost は、Identity Manager へのアクセスが ( ブラウザからのアクセスを含めて ) すべてローカルに行われる場合にのみ使用します。

One SSO Provider による Identity Manager でのシングルサインオンアクセス 325

この「パブリック」なホスト名または IP アドレスは、OSP をインストールしたときに

指定した PublicServerName の値と同じである必要があります。詳細については、

181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストール」を参照


分散環境またはクラスタ化環境では、すべての OAuth URL の値は同じ値である必要が

あります。この URL は、L4 スイッチまたはロードバランサを経由するクライアント

アクセスを実現するものである必要があります。また、osp.war と設定ファイルを、

環境内の展開ごとにインストールする必要があります。

2c［管理コンテナの LDAP DN］では、［参照］ボタンをクリックして、識別情報アプリケー

ションの管理者が含まれる識別ボールト内のコンテナを選択します。

2d OSP のインストール時に作成した OAuth キーストアファイルを指定します。詳細につい

ては、181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストール」を参


キーストアファイルパス、キーストアファイルパスワード、キー別名、およびキーパスワードを指定します。デフォルトのキーストアファイルは osp.jks、デフォルトのキー別名

は osp です。

3 シングルサインオン設定を変更するには、次の手順を実行します。

3a［SSO クライアント］をクリックします。

3b ( 状況によって実行 ) 実際のサーバの DNS 名または IP アドレスを指定するには、localhostのすべてのインスタンスを変更します。

指定するアドレスは、すべてのクライアントが解決可能である必要があります。

localhost は、ダッシュボードへのアクセスが ( ブラウザからのアクセスを含めて ) すべてローカルに行われる場合にのみ使用します。

この「パブリック」なホスト名または IP アドレスは、OSP をインストールしたときに

指定した PublicServerName の値と同じである必要があります。詳細については、

181 ページの第 14.2 章「Identity Manager 用パスワード管理のインストール」を参照


分散環境またはクラスタ化環境では、すべての OAuth リダイレクト URL の値は同じ値

である必要があります。この URL は、L4 スイッチまたはロードバランサを経由する

クライアントアクセスを実現するものである必要があります。

3c ( 状況によって実行 ) デフォルト以外のポートを使用する場合、Identity Manager の次のコ

ンポーネントのポート番号を更新します。



Identity Reporting


4［OK］をクリックして変更を保存し、設定ユーティリティを閉じます。


326 One SSO Provider による Identity Manager でのシングルサインオンアクセス

25.3 OSP を信頼するための Self Service Password Reset の設定

シングルサインオンが正常に動作するには、OSP とセルフサービスパスワードリセット (SSPR) の間で証明書による信頼関係を設定する必要があります。OSP のキーストアファイル (osp.jks) から証

明書をエクスポートする必要があります。

エクスポートした証明書は、SSPR のキーストアファイルにインポートする必要があります。

SSPR のデフォルトパスキーストアファイルは、C:\[Java_Home]\lib\security\cacerts です。

セキュアチャネルを設定する方法の詳細については、「Self Service Password Reset Administration Guide」の「Setting Up a Secure Channel Between the Application Server and the LDAP Server」を


One SSO Provider による Identity Manager でのシングルサインオンアクセス 327

328 One SSO Provider による Identity Manager でのシングルサインオンアクセス

26 26NetIQ Access Manager での SAML 認証によるシングルサインオン

このセクションでは、SAML 2.0 認証を使用して Identity Manager 内のシングルサインオンアクセ

スをサポートするために NetIQ Access Manager と OSP を設定する方法について説明します。始め

る前に、手順に関する次の想定をレビューします。

新のサポートされているバージョンの Access Manager をインストールしています。

新のバージョンの Identity Manager をインストールしています。

どちらのインストールもホスト名の設定に DNS 名を使用しています。

どちらのインストールも通信に SSL プロトコルを使用しています。

LDAPユーザストアとして識別ボールトを使用するようにAccess Managerのクラスタ環境を設

定する必要があります。詳細については、『NetIQ Access Manager Administration Guide』を参


26.1 サードパーティ認証とシングルサインオンの理解SAML 2.0 認証を使用して NetIQ Access Manager と連携して動作するように Identity Manager を設

定できます。この機能を使用すると、パスワードを使用しない技術を使用して、Access Manager 経由で識別情報アプリケーションにログインできます。たとえば、ユーザはスマートカー

ドなどのユーザ ( クライアント ) 証明書でログインできます。

Access Manager は OSP とデータをやり取りして、ユーザを識別ボールト内の DN にマッピングし

ます。ユーザが Access Manager を使用して識別情報アプリケーションにログインする際、Access Manager は SAML アサーション ( ユーザの DN を識別子として ) を HTTP ヘッダに挿入し、そのリ

クエストを識別情報アプリケーションに転送できます。識別情報アプリケーションは SAML アサー

ションを使用して識別ボールトへの LDAP 接続を確立します。

パスワードに基づくシングルサインオン認証を許容するアクセサリポートレットは、識別情報アプリケーション認証に SAML アサーションを使用する場合はシングルサインオンをサポートしませ

ん。

26.2 SSL 証明書の作成とインストール

認証を保証するために、Access Manager と OSP はそれぞれの SSL 証明書のルート認証局を共有

する必要があります。このセクションでは、Access Manager の新しい証明書を作成した後、トラ

ストストアに適切な証明書が存在することを保証する方法について説明します。

330 ページのセクション 26.2.1「Access Manager の SSL 証明書の作成」

330ページのセクション26.2.2「Access Managerの証明書の Identity Managerトラストストアへ

のインストール」

331 ページのセクション 26.2.3「SSL サーバの証明書の Access Manager トラストストアへのイ

ンストール」

NetIQ Access Manager での SAML 認証によるシングルサインオン 329

https://www.netiq.com/documentation/access-manager-43/admin/data/b1tvhkg.html#userstoreslist

26.2.1 Access Manager の SSL 証明書の作成

Access Manager は、そのデフォルトの SSL 証明書 test-connector を使用して Identity Manager と通

信することはできません。かわりに、証明書の件名にホスト名を含む証明書を作成して Access Manager に割り当てる必要があります。

詳細については、『NetIQ Access Manager Administration Console Guide』の「Security and Certificate Management」を参照してください。

1 Access Manager の管理コンソールを開きます。

2［Security ( セキュリティ )］ > ［Certificates ( 証明書 )］の順にクリックします。

3［New ( 新規 )］をクリックします。

4 新しい証明書の名前を指定します。たとえば、「hostname_ssl」と指定します。

5 ウィンドウの右側にある編集ボタンをクリックします。

6［Common name ( 一般名 )］で Access Manager をホストするサーバの DNS 名を指定し、［OK］


7［Months valid ( 有効な月数 )］では、大 99 までの値を指定します。

8［Key size ( キーサイズ )］では、2048 を指定します。

9 新しく作成した証明書を選択し、［Actions ( アクション )］ > ［Add certificate to Keystores... ( 証明書をキーストアに追加 )］の順にクリックします。

10［Keystores ( キーストア )］の右側にある編集ボタンをクリックします。

11［SSL connector (SSL コネクタ )］を選択して［OK］をクリックします。


13 OSP トラストストアに新しい証明書をインストールします。詳細については、330 ページのセ

クション 26.2.2「Access Manager の証明書の Identity Manager トラストストアへのインス

トール」を参照してください。

26.2.2 Access Manager の証明書の Identity Manager トラストスト

アへのインストール

OSP トラストストアには、Access Manager のセキュリティ証明書が存在する必要があります。

1 新しく作成した SSL 証明書をエクスポートするには、次のアクションを実行します。

Access Manager の管理コンソールの［セキュリティ］ > ［ルート認証局］で、SSL 証明書の

ルート証明書をエクスポートします。ルート証明書に「［configCA］」という名前を付けま

す。

SSL サーバ証明書をエクスポートします。

詳細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。

2 エクスポートされた証明書を OSP を実行しているサーバにコピーします。

3 このファイルを、Java に付属の keytool を使用して、JRE の cacerts キーストアにインポート

します。

例 : C:\NetIQ\idm\apps\jre\bin\keytool -importcert -trustcacerts -alias <NAM-cert> -keystore C:\NetIQ\idm\apps\jre\bin\security\cacerts -storepass <password> -file custom_location\<exported_file>

330 NetIQ Access Manager での SAML 認証によるシングルサインオン

https://www.netiq.com/documentation/netiqaccessmanager4/adminconsolehelp/data/b3trhnr.html

https://www.netiq.com/documentation/netiqaccessmanager4/adminconsolehelp/data/bookinfo.html


https://www.netiq.com/documentation/netiqaccessmanager4/adminconsolehelp/data/trustedroots.html



4 OSP 証明書を Access Manager トラストストアにインストールします。

詳細については、331 ページのセクション 26.2.3「SSL サーバの証明書の Access Manager トラストストアへのインストール」を参照してください。

26.2.3 SSL サーバの証明書の Access Manager トラストストアへの

インストール

Access Manager トラストストアには、OSP のセキュリティ証明書が存在する必要があります。詳

細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。

OSP を実行している Tomcat インスタンスによって SSL に使用されるサーバ証明書を取得します。

1 OSP をホストする Tomcat インスタンスの SSL サーバ証明書を、Access Manager をインス

トールしたサーバにコピーします。


3 証明書をインポートするには、［セキュリティ］ > ［NIDP Trust Store (NIDP トラストストア )］を


4［追加］をクリックします。

5［Add dialog ( ダイアログの追加 )］ > ［インポート］からルート認証局を選択します。

6 インポートするルート証明書を選択して［OK］をクリックします。

7 OSP が SAML からの認証アサーションを認識することを確認します。

詳細については、333 ページのセクション 26.4.2「SAML の属性セットの作成」を参照してく

ださい。

26.3 Access Manager を信頼するための Identity Manager の設定

Identity Manager が認証要求のためにユーザをリダイレクトするには、SAML メタデータの URL が

必要です。Access Manager は、デフォルトでは、次の URL を使用して SAML メタデータを格納し

ます。

https://server:port/nidp/saml2/metadata

ここで、server:port は Access Manager の識別情報サーバを表します。

1 ( オプション ) SAML メタデータの .xml ドキュメントを表示するには、ブラウザでその URL を

開きます。

この URL でドキュメントが生成されない場合、リンクが正しいことを確認します。

2 OSP サーバ上で、RBPM 設定ユーティリティを実行します。詳細については、237 ページのセ

クション 15.8.1「識別情報アプリケーション設定ユーティリティの実行」を参照してくださ

い。

3 ユーティリティで、［認証］を選択します。

4［認証方法］では［SAML 2.0］を指定します。


https://www.netiq.com/documentation/netiqaccessmanager4/adminconsolehelp/data/trustedroots.html



5［メタデータ URL］では、OSP が認証要求を Access Manager の SAML メタデータにリダイレ

クトするために使用する URL を指定します。

たとえば、「https://server:port/nidp/saml2/metadata」と指定します。

6［認証サーバ］セクションの［OAuth サーバのホスト識別子］設定では、OSP をホストするサー

バの DNS 名を指定します。

7［OK］をクリックし、変更を保存します。

8 OSP をホストしている Tomcat インスタンスを再起動します。

26.4 Identity Manager と連携するための Access Manager の設定

Access Manager が Identity Manager をトラステッドサービスプロバイダとして認識することを保

証するには、OSP のメタデータテキストを識別情報サーバに追加し、属性セットを設定します。こ

のプロセスには次の作業が含まれます。

332 ページのセクション 26.4.1「Identity Manager のメタデータのコピー」

333 ページのセクション 26.4.2「SAML の属性セットの作成」

333 ページのセクション 26.4.3「Identity Manager をトラステッドサービスプロバイダとして追

加」

26.4.1 Identity Manager のメタデータのコピー

Access Manager は OSP のメタデータテキストを必要とします。メタデータの .xml ファイルの内容

を、Access Manager の識別情報サーバで開くことができるドキュメントにコピーする必要があり

ます。

1 ブラウザで、OSP メタデータの URL に移動します。Identity Manager は、デフォルトでは次

の URL を使用します。

https://server:port/osp/a/idm/auth/saml2/spmetadata

ここで、server:port は OSP をホストしている Tomcat サーバを表します。

2 spmetadata.xml ファイルのページソースを表示します。

3 このファイルの内容を 333 ページの「Identity Manager をトラステッドサービスプロバイダと

して追加」でアクセスできるドキュメントにコピーします。


26.4.2 SAML の属性セットの作成

SAML が Access Manager と OSP の間でアサーション交換を実行できることを保証するには、

Access Manager で属性セットを作成します。属性セットは、交換の共通ネーミングスキームを提

供します。OSP はアサーションの件名を特定する属性値を検索します。デフォルトでは、この属性

は mail です。

詳細については、『NetIQ Access Manager Administration Guide』の「Configuring Attribute Sets」を参照してください。


2［Devices ( デバイス )］ > ［Identity Servers ( 識別情報サーバ )］ > ［Shared Settings ( 共有設定 )］ > ［Attribute Sets ( 属性セット )］ > ［New ( 新規 )］の順にクリックします。

3 属性セットの名前を指定します。たとえば、「IDM SAML Attributes」と指定します。

4［Next ( 次へ )］をクリックし、［New ( 新規 )］をクリックします。

5［Local Attribute ( ローカル属性 )］では、［Ldap attribute: mail [LDAP Attribute Profile] (Ldap 属

性 : mail [LDAP 属性プロファイル ])］を選択します。

6［Remote Attribute ( リモート属性 )］では、［mail］を指定します。

7［OK］をクリックし、［Finish ( 終了 )］をクリックします。

26.4.3 Identity Manager をトラステッドサービスプロバイダとして追

加

Identity Manager をトラステッドサービスプロバイダとして認識するように、Access Manager を設

定します。詳細については、『NetIQ Access Manager Administration Guide』の「Creating a Trusted Service Provider for SAML 2.0」を参照してください。


2［Devices ( デバイス )］ > ［Identity Servers ( 識別情報サーバ )］ > ［Edit ( 編集 )］ > ［SAML 2.0 (SAML 2.0)］の順にクリックします。

3［New ( 新規 )］ > ［Service Provider ( サービスプロバイダ )］の順にクリックします。

4［Provider Type ( プロバイダタイプ )］では、［General ( 一般 )］を指定します。

5［Source ( ソース )］では、［Metadata Text ( メタデータテキスト )］を指定します。

6［Text ( テキスト )］フィールドには、332 ページの「Identity Manager のメタデータのコピー」

でコピーした spmetadata.xml ファイルの内容を貼り付けます。

7 新しい OSP サービスプロバイダの名前を指定します。

8［次へ］をクリックし、［終了］をクリックします。

9［SAML 2.0 (SAML 2.0)］タブでは、ステップ 7 で作成した OSP サービスプロバイダを選択し

ます。

10［Attributes ( 属性 )］をクリックします。

11 333 ページの「SAML の属性セットの作成」で作成した属性セットを選択します。たとえば、

「IDM SAML Attributes」と指定します。


https://www.netiq.com/documentation/access-manager-43/admin/data/b1caobu1.html#createattrset

https://www.netiq.com/documentation/access-manager-43/admin/data/bookinfo.html

https://www.netiq.com/documentation/access-manager-43/admin/data/b1ax6f15.html



12 OSP サービスプロバイダセットで使用可能な属性を、ページの左側の［Send with authentication ( 認証時に送信 )］パネルに移動します。

［Send with authentication ( 認証時に送信 )］パネルに移動するのは、認証の際に取得する必要

がある属性です。

13［OK］を 2 回クリックします。

14 識別情報サーバを更新するには、［Devices ( デバイス )］ > ［Identity Servers ( 識別情報サーバ )］ > ［Update ( 更新 )］ > ［Update All Configuration ( すべての設定を更新 )］の順にクリックしま

す。

26.5 Access Manager のログインページの更新

Access Manager のデフォルトのログインページでは、識別情報アプリケーションで使用している

要素と競合する HTML iFrame 要素が使用されています。このセクションでは、新しいログインメ

ソッドと契約を作成してその競合を解消する方法について説明します。このセクションで言及する.jsp ファイルは、デフォルトでは C:\Program Files (x86)\Novell\Tomcat\webapps\nidp\jsp ディレクトリに

あります。

詳細については、『NetIQ Access Manager Administration Guide』の「Customizing the Identity Server Login Page」を参照してください。

1 TID 7004020 および TID 7018468 に従って top.jsp ファイルを変更します。

2 ( オプション ) バックアップ用に login.jsp ファイルをコピーして名前を変更します。たとえば、

idm_login.jsp という名前に変更します。


4 新しいログインメソッドを作成するには、次の手順を実行します。

4a［Devices ( デバイス )］ > ［Identity Servers ( 識別情報サーバ )］ > ［Edit ( 編集 )］ > ［Local ( ローカル )］ > ［Methods ( メソッド )］の順にクリックします。

4b［New ( 新規 )］をクリックし、新しいメソッドの［Display Name ( 表示名 )］を指定しま

す。たとえば、「IDM Name/Password」と指定します。

4c［Class ( クラス )］では、［Name/Password-Form ( 名前 / パスワード - フォーム )］を指定し

ます。

4d［User Store ( ユーザストア )］では、LDAP ユーザストアとして識別ボールトを指定しま

す。

4e［Properties ( プロパティ )］セクションでは、［New ( 新規 )］をクリックし、次のプロパ

ティを指定します。

4f［OK］をクリックします。

名前値

JSP idm_login

MainJSP true



https://www.netiq.com/documentation/access-manager-43/admin/data/b1caoduo.html#bjpsemc

https://www.netiq.com/documentation/access-manager-43/admin/data/b1caoduo.html#bjpsemc

https://www.novell.com/support/kb/doc.php?id=7004020

https://www.novell.com/support/kb/doc.php?id=7018468

5 新しいログインメソッドを使用する契約を作成するには、次の手順を実行します。

5a［Contracts ( 契約 )］ > ［New ( 新規 )］をクリックします。

5b［Configuration ( 環境設定 )］タブで、新しい契約の［Display Name ( 表示名 )］を指定しま

す。たとえば、「IDM Name/Password」と指定します。

5c［URI (URI)］では、「name/password/uri/idm」と指定します。

5d［Methods ( メソッド )］では、ステップ 4 で作成したメソッドを追加します。たとえば、

「IDM Name/Password」と指定します。

5e［Authentication Card ( 認証カード )］タブでは、カードの［ID (ID)］を指定します。たとえ

ば、「IDM_NamePassword」と指定します。

5f カードの画像を指定します。

5g［OK］をクリックします。

6 システムが新しい認証契約を処理する方法のデフォルト値を指定するには、次の手順を実行します。

6a［Local ( ローカル )］タブで、［Defaults ( デフォルト )］をクリックします。

6b［User Store ( ユーザストア )］では、LDAP ユーザストアとして識別ボールトを指定しま

す。

6c［Authentication Contract ( 認証契約 )］では、ステップ 5 で作成した契約を指定します。

たとえば、「IDM Name/Password-Form」と指定します。


7 識別情報サーバを更新するには、［Devices ( デバイス )］ > ［Identity Servers ( 識別情報サーバ )］ > ［Update ( 更新 )］ > ［Update All Configuration ( すべての設定を更新 )］の順にクリックしま

す。



27 27Kerberos によるシングルサインオン

識別情報アプリケーションでシングルサインオンを使用するための認証方法として Kerberos を使

用できます。この場合、統合 Windows 認証を使用して識別情報アプリケーションにログインする

こともできます。このセクションでは、Kerberos を使用して識別情報アプリケーションに接続する

ように Active Directory を設定する手順について説明します。

337 ページのセクション 27.1「Active Directory での Kerberos ユーザアカウントの設定」

338 ページのセクション 27.2「識別情報アプリケーションサーバの設定」

340 ページのセクション 27.3「統合 Windows 認証を使用するためのエンドユーザのブラウザの

設定」

27.1 Active Directory での Kerberos ユーザアカウントの設定Kerberos 認証用に Active Directory を設定するには、Active Directory 管理ツールを使用します。識

別情報アプリケーションおよび identity reporting 用に新しい Active Directory ユーザアカウントを作

成する必要があります。このユーザアカウント名には、識別情報アプリケーションおよび identity reporting をホストするサーバの DNS 名を使用する必要があります。

注 : ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COM です。

1 Active Directory の管理者として、Microsoft 管理コンソール (MMC) で識別情報アプリケーショ

ンをホストするサーバの DNS 名を使用して新しいユーザアカウントを作成します。

たとえば、識別情報アプリケーションサーバの DNS 名が rbpm.mycompany.com である場合、次

の情報を使用してユーザを作成します。

名前 : rbpm

［ユーザーログオン名］: HTTP/rbpm.mycompany.com

［Windows 2000 以前のログオン名］: rbpm

パスワードの設定 : 適切なパスワードを指定します。たとえば、「Passw0rd」と指定します。

パスワードを期限切れにしない : このオプションを選択します。

［ユーザーは次回ログオン時にパスワードの変更が必要］: このオプションの選択を解除しま

す。

2 新しいユーザにサービスプリンシパル名 (SPN) を関連付けます。

2a Active Directory サーバでコマンドシェルを開きます。

2b コマンドプロンプトで、次のコマンドを入力します。

setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID


Kerberos によるシングルサインオン 337

setspn -A HTTP/[email protected] rbpm

2c「setspn -L userID」と入力して、setspn を検証します。

3 ktpass ユーティリティを使用して、keytab ファイルを生成するには :

3a コマンドラインプロンプトで、次のように入力します。

ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL


ktpass /out rbpm.keytab /princ HTTP/[email protected] /mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL

重要 : ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COM です。

3b rbpm.keytab ファイルを識別情報アプリケーションサーバにコピーします。

4 Active Directory の管理者として、MCC でエンドユーザアカウントを作成し、SSO を使用する

準備を行います。

このエンドユーザのアカウント名は、シングルサインオンをサポートするために、eDirectory ユーザのある属性値と一致する必要があります。ユーザを作成して「cnano」などの

名前を付け、パスワードを記憶し、［ユーザーは次回ログオン時にパスワードの変更が必要］が選択されていないことを確認します。

5 ( オプション ) 別のサーバにレポーティングコンポーネントをインストールした場合は、

Identity Reporting のこれらの手順を繰り返します。

6 識別情報アプリケーションが Kerberos の設定を受諾するようにサーバを設定します。詳細に

ついては、338 ページのセクション 27.2「識別情報アプリケーションサーバの設定」を参照し

てください。

27.2 識別情報アプリケーションサーバの設定Active Directory で作成した Kerberos keytab ファイルとユーザアカウントを使用するように、識別

情報アプリケーションサーバを設定する必要があります。次に進む前に、337 ページのセクション

27.1「Active Directory での Kerberos ユーザアカウントの設定」の手順を完了していることを確認

します。

注 : ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COM です。

1 Kerberos 設定のオペレーティングシステム設定を定義するには、次の手順を実行します。

1a Identity Applications をホストするサーバ上のテキストエディタで、C:\Windows\krb5.ini から

krb5 ファイルを開きます。

1b 次の情報を krb5 ファイルに追加します。

338 Kerberos によるシングルサインオン

[libdefaults] default_realm = WINDOWS-DOMAIN kdc_timesync = 0 forwardable = true proxiable = false[realms] WINDOWS-DOMAIN = { kdc = FQDN Active Directory Server admin_server = FQDN Active Directory Server }[domain_realm] .your.domain = WINDOWS-DOMAIN your.domain = WINDOWS-DOMAIN


[libdefaults] default_realm = MYCOMPANY.COM kdc_timesync = 0 forwardable = true proxiable = false[realms] MYCOMPANY.COM = { kdc = myadserver.mycompany.com admin_server = myadserver.mycompany.com }[domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM

1c 変更を保存して krb5 ファイルを閉じます。

2 ( 状況によって実行 ) Tomcat 用の Kerberos 設定情報を定義するには、次の手順を実行します。

2a Tomcat アプリケーションサーバで、次のコンテンツのサンプルファイル

Kerberos_login.config を作成します。

注 : novlua ユーザは、Kerberos_login.config ファイルを作成するための許可が必要です。

com.sun.security.jgss.krb5.accept { com.sun.security.auth.module.Krb5LoginModule required debug="true" refreshKrb5Config="true" useTicketCache="true" ticketCache="c:\NetIQ\idm\apps\tomcat\kerberos\spnegoTicket.cache" doNotPrompt="true" principal="HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN" useKeyTab="true" keyTab="/absolute_path/filename.keytab" storeKey="true"; };

Windows サーバの例は次のとおりです。

keyTab="c:\\NetIQ\\idm\\apps\\tomcat\kerberos\\rbpm.keytab"

2b このファイルで、principal および keyTab の値を指定します。次に例を示します。


principal="HTTP/[email protected]"keyTab="/home/usr/rbpm.keytab"

principal の値は、Kerberos に指定した値と一致している必要があります。詳細につい

ては、338 ページのステップ 3 を参照してください。

識別情報アプリケーションサーバ上の keytab ファイルの絶対パスを指定します。この

ファイルは識別情報アプリケーションのデフォルトディレクトリに存在している必要があります。

2c JVM java.security ファイルに次の行を記述して、Kerberos_login.config ファイルを参照しま

す。

login.config.url.1=file:c:\NetIQ\idm\apps\tomcat\kerberos\Kerberos_login.config

3 RBPM 設定ユーティリティの認証方法を指定するには、次の手順を完了してください。

3a Configupdate ユーティリティを開きます。

3b［認証］タブをクリックします。

3c［認証方法］セクションが表示されるまで下方にスクロールします。

3d［方法］フィールドでは、［Kerberos］を選択します。

3e［マッピング属性名］フィールドでは、「cn」を指定します。

注 : RBPM 設定ユーティリティの詳細については、237 ページの第 15.8 章「識別情報アプリ

ケーションの設定の管理」を参照してください。

4 ( オプション ) 別のサーバにレポーティングコンポーネントをインストールした場合は、

Identity Reporting のこれらの手順を繰り返します。

5 エンドユーザが識別情報アプリケーションにアクセスするために使用するブラウザを設定します。詳細については、340 ページのセクション 27.3「統合 Windows 認証を使用するためのエ

ンドユーザのブラウザの設定」を参照してください。

27.3 統合 Windows 認証を使用するためのエンドユーザのブラウザの設定エンドユーザが識別情報アプリケーションおよび Identity Reporting にアクセスするために使用する

ブラウザは、統合 Windows 認証用に設定する必要もあります。このセクションでは、統合

Windows 認証を使用するシングルサインオンアクセスをサポートするためにエンドユーザのコン

ピュータを設定する手順について説明します。

注 : 識別情報アプリケーションおよび Identity Reporting へのシングルサインオンアクセスを提供す

る各エンドユーザコンピュータについて、この手順を実行する必要があります。

1 ユーザがシングルサインオンアクセスする必要があるコンピュータにログインします。

2 インターネットオプションのコントロールパネルを開きます。

3［セキュリティ］をクリックします。

4［信頼済みサイト］>［サイト］の順にクリックします。

5 識別情報アプリケーションサーバの DNS 名を追加します。

たとえば、「rbpm.mycompany.com」と指定します。


6［追加］をクリックし、［閉じる］をクリックします。

7［レベルのカスタマイズ ...］をクリックします。

8［User Authentication ( ユーザ認証 )］で、［Automatic logon with current user name and password ( 現在のユーザ名とパスワードで自動ログオンする )］を選択します。


10 インターネットオプションで、［詳細］をクリックします。

11［セキュリティ］で、［統合 Windows 認証を使用する］を選択します。

12 識別情報アプリケーションおよび Identity Reporting へのシングルサインオンアクセスを提供す

る各エンドユーザコンピュータについてこの手順を繰り返します。



28 28 識別情報アプリケーションへのシングルサインオンアクセスの検証

識別情報アプリケーションをインストールしてシングルサインオンを設定した後は、個々のアプリケーションにログインして、その後はログアウトしなくてもアプリケーション間で切り替えることができることを検証する必要があります。デフォルトでは、各アプリケーションは、URL リンクで

次のサフィックスを使用します。

Identity Applications 管理 : /idmadmin

Identity Manager ダッシュボード : /idmdash

ユーザアプリケーション : /IDMProv

Identity Reporting: /IDMRPT

サフィックスをカスタマイズするには、RBPM 設定ユーティリティを使用します。詳細について

は、237 ページの第 15.8 章「識別情報アプリケーションの設定の管理」を参照してください。

シングルサインオン機能を検証するには :

1 識別情報アプリケーションサーバの新しいブラウザウィンドウで、ダッシュボードの URL を

入力します。

https://server:port/idmdash

ダッシュボードにログインしないでください。

2 ブラウザでユーザアプリケーションにアクセスします。

https://server:port/IDM-context

3 ユーザアプリケーションが表示するログインページが、ステップ 1 で表示されるログインペー

ジと同じであることを検証します。

4 ユーザアプリケーションにログインします。

5 右上隅にある［ホーム］アイコンをクリックし、再ログインしなくてもダッシュボードにアクセスできることを検証します。

識別情報アプリケーションへのシングルサインオンアクセスの検証 343

344 識別情報アプリケーションへのシングルサインオンアクセスの検証

29 29SSL によるセキュア通信

識別情報アプリケーションと Identity Reporting は、認証に HTML フォームを使用します。その結

果、ログインプロセスでユーザ資格情報が晒される可能性があります。SSL プロトコルを有効にし

て機密情報を保護することをお勧めします。SSL プロトコルは、Identity Manager コンポーネント

間で処理される通信の安全性を確保します。

Tomcat サーバが SSL を使用して通信するように設定するには証明書が必要です。この証明書は次

の 2 つの方法で取得できます。

外部の信頼できる認証局 (CA) が発行した証明書

自己署名証明書

29.1 SSL 接続を確認するためのチェックリスト

識別情報アプリケーション、Identity Reporting、SSPR、および OSP の間でセキュア接続が使用さ

れることを確認するために、次のチェックリストの手順を実行することをお勧めします。

29.2 キーストアと証明書署名要求の作成キーストアは、暗号化キーおよびセキュリティ証明書 ( オプション ) を含む Java ファイルです。

キーストアを作成するには、JRE に付属の Java Keytool ユーティリティを使用できます。.jks ファ

イルを作成し、証明書をキーストアに生成します。各証明書は固有のアイリアスに関連付けられています。識別情報アプリケーションおよび Identity Reporting をサポートするアプリケーションサー

バの conf ディレクトリにキーストアを配置します。

1 コマンドプロンプトでは、識別情報アプリケーションを展開したアプリケーションサーバインストールの conf ディレクトリに移動します。たとえば、C:\NetIQ\idm\apps\tomcat\conf です。


1. キーストアを使用して認証証明書を保存します。詳細については、345 ページのセクション

29.2「キーストアと証明書署名要求の作成」を参照してください。

2. ( 状況によって実行 ) ご使用の環境で、自己署名証明書または外部の CA が発行した証明書

を使用できます。詳細については、348 ページのセクション 29.4「自己署名証明書による

SSL の有効化」を参照してください。運用環境では、外部の CA が発行した証明書を使用す

ることをお勧めします。

3. ( 状況によって実行 ) 運用環境では署名入り証明書をインポートします。詳細については、

347 ページのセクション 29.3「外部 CA 署名入り証明書による SSL の有効化」を参照して

ください。

4. 認証サーバ、Identity Applications、および Identity Reporting を SSL 通信をサポートするよ

うに設定します。詳細については、355 ページのセクション 29.6「アプリケーションサーバ

の SSL 設定の更新」および 356 ページのセクション 29.7「設定ユーティリティによる

SSL 設定の更新」を参照してください。

SSL によるセキュア通信 345

tomcat/conf のパスは、識別情報アプリケーションが Tomcat 上にインストールされている場合

のデフォルトパスです。このパスは、識別情報アプリケーションと Tomcat をインストールし

た方法によって異なる可能性があります。

2 次のコマンドを使用して、キーストアを作成するための環境パスを設定します。

cd C:\NetIQ\idm\apps\tomcat\confexport PATH=C:\NetIQ\idm\apps\jre\bin:$PATH

3 次のコマンドを使用して、キーストアを作成します。

keytool -genkey -alias keystore_name -keyalg RSA -keystore keystore_name.keystore -validity 3650 -keysize 2048


keytool -genkey -alias IDMkey -keyalg RSA -keystore IDMkey.keystore -validity 3650 -keysize 2048

4 プロンプトが表示されたら、次の検討条件に従ってパラメータ値を指定します。

姓名については、サーバの完全修飾名を指定します。次に例を示します。

MyTomcatServer.NetIQ.com

正しいつづりで指定してください。つづりを間違えると、署名機関から署名入り証明書を

生成する際にエラーが表示されます。

5 ( オプション ) 単純なテキストファイルを作成して、パラメータ値として指定した情報を保存し

ます。

この情報を保存しておくと、署名機関に申請する際および証明書をインポートする際に、確実に同じ情報を指定できます。

6 Identity Manager コンポーネントおよび SSPR を展開した各アプリケーションサーバインスタ

ンスの tomcat\conf ディレクトリにキーストアファイルをコピーします。

7 CA 証明書要求を生成するには、次の手順を実行します。

7a conf ディレクトリに your_request.csr という名前の単純なテキストファイルを作成します。

たとえば、IDMcertrequest.csr という名前にします。

7b 次のコマンドを実行します。

keytool -certreq -v -alias keystore_name -file your_request.csr -keypass keystore_password -keystore your.keystore -storepass your_password


keytool -certreq -v -alias IDMkey.keystore -file IDMcertrequest.csr -keypass IDMkeypass -keystore IDMkey.keystore -storepass IDMpass

コマンドを実行すると、Keytool ユーティリティが証明書を要求するための適切なデータ

を .csr ファイルに書き込みます。

8 ( 状況によって実行 ) 署名入り証明書を取得するには、.csr ファイルを合法的な認証局に送信し

ます。

9 アプリケーションサーバの設定ディレクトリに証明書をコピーします。

たとえば、C:\NetIQ\idm\apps\tomcat\conf です。


346 SSL によるセキュア通信

キーストアの作成と CA 証明書要求の生成後に、次の手順に従って、証明書をキーストアにイン

ポートします。

外部CA署名入り証明書については、347ページのセクション 29.3「外部CA署名入り証明書によ

る SSL の有効化」を参照してください。

自己署名証明書については、348 ページのセクション 29.4「自己署名証明書による SSL の有効

化」を参照してください。

29.3 外部 CA 署名入り証明書による SSL の有効化

運用環境では、合法的な認証局が発行した署名入り証明書を使用します。このセクションでは、署名入り証明書を識別情報アプリケーションのデフォルトの Tomcat アプリケーションサーバにイン

ポートする方法について説明します。

この手順は、合法的な認証局からの署名入り証明書が用意されていることを想定しています。詳細については、345 ページのセクション 29.2「キーストアと証明書署名要求の作成」を参照してくだ

さい。

署名入り証明書と SSL を使用するには :

1 アプリケーションサーバの設定ディレクトリに証明書をコピーします。たとえば、C:\NetIQ\idm\apps\tomcat\conf です。

2 ルート証明書を DER フォーマットに変換するには、次の手順を実行します。

2a conf ディレクトリにある証明書をダブルクリックします。

2b［証明書］ダイアログで［証明のパス］をクリックします。

2c 署名機関から入手したルート証明書を選択します。

2d［証明書の表示］をクリックします。

2e［詳細］ > ［ファイルにコピー］の順にクリックします。

2f 証明書のエクスポートウィザードで［次へ］をクリックします。

2g［DER encoded binary for X.509 (.CER)］を選択して［次へ］をクリックします。

2h 新しくフォーマットされた証明書を格納する新しいファイルを作成し、アプリケーションサーバの conf ディレクトリに格納します。


2i［完了］をクリックします。

3 変換された証明書をインポートするには、次の手順を実行します。

3a コマンドプロンプトでアプリケーションサーバの conf ディレクトリに移動します。

3b 次のコマンドを入力します。

keytool -import -trustcacerts -alias root -keystore your.keystore -file yourRootCA.der


keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file IDMTESTREE.der

注 : 別名として［root］を指定する必要があります。


証明書をインポートした後で、サーバに［Certificate was added to keystore ( 証明書が

キーストアに追加されました )］が表示されます。

3c 次のコマンドを使用して、署名入り証明書が conf ディレクトリに正しくインポートされて

いることを確認します。

keytool -list -v -alias root -keystore your.keystore


keytool -list -v -alias root -keystore IDMkey.keystore

サーバに証明書が一覧表示されます。

4 NetIQ では、署名入り証明書を Java cacerts の場所にもインポートすることをお勧めします。


keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file IDMTESTREE.der

5 アプリケーションサーバの SSL 設定を更新します。355 ページのセクション 29.6「アプリ

ケーションサーバの SSL 設定の更新」を参照してください。

6 設定ユーティリティで SSL 設定を更新します。詳細については、356 ページのセクション

29.7「設定ユーティリティによる SSL 設定の更新」を参照してください。

7 セルフサービスパスワードリセットの SSL 設定を更新します。詳細については、357 ページの

セクション 29.8「セルフサービスパスワードリセットの SSL 設定の更新」を参照してくださ

い。


29.4 自己署名証明書による SSL の有効化

自己署名証明書は、合法的な認証局の署名入り証明書よりも簡単に入手できるので、テスト環境で使用することができます。

348 ページのセクション 29.4.1「認証局のエクスポート」

350 ページのセクション 29.4.2「自己署名証明書の生成」

29.4.1 認証局のエクスポート

iManager を使用して eDirectory サーバから認証局 (CA) をエクスポートして、自己署名証明書を生

成できます。

1 eDirectory 管理者のユーザ名とパスワードを使用して iManager にログインします。

2［Administration ( 管理 )］ > ［Modify Object ( オブジェクトの変更 )］の順にクリックします。

3 セキュリティコンテナで「TreeName CA.Security」という名前の CA オブジェクトを参照しま

す。たとえば、IDMTESTTREE CA.Security を参照します。


5［Certificates ( 証明書 )］ > ［Self-Signed Certificate ( 自己署名証明書 )］の順にクリックします。

6 使用する自己署名証明書を選択します。


例 : ［Self Signed Certificate RSA ( 自己署名証明書 RSA)］

6a［Self Signed Certificate RSA ( 自己署名証明書 RSA)］をチェックします。

6b［検証］をクリックします。

7［Export］をクリックします。

8［Export private key ( 秘密鍵のエクスポート )］をクリアします。

9［Export format ( エクスポートフォーマット )］ > ［DER (DER)］の順にクリックします。


11［Save the exported certificate ( エクスポートされた証明書の保存 )］をクリックします。

12［Save File ( ファイルの保存 )］をクリックします。

iManager はファイルを「TreeName cert.der」という名前で保存します。たとえば、

IDMTESTREE cert.der というファイルに保存します。

13［閉じる］をクリックします。

14 アプリケーションサーバ (cert.der) の設定ディレクトリに証明書をコピーします。


15 ルート証明書をインポートするには、次の手順を実行します。

15a コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバの conf ディ

レクトリに移動します。

keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der

例 :

keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der

注 : 別名として［root］を指定する必要があります。



15b NetIQ では、ルート証明書を Java cacerts の場所にもインポートすることをお勧めしま

す。


keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file cert.der

15c 次のコマンドを使用して、conf ディレクトリに署名入り証明書が正しくインポートされて


keytool -list -v -alias root -keystore your.jks


keytool -list -v -alias root -keystore IDMkey.jks



29.4.2 自己署名証明書の生成

自己署名証明書を生成する前に、キーストアと証明書要求ファイルが用意されていることを確認します。詳細については、「345 ページのセクション 29.2「キーストアと証明書署名要求の作成」」を



2［Certificate Server ( 証明書サーバ )］ > ［Issue Certificate ( 証明書の発行 )］の順に移動します。

3 345 ページのセクション 29.2「キーストアと証明書署名要求の作成」のステップ 7 で作成した

.csr ファイルを参照します。

例 : IDMcertrequest.csr

4［次へ］を 2 回クリックします。

5 証明書タイプとして［Unspecified ( 指定なし )］をクリックします。

6［次へ］を 2 回クリックします。

iManager はファイルを csr_request_name.der という名前で保存します。例 : IDMcertrequest.der

7 アプリケーションサーバ (IDMcertrequest.der) の設定ディレクトリに証明書をコピーします。


8 生成された自己署名証明書をインポートするには、次の手順を実行します。

8a コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバの conf ディレ

クトリに移動します。

keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der

例 :

keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der

注 : 別名としてキーストア名を指定する必要があります。



8b NetIQ では、自己署名証明書を Java cacerts の場所にもインポートすることをお勧めしま

す。


keytool -import -alias IDMkey -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file IDMcertrequest.der

8c 次のコマンドを使用して、署名入り証明書が conf ディレクトリに正しくインポートされて


keytool -list -v -alias keystore_name -keystore your.jks


keytool -list -v -alias IDMkey -keystore IDMkey.jks



9 アプリケーションサーバの SSL 設定を更新します。詳細については、「355 ページのセクショ

ン 29.6「アプリケーションサーバの SSL 設定の更新」」を参照してください。

10 設定ユーティリティで SSL 設定を更新します。詳細については、356 ページのセクション

29.7「設定ユーティリティによる SSL 設定の更新」を参照してください。

11 セルフサービスパスワードリセットの SSL 設定を更新します。詳細については、357 ページの

セクション 29.8「セルフサービスパスワードリセットの SSL 設定の更新」を参照してくださ

い。


29.5 Sentinel と Identity Manager コンポーネント間のSSL の有効化

自己署名サーバ証明書を作成してエクスポートすることで、Sentinel と Identity Manager コンポー

ネント間のセキュアな通信を保証できます。有効な認証局が発行した署名付き証明書を使用します。

351ページのセクション29.5.1「Sentinelと Identity Managerエンジン /リモートローダ間のSSLの有効化」

353 ページのセクション 29.5.2「Sentinel とユーザアプリケーション間の SSL の有効化」

29.5.1 Sentinel と Identity Manager エンジン / リモートローダ間の

SSL の有効化



1b［NetIQ Certificate Server］>［Create Server Certificate ( サーバ証明書の作成 )］の順にク


1c 適切なサーバを選択します。

1d サーバのニックネームを指定します。

1e 残りの項目については、証明書のデフォルト値をそのまま使用します。

2 サーバ証明書を .pfx フォーマットにエクスポートするには、次の手順を実行します。

2a iManager で、［Directory Administration ( ディレクトリ管理 )］>［オブジェクトの変更］の

順に選択します。

2b キーマテリアルオブジェクト (KMO) を参照して選択します。

2c［証明書］>［エクスポート］の順にクリックします。


2e サーバ証明書を PKCS#12 として保存します。たとえば、certificate.pfx です。

3 次のコマンドを使用して、エクスポートされた証明書から dxipkey.pem ファイルに秘密鍵を展

開します。

openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes

4 証明書を dxicert.pem ファイルに展開します。

openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem


5 ステップ 1 で作成された eDirectory サーバの CA 証明書を Base64 形式にエクスポートするに



書へのアクセス )］ > ［ユーザ証明書］の順に移動します。

5b 作成された証明書を参照して選択します。

5c［エクスポート］をクリックします。

5d［CA 証明書］をドロップダウンメニューから［OU=organizationCA.O=TREENAME］とし

て選択します。

5e［エクスポート形式］をドロップダウンメニューから［BASE64］として選択します。

5f［次へ］をクリックし、証明書を保存します。たとえば、cacert.b64 です。

6 次のコマンドを使用して、キーストアに CA 証明書をインポートします。

keytool -import -alias <alias name> -file <b64 file> -keystore <keystore file> –noprompt


keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

7 証明書を監査コネクタのトラストストアにインポートするには、次の手順を実行します。

7a 管理者として Sentinel メインインタフェースにログインします。

7b メインの ESM ディスプレイで、Audit サーバを参照します。

7c［Audit サーバ］を右クリックして、［編集］をクリックします。

7d［セキュリティ］タブで、［Strict ( 厳しい )］を選択します。

注 : デフォルトでは、初の接続を許可するように［Open ( オープン )］ ( 非セキュア

) モードを使用するように設定されています。ただし、運用環境で使用している場合は、

モードが［Strict ( 厳しい )］に設定されていることを確認してください。

7e［インポート］をクリックして、ステップ 6 で作成した証明書に移動します。たとえば、

idmkeystore.ks です。

7f［Open ( オープン )］をクリックし、［保存］をクリックします。

7g Audit サーバを再起動します。

8 コンポーネントに基づいた次の場所にステップ 3 およびステップ 4 で作成した秘密鍵および証

明書をコピーします。


9 Identity Manager サービスを再起動します。

29.5.2 Sentinel とユーザアプリケーション間の SSL の有効化



1b［NetIQ Certificate Server］ > ［Create User Certificate ( ユーザ証明書の作成 )］をクリック

します。

1c 適切なユーザを選択します。

1d ユーザのニックネームを指定します。

1e［作成方法］で、［カスタム］を選択します。

1f 残りの項目については、証明書のデフォルト値をそのまま使用します。

1g［次へ］をクリックします。

1h［Custom Extensions ( カスタム拡張 )］で、［New DER Encoded Extensions ( 新規 DER エ

ンコード拡張 )］を選択します。

1i \products\UserApplication\ext.der カスタム拡張に移動します。

1j ( オプション ) 電子メールアドレスを指定します。

1k 証明書パラメータを確認して、［終了］をクリックします。

2 ユーザ証明書をエクスポートするため、次の手順を実行します。

2a［NetIQ Certificate Access (NetIQ 証明書へのアクセス )］ > ［ユーザ証明書］をクリックしま

す。

2b ステップ 1 でインポートしたユーザ証明書を選択します。

2c 有効なユーザ証明書を選択して、［エクスポート］をクリックします。


2e ユーザ証明書を PKCS12 として保存します。たとえば、certificate.pfx です。

3 次のコマンドを使用して、エクスポートされた証明書を key.pem ファイルに秘密鍵を展開しま

す。

コンポーネント Windows パス

Identity Manager エンジン C:\NetIQ\idm\NDS\DIBFiles

リモートローダリモートローダインストールディレクトリ :

C:\NetIQ\idm\RemoteLoader

または

C:\NetIQ\idm\RemoteLoader\64bit

または

C:\NetIQ\idm\RemoteLoader\32bit

.NET リモートローダ C:\NetIQ\idm\RemoteLoader.NET

ファンアウトエージェント C:\NetIQ\idm\FanoutAgent


openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes

4 証明書を cert.pem ファイルに展開します。

openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem

5 ユーザアプリケーションを停止します。

6 秘密鍵と証明書を configupdate ユーティリティに追加します。

6a configupdate ユーティリティを開きます。

6b［詳細オプションの表示］をクリックします。

6c［NetIQ Sentinel デジタル署名証明書］フィールドで、cert.pem をコピーします。

6d［NetIQ Sentinel デジタル署名秘密鍵］フィールドで、秘密鍵 (key.pem) を展開した場所に移

動して、キーをインポートします。

6e configupdate ユーティリティへの変更を保存します。

7 ユーザアプリケーションを再起動します。

8 ステップ 1 で作成された eDirectory サーバの CA 証明書を Base64 形式にエクスポートするに



書へのアクセス )］ > ［ユーザ証明書］の順に移動します。

8b 作成した証明書を選択します。

8c［エクスポート］をクリックして、［Export private key ( 秘密鍵のエクスポート )］チェック

ボックスをクリアします。

8d［エクスポート形式］をドロップダウンメニューから［BASE64］として選択します。

8e［次へ］をクリックし、証明書を保存します。たとえば、cacert.b64 です。

9 次のコマンドを使用して、キーストアに CA 証明書をインポートします。

keytool -import -alias <alias name> -file cacert.b64 -keystore <keystore file> –noprompt


keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

10 証明書を監査コネクタのトラストストアにインポートするには、次の手順を実行します。

10a 管理者として Sentinel メインインタフェースにログインします。

10b メインの ESM ディスプレイで、Audit サーバを参照します。

10c［Audit サーバ］を右クリックして、［編集］をクリックします。

10d［セキュリティ］タブで、［Strict ( 厳しい )］を選択します。

注 : デフォルトでは、［Open ( オープン )］ ( 非セキュア ) モードを使用することで、初の

接続を許可ように設定されています。ただし、運用環境で使用している場合は、モードが［Strict ( 厳しい )］に設定されていることを確認してください。

10e［インポート］をクリックして、ステップ 9 で作成した証明書に移動します。たとえば、

idmKeystore.ks です。

10f［Open ( オープン )］をクリックし、［保存］をクリックします。

10g Audit サーバを再起動します。

11 ユーザアプリケーションを再起動します。


29.6 アプリケーションサーバの SSL 設定の更新

識別情報アプリケーションおよび Identity Reporting をホストするアプリケーションサーバは、

SSL 通信をサポートするように設定する必要があります。このセクションでは、デフォルトのアプ

リケーションサーバである、Tomcat アプリケーションサーバを更新する手順について説明します。

1 Tomcat が実行されている場合は、それを停止します。

2 Tomcat サーバの SSL ポートを設定します。

たとえば、SSL のコネクタポートは 8543 です。server.xml ファイルを編集します。このファイ

ルは、C:\NetIQ\idm\apps\tomcat\conf ディレクトリにあります。

<Connector port="8543" protocol="HTTP/1.1"maxThreads="150" SSLEnabled="true" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="path_to_keystore_file"keystorePass="keystore_password" />

各要素の説明

keystoreFile userapp.keystore ファイルへのパスを指定します。このファイルは、デフォルトでは

C:\NetIQ\idm\apps\tomcat\conf\userapp.keystore ディレクトリにあります。

keystorePass

userapp.keystore ファイルのパスワードを指定します。

また、redirectPort 属性を 8543 に更新し、server.xml を保存します。

3 Tomcat の conf ディレクトリ ( デフォルトでは C:\NetIQ\idm\apps\tomcat\conf) に移動します。

4 conf ディレクトリにキーストアファイルがあることを確認します。たとえば、idmapps.keystoreです。

この手順を実行した後でキーストアファイルを作成する場合は、この手順で提供するのと同じファイル名を必ず使用してください。詳細については、345 ページのセクション 29.2「キース

トアと証明書署名要求の作成」を参照してください。

5 テキストエディタで server.xml を開きます。このファイルは、conf ディレクトリにあります。

6 次の内容を server.xml ファイルに追加します。

<Connector port="port_number" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="path_to_file/filename.keystore" keystorePass="password"


<Connector port="8543" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\NetIQ\idm\apps\tomcat\conf\idmapps.keystore" keystorePass="encrypted_password"


NetIQ では、クリアテキストパスワードを提供する代わりに、keystorePass の暗号化パスワー

ドを指定することをお勧めします。SSL 通信でのクリアテキストおよび暗号化パスワードの使

用法の詳細については、「Securing Tomcat」を参照してください。


29.7 設定ユーティリティによる SSL 設定の更新

識別情報アプリケーションと Identity Reporting をインストールする際、通信方法として https を指

定する必要があります。たとえば、215 ページの「プロトコル」と入力します。ただし、インス

トール後に RBPM 設定ユーティリティを使用して、これらのアプリケーションが SSL を使用して

通信することを保証できます。設定するパラメータの詳細については、237 ページの第 15.8 章「識

別情報アプリケーションの設定の管理」を参照してください。

1 services.msc ファイルを使用して、Tomcat を停止します。

2 RBPM 設定ユーティリティに移動します。デフォルトでは、Identity Applications のインストー

ルディレクトリにあります。たとえば、C:\NetIQ\idm\apps\UserApplication です。

3 コマンドプロンプトで、設定ユーティリティ (configupdate.bat) を実行します。

注 : ユーティリティが起動するまで数分待つ必要がある場合があります。

4 ( 状況によって実行 )configupdate ユーティリティで SSL を設定する場合は、［認証］タブに移

動して、［SSO クライアント］タブで言及されているすべての参照を置き換えます。

https://<IP address>:<SSL Port number>


https://192.168.0.1:8543

5［認証］をクリックし、次の設定を変更します。

OAuth サーバの TCP ポート認証サーバのポートを指定します。

たとえば、8543 です。

OAuth サーバは TLS/SSL を使用しています認証サーバが通信に TLS/SSL プロトコルを使用することを指定します。

Optional TLS/SSL keystore file ( オプションの TLS/SSL キーストアファイル ) 認証サーバの信頼証明書を含む Java JKS キーストアファイルのパスとファイル名を指定

します。このパラメータは、認証サーバが TLS/SSL プロトコルを使用し、認証サーバの

信頼証明書が JRE トラストストア (cacerts) に存在しない場合に適用されます。

Optional TLS/SSL keystore password ( オプションの TLS/SSL キーストアパスワード ) TLS/SSL 認証サーバのキーストアファイルをロードする際に使用するパスワードを指定し

ます。

OAuth キーストアファイル認証に使用する Java JKS キーストアファイルのパスを指定します。このキーストアファ

イルには少なくとも 1 つの公開鍵 / 秘密鍵ペアが存在する必要があります。

OAuth キーストアファイルパスワード OAuth キーストアファイルをロードする際に使用するパスワードを指定します。


https://www.owasp.org/index.php/Securing_tomcat

OAuth で使用するためのキー別名対象鍵の生成に使用する OSP キーストアファイル内の公開鍵 / 秘密鍵ペアの名前を指定

します。

OAuth で使用するためのキーパスワード認証サーバが使用する秘密鍵のパスワードを指定します。

6［SSO クライアント］をクリックします。

7［ランディングページへの URL リンク］および［OAuth リダイレクト URL］などの URL 設定の

すべてを更新します。

これらの設定は、認証完了時に認証サーバがブラウザクライアントを移動する絶対 URL を指

定します。

次の形式を使用します : https://DNS_name:sslport/path。たとえば、https:/nqserver.testsite:8543/landing/com.netiq.test です。

8 設定ユーティリティで変更を保存します。

9 services.msc ファイルを使用して、Tomcat を起動します。

29.8 セルフサービスパスワードリセットの SSL 設定の更新SSPR の SSL 設定を変更するには、識別情報アプリケーションにログインする必要があります。

1 設定ユーティリティでランディングページに指定した https URL をブラウザで入力します。た

とえば、「https://myserver.host:8543/landing」と入力します。

2 識別情報アプリケーションの管理者資格情報を使用してログインします。

リダイレクトホワイトリスト URL を変更する必要があることを示す警告が表示されます。

3 リダイレクトホワイトリスト URL を変更するには、表示されたページの手順を実行します。

4［Settings ( 設定 )］ > ［OAuth SSO (OAuth SSO)］の順に移動します。

5 3 つの URL すべてに https プロトコルとポートを指定します。

6［Settings ( 設定 )］ > ［Application ( アプリケーション )］の順に移動します。

7 3 つの URL すべてに https プロトコルとポートを指定します。

8［Save ( 保存 )］をクリックし、［OK］をクリックします。

9 識別情報アプリケーションのすべての URL に https プロトコルが使用されていることを検証し

ます。

問題解決のヒント

SSPR の SSL 設定を更新した後で、SSPR ランディングページにアクセスできない場合は、次の手

順に従って、SSPRConfiguration.xml ファイルで必要な URL を更新します。

1 以下のパスにある SSPRConfiguration.xml ファイルに移動します。

C:\NetIQ\idm\apps\sspr\sspr_data

2 適切な IP アドレスとポート番号ですべての URL を更新します。

https://<IP address>:<SSL Port number>


例 :

https://192.168.0.1:8543


30 30 インストール後のタスク

Identity Manager がインストールされた後、ビジネスプロセスにより定義されたポリシーと要件を

満たすように、インストールしたドライバを設定する必要があります。監査イベントを収集するように Sentinel Log Management for IGA を設定する必要もあります。インストール後のタスクには、

通常次の項目が含まれます。

359 ページのセクション 30.1「接続システムの設定」

359 ページのセクション 30.2「ドライバセットの作成と設定」

362 ページのセクション 30.3「ドライバの作成」

362 ページのセクション 30.4「ポリシーの定義」

363 ページのセクション 30.5「ドライバアクティビティの管理」

363 ページのセクション 30.6「Identity Manager のアクティベート」

30.1 接続システムの設定Identity Manager により、アプリケーション、ディレクトリ、およびデータベースで情報を共有で

きます。ドライバ固有の設定手順については、Identity Manager ドライバのマニュアルを参照して

ください。

30.2 ドライバセットの作成と設定ドライバセットは、複数の Identity Manager ドライバを格納するコンテナです。1 つのサーバで一

度にアクティブにできるドライバセットは 1 つだけです。ドライバセットを作成するには

Designer ツールを使用できます。

アイデンティティボールトとのパスワード同期をサポートするためには、Identity Manager でドラ

イバセットにパスワードポリシーが設定されている必要があります。Identity Manager でデフォル

トのユニバーサルパスワードポリシーパッケージを使用するか、既存の組織の要件に基づいてパスワードポリシーを作成できます。ただし、パスワードポリシーには DirMXL-PasswordPolicy オブジェ

クトが含まれている必要があります。ポリシーオブジェクトにアイデンティティボールトが存在しない場合は、オブジェクトを作成できます。

360 ページのセクション 30.2.1「ドライバセットの作成」

360 ページのセクション 30.2.2「デフォルトのパスワードポリシーのドライバセットへの割り

当て」

360 ページのセクション 30.2.3「アイデンティティボールトでのパスワードポリシーオブジェ

クトの作成」

361 ページのセクション 30.2.4「カスタムパスワードポリシーの作成」

361 ページのセクション 30.2.5「アイデンティティボールトでのデフォルト通知コレクション

オブジェクトの作成」

インストール後のタスク 359


30.2.1 ドライバセットの作成

Designer for Identity Manager では、ドライバセットを作成および設定するための多数の設定を用意

しています。これらの設定により、グローバル環境設定値、ドライバセットパッケージ、ドライバセット名前付きパスワード、ログレベル、トレースレベル、および Java 環境パラメータを指定で

きます。詳細については、『NetIQ Designer for Identity Manager Administration Guide』の

「Configuring Driver Sets」を参照してください。

30.2.2 デフォルトのパスワードポリシーのドライバセットへの割り当て

アイデンティティボールトの各ドライバセットに DirMXL-PasswordPolicy オブジェクトを割り当て

る必要があります。Identity Manager のデフォルトのユニバーサルパスワードポリシーパッケージ

には、このポリシーオブジェクトが含まれています。デフォルトのポリシーによりユニバーサルパスワードポリシーがインストールされて割り当てられ、Identity Manager エンジンがドライバ用に

ランダムパスワードを自動的に生成する方法を制御します。

または、カスタムパスワードポリシーを使用する場合は、パスワードポリシーオブジェクトとポリシーを作成する必要があります。詳細については、360 ページのセクション 30.2.3「アイデンティ

ティボールトでのパスワードポリシーオブジェクトの作成」および 361 ページのセクション 30.2.4「カスタムパスワードポリシーの作成」を参照してください。


2［アウトライン］ペインで、プロジェクトを展開します。

3［パッケージカタログ］ > ［共通］を展開し、デフォルトのユニバーサルパスワードポリシーパッ

ケージが存在するかどうかを確認します。

4 ( 状況によって実行 ) パスワードポリシーパッケージが Designer に一覧表示されていない場合


4a［パッケージカタログ］を右クリックします。

4b［パッケージのインポート］を選択します。

4c［Identity Manager Default Universal Password Policy (Identity Manager のデフォルトのユ

ニバーサルパスワードポリシー )］を選択し、［OK］をクリックします。

表にすべての使用可能なパッケージが表示されるようにするには、［Show Base Packages Only ( 基本パッケージのみ表示 )］の選択を解除する必要があります。

5 各ドライバセットを選択し、パスワードポリシーを割り当てます。

30.2.3 アイデンティティボールトでのパスワードポリシーオブジェクトの作成

DirMXL-PasswordPolicy オブジェクトがアイデンティティボールトに存在しない場合は、Designer または ldapmodify ユーティリティを使用してこのオブジェクトを作成できます。Designer でこれを

実行する方法の詳細については、『NetIQ Designer for Identity Manager Administration Guide』の

「Configuring Driver Sets」を参照してください。ldapmodify ユーティリティを使用するには、次の

手順を使用します。

1 テキストエディタで、次の属性を持つ LDAP Data Interchange Format (LDIF) ファイルを作成

します。

360 インストール後のタスク

dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security changetype: add nsimPwdRuleEnforcement: FALSE nspmSpecialAsLastCharacter: TRUE nspmSpecialAsFirstCharacter: TRUE nspmSpecialCharactersAllowed: TRUE nspmNumericAsLastCharacter: TRUE nspmNumericAsFirstCharacter: TRUE nspmNumericCharactersAllowed: TRUE nspmMaximumLength: 64 nspmConfigurationOptions: 596 passwordUniqueRequired: FALSE passwordMinimumLength: 1 passwordAllowChange: TRUE objectClass: nspmPasswordPolicy

dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security changetype: modify add: nsimAssignments nsimAssignments: <driverset LDAP dn>

注 : コンテンツをそのままコピーすると、ファイルにいくつかの非表示の特殊文字が挿入される場合があります。これらの属性をアイデンティティボールトに追加する際に ldif_record() = 17のエラーメッセージが表示される場合は、2 つの DN 間にスペースを挿入してください。

2 識別ボールトに DirMXL-PasswordPolicy オブジェクトを追加するには、Identity Manager イン

ストールキットの install/utilities ディレクトリから ldapmodify.exe を実行して、ファイルから属性

をインポートします。

30.2.4 カスタムパスワードポリシーの作成

Identity Manager でデフォルトのパスワードポリシーを使用するのではなく、組織の要件に基づい

て新しいポリシーを作成できます。パスワードポリシーは、ツリー構造全体、パーティションルートコンテナ、コンテナ、または特定のユーザに割り当てることができます。管理を簡易化するには、ツリー内のできるだけ高い位置にパスワードポリシーを割り当てることをお勧めします。詳細については、『Password Management 3.3.2 Administration Guide』の「Creating Password Policies」を


注 : ドライバセットに DirXML-PasswordPolicy オブジェクトを割り当てる必要もあります。詳細に

ついては、360 ページのセクション 30.2.3「アイデンティティボールトでのパスワードポリシーオ

ブジェクトの作成」を参照してください。

30.2.5 アイデンティティボールトでのデフォルト通知コレクションオブジェクトの作成

デフォルトの通知コレクションは、電子メール通知テンプレートのセットとテンプレートから生成された電子メールを送信する際に使用される SMTP サーバを含むアイデンティティボールトオブ

ジェクトです。デフォルトの通知コレクションオブジェクトがアイデンティティボールトに存在しない場合は、Designer を使用して作成できます。


2［アウトライン］ペインで、プロジェクトを展開します。



https://www.netiq.com/documentation/password_management33/pwm_administration/data/an4bun5.html

3 アイデンティティボールトを右クリックし、アイデンティティボールトの［プロパティ］をクリックします。

4［パッケージ］をクリックし、［Add Packages ( パッケージの追加 )］アイコンをクリックしま

す。

5 すべての通知テンプレートパッケージを選択し、［OK］をクリックします。

6［インストール］操作でパッケージをインストールするには、［適用］をクリックします。

7 通知テンプレートをアイデンティティボールトに展開します。

30.3 ドライバの作成ドライバを作成するには、Designer で提供されているパッケージ管理機能を使用します。使用する

各 Identity Manager ドライバに対して、ドライバオブジェクトを作成し、ドライバ設定をインポー

トします。ドライバオブジェクトには、設定パラメータとそのドライバのポリシーが含まれます。ドライバオブジェクトを作成する一貫として、ドライバパッケージをインストールしてから、環境に合わせてドライバ設定を変更します。

ドライバパッケージには、デフォルトのポリシーセットが含まれています。これらのポリシーは、データ共有モデルを簡単に実装できるようにすることを目的としています。ほとんどの場合は、出荷時のデフォルト設定を使用してドライバを設定してから、環境の要件に応じてドライバの設定を変更します。ドライバを作成して設定した後で、それをアイデンティティボールトに展開して起動します。一般的に、ドライバの作成プロセスには次のアクションが含まれます。

1. ドライバパッケージのインポート

2. ドライバパッケージのインストール

3. ドライバオブジェクトの設定

4. ドライバオブジェクトの展開

5. ドライバオブジェクトの起動

追加情報およびドライバ固有の情報については、Identity Manager ドライバの Web サイトから関連

するドライバ実装ガイドを参照してください。

30.4 ポリシーの定義ポリシーにより、識別 \'83\'7bールトに対する情報フローを特定の環境に合わせてカスタ \'83\'7d イ

ズできます。たとえば、ある会社ではメインのユーザクラスとして inetorgperson を使用していて、

別の会社では User を使用しているとします。これを処理するために、各システムで呼び出すユー

ザを Identity Manager エンジンに指示するポリシーが作成されています。接続システム間でユーザ

に影響する操作をやり取りする場合、Identity Manager は、この変更を行うポリシーを適用します。

また、ポリシーは、新しいオブジェクトの作成、属性値の更新、スキーマ変換の実行、一致条件の定義、Identity Manager の関連付けの維持など、多くのタスクを実行します。

NetIQ では、Designer を使用して、ビジネスニーズを満たすようにドライバのポリシーを定義する

ことをお勧めします。ポリシーの詳細ガイドについては、『NetIQ Identity Manager - Using Designer to Create Policies guide』および『NetIQ Identity Manager Understanding Policies Guide.』を参照し

てください。Identity Manager が使用する文書型定義 (DTD) については、Identity Manager DTD Reference を参照してください。リソースには次のものが含まれます。

使用可 \'94\'5c な各ポリシーの詳細な説明 .



https://www.netiq.com/documentation/identity-manager-developer/dtd-documentation.html

https://www.netiq.com/documentation/identity-manager-developer/dtd-documentation.html

各条件、アクション、名詞、および動詞のサンプルと \'8d\'5c 文を含む、Policy Builder の詳細な

ユーザガイドとリファレンス

XSLT スタイルシートを使用したポリシー作成の説明

30.5 ドライバアクティビティの管理Identity Manager ドライバの管理および設定機能を使用するには、Designer または iManager を使

用してください。これらの機能は、『NetIQ Identity Manager Driver Administration Guide』に詳細に

記載されています。

30.6 Identity Manager のアクティベート

Identity Manager のいくつかのコンポーネントは、初回ログイン時に自動的にアクティベートされ

ます。他のコンポーネントは、アクティベーション手順を実行する必要があります。

363 ページのセクション 30.6.1「プロダクトアクティベーションキーのインストール」

364 ページのセクション 30.6.2「Identity Manager およびドライバのプロダクトアクティベー

ションのレビュー」

364 ページのセクション 30.6.3「Identity Manager のドライバの有効化」

365 ページのセクション 30.6.4「Identity Manager の特定のコンポーネントのアクティベーショ

ン」

30.6.1 プロダクトアクティベーションキーのインストール

iManager を使用してプロダクトアクティベーションキーをインストールすることをお勧めします。

注 : 使用するドライバごとに、ドライバが存在するドライバセットをアクティベートします。資格情報によってツリーを有効にできます。

1 ライセンスの購入後に、NetIQ からカスタマ ID が記載された電子メールが送信されます。電子

メールの「注文の詳細」セクションには、資格情報を入手可能なサイトへのリンクも含まれています。リンクをクリックすると、サイトに移動します。

2 ライセンスのダウンロードリンクをクリックして、次のいずれかのアクションを実行します。

プロダクトアクティベーションキーファイルを開き、プロダクトアクティベーションキー

の内容をクリップボードにコピーします。

プロダクトアクティベーションキーファイルを保存します。

内容をコピーする方法を選択する場合、不要な行やスペースが含まれないようにしてくだ

さい。プロダクトアクティベーションキーの初のダッシュ (-) から (----BEGIN PRODUCT ACTIVATION CREDENTIAL) 後のダッシュ (-) まで (END PRODUCT ACTIVATION CREDENTIAL-----) をコピーする必要があります。


4［Identity Manager］>［Identity Manager の概要］の順に選択します。

5 ツリー構造でドライバセットを選択するには、参照アイコン ( ) をクリックします。


6［Identity Manager の概要］ページで、アクティベートするドライバを含むドライバセットをク


7［ドライバセットの概要］ページで、［アクティベーション］>［インストール］の順にクリックし

ます。

8 Identity Manager コンポーネントをアクティベートするドライバセットを選択して、［次へ］を


9 ( 状況によって実行 ) プロダクトアクティベーションキーファイルを保存していた場合は、保存

した場所を指定します。

10 ( 状況によって実行 ) プロダクトアクティベーションキーファイルの内容をコピーしていた場合

は、テキスト領域に内容を貼り付けます。



注 : Identity Manager では、Bundle Edition のアクティベーションの適用後に適切な Identity Manager Edition が表示されません。

30.6.2 Identity Manager およびドライバのプロダクトアクティベー

ションのレビュー

ドライバセットごとに、Identity Manager エンジンサーバと Identity Manager ドライバのためにイ

ンストールしたプロダクトアクティベーションキーを表示できます。アクティベーションキーを削除することもできます。

注 : ドライバセットの有効なプロダクトアクティベーションキーをインストールした後も、ドライバ名の横に「アクティベーションが必要です」と表示されることがあります。この場合、ドライバを再起動します。メッセージは消去されます。


2［Identity Manager］ > ［Identity Manager の概要］の順にクリックします。

3 ツリー構造でドライバセットを選択するには、参照アイコン ( ) と検索アイコン ( ) を使用し

ます。

4［Identity Manager の概要］ページで、アクティベーション情報をレビューするドライバセット


5［ドライバセットの概要］ページで、［アクティベーション］ > ［情報］の順にクリックします。

アクティベーションキーのテキストを参照できます。エラーが報告された場合は、アクティベーションキーを削除できます。

30.6.3 Identity Manager のドライバの有効化

Identity Manager エンジンをアクティベートする際、次のドライバもアクティベートします。

サービスドライバ共通ドライバ

データ収集サービス Active Directory

ID プロバイダ eDirectory 用双方向ドライバ


Identity Manager の他のドライバをアクティベートするには、Identity Manager 統合モジュールを購

入する必要があります。このモジュールには 1 つまたは複数のドライバが含まれている可能性があ

ります。購入した Identity Manager 統合モジュールごとにプロダクトアクティベーションキーが提

供されます。プロダクトアクティベーションキーを受信した後、363 ページのセクション 30.6.1「プロダクトアクティベーションキーのインストール」の手順を実行します。ドライバの詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。

30.6.4 Identity Manager の特定のコンポーネントのアクティベーショ

ン

このセクションでは、Identity Manager の特定のコンポーネントのアクティベーションについて説

明します。

365 ページの「Designer のアクティベート」

365 ページの「Analyzer のアクティベート」

Designer のアクティベート Identity Manager エンジンまたは Identity Manager ドライバをアクティベートする際、Designer もアクティベートします。

Analyzer のアクティベート

ライセンスがない状態で Analyzer を起動すると、アクティベーションページが開きます。このペー

ジで、Analyzer のライセンスを管理できます。

注 : ［Activation ( アクティベーション )］ダイアログボックスを閉じても、ライセンスを入力してア

クティベートするまでは Analyzer はロックされたままです。ライセンスを追加する準備ができた

ら、Project View ( プロジェクトビュー ) で［Activate Analyzer (Analyzer のアクティベート )］をクリッ

クして［Activation ( アクティベーション )］ダイアログボックスを開きます。

1 Analyzer を起動します。

2［Analyzer Activation (Analyzer アクティベーション )］ウィンドウで、新しいライセンスを追加

するか、ライセンス用カスタマーセンターにアクセスすることができます。

3 ( 状況によって実行 ) 新しいライセンスを追加するには :

3a［Add a new license ( 新しいライセンスを追加 )］をクリックします。

3b［License ( ライセンス )］ウィンドウで、NetIQ の［ご注文と配送］ポータルからダウン

ロードしたアクティベーションコードを入力して［OK］をクリックします。

Managed System Gateway eDirectory

役割およびリソースサービス GroupWise 2014

ユーザアプリケーション LDAP

Lotus Notes

サービスドライバ共通ドライバ


https://www.netiq.com/documentation/identity-manager-46-drivers/index.html

4 ( 状況によって実行 ) ライセンス用カスタマーセンターにアクセスするには :

4a［Access Customer Center for license ( ライセンス用カスタマーセンターにアクセス )］をク


4b［Visit the Micro Focus Customer Center (Micro Focus カスタマーセンターにアクセス )］を


4c Analyzer ライセンスをブラウズして選択します。

4d アクティベーションコードをコピーして、［ご注文と配送］ポータルを閉じます。

4e［License ( ライセンス )］ウィンドウで、アクティベーションコードを入力して［OK］を


5［Analyzer Activation (Analyzer アクティベーション )］ウィンドウで、直前にインストールした

ライセンスの詳細をレビューします。

6［OK］をクリックし、Analyzer の使用を開始します。


IX IXIdentity Manager のアップグレード

このセクションでは、Identity Manager のコンポーネントのアップグレードについて説明します。

既存データを新しいサーバにマイグレートするには、409 ページのパート X「Identity Manager のデータの新しいインストールへのマイグレート」を参照してください。アップグレードとマイグレーションの違いの詳細については、371 ページのセクション 31.2「アップグレードとマイグレー

ションの理解」を参照してください。

Identity Manager のアップグレード 367

368 Identity Manager のアップグレード

31 31Identity Manager のアップグレードの準備

このセクションでは、Identity Manager ソリューションを新バージョンにアップグレードする準

備について説明します。Identity Manager の大部分のコンポーネントは、ターゲットコンピュータ

に応じて、実行可能ファイルまたはバイナリファイルを使用して、またはテキストモードで、アップグレードできます。アップグレードを実行するには、Identity Manager インストールキットをダ

ウンロードして、圧縮解除する必要があります。

369 ページのセクション 31.1「Identity Manager のアップグレードのチェックリスト」

371 ページのセクション 31.2「アップグレードとマイグレーションの理解」

372 ページのセクション 31.3「アップグレードの順序」

372 ページのセクション 31.4「サポートされているアップグレードパス」

376 ページのセクション 31.5「現在の設定のバックアップ」

31.1 Identity Manager のアップグレードのチェックリストアップグレードを実行するには、次のチェックリストの手順を実行することをお勧めします。


1. アップグレードとマイグレーションの違いをレビューします。詳細については、371 ページ

のセクション 31.2「アップグレードとマイグレーションの理解」を参照してください。

2. Identity Manager 4.5.6 にアップグレードします。4.5.6 より古いバージョンからバージョン

4.7 にアップグレードまたはマイグレートすることはできません。詳細については、『NetIQ Identity Manager 4.5 Setup Guide』を参照してください。

3. Identity Manager をアップグレードする新のインストールキットを用意していることを確

認します。詳細については、「45 ページのセクション 5.5「インストールファイルのダウン

ロード」」を参照してください。



5. Identity Manager の新バージョンのハードウェアとソフトウェアの前提条件をコンピュー

タが満たしていることを確認します。詳細については、49 ページの第 6 章「インストール

に関する考慮事項」およびアップグレードするバージョンのリリースノートを参照してください。

6. 現在のプロジェクト、ドライバ環境設定、およびデータベースをバックアップします。詳細については、376 ページのセクション 31.5「現在の設定のバックアップ」を参照してくださ

い。

7. Designer を新バージョンにアップグレードします。詳細については、381 ページのセク

ション 32.1「Designer のアップグレード」を参照してください。

Identity Manager のアップグレードの準備 369

https://www.netiq.com/documentation/idm45/setup_guide/data/front.html


8. iManager をインストールするか、Identity Manager の新バージョンにアップグレードしま

す。詳細については、次のいずれかのセクションを参照してください。

の確認 : 143 ページの「iManager のインストール」

アップグレード : 382 ページの「iManager のアップグレード」

9. Identity Manager を実行しているサーバ上で、eDirectory を新のバージョンにアップグ

レードしてパッチを適用します。

64 ビットリモートローダがすでにアップグレードされている環境に、eDirectory 9.0 以降を

アップグレードする場合は、eDirectory のインストールが失敗し、リモートローダは動作を

停止します。リモートローダが正しく機能していることを確認するには、以下の手順を実行してから、eDirectory をアップグレードしてください。

1. リモートローダとそのインスタンスを停止します。

2. novell-DXMLopensslx RPM をアンインストールします。

3. eDirectory 9.1 以降のバージョンをインストールします。

eDirectory をアップグレードすると ndsd が停止し、その結果、すべてのドライバが停止し

ます。詳細については、『NetIQ eDirectory Installation Guide』を参照してください。

10. iManager のプラグインを iManager のバージョンと一致するようにアップデートします。詳

細については、386 ページのセクション 32.2.4「iManager プラグインのアップグレードま

たは再インストール後のアップデート」を参照してください。

11. Identity Manager エンジンのインストール先であるサーバに関連付けられているドライバを

停止します。詳細については、94 ページのセクション 9.4.1「ドライバの停止」を参照して

ください。

12. Identity Manager エンジンをアップグレードします。詳細については、387 ページのセク

ション 32.4「Identity Manager エンジンのアップグレード」を参照してください。

注 : Identity Manager エンジンを新しいサーバにマイグレートしている場合、現在の Identity Manager サーバ上のものと同じ eDirectory レプリカを使用できます。詳細については、

417 ページのセクション 35.4「Identity Manager エンジンの新しいサーバへのマイグレー

ト」を参照してください。

13. ( 状況によって実行 ) Identity Manager エンジンのドライバセットのいずれかのドライバがリ

モートローダドライバである場合、ドライバごとにリモートローダサーバをアップグレードします。詳細については、386 ページのセクション 32.3「リモートローダのアップグレー

ド」を参照してください。

14. ( 状況によって実行 ) パッケージを使用する場合、既存のドライバのパッケージをアップグ

レードして、新しいポリシーを取得します。詳細については、401 ページのセクション 32.8「Identity Manager ドライバのアップグレード」を参照してください。

この手順は、パッケージのより新しいバージョンが入手可能で、ドライバのポリシーに既存のドライバに追加する新しい機能が含まれている場合にのみ必要です。

15. ( 状況によって実行 ) OSP がインストールされていない場合は、これをインストールしま

す。詳細については、171 ページのパート 13「シングルサインオンコンポーネントのイン

ストール」を参照してください。


370 Identity Manager のアップグレードの準備


31.2 アップグレードとマイグレーションの理解既存の Identity Manager インストールの新バージョンをインストールする場合、通常はアップグ

レードを実行します。ただし、Identity Manager の新バージョンで既存データのアップグレード

パスが提供されていない場合は、マイグレーションを実行する必要があります。マイグレーションは、新しいサーバに Identity Managers をインストールして、既存のデータをこの新しいサーバにマ

イグレートすることとして定義されています。

製品評価期間中または Advanced Edition のアクティベーション後に、ご使用の環境で Advanced Edition 機能が必要ないときは、Standard Edition に「切り替え」たい場合があります。Identity Manager では、簡単な手順に従って、Advanced Edition から Standard Edition に切り替えることが

できます。

Advanced Edition から Standard Edition への切り替え Identity Manager では、製品評価期間または Advanced Edition のアクティベーション後に、

Advanced Edition から Standard Edition に切り替えることができます。

16. ( 状況によって実行 ) SSPR がインストールされていない場合は、これをインストールしま

す。詳細については、179 ページのパート 14「パスワード管理コンポーネントのインス

トール」を参照してください。

注 : 現在パスワード管理にレガシプロバイダを使用している場合は SSPR をインストールし

ます。詳細については、33 ページのセクション 4.4.2「レガシパスワード管理プロバイダの

理解」を参照してください。

17. 更新プログラムを使用して、ユーザアプリケーション、Identity Manager ダッシュボード、

OSP、SSPR、および Identity Reporting をアップグレードします。詳細については、

388 ページのセクション 32.5「Identity Applications および Identity Reporting のアップグ

レード」を参照してください。

または、これらのコンポーネントを手動でアップグレードすることもできます。詳細については、409 ページのパート X「Identity Manager のデータの新しいインストールへのマイグ

レート」を参照してください。

18. Identity Reporting と関連ドライバをアップグレードします。詳細については、399 ページの

セクション 32.6「Identity Reporting のアップグレード」を参照してください。

19. 識別情報アプリケーションと Identity Manager エンジンの関連ドライバを起動します。詳細

については、95 ページのセクション 9.4.2「ドライバの起動」を参照してください。

20. ( 状況によって実行 ) Identity Manager エンジンまたは識別情報アプリケーションを新しい

サーバにマイグレートした場合、この新しいサーバをドライバセットに追加します。詳細については、403 ページのセクション 32.9「新しいサーバをドライバセットに追加する」を参


21. ( 状況によって実行 ) カスタムポリシーとルールがある場合は、カスタマイズされている設

定を復元します。詳細については、405 ページのセクション 32.10「ドライバへのカスタム

ポリシーとルールの復元」を参照してください。

22. アップグレードした Identity Manager ソリューションをアクティベートします。詳細につい

ては、363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してくだ

さい。



重要 : Advanced Edition のアクティベーションをすでに適用している場合は、すべての

Standard Edition 機能が Advanced Edition で使用可能であるため、Standard Edition に移行する

必要はありません。ご使用の環境で Advanced Edition 機能が必要なく、Identity Manager の展

開をスケールダウンする場合にのみ Standard Edition に切り替える必要があります。詳細につ

いては、「407 ページの「Advanced Edition から Standard Edition への切り替え」」を参照して

ください。

31.3 アップグレードの順序Identity Manager のコンポーネントは、次の順序でアップグレードする必要があります。

1. Designer

2. iManager

3. Sentinel Log Management for IGA


5. Identity Manager エンジン / リモートローダ

6. iManager プラグイン

7. Tomcat および PostgreSQL コンポーネント

8. Single Sign-on (One SSO Provider)

9. セルフサービスパスワードリセット

10. Identity Applications (Advanced Edition 用 )


12. Analyzer

サポートされている新のアップグレードパスについては、Identity Manager 4.6 マニュアルの

Web サイトからご使用のバージョンのリリースノートを参照してください。

31.4 サポートされているアップグレードパスIdentity Manager 4.7 には、4.6.x および 4.5.x バージョンからアップグレードするためのサポートが

含まれています。アップグレードを開始する前に、現在のバージョンに対応するリリースノートの情報を確認することをお勧めします。

372 ページのセクション 31.4.1「Identity Manager 4.6.x バージョンからのアップグレード」

374 ページのセクション 31.4.2「Identity Manager 4.5.x バージョンからのアップグレード」

31.4.1 Identity Manager 4.6.x バージョンからのアップグレード

次の表に、Identity Manager 4.6.x バージョンのコンポーネントごとのアップグレードパスを一覧表

示します。




コンポーネントベースバージョンアップグレード済みのバージョン

Identity Manager エンジン 4.6.x 1. オペレーティングシステムを、サポートされるバージョンにアップグレードします。

2. アイデンティティボールトを 9.1 に

アップグレードします。

3. Identity Manager エンジンを 4.7 に


リモートローダ / 展開エー

ジェント

4.6.x 4.7 リモートローダ / 展開エージェントを

インストールします。

Designer 4.6.x 1. Designer 4.7 のインストール

2. ワークスペースを NCP から LDAP に

変換します。

Designer 4.7 は LDAP ベースです。こ

のバージョンを使用する前に、『NetIQ Identity Manager LDAP Designer Release Notes』を参照して

ください。

識別情報アプリケーション 4.6.x Identity Applications をアップグレードする

前に、アイデンティティボールトおよびIdentity Manager エンジンがそれぞれ 9.1および 4.7 にアップグレードされているこ

とを確認します。

1. オペレーティングシステムを、サポートされるバージョンにアップグレードします。

2. データベースを、サポートされるバージョンにアップグレードします。

3. ( 状況によって実行 ) SSPR が別の

サーバにインストールされている場合は、コンポーネントを 4.7 バージョ

ンにアップグレードします。

4. ユーザアプリケーションドライバ、役割およびリソースドライバのパッケージを更新します。

5. Identity Applications を 4.7 にアップグ

レードします。

6. Tomcat を停止します。


https://www.netiq.com/documentation/identity-manager-46/releasenotes_ldap_deisgner46/data/releasenotes_ldap_deisgner46.html


アップグレードを開始する前に、現在のバージョンに対応するリリースノートの情報を確認することをお勧めします。

NetIQ Identity Manager 4.6 Service Pack 2 リリースノート


NetIQ Identity Manager 4.6 リリースノート

31.4.2 Identity Manager 4.5.x バージョンからのアップグレード

次の表に、Identity Manager 4.5.x バージョンのコンポーネントごとのアップグレードパスを一覧表

示します。

Identity Reporting 4.6.x 1. オペレーティングシステムを、サポートされるバージョンにアップグレードします。


3. SLM for IGA をアップグレードしま

す。

4. データ収集サービスドライバと管理対象サービスゲートウェイドライバのパッケージを更新します。

5. Identity Reporting 4.7 をインストール

します。

6. ( 状況によって実行 )［Identity Manager データ収集サービス］ペー

ジからデータ同期ポリシーを作成します。

コンポーネントベースバージョンアップグレード済みのバージョン

コンポーネントベースバージョン中間手順アップグレード済みのバージョン


Identity Manager 4.5.x (x は 0 ～ 5)と eDirectory 8.8.8.x (x は 3 ～ 9)

4.5.6 パッチを適用

します。


2. アイデンティティボールトを 9.1にアップグレードします。

3. Identity Manager エンジンを 4.7 に


リモートローダ / 展開エージェント

4.5.x。ここで x は

0 ～ 5 です。


します。

4.7 リモートローダ / 展開エージェント

をインストールします。


https://www.netiq.com/documentation/identity-manager-46/releasenotes_idm462/data/releasenotes_idm462.html



Designer 4.5.x。ここで x は

0 ～ 5 です。


します。

1. Designer 4.7 のインストール

2. ワークスペースを NCP から LDAPに変換します。

Designer 4.7 は LDAP ベースです。

このバージョンを使用する前に、『NetIQ Identity Manager LDAP Designer Release Notes』を参照し

てください。


4.5.x。ここで x は

0 ～ 5 です。

JBoss または

Websphere を

使用している場合は、Tomcat アプ

リケーションサーバに移行します。

4.5.6 パッチを

適用します。

Identity Applications をアップグレードす

る前に、アイデンティティボールトおよび Identity Manager エンジンがそれぞれ

9.1 および 4.7 にアップグレードされて



2. ユーザアプリケーションドライバ、役割およびリソースドライバのパッケージを更新します。


4. ( 状況によって実行 ) SSPR が別の

サーバにインストールされている場合は、コンポーネントを4.7 バージョンにアップグレードし

ます。

5. Identity Applications を 4.7 にアッ

プグレードします。

6. Tomcat を停止します。





アップグレードを開始する前に、現在のバージョンに対応するリリースノートの情報を確認することをお勧めします。







NetIQ Identity Manager 4.5 リリースノート

31.5 現在の設定のバックアップアップグレードを実行する前に、Identity Manager ソリューションの現在の設定をバックアップす

ることをお勧めします。ユーザアプリケーションをバックアップする必要はありません。すべてのユーザアプリケーションの環境設定は、ユーザアプリケーションドライバに保存されます。バックアップは次の方法で作成できます。

377 ページのセクション 31.5.1「Designer のプロジェクトのエクスポート」

378 ページのセクション 31.5.2「ドライバの環境設定のエクスポート」

Identity Reporting 4.5.x。ここで x は

0 ～ 5 です。

JBoss または

Websphere を

使用している場合は、Tomcat アプ

リケーションサーバに移行します。

4.5.6 パッチを

適用します。



3. Event Auditing Service データを、

サポートされるバージョンのPostgreSQL または Oracle データ

ベースに移行します。

4. SLM for IGA をインストールしま

す。

5. データ収集サービスドライバと管理対象サービスゲートウェイドライバのパッケージを更新します。

6. Identity Reporting 4.7 をインストー

ルします。

7. IDMDCS ページからデータ同期ポ

リシーを作成します。



https://www.netiq.com/documentation/idm45/idm456-releasenotes/data/idm456-releasenotes.html






https://www.netiq.com/documentation/idm45/idm45_releasenotes/data/idm45_releasenotes.html

31.5.1 Designer のプロジェクトのエクスポート

Designer のプロジェクトには、スキーマおよびすべてのドライバ構成情報が含まれています。

Identity Manager ソリューションのプロジェクトを作成すると、すべてのドライバを 1 ステップで

エクスポートでき、ドライバごとに個別のエクスポートファイルを作成する必要はありません。

377 ページの「現在のプロジェクトのエクスポート」

377 ページの「識別ボールトからプロジェクトを新規作成する」

現在のプロジェクトのエクスポート

すでに Designer プロジェクトがある場合には、以下の方法で、プロジェクト内の情報が識別ボール

トの内容と同期されているかどうか確認してください。

1 Designer で、プロジェクトを開きます。

2 モデラーで、［識別ボールト］アイコンを右クリックして、［ライブ］ > ［比較］の順に選択しま

す。

3 プロジェクトを評価し、相違点があれば一致させて、［OK］をクリックします。

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「展開時の比

較機能の使用」を参照してください。

4 ツールバーで、［プロジェクト］ > ［エクスポート］を選択します。

5［すべて選択］をクリックして、すべてのリソースをエクスポートするように選択します。

6 プロジェクトを保存する場所と、そのフォーマットを選択し、［完了］をクリックします。

プロジェクトは、現在のワークスペースの場所を除き、任意の場所に保存できます。Designerにアップグレードする場合には、ワークスペースロケーションを新規作成する必要があります。詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「プロ

ジェクトのエクスポート」を参照してください。

識別ボールトからプロジェクトを新規作成する

現在の Identity Manager ソリューションの Designer プロジェクトがない場合は、現在のソリュー

ションをバックアップするためにプロジェクトを作成する必要があります。

1 Designer をインストールします。

2 Designer を起動して、ワークスペースの場所を指定します。

3 オンラインのアップデートをチェックするかどうかを指定して、［OK］をクリックします。

4［ようこそ］ページで、［Designer の実行］をクリックします。

5 ツールバーで、［プロジェクト］ > ［プロジェクトのインポート］ > ［識別ボールト］を選択しま

す。

6 プロジェクトの名前を指定します。それから、プロジェクトのデフォルトの場所を使用するか、または別の場所を選択します。


8 識別ボールトに接続するために次の値を指定します。

［ホスト名］: 識別ボールトサーバの IP アドレスまたは DNS 名

［ユーザ名］: 識別ボールトで認証するために使用するユーザの DN

［パスワード］: 認証ユーザのパスワード



10［識別ボールトのスキーマ］と［デフォルトの通知コレクション］は選択したままにします。

11［デフォルト通知コレクション］を展開し、必要のない言語を選択解除します。

デフォルトの通知コレクションは、多くの言語に翻訳されています。すべての言語をインポートすることもできますし、使用する言語だけを選択することもできます。

12［参照］をクリックして、インポートするドライバセットを参照し、選択します。

13 この識別ボールトのドライバセットごとにステップ 12 を繰り返し、［完了］をクリックしま

す。

14 プロジェクトがインポートされたら、［OK］をクリックします。

15 識別ボールトが 1 つだけの場合には、これで完了です。複数の識別ボールトがある場合には、

ステップ 16 に進みます。

16 ツールバーの［ライブ］ > ［インポート］をクリックします。

17 追加の識別ボールトごとに、ステップ 8 からステップ 14 を繰り返します。

31.5.2 ドライバの環境設定のエクスポート

ドライバのエクスポートを作成することは、現在の環境設定のバックアップを作成することです。ただし、Designer は現在のところ、役割ベースのエンタイトルメントドライバとポリシーのバック

アップは作成しません。iManager を使用して、役割ベースのエンタイトルメントドライバをエクス

ポートしてあるかどうかを確認してください。

378 ページの「Designer によるドライバ環境設定のエクスポート」

378 ページの「iManager を使用したドライバのエクスポートの作成」

Designer によるドライバ環境設定のエクスポート

1 Designer のプロジェクトで新バージョンのドライバが使用されていることを確認します。詳

細については、『NetIQ Designer for Identity Manager Administration Guide』の「Importing a Library, a Driver Set, or a Driver from the Identity Vault」を参照してください。

2［モデラー］で、アップグレードするドライバの行を右クリックします。

3［環境設定ファイルのエクスポート］を選択します。

4 環境設定ファイルを保存する場所を参照して、［保存］をクリックします。

5［結果］ページで［OK］をクリックします。

6 各ドライバに対して、ステップ 1 ～ステップ 5 を繰り返します。

iManager を使用したドライバのエクスポートの作成



3 アップグレードするドライバを格納するドライバセットオブジェクトをクリックします。

4 アップグレードするドライバをクリックして、［エクスポート］をクリックします。

5［次へ］をクリックして、［環境設定にリンクされているかどうかにかかわらず、含まれるすべての

ポリシーをエクスポート］を選択します。


6［次へ］をクリックし、［名前を付けて保存］をクリックします。

7［ディスクに保存］を選択し、［OK］をクリックします。


9 各ドライバに対して、ステップ 1 ～ステップ 8 を繰り返します。



32 32Identity Manager コンポーネントのアップグレード

このセクションでは、Identity Manager の個々のコンポーネントをアップグレードする方法の詳細

について説明します。たとえば、Designer は新バージョンにアップグレードして、iManager はアップグレードしないということができます。アップグレード後に実行する必要がある可能性がある手順についても説明します。

381 ページのセクション 32.1「Designer のアップグレード」

382 ページのセクション 32.2「iManager のアップグレード」

386 ページのセクション 32.3「リモートローダのアップグレード」

387 ページのセクション 32.4「Identity Manager エンジンのアップグレード」

388 ページのセクション 32.5「Identity Applications および Identity Reporting のアップグレード」

399 ページのセクション 32.6「Identity Reporting のアップグレード」

401 ページのセクション 32.7「Analyzer のアップグレード」

401 ページのセクション 32.8「Identity Manager ドライバのアップグレード」

403 ページのセクション 32.9「新しいサーバをドライバセットに追加する」

405 ページのセクション 32.10「ドライバへのカスタムポリシーとルールの復元」

32.1 Designer のアップグレード

1 Designer がインストールされているサーバに管理者としてログインします。

2 プロジェクトのバックアップコピーを作成するために、プロジェクトをエクスポートします。

エクスポートの詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「プロジェクトのエクスポート」を参照してください。

3 Identity Manager メディア (\products\Designer\install.exe) から Designer のインストールプログラ

ムを起動します。

4 Designer をインストールする言語を選択し、使用許諾契約書の条項を確認し、同意します。

5 Designer がインストールされているディレクトリを指定し、すでに Designer がインストール

されていることを示すメッセージの中で［はい］をクリックします。

6 ショートカットをデスクトップ上に配置するか、デスクトップメニュー内に配置するかを選択します。

7 概要を確認して、［インストール］をクリックします。

8 リリースノートをレビューし、［次へ］をクリックします。

9 Designer の起動を選択し、［Done ( 完了 )］をクリックします。

10 Designer のワークスペースの場所を指定し、［OK］をクリックします。

11 プロジェクトを閉じて変換する必要があることを示す警告メッセージで［OK］をクリックしま

す。

Identity Manager コンポーネントのアップグレード 381

12［プロジェクト］ビューで、プロジェクトを展開し、［Project needs conversion ( プロジェクト

には変換が必要 )］をダブルクリックします。

13 プロジェクトコンバータウィザードが実行する手順を確認し、［次へ］をクリックします。

14 プロジェクトのバックアップ用に名前を指定し、［次へ］をクリックします。

15 変換時に行われる内容の概要を確認し、［Convert ( 変換 )］をクリックします。

16 変換終了後に概要を確認し、［開く］をクリックします。

Designer の新バージョンにアップグレードした後、古いバージョンで作成した Designer プロ

ジェクトをすべてインポートする必要があります。インポートプロセスを開始すると、Designer はプロジェクトコンバータウィザードを実行します。このウィザードは、古いバージョンで作成したプロジェクトを新バージョンに変換します。ウィザードで［プロジェクトをワークスペースにコ

ピーする］を選択します。プロジェクトコンバータの詳細については、『NetIQ Designer for Identity Manager Administration Guide』を参照してください。

32.2 iManager のアップグレード

一般に、iManager のアップグレードプロセスは、ポート値や認定されたユーザなど、

configiman.properties ファイルに既存の環境設定値を使用します。設定ファイルの server.xml とcontext.xml をこれまでに変更したことがある場合、アップグレードする前にそれらのファイルを

バックアップすることをお勧めします。

eDirectory 9.1 を使用している場合は、iManager バージョンを 3.1 にアップグレードします。

iManager 3.1 インストールファイルは <iso_extracted_directory>\products\iManager277\installs\win ディ

レクトリにあります。

アップグレードプロセスでは、次のアクティビティを実行します。

382 ページのセクション 32.2.1「Windows での iManager のアップグレード」

384 ページのセクション 32.2.2「役割ベースサービスの更新」

385 ページのセクション 32.2.3「Plug-in Studio でのプラグインの再インストールまたはマイグ

レート」

386 ページのセクション 32.2.4「iManager プラグインのアップグレードまたは再インストール

後のアップデート」

32.2.1 Windows での iManager のアップグレード

iManager サーバのセットアッププログラムが古いバージョンの iManager がインストールされてい

ることを検出した場合、インストールされているバージョンをアップグレードするように要求するメッセージが表示される可能性があります。アップグレードする場合、インストールプログラムは、既存のバージョンの JRE と Tomcat を新バージョンに置き換えます。また、iManager が新

バージョンにアップグレードされます。

iManager をアップグレードする前に、コンピュータが前提条件とシステム要件を満たすことを確認

します。詳細については、次のソースを参照してください。

アップデートに添付されているリリースノート

382 Identity Manager コンポーネントのアップグレード

iManager については、146 ページの「iManager サーバのインストールに関する考慮事項」を


iManager ワークステーションについては、147 ページの「iManager ワークステーションのイ

ンストールに関する考慮事項」を参照してください。

注 : アップグレードプロセスは、iManager の古いバージョンで設定されていた HTTP ポートと

SSL ポートの値を使用します。

iManager を Windows にインストールする

1 iManager をアップグレードするコンピュータに管理特権を持つユーザとしてログインします。

2 ( 状況によって実行 ) 設定ファイルの server.xml と context.xml を変更していた場合、アップグ

レードを実行する前にこれらのファイルのバックアップコピーを別の場所に保存します。

アップグレードプロセスはこれらの設定ファイルを置き換えます。

3 NetIQ ダウンロード Web サイトで、必要な iManager バージョンを選択し、win.zip ファイルを

サーバ上のディレクトリにダウンロードします。たとえば、iMan_277_win.zip です。

4 win.zip ファイルを iManager フォルダに展開します。

5 iManagerInstall.exe を実行します。このファイルは、デフォルトでは

extracted_directory\iManager\installs\win フォルダにあります。

6 iManager のようこそウィンドウで言語を選択して、［OK］をクリックします。

7［Introduction ( 概要 )］ウィンドウで［次へ］をクリックします。


9 ( オプション ) iManager で IPv6 アドレスを使用するには、［Enable IPv6 (IPv6 を有効にする )］ウィンドウで［はい］をクリックします。

iManager のアップグレード後に IPv6 アドレスを有効にすることもできます。詳細について

は、158 ページのセクション 11.3.2「インストール後における iManager の IPv6 アドレス対応

の設定」を参照してください。


11 アップグレードのプロンプトが表示されたら、［アップグレード］を選択します。

12 ( 状況によって実行 )［Detection Summary ( 検出の概要 )］ウィンドウをレビューします。

［Detection Summary ( 検出の概要 )］ウィンドウには、iManager がアップグレードされた後に

使用するサーブレットコンテナおよび JVM ソフトウェアの新バージョンが表示されます。


14［インストール前の概要］ページを確認して、［インストール］をクリックします。

アップグレード処理には数分かかることがあります。このプロセスは、iManager コンポーネ

ントの新しいファイルを追加したり、iManager 環境設定を変更したりします。詳細について

は、アップグレードのリリースノートを参照してください。

15 ( 状況によって実行 )［Install Complete ( インストール完了 )］ウィンドウに次のエラーメッセー

ジが表示される場合、次の手順を実行します。



The installation of iManager version is complete, but some errors occurred during the install.Please see the installation log Log file path for details. Press "Done" to quit the installer.

15a エラーメッセージに表示されているログファイルのパスを書き留めます。

15b［Install Complete ( インストール完了 )］ウィンドウで、［完了］をクリックします。

15c ログファイルを開きます。

15d ( 状況によって実行 ) ログファイルに次のようなエラーがある場合は、エラーメッセージ

を無視します。インストールが成功し、iManager は正常に機能します。

Custom Action: com.novell.application.iManager.install.InstallDLLs Status: ERROR Additional Notes: ERROR - class com.novell.application.iManager.install.InstallDLLs NonfatalInstallException C:\WINDOWS\system32\msvcr71.dll (The process cannot access the file because it is being used by another process)

15e ( 状況によって実行 ) ログファイルに記録されているエラーがステップ 21d に示すエラー

でない場合は、インストールを再試行することをお勧めします。


17 iManager の初期化が完了したら、［Getting Started ( 初めに )］ページの 1 番目のリンクをク

リックしてログインします。詳細については、『NetIQ iManager 管理ガイド』の「Accessing iManager」を参照してください。

18 ( 状況によって実行 ) アップグレードプロセスを開始する前に設定ファイルの server.xml とcontext.xml のバックアップコピーを作成していた場合、新しい設定ファイルをバックアップコ

ピーで置き換えます。

32.2.2 役割ベースサービスの更新

役割ベースサービス (RBS) コレクションがすでに含まれている eDirectory ツリーに初めて

iManager を使用してログインする場合、役割情報の一部は表示されない可能性があります。プラグ

インの一部は新バージョンの iManager と連携して動作するためにアップデートする必要がある

ので、この動作は正常です。iManager で使用可能な機能をすべて表示および使用できるように、

RBS モジュールを新バージョンにアップデートすることをお勧めします。［RBS Configuration (RBS 設定 )］には、アップデートする必要がある RBS モジュールが表示されます。

複数の役割に同じ名前が付けられている場合があることにご注意ください。iManager 2.5 以降、一

部のプラグイン開発者がタスク ID やモジュール名を変更しましたが、表示名は同じです。この問題

により、実際には古いバージョンのインスタンスと新しいバージョンのインスタンスが存在しているのに、役割が重複するように見えるという事象が発生します。

注

iManager をアップデートまたは再インストールする場合、インストールプログラムは既存のプ

ラグインをアップデートしません。プラグインを手動でアップデートするには、iManager を起動し、［Configure ( 設定 )］>［Plug-in Installation ( プラグインのインストール )］>





［Available Novell Plug-in Modules ( 利用できる Novell プラグインモジュール )］の順に移動しま

す。詳細については、145 ページのセクション 11.1.3「iManager プラグインのインストールの

理解」を参照してください。

iManager の複数のインストールで、それぞれ異なる数のプラグインがローカルにインストール

されている可能性があります。その結果、［Role Based Services ( 役割ベースサービス )］>［RBS Configuration (RBS 設定 )］ページから生成する特定のコレクションのモジュールレポー

トに不一致が表示される可能性があります。iManager の複数のインストールの間でプラグイ

ンの数を同じにするには、ツリーの各 iManager インスタンスに同じプラグインのサブセット

をインストールする必要があります。

古い RBS オブジェクトをチェックしてアップデートするには :


2［設定］ビューで［役割ベースサービス］ > ［RBS の設定］の順に選択します。

［2.x Collections (2.x コレクション )］タブページの表で古いモジュールをレビューします。

3 ( オプション ) モジュールをアップデートするには、次の手順を実行します。

3a アップデートするコレクションの［Out-Of-Date ()］列の数値をクリックします。

古いモジュールのリストが表示されます。

3b アップデートするモジュールを選択します。

3c 表の上部にある［Update ( アップデート )］をクリックします。

32.2.3 Plug-in Studio でのプラグインの再インストールまたはマイグ

レート

［Plug-in Studio (Plug-in Studio)］でプラグインを別の iManager インスタンスまたは iManager の新

しいバージョンまたはアップデートされたバージョンにマイグレートまたは複製できます。


2 iManager の［Configure ( 設定 )］ビューで、［Role Based Services ( 役割ベースサービス )］>［Plug-in Studio (Plug-in Studio)］の順に選択します。

コンテンツフレームには、プラグインが属する RBS コレクションの場所を含む、インストー

ルされたカスタムプラグインのリストが表示されます。

3 再インストールまたはマイグレートするプラグインを選択し、［Edit ( 編集 )］をクリックしま

す。

注 : 編集できるプラグインは一度に 1 つだけです。


5 再インストールまたはマイグレートする必要があるプラグインごとに、これらの手順を繰り返します。


32.2.4 iManager プラグインのアップグレードまたは再インストール

後のアップデート

iManager をアップグレードするか、または再インストールする際に、インストールプロセスは既存

のプラグインをアップデートしません。プラグインが正しい iManager バージョンに一致している

ことを確認します。詳細については、145 ページのセクション 11.1.3「iManager プラグインのイン

ストールの理解」を参照してください。

1 iManager を開きます。

2［Configure ( 設定 )］ > ［Plug-in Installation ( プラグインのインストール )］ > ［Available Novell Plug-in Modules ( 利用できる Novell プラグインモジュール )］の順に移動します。

3 プラグインをアップデートします。

32.3 リモートローダのアップグレードリモートローダを実行している場合は、リモートローダファイルをアップグレードする必要があります。

注 : .NET リモートローダをアップグレードする前に、ご使用のシステムにすべての Windows Update が正常にインストールされていることを確認します。

1 リモートローダ環境設定ファイルのバックアップを作成します。ファイルのデフォルトの場所は、C:\...\RemoteLoader\remoteloadername-config.txt です。

2 ドライバを停止していることを確認します。手順については、94 ページのセクション 9.4.1「ドライバの停止」を参照してください。

3 各ドライバのリモートローダサービスまたはデーモンを停止します。

Windows: リモートローダコンソールで、リモートローダインスタンスを選択してから、

［停止］をクリックします。

Java リモートローダ : dirxml_jremote -config path_to_configfile -u

4 Windows タスクマネージャを使用して lcache プロセスを停止します。

5 ( 状況によって実行 ) Windows サーバでサイレントインストールを実行するには、インストー

ルされたリモートローダのファイルが置かれているディレクトリのパスが silent.properties ファ

イルに設定されていることを確認します。次に例を示します。

X64_CONNECTED_SYSTEM_LOCATION=c:\novell\remoteloader\64bit

インストールプログラムは、既存のインストールのデフォルトパスを検出しません。

6 リモートローダのインストールプログラムを実行します。

インストールプロセスにより、ファイルおよびバイナリが新バージョンに更新されます。詳細については、55 ページのパート III「Identity Manager エンジンのインストール」を参照して

ください。

7 インストールが完了したら、環境設定ファイルに現在の環境の情報が含まれていることを確認します。

8 ( 状況によって実行 ) 環境設定ファイルに問題がある場合は、ステップ 1 で作成したバック

アップファイルをコピーします。問題がなければ、387 ページのステップ 9 に進みます。


9 各ドライバのリモートローダサービスまたはデーモンを起動します。

Java リモートローダ : dirxml_jremote -config path_to_config_file

Windows: リモートローダコンソールで、リモートローダインスタンスを選択してから、

［Start ( 開始 )］をクリックします。

32.4 Identity Manager エンジンのアップグレード

Identity Manager エンジンをアップグレードするかまたは SAML 方式を個別にアップデートする際、

SAML 方式の現在のステータスフラグと現在ではないステータスフラグの両方が表示されます。

eDirectory では更新された方式が正しく使用されるため、現在ではないステータスフラグは無視で

きます。エンジンがアップグレードされると、アップグレードプロセスにより、eDirectory が再起

動され、更新された SAML 方式を内部で使用するようになります。SAML 方式を個別に更新する場

合、更新された SAML 方式を使用するように eDirectory サーバを手動で再起動します。

アップグレードプロセスが開始される前に、キャッシュファイルにイベントがないことを確認します。Identity Manager エンジンをバージョン 4.7 にアップグレードする際、既存の MapDB ドライバ

作業キャッシュファイル (dx*) は、エンジンインストーラによってクリーンアップされます。ただ

し、既存の MapDB 状態キャッシュファイルは、ドライバのアップグレード後に手動で削除する必

要があります。削除しない場合、ドライバは起動しない可能性があります。次の Identity Manager ドライバは MapDB 3.0.5 を使用します。

MS Azure JDBC DCS MSGW LDAP Salesforce ServiceNow

リモートローダと役割ベースサービスをアップグレードした後、Identity Manager エンジンをアッ

プグレードできます。アップグレードプロセスは、ホストコンピュータのファイルシステムに保存されているドライバシムファイルをアップデートします。

1 ドライバを停止していることを確認します。詳細については、94 ページのセクション 9.4.1「ドライバの停止」を参照してください。

2 IDMversion_Win:\products\idm\Windows\setup\idm_install.exe から Identity Manager エンジンのイン

ストールプログラムを起動します。

3 インストールで使用する言語を選択します。

4 使用許諾契約書の条項を確認し、同意します。

5 Identity Manager エンジンとドライバシムファイルをアップデートするには、次のオプション

を選択します。

［Identity Manager サーバ］

［iManager Plug-ins for Identity Manager (Identity Manager の iManager 用プラグイン )］

［ドライバ］

6 eDirectory に対する管理者権限を持つユーザおよびユーザパスワードを LDAP 形式で指定しま

す。


7 概要を確認して、［インストール］をクリックします。

8 インストールの概要を読み、［Done ( 完了 )］をクリックします。

32.5 Identity Applications および Identity Reporting のアップグレードこのセクションでは、次のコンポーネントの更新を含む、Identity Applications およびサポートする

ソフトウェアのアップグレードについて説明します。

Identity Manager ユーザアプリケーション

OSP (One SSO Provider) Self-Service Password Reset (SSPR)

Tomcat、JDK、および ActiveMQ Identity Reporting

NetIQ では、これらのコンポーネントをアップグレードするためのアップグレードプログラムを用

意しています。このプログラムは、Identity Manager インストールパッケージの

products\CommonApplication\ ディレクトリにあります。ApplicationUpgrade.exe ファイルを含むディレ

クトリに移動します。

アップグレード後は、コンポーネントが次のバージョンにアップグレードされます。

Tomcat – 8.5.27

ActiveMQ – 5.15.2

Java – 1.80_162

One SSO Provider – 6.2.1

セルフサービスパスワードリセット – 4.2.0.4

Identity Applications – 4.7.0

Identity Reporting – 6.0.0

このセクションでは、次のトピックについて説明します。

389 ページのセクション 32.5.1「アップグレードプログラムについて」

389 ページのセクション 32.5.2「アップグレードの前提条件と考慮事項」

390 ページのセクション 32.5.3「PostgreSQL データベースのアップグレード」

392 ページのセクション 32.5.4「システム要件」

392 ページのセクション 32.5.5「Identity Applications のドライバパッケージのアップグレード」

393 ページのセクション 32.5.6「ガイド付きプロセスを使用したアップグレード」

396 ページのセクション 32.5.7「アップグレード後のタスク」


32.5.1 アップグレードプログラムについて

アップグレードプロセスは、既存のコンポーネントから設定値を読み込みます。この情報には、ism-configuration.properties、server.xml、SSPRConfiguration.xml、および他の設定ファイルが含まれま

す。これらの設定ファイルを使用して、アップグレードプロセスにより、コンポーネントのアップグレードプログラムが内部的に起動します。また、このプログラムは現在のインストールのバックアップも作成します。

32.5.2 アップグレードの前提条件と考慮事項

アップグレードを実行する前に、次の考慮事項を確認してください。

Identity Manager はバージョン 4.5.6 にアップグレードされている : 4.5.6 より前のバージョン

から 4.7 のバージョンにアップグレードすることはできません。Identity Manager 4.5 へのアッ

プグレード方法の詳細については、『NetIQ Identity Manager セットアップガイド』の「Identity Manager のアップグレード」を参照してください。

システム要件 : アップグレードプロセスでは、現在の設定およびアップグレード中に作成した

一時ファイルを保存するために低 3GB の空きディスク容量が必要です。ご使用のサーバに

バックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。

Windows サーバでは、アップグレードプログラムは %TEMP% 環境変数で指定されたディレク

トリに一時ファイルを保存します。このディレクトリに必要な容量がない場合は、TEMP およ

び TMP 環境変数を、ファイルシステム上の十分な空き容量があるディレクトリに設定します。

これにより、そのディレクトリにファイルを保存するようアップグレードプログラムがリダイレクトされます。

これらの環境変数を別のディレクトリに設定するには、アップグレードを開始する前に次の手順を実行してください。

1. コマンドプロンプトを開いて、次のコマンドを入力します。

SET TMP=D:\custom_tmp

SET TEMP=D:\custom_tmp

ここで D:\custom_tmp は、十分な空きディスク容量を持つディレクトリへのパスです。

注 : クラスタ環境の場合、Identity Applications 証明書 (cacerts) をバックアップします。

2. コマンドラインからアップグレードプログラムを起動します。

アプリケーションサーバとしての Tomcat: このバージョンの Identity Manager は、アプリケー

ションサーバとして Tomcat のみをサポートします。

注 : 以前のインストール中に、簡易インストーラを使用して Tomcat アプリケーションサーバ

がインストールされていることを確認します。アップグレードプロセスでは、簡易インストーラを使用してインストールされた Tomcat のみをアップグレードできます。

データベースプラットフォームがアップグレードされている : このプログラムでは、アイデン

ティティアプリケーションのデータベースプラットフォームはアップグレードされません。データベースの現在のバージョンを、サポートされているバージョンに手動でアップグレードします。PostgreSQL データベースのアップグレードについては、390 ページの

「PostgreSQL データベースのアップグレード」を参照してください。


https://www.netiq.com/documentation/idm45/setup_guide/data/b19jgxu8.html



Identity Applications および Identity Reporting のドライバがアップグレードされている : Identity Applications および Identity Reporting の次のドライバがアップグレードされているこ

とを確認します。


役割とリソースドライバ

管理対象システムゲートウェイドライバ

データ収集サービスドライバ

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「Upgrading Installed Packages」を参照してください。

管理者ユーザが高のアクセス権を持っている : 管理者ユーザに高のアクセス権を付与しま

す。

ユーザアカウント制御設定が［通知しない］に変更されている : ［コントロールパネル］ > ［ユーザアカウント］の順に移動し、［ユーザアカウント制御設定の変更］を［通知しない］に設定します。

セルフサービスパスワードリセット : SSPR 4.0 からアップグレードしている場合は、更新さ

れた CATALINA_OPTS プロパティと -Dsspr.application.Path が、SSPR 設定の格納フォルダに設

定されていることを確認します。

例 : set CATALINA_OPTS="-Dsspr.applicationPath=C:\sspr_data

アップグレードする前に SSPR LocalDB をバックアップします。LocalDB をエクスポートまた

はダウンロードするには、次の手順を実行します。

1. SSPR ポータルに管理者としてログインします。

2. ドロップダウンメニューから［YourID］ > ［Configuration Manager ( 環境設定マネージャ )］の順に移動します。

3.［LocalDB］をクリックします。

4.［Download LocalDB (LocalDB をダウンロード )］をクリックします。

32.5.3 PostgreSQL データベースのアップグレード

重要 : アップグレードプロセスは、データベースのサイズによって時間がかかる場合があります。したがって、それに応じてアップグレードを計画してください。

1 サーバ上で実行されている PostgreSQL サービスを停止します。

2 C:\Netiq\idm\apps の postgres ディレクトリの名前を変更します。

たとえば、postgres の名前を postgresql_9_3 に変更します。

3 ご使用のオペレーティングシステムでサポートされている PortgreSQL バージョンをインス



PostgreSQL の現在のインストール場所以外を選択する必要があります。

3a Identity_Manager_4.7_Windows.iso イメージファイルをマウントし、PostgreSQL インストー

ルファイルが保存されている products\CommonApplication\postgre_tomcat_install ディレクト

リへ移動します。

3b TomcatPostgreSQL.exe ファイルを実行して、PostgreSQL アプリケーションをインス


インストール中に［PostgreSQL］オプションのみを選択します。

注 : ［PostgreSQL の詳細］ページにデータベース詳細を入力しないでください。［データベース

ログインアカウントの作成］および［空のデータベースの作成］の選択が解除されていることを確認します。

4 新たにインストールされた PostgreSQL サービスを停止します。［サービス］に移動し、

PostgreSQL 9.6 サービスを検索して、サービスを停止します。

注 : 適切な権限を持つユーザは、有効な認証情報を入力した後で、停止操作を実行できます。

5 次のアクションを実行して、新たにインストールされた PostgreSQL ディレクトリの許可を変

更します。

postgres ユーザを作成します。

1.［コントロールパネル］ > ［ユーザアカウント］ > ［ユーザアカウント］ > ［アカウントの管理］

の順に移動します。

2.［ユーザアカウントの追加］をクリックします。

3.［ユーザの追加］ページで、ユーザ名として postgres を指定し、そのユーザのパスワード

を入力します。

postgres ユーザに、既存の PostgreSQL ディレクトリおよび新たにインストールされた

PostgreSQL ディレクトリへの許可を付与します。

1. PostgreSQL ディレクトリを右クリックして、［プロパティ］ > ［セキュリティ］ > ［編集］

の順に移動します。

2. ユーザに完全な許可を付与するには、［フルコントロール］を選択します。

3.［適用］をクリックします。

6 postgres ユーザとして PostgreSQL ディレクトリにアクセスします。

1. postgres ユーザとしてサーバにログインします。

ログインする前に、このユーザに対してリモート接続が許可されているかどうかを確認することで、postgres が Windows サーバに接続できることを確認します。

2. コマンドプロンプトを開き、次のコマンドを使用して、PGPASSWORD を設定します。

set PGPASSWORD=<your pg password>

3. 新たにインストールされた PostgreSQL ディレクトリに移動します。

たとえば、C:\Users\postgres>cd C:\NetIQ\idm\apps1\postgresql962\bin です。

7 新しい PostgreSQL bin ディレクトリから PostgreSQL をアップグレードします。次のコマンド

を実行して、［Enter］をクリックします。


pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"

8 アップグレードされた PostgreSQL データベースサービスを開始します。

［サービス］に移動し、PostgreSQL 9.6 サービスを検索して、サービスを開始します。

注 : 適切な権限を持つユーザは、有効な認証情報を入力した後で、開始操作を実行できます。

9 古い PostgreSQL サービスを無効にして、そのサービスが自動的に開始されないようにしま

す。

10 ( オプション ) 新たにインストールされた PostgreSQL サービスの bin ディレクトリから古い

データファイルを削除します。

1. postgres ユーザとしてログインします。

2. bin ディレクトリに移動し、analyze_new_cluster.bat および delete_old_cluster.bat ファイルを

実行します。

たとえば、C:\NetIQ\idm\apps1\postgresql961\bin です。

注 : この手順は、古いデータファイルを削除する場合にのみ実行する必要があります。

32.5.4 システム要件

アップグレードプロセスにより、インストールされたコンポーネントの現在の設定のバックアップが作成されます。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。

32.5.5 Identity Applications のドライバパッケージのアップグレード

このセクションでは、ユーザアプリケーションドライバ、役割およびリソースサービスドライバのパッケージを新バージョンに更新する方法について説明します。Identity Applications をアップグ

レードする前に、このタスクを実行する必要があります。

1 Designer で現在のプロジェクトを開きます。

2［パッケージカタログ］ > ［パッケージのインポート］の順に右クリックします。

3 適切なパッケージを選択します。たとえば、［User Application Driver Base package ( ユーザア

プリケーションドライバベースパッケージ )］です。


5［開発者］ビューでドライバを右クリックし、［プロパティ］をクリックします。

6［プロパティ］ページで［パッケージ］タブに移動します。

7 右上隅の［パッケージを追加 (+)］記号をクリックします。

8 パッケージを選択し、［OK］をクリックします。

9 展開してドライバを再起動します。

10 役割およびリソースサービスドライバのパッケージをアップグレードするには、同様の手順を繰り返します。


注

アップグレードされた Identity Manager に、ユーザアプリケーションドライバ、役割およ

びリソースサービスドライバが接続されていることを確認します。

ユーザアプリケーションドライバパッケージのアップグレード時に通知テンプレートをイ

ンストールする場合は、［デフォルト通知コレクション］オブジェクトを Identity Manager サーバに展開します。

32.5.6 ガイド付きプロセスを使用したアップグレード

次の手順では、ウィザードを使用して Identity Applications、OSP、SSPR、Tomcat、ActiveMQ、お

よび Identity Reporting をアップグレードする方法について説明します。

1 アップグレードプロセスを実行するサーバにログインします。

2 .iso イメージファイルをマウントし、アップグレード用の実行ファイルが置かれているディレ

クトリ ( デフォルトでは products\CommonApplication\ ディレクトリ ) に移動します。

3 アップグレードプログラムを起動します。ApplicationUpgrade.exe を右クリックして［管理者と

して実行］を選択します。

4［はじめに］ページで、アップグレード可能な Identity Manager コンポーネントを表示できま

す。［次へ］をクリックします。


6［Deployed Applications·( 導入したアプリケーション )］ページを確認して、［次へ］をクリック

します。

このページでは、現在インストールされているコンポーネントとそのバージョンを一覧表示します。他のアプリケーションがサーバに導入される場合、アップグレードプロセスで、アップグレード後にこれらのアプリケーションが適切に動作しない場合があることを示す警告が表示されます。

アップグレードプロセスによって作成されたバックアップから手動でこれらを復元する必要があります。

7 アップグレードを続行するには、［次へ］をクリックします。

8 次のパラメータを使用してガイド付きプロセスを完了します。このプログラムは、既存のコンポーネントの値を自動的に入力します。正しい値がパラメータに指定されていることを確認します。

One SSO Provider Installation folder (One SSO Provider インストールフォルダ )アップグレードプログラムが OSP 用にアプリケーションファイルを作成するディレクト

リへのパスを表します。パスが正しくない場合、OSP がインストールされているパスを

参照します。

SSPR Installation folder (SSPR インストールフォルダ )アップグレードプログラムが SSPR 用のアプリケーションファイルを作成するディレクト

リへのパスを表します。パスが正しくない場合、SSPR がインストールされているパスを

参照します。

User Application Installation folder ( ユーザアプリケーションインストールフォルダ )

アップグレードプログラムがユーザアプリケーション用のアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、ユーザアプリケーションがインストールされているパスを参照します。


Database Connectionユーザアプリケーションデータベースに接続するための設定を表します ( アイデンティ

ティアプリケーションもこのデータベースに接続します )。アップグレードプログラムに

は、ユーザアプリケーション設定ファイルにこれらの詳細が含まれます。

データベースプラットフォーム

ユーザアプリケーションデータベースのプラットフォームを表します。

データベースホストユーザアプリケーションをホストするサーバの名前または IP アドレスを指定します。

データベースポート

データベースサーバがユーザアプリケーションとの通信に使用するポートを指定します。



サーバの jar を表します。たとえば、PostgreSQL の場合は postgresql-9.4-1212.jdbc42.jar を指定します。このファイルは、デフォルトでは

C:\NetIQ\idm\apps\postgres にあります。また、データベースプラットフォームの適切

な jar ファイルを指定します。

( 状況によって実行 ) Reporting Database Connection (Reporting データベース接続 )

Identity Reporting データベースに接続するための設定を表します。

データベースホストユーザアプリケーションをホストするサーバの名前または IP アドレスを指定します。

データベースポートデータベースサーバがユーザアプリケーションとの通信に使用するポートを指定します。

データベース名データベースの名前を指定します。デフォルトでは、データベース名は idmrptdb で

す。

(状況によって実行 ) Reporting Database Credentials (Reportingデータベース資格情報 )Reporting Database User (Reporting データベースユーザ )

ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカウント名を指定します。デフォルトでは、データベースユーザ名は postgres です。

Reporting Database Password (Reporting データベースパスワード ) 指定したユーザ名のパスワードを指定します。

Upgrade Reporting Database (Reporting データベースのアップグレード ) 今すぐデータベースをアップグレード : アップグレードプログラムは、アップグレー

ドプロセスの一環として Reporting データベーステーブルのスキーマをアップデート

します。

アプリケーションの開始時にデータベースをアップグレード : アップグレードプログ

ラムは、アップグレード後にユーザアプリケーションを初めて起動するときに、データベーステーブルのスキーマをアップデートするための手順を書き残します。


SQL をファイルに書き込む : データベース管理者がデータベースをアップデートす

るために実行できる SQL スクリプトを生成します。このオプションを選択する場合、

［スキーマファイル］に名前を指定する必要もあります。設定は［SQL 出力］ファイル

環境設定内にあります。環境内にデータベースを作成または変更する許可がない場合は、このオプションを選択する必要があります。このファイルを使用してテーブルを作成する方法の詳細については、226 ページのセクション 15.7.2「手動によるデータ

ベーススキーマの作成」を参照してください。



サーバの jar を表します。たとえば、PostgreSQL の場合は postgresql-9.4-1212.jdbc42.jar を指定します。このファイルは、デフォルトでは

C:\NetIQ\idm\apps\postgres にあります。また、データベースプラットフォームの適切

な jar ファイルを指定します。

データベースのアップグレード

Upgrade Database Now ( データベースを今すぐアップグレード ) アップグレードプログラムは、アップグレードプロセスの一環としてデータベーステーブルのスキーマをアップデートします。

Upgrade Database at Application Startup ( アプリケーション起動時にデータベースを

アップグレード ) アップグレードプログラムは、アップグレード後にユーザアプリケーションを初めて起動するときに、データベーステーブルのスキーマをアップデートするための手順を書き残します。

SQL をファイルに書き込む

データベース管理者がデータベースをアップデートするために実行できる SQL スク

リプトを生成します。このオプションを選択する場合、［スキーマファイル］に名前を指定する必要もあります。設定は［SQL 出力］ファイル環境設定内にあります。環境

内にデータベースを作成または変更する許可がない場合は、このオプションを選択する必要があります。このファイルを使用してテーブルを作成する方法の詳細については、226 ページのセクション 15.7.2「手動によるデータベーススキーマの作成」を参


データベース管理者

データベース管理者の名前とパスワードを表します。

データベースユーザ名

データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。

パスワードデータベース管理者のパスワードを指定します。

Reporting Database Connection (Reporting データベース接続 )データベース管理者のホスト名とパスワードを表します。

データベースユーザ名データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。

パスワードデータベース管理者のパスワードを指定します。


9［アップグレード前の概要］ページを確認して、［インストール］をクリックします。

アップグレードプロセスにより、Tomcat サービスが停止し、アップグレードが開始されます。

この処理は完了するまでしばらく時間がかかる場合があります。

10 アップグレードプロセスが完了したら、/tmp/rbpm_upgrade/ からアップグレードログファイルを

確認し、いくつかの設定を手動で更新する必要があります。396 ページのセクション 32.5.7「アップグレード後のタスク」を参照してください。

コンポーネントをインストールした場所に応じて、プロセスによりその場所にバックアップディレクトリが作成され、バックアップしたディレクトリに ( バックアップの時間を示す ) タイムスタン

プが付加されます。


Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634

OSP および SSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634

ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634

ユーザアプリケーション - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634

Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634

32.5.7 アップグレード後のタスク

Identity Applications をアップグレードした後で、次の操作を確実に実行します。

Tomcat、SSPR、OSP、または Identity Applications のカスタマイズされた設定を手動で復元する必

要もあります。

必要なコンポーネントについてアップグレード後の手順を実行します。

396 ページの「Java」

397 ページの「Tomcat」

398 ページの「識別情報アプリケーション」

398 ページの「One SSO Provider」

398 ページの「Self-Service Password Reset」

399 ページの「Kerberos」

Java新しい JRE のアップグレード場所にある証明書 (jre\lib\security\cacerts) を古い JRE の場所を使用し

て確認します。証明書がない場合は、cacerts に手動でインポートします。

1 keytool コマンドを使用して、java cacerts をインポートします。

keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts

注 : アップグレード後、JRE はアイデンティティアプリケーションのインストール場所に保存

されます。たとえば、C:\NetIQ\idm\apps\jre です。

2 JRE ホームの場所が tomcat\bin\setenv.bat であることを確認します。

3［設定更新］ユーティリティを起動し、cacerts のパスを確認します。


Tomcat 1 ( 状況によって実行 ) アップグレードプロセスによって前に作成されたバックアップからカスタ

マイズされたファイルを復元するには、次のタスクを実行します。

カスタマイズされた HTTPS 証明書を復元します。これらの証明書を復元するには、バック

アップした server.xml から \tomcat\conf ディレクトリの新しい server.xml ファイルに Java Secure Socket Extension (JSSE) のコンテンツをコピーします。

バックアップした Tomcat ディレクトリから新しい Tomcat ディレクトリに設定ファイルを

コピーしないでください。新しいバージョンのデフォルトの設定から開始し、必要に応じて変更します。詳細については、Apache の Web サイトを参照してください。

新しい server.xml ファイルに、次のエントリがあることを確認します。

<Connector port="8543" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="path_to_keystore_file" keystorePass="keystore_password" />

または

<Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="path_to_keystore_file" keystorePass="keystore_password" />

注 : クラスタ環境で、server.xml の Cluster タグを手動でコメント解除して、

C:\netiq\idm\apps\osp_backup_<date> にある初のノードからすべてのノードに osp.jks をコ

ピーします。

カスタマイズしたキーストアファイルがある場合は、新しい server.xml ファイルに正しいパ

スを含めてください。

Identity Applications の証明書を、C:\NetIQ\eDirectory\jre\lib\security\cacerts にあるアイデン

ティティボールトにインポートします。

たとえば、次の keytool コマンドを使用して、証明書をアイデンティティボールトにイン

ポートすることができます。

keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

2 ( 状況によって実行 ) ユーザアプリケーションに移動し、バックアップした設定を読み取ること

により、カスタマイズされた設定を手動で復元します。


https://tomcat.apache.org/migration.html


アップグレードプロセス中に作成したバックアップからカスタマイズされた Identity Applications の

設定を復元します。

Identity Manager を 4.5.6 バージョンからアップグレードする場合、Identity Manager ダッシュボー

ドでのユーザのソート用に、各属性の複合インデックスを手動で作成する必要があります。219 ページの「複合インデックスの作成」を参照してください。

1 configupdate ユーティリティ (configupdate.bat) ファイルを起動します。

configupdate.bat.properties ファイルで、use_console の値が false に設定されていることを確認し

ます。

2 アイデンティティボールトサーバに接続し、eDirectory 証明書を受け入れます。

3［SSO クライアント］タブで、［RBPM］に移動して、［詳細オプションの表示］をクリックしま

す。

4［RBPM から eDirectory SAML への設定］を［自動］に設定します。

One SSO Providerデフォルトでは、logevent.conf ファイルにある LogHost エントリは、localhost に設定されています。

LogHost エントリを変更するには、アップグレードプロセス時に作成したバックアップからカスタ

マイズされた OSP 設定を手動で復元します。

Self-Service Password ResetSSPR をアップグレードした後で、設定更新ユーティリティを使用して SSO クライアントパラ

メータを更新します。詳細については、「254 ページのセクション 15.8.5「SSO Clients Parameters (SSO クライアントパラメータ )」」の「257 ページの「セルフサービスパスワードリセット」」を参


SSPR 設定の詳細を更新するには、次の手順を実行します。

1 SSPR ポータルに管理者としてログインします。

2 監査サーバの詳細を更新するには、次の手順を実行します。

2a［YourID］ > ［Configuration Editor ( 環境設定エディタ )］の順に移動して、設定パスワード


2b［設定］ > ［Auditing］ > ［Audit Forwarding］ > ［Syslog Audit Server Certificates］の順に

選択します。

2c サーバからこれらの証明書をインポートして、［保存］をクリックします。

3 SSPR に［LocalDB］をインポートします。

3a ドロップダウンメニューから［YourID］ > ［Configuration Manager ( 環境設定マネージャ )］の順に移動します。

3b［LocalDB］をクリックします。

3c［Import (Upload) LocalDB Archive File (LocalDB アーカイブファイルのインポート ( アップ

ロード ))］をクリックします。


4 ( 状況によって実行 ) SSPR の設定を制限するには :

4a リストから［YourID］ > ［Configuration Manager ( 環境設定マネージャ )］の順に移動しま

す。

4b［Restrict Configuration ( 設定の制限 )］をクリックします。

5 SSPR の管理者許可を設定します。185 ページのセクション 14.2.3「インストール後のタスク」


アップグレードが正常に完了したことを確認するには、アップグレードしたコンポーネントを起動します。

たとえば、Identity Manager ダッシュボードを起動し、［バージョン情報］をクリックします。アプ

リケーションが［4.7.0］などの新しいバージョンを示しているかどうかを確認します。

Kerberosアップグレードユーティリティにより、コンピュータ上に新しい Tomcat フォルダが作成されます。

keytab や Kerberos_login.config などの Kerberos ファイルが古い Tomcat フォルダ上にある場合は、

バックアップしたフォルダから新しい Tomcat フォルダにこれらのファイルをコピーします。

32.6 Identity Reporting のアップグレード

Identity Reporting には 2 つのドライバが含まれます。また、NetIQ Event Auditing Service から

Sentinel Log Management for IGA にコンテンツを移行する必要がある場合があります。アップグ

レードは次の順序で実行します。

1. データ収集サービスのドライバパッケージをアップグレードします。

2. Managed System Gateway サービスのドライバパッケージをアップグレードします。

3. Sentinel Log Management for IGA に移行します

4. Identity Reporting をアップグレードします

32.6.1 Identity Reporting のドライバパッケージのアップグレード

このセクションでは、Managed System Gateway ドライバとデータ収集サービスドライバのパッ

ケージを新バージョンにアップデートする方法について説明します。Identity Reporting をアップ

グレードする前にこのタスクを実行する必要があります。

1 Designer で現在のプロジェクトを開きます。

2［パッケージカタログ］ > ［パッケージのインポート］の順に右クリックします。

3 適切なパッケージを選択します。たとえば、「［Manage System Gateway Base package 2.0.0.20120509205929］」を選択します。


5［開発者］ビューでドライバを右クリックし、［プロパティ］をクリックします。

6［プロパティ］ページで［パッケージ］タブに移動します。

7 右上隅の［パッケージを追加 (+)］記号をクリックします。

8 パッケージを選択し、［OK］をクリックします。


9 ドライバの設定プロセスを完了します。詳細については、次の各セクションを参照してください。

280 ページのセクション 19.1.2「管理対象システムのゲートウェイドライバの設定」

281 ページのセクション 19.1.3「データ収集サービス用ドライバの設定」

10 ステップ 2 ～ステップ 9 を繰り返して、データ収集サービスドライバのパッケージをアップグ

レードします。

11 Managed System Gateway ドライバとデータ収集サービスドライバがアップグレード済みの

Identity Manager に接続されていることを確認します。

32.6.2 Identity Reporting のアップグレード

Identity Reporting をアップグレードする前に、Identity Applications と SLM for IGA をアップグレー

ドする必要があります。Identity Reporting をバージョン 4.0.2 以降からアップグレードするには、

古いバージョンの上に新しいバージョンをインストールします。詳細については、267 ページの「Identity Reporting のインストール」を参照してください。

32.6.3 データベースにおける reportRunner への参照の変更 Identity Reporting をアップグレードした後、および Tomcat を初めて起動する前に、データベース

の reportRunner への参照を更新していることを確認してください。


2 Identity Reporting インストールディレクトリに移動し、reportContent フォルダを ORG-reportContent に名前を変更します。

例 : C:\NetIQ\idm\apps\IdentityReporting

3 Tomcat フォルダの下にある一時および作業ディレクトリを削除します。

4 PostgreSQL データベースにログインします。

4a 次のテーブルにある reportRunner 参照を検索します。

idm_rpt_cfg.idmrpt_rpt_params

idm_rpt_cfg.idmrpt_definition

4b 次の delete ステートメントを発行します。

DELETE FROM idm_rpt_cfg.idmrpt_rpt_params WHERE rpt_def_id='com.novell.content.reportRunner';

DELETE FROM idm_rpt_cfg.idmrpt_definition WHERE def_id='com.novell.content.reportRunner';


ログをチェックして、レポートが正しい reportRunner で再生成されているかどうか確認しま

す。

6 Identity Reporting にログインしてレポートを実行します。


32.6.4 Identity Reporting のアップグレードの検証

1 Identity Reporting を起動します。

2 ツールで古いレポートと新しいレポートが表示されることを検証します。

3［カレンダ］を参照し、スケジュールされたレポートが表示されるかどうかを確認します。

4［設定］ページに管理対象アプリケーションと管理対象外アプリケーションの設定が表示されることを確認します。

5 他の設定がすべて正しく見えることを検証します。

6 完了したレポートがリストに表示されるかどうかを検証します。

32.7 Analyzer のアップグレード

Analyzer をアップグレードするために、NetIQ はパッチファイルを .zip 形式で提供しています。

Analyzer をアップグレードする前に、コンピュータが前提条件とシステム要件を満たすことを確認

します。詳細については、アップデートのリリースノートを参照してください。

1 NetIQ ダウンロード Web サイトから analyzer_4.6_patch1_20121128.zip などのパッチファイルを

ダウンロードします。

2 この .zip ファイルを Analyzer インストールファイル ( プラグイン、アンインストールスクリプ

ト、および他の Analyzer ファイルなど ) が置かれているディレクトリに展開します。

3 Analyzer を再起動します。

4 新しいパッチの適用に成功したことを検証するために、次の手順を実行します。

4a Analyzer を起動します。

4b［ヘルプ］ > ［About Analyzer ( バージョン情報 )］の順にクリックします。

4c 新しいバージョン ( たとえば［4.6 Update 1］) とビルド ID( たとえば［20121128］) が表示

されるかどうかをチェックします。

32.8 Identity Manager ドライバのアップグレード

新しいドライバの内容は、ドライバ環境設定ファイルではなく、「パッケージ」を使用して提供されます。パッケージの管理、保守、および作成には、Designer を使用します。iManager はパッケー

ジに対応していますが、Designer はユーザが iManager で変更したドライバの内容を保持しません。

パッケージ管理の詳細については、『NetIQ Designer for Identity Manager Administration Guide』の

「Managing Packages」を参照してください。

注 : 3.x バージョンのユーザアプリケーションドライバをユーザアプリケーションバージョン

4.0.2 パッケージにアップグレードする場合、Designer は同じドライバポリシーのバージョン 3.xとバージョン 4.0 の両方をインストールします。パッケージカタログ内に 3.x と 4.0 の両方のポリ

シーがあると、Designer が正常に機能しない可能性があります。バージョン 3.x のポリシーを削除

して、バージョン 4.0 のポリシーを保持してください。


ドライバをパッケージにアップグレードするには、次の手順を実行します。

402 ページのセクション 32.8.1「新しいドライバの作成」

402 ページのセクション 32.8.2「既存のコンテンツをパッケージのコンテンツと交換」

403 ページのセクション 32.8.3「現在のコンテンツを維持しつつパッケージを使用する新しい

コンテンツを追加」

32.8.1 新しいドライバの作成

ドライバをパッケージにアップグレードするも簡単な方法は、既存のドライバを削除し、パッケージを使用して新しいドライバを作成する方法です。新しいドライバに必要なすべての機能を追加します。手順はドライバごとに異なります。手順については、Identity Manager ドライバマニュ

アルの Web サイトで個別のドライバガイドを参照してください。ドライバは以前と同様に機能し

ますが、ドライバの環境設定ファイルのコンテンツの代わりにパッケージのコンテンツを使用するようになります。

32.8.2 既存のコンテンツをパッケージのコンテンツと交換

ドライバによって作成された関連付けを維持する必要がある場合、ドライバを削除して再作成する必要はありません。関連付けを維持したまま、ドライバのコンテンツをパッケージで置き換えることができます。

パッケージからのコンテンツで既存のコンテンツを置き換えるには

1 ドライバおよびドライバに含まれるカスタマイズされたすべてのコンテンツのバックアップを作成します。

方法については、378 ページのセクション 31.5.2「ドライバの環境設定のエクスポート」を参


2 Designer で、ドライバ内に保存されているすべてのオブジェクトを削除します。ドライバ内部

に保存されているポリシー、フィルタ、エンタイトルメント、および他のすべての項目を削除します。

注 : Designer には、新のパッケージをインポートする自動インポート機能があります。ドラ

イバパッケージをパッケージカタログに手動でインポートする必要はありません。

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「パッケージ

カタログへのカタログのインポート」を参照してください。

3 新のパッケージをドライバにインストールします。

これらの手順は各ドライバに固有です。手順については、Identity Manager ドライバマニュア

ルの Web サイトで個別のドライバガイドを参照してください。

4 カスタムポリシーとルールがある場合はドライバに復元します。方法については、405 ページ

のセクション 32.10「ドライバへのカスタムポリシーとルールの復元」を参照してください。






32.8.3 現在のコンテンツを維持しつつパッケージを使用する新しいコンテンツを追加

パッケージに含まれる機能が、ドライバの現在の機能と重複しない限り、現在の状態のままドライバを維持しつつ、パッケージを使用して新しい機能を追加できます。

パッケージをインストールする前に、ドライバ環境設定ファイルのバックアップを作成します。パッケージをインストールすると、パッケージが既存のポリシーを上書きし、ドライバが動作を停止する可能性があります。ポリシーが上書きされた場合、バックアップのドライバ環境設定ファイルをインポートして、ポリシーを再作成できます。

開始前に、カスタマイズされたポリシーに、デフォルトのポリシーと異なるポリシー名が付いていることを確認します。ドライバ環境設定が新しいドライバファイルでオーバーレイされると、既存のポリシーは常に上書きされます。一意の名前が付けられていないカスタムポリシーは失われます。

パッケージを使用してドライバに新しいコンテンツを追加するには

1 ドライバおよびドライバに含まれるカスタマイズされたすべてのコンテンツのバックアップを作成します。

方法については、378 ページのセクション 31.5.2「ドライバの環境設定のエクスポート」を参


注 : Designer には、新のパッケージをインポートする自動インポート機能があります。ドラ

イバパッケージをパッケージカタログに手動でインポートする必要はありません。

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「パッケージ

カタログへのカタログのインポート」を参照してください。

2 ドライバにパッケージをインストールします。

手順については、Identity Manager ドライバマニュアルの Web サイトで個別のドライバガイド


3 ドライバに必要なパッケージを追加します。これらの手順は各ドライバに固有です。

詳細については、Identity Manager ドライバマニュアルの Web サイトを参照してください。

ドライバには、パッケージによって追加された新しい機能が含まれます。

32.9 新しいサーバをドライバセットに追加するIdentity Manager を新しいサーバにアップグレードまたはマイグレートする場合、ドライバセット

情報をアップデートする必要があります。このセクションでは、このプロセスについて説明します。Designer または iManager を使用してドライバセットをアップデートできます。




32.9.1 新しいサーバをドライバセットに追加する

iManager を使用している場合には、新しいサーバをドライバセットに追加する必要があります。

Designer には、この手順を実行するサーバ用のマイグレーションウィザードが含まれています。

Designer を使用している場合には、415 ページのセクション 35.3.1「Designer でサーバ固有の情報

をコピーする」にスキップしてください。iManager を使用している場合には、以下の手順を実行し

ます。

1 iManager で、をクリックして、［Identity Manager の管理］ページを表示します。

2［Identity Manager の概要］をクリックします。

3 ドライバセットを含んでいるコンテナをブラウズして、選択します。

4 ドライバセット名をクリックして、［ドライバセットの概要］ページにアクセスします。

5［サーバ］ > ［サーバの追加］をクリックします。

6 新しい Identity Manager サーバを参照して選択し、［OK］をクリックします。

32.9.2 ドライバセットから古いサーバを削除する

新しいサーバがすべてのドライバを実行した後、ドライバセットから古いサーバを削除できます。

404 ページの「Designer を使用してドライバセットから古いサーバを削除する」

404 ページの「iManager を使用してドライバセットから古いサーバを削除する」

405 ページの「古いサーバの退役」

Designer を使用してドライバセットから古いサーバを削除する


2 Modeler で、ドライバセットを右クリックし、［プロパティ］を選択します。

3［サーバリスト］を選択します。

4［Selected Servers ( 選択したサーバ )］リストで古い Identity Manager サーバを選択し、［<］を

クリックして、［Selected Servers ( 選択したサーバ )］リストからサーバを削除します。

5［OK］をクリックし、変更を保存します。

6 識別ボールトに変更を展開します。

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「識別ボール

トへのドライバセットの展開」を参照してください。

iManager を使用してドライバセットから古いサーバを削除する





5［サーバ］ > ［サーバの削除］をクリックします。

6 古い Identity Manager サーバを選択して、［OK］をクリックします。


古いサーバの退役

この時点で、古いサーバがホストしているドライバはありません。このサーバが必要でなくなった場合は、追加の手順を実行し、サーバを廃止する必要があります。

1 このサーバから eDirectory のレプリカを削除します。

詳細については、『NetIQ eDirectory Administration Guide』の「レプリカの削除」を参照して

ください。

2 このサーバから eDirectory を削除します。

詳細については、TID 10056593, “Removing a Server From an NDS Tree Permanently” を参照


32.10 ドライバへのカスタムポリシーとルールの復元ドライバの新しいパッケージをインストールまたはアップグレードした後、新しいドライバ環境設定ファイルをオーバーレイした後にカスタムポリシーとルールを復元する必要があります。これらのポリシーに別の名前が付いている場合、ポリシーはドライバ内にそのまま保存されていますが、リンクが壊れているので、再設定する必要があります。

405 ページのセクション 32.10.1「Designer を使用したドライバへのカスタムポリシーとルール

の復元」

406 ページのセクション 32.10.2「iManager を使用したドライバへのカスタムポリシーおよび

ルールの復元」

32.10.1 Designer を使用したドライバへのカスタムポリシーとルール

の復元

ポリシーセットにポリシーを追加できます。この手順は、アップグレードしたドライバを運用環境に移動する前に、テスト環境で実行する必要があります。

1［アウトライン］ビューで、アップグレードしたドライバを選択してから、［ポリシーフローの表

示］アイコンをクリックします。

2 カスタマイズしたポリシーをドライバに復元する必要があるポリシーセットを右クリックして、［ポリシーの追加］ > ［既存の項目をコピー］の順に選択します。

3 カスタマイズしたポリシーを参照して選択し、［OK］をクリックします。

4 カスタマイズしたポリシーの名前を指定し、［OK］をクリックします。

5 ファイルの競合を示すメッセージが表示されたら、［はい］をクリックしてプロジェクトを保存します。

6 ポリシービルダでポリシーが開いたら、コピーしたポリシーの情報が正しいことを確認します。

7 ドライバに復元する必要があるカスタマイズした各ポリシーに対して、ステップ 2 ～ステップ 6 を繰り返します。

8 ドライバを起動してテストします。


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/fbgciaad.html#a2iiije


http://www.novell.com/support/kb/doc.php?id=10056593

ドライバの起動の詳細については、95 ページのセクション 9.4.2「ドライバの起動」を参照し

てください。ドライバのテストの詳細については、『NetIQ Identity Manager - Using Designer to Create Policies』の「ポリシーシミュレータを使用したポリシーのテスト」を参照してくだ

さい。

9 ポリシーが動作することを確認したら、ドライバを運用環境に移します。

32.10.2 iManager を使用したドライバへのカスタムポリシーおよび

ルールの復元

アップグレードしたドライバを運用環境に移す前に、テスト環境でこれらの手順を実行します。



3 アップグレードしたドライバを含むドライバセットオブジェクトをクリックします。

4 ドライバアイコンをクリックしてから、カスタマイズしたポリシーを復元する必要があるポリシーセットを選択します。

5［挿入］をクリックします。

6［既存のポリシーを使用する］を選択し、カスタムポリシーを参照して選択します。

7［OK］をクリックし、［閉じる］をクリックします。

8 ドライバに復元する必要がある各カスタムポリシーに対して、ステップ 3 ～ステップ 7 を繰り

返します。

9 ドライバを起動してテストします。

ドライバの起動については、95 ページのセクション 9.4.2「ドライバの起動」を参照してくだ

さい。iManager にはポリシーシミュレータはありません。ポリシーをテストするには、ポリ

シーを実行するイベントを発生させます。たとえば、ユーザの作成、ユーザの変更、またはユーザの削除などです。

10 ポリシーが動作することを確認したら、ドライバを運用環境に移します。


33 33Advanced Edition から Standard Editionへの切り替え

ご使用の環境で Advanced Edition 機能が必要なく、Identity Manager の展開をスケールダウンする

場合にのみ Standard Edition に切り替える必要があります。

1 ( 状況によって実行 ) すでに Advanced Edition のアクティベーションを適用している場合は、

それを削除します。

2 ( 状況によって実行 ) Standard Edition 評価モードに切り替える場合は、次のアクションを実行

します。

2a C:\Novell\NDS\DIBFiles の識別ボールト dib ディレクトリに移動します。

2b 新しいファイルを作成し、それに .idme という名前を付け、そのファイルに 2 ( 数字 ) を追

加します。

2c eDirectory を再起動します。

2d 手順 4 に進みます

3 ( 状況によって実行 ) すでに Standard Edition のアクティベーションを購入している場合は、ア

クティベーションを適用します。


5 C:\NetIQ\idm\apps\tomcat\webapps ディレクトリから次の WAR ファイルと Webapps フォルダを

削除します。

IDMProv*

IDMRPT*

dash*

idmdash*

landing*

rra*

rptdoc*

6 次の既存のフォルダをバックアップディレクトリに移動します。

IDMReporting

UserApplication

7 ism-configuration.properties ファイルを <install folder>/tomcat/conf ディレクトリからバックアップ

ディレクトリにコピーします。

8 Identity Manager 4.6 メディアから Identity Reporting をインストールします。

9 <reporting install folder>/bin ディレクトリから configupdate.bat を起動し、次のパラメータの値を

指定します。

［レポーティング］タブ : 次のセクションの設定を指定します。

アイデンティティボールト

識別ボールトユーザ ID

Advanced Edition から Standard Edition への切り替え 407

レポート管理者

［レポーティング管理者の役割コンテナの DN］. たとえば、ou=sa,o=data

［レポート管理者］。たとえば、cn=uaadmin,ou=sa,o=data

［認証］タブ : 次のセクションの設定を指定します。

Authentication Server( 認証サーバ )

［OAuth サーバのホスト識別子］. たとえば、192.99.17.22 のような認証サーバの IP アド

レスまたは DNS 名

［OAuth サーバの TCP ポート］

［OAuth サーバは TLS/SSL を使用しています］

認証の設定

［OAuth キーストアファイル］. たとえば、C:\NetIQ\idm\apps\osp\osp.jks です。

［OAuth で使用するためのキー別名］

［Key password of key for use by OAuth (OAuth で使用するキーのキーパスワード )］

［セッションタイムアウト ( 分 )］. たとえば、60 分です。

［SSO クライアント］タブ : 次のセクションの設定を指定します。

レポーティング

［ランディングページへの URL リンク］. たとえば、http://192.99.17.22:8180/IDMRPT です。


［OAuth クライアント ID］. たとえば、sspr です。

OAuth クライアントシークレット。たとえば、<sspr client secret> です。

［OSP OAuth リダイレクト URL］. たとえば、http://192.99.179.202:8180/sspr/public/oauthです。

設定ユーティリティの詳細については、237 ページの「識別情報アプリケーション設定ユー

ティリティの実行」を参照してください。

10 設定ユーティリティで変更を保存して終了します。


408 Advanced Edition から Standard Edition への切り替え

X XIdentity Manager のデータの新しいインストールへのマイグレート

このセクションでは、Identity Manager のコンポーネントの既存データを新しいインストールにマ

イグレートするための情報を提供します。ほとんどのマイグレーションタスクは、識別情報アプリケーションに適用されます。Identity Manager のコンポーネントをアップグレードするには、

367 ページのパート IX「Identity Manager のアップグレード」を参照してください。アップグレー

ドとマイグレーションの違いの詳細については、371 ページのセクション 31.2「アップグレードと

マイグレーションの理解」を参照してください。

Identity Manager のデータの新しいインストールへのマイグレート 409

410 Identity Manager のデータの新しいインストールへのマイグレート

34 34Identity Manager をマイグレートする準備

このセクションでは、Identity Manager ソリューションを新しいインストールにマイグレートする

準備について説明します。

34.1 マイグレーションを実行するためのチェックリストマイグレーションを実行するために、次のチェックリストの手順を実行することをお勧めします。


1. アップグレードまたはマイグレーションのどちらを実行する必要があるのかを決定します。詳細については、371 ページのセクション 31.2「アップグレードとマイグレーションの理


2. Identity Manager のデータをマイグレートするために新のインストールキットを用意して




4. Identity Manager の新バージョンのハードウェアとソフトウェアの前提条件をコンピュー

タが満たしていることを確認します。詳細については、49 ページの第 6 章「インストール

に関する考慮事項」およびアップグレードするバージョンのリリースノートを参照してください。

5. eDirectory を識別ボールトでサポートされている新バージョンにアップグレードします。

詳細については、58 ページのセクション 7.1.2「識別ボールトのインストールに関する前提

条件と考慮事項」を参照してください。

6. 現在の Identity Manager サーバにあるのと同じ eDirectory のレプリカを、新しいサーバに追

加します。詳細については、417 ページのセクション 35.4「Identity Manager エンジンの新

しいサーバへのマイグレート」を参照してください。

7. 新しいサーバで Identity Manager をインストールします。詳細については、37 ページの「Identity Manager のインストールの計画」を参照してください。

8. ( 状況によって実行 ) ドライバセットのいずれかのドライバがリモートローダドライバであ

る場合、各ドライバのリモートローダサーバをアップグレードします。詳細については、386 ページのセクション 32.3「リモートローダのアップグレード」を参照してください。

9. ( 状況によって実行 ) 古いサーバでユーザアプリケーションを実行している場合、そのコン

ポーネントとドライバをアップデートします。詳細については、413 ページのセクション

35.1「Identity Manager のマイグレーションのチェックリスト」を参照してください。

10. 新しいサーバをドライバセットに追加します。詳細については、404 ページのセクション

32.9.1「新しいサーバをドライバセットに追加する」を参照してください。

11. ドライバごとに、サーバ固有の情報を変更します。詳細については、415 ページのセクショ

ン 35.3.1「Designer でサーバ固有の情報をコピーする」を参照してください。

Identity Manager をマイグレートする準備 411

34.2 マイグレーション実行時の Identity Manager ドライバの停止と起動Identity Manager をアップグレードまたはマイグレートする場合、正しいファイルを変更または置

換できることを保証するために、ドライバを起動および停止する必要があります。このセクションでは、次のアクティビティについて説明します。詳細については、次の各セクションを参照してください。

94 ページのセクション 9.4.1「ドライバの停止」

95 ページのセクション 9.4.2「ドライバの起動」

12. ( 状況によって実行 ) RBPM を使用できる場合、ユーザアプリケーションのサーバ固有情報

を古いサーバのものから新しいサーバのものに更新します。詳細については、415 ページの

セクション 35.3「ドライバセットのサーバ固有情報のコピー」を参照してください。

13. ドライバをアップデートしてパッケージフォーマットにします。詳細については、401 ペー

ジのセクション 32.8「Identity Manager ドライバのアップグレード」を参照してください。

14. ( 状況によって実行 ) カスタムポリシーとルールがある場合、カスタマイズされている設定

を復元します。詳細については、405 ページのセクション 32.10「ドライバへのカスタムポ

リシーとルールの復元」を参照してください。

15. ドライバセットから古いサーバを削除します。詳細については、404 ページのセクション

32.9.2「ドライバセットから古いサーバを削除する」を参照してください。

16. アップグレードした Identity Manager ソリューションをアクティベートします。詳細につい

ては、363 ページのセクション 30.6「Identity Manager のアクティベート」を参照してくだ

さい。


412 Identity Manager をマイグレートする準備

35 35Identity Manager の新しいサーバへのマイグレート

このセクションでは、ユーザアプリケーションから新しいサーバ上の識別情報アプリケーションにマイグレートする方法について説明します。既存のインストールをアップグレードできない場合もマイグレーションが必要になる可能性があります。このセクションでは、次のアクティビティについて説明します。

413 ページのセクション 35.1「Identity Manager のマイグレーションのチェックリスト」

414 ページのセクション 35.2「Designer プロジェクトのマイグレーションの準備」

415 ページのセクション 35.3「ドライバセットのサーバ固有情報のコピー」

417 ページのセクション 35.4「Identity Manager エンジンの新しいサーバへのマイグレート」

417 ページのセクション 35.5「ユーザアプリケーションドライバのマイグレート」

418 ページのセクション 35.6「識別情報アプリケーションのアップグレード」

419 ページのセクション 35.7「識別情報アプリケーションのマイグレーションの完了」

35.1 Identity Manager のマイグレーションのチェックリスト次のチェックリストの手順を完了することをお勧めします。


1. Identity Manager ソリューションのディレクトリとデータベースのバックアップ

2. 識別情報アプリケーションを除いて、Identity Manager のコンポーネントの新バージョン

がインストールされていることを確認します。詳細については、43 ページのセクション

5.3.4「推奨されるサーバセットアップ」とコンポーネントの新のリリースを参照してく

ださい。

注 : 現在のユーザアプリケーションデータベースを引き続き使用するには、インストールプログラムで［既存のデータベース］を指定します。詳細については、191 ページの第 15 章

「Identity Applications のインストール」を参照してください。

3. 識別ボールトのヘルスチェックを実行し、スキーマが適切に拡張されていることを確認します。TID 3564075 を使用してヘルスチェックを完了します。

4. 既存のユーザアプリケーションドライバを Designer にインポートします。

5. Designer プロジェクトをアーカイブします。これはドライバのマイグレーション前の状態

を表します。詳細については、414 ページのセクション 35.2「Designer プロジェクトのマ

イグレーションの準備」を参照してください。

Identity Manager の新しいサーバへのマイグレート 413

35.2 Designer プロジェクトのマイグレーションの準備

ドライバをマイグレートする前に、Designer プロジェクトのマイグレーションを準備するためにい

くつかの手順を実行する必要があります。

注 : マイグレートする Designer プロジェクトが存在しない場合、［ファイル］ > ［インポート］ > ［プ

ロジェクト ( 識別ボールトから )］を使用して新しいプロジェクトを作成します。

1 Designer を起動します。

2 ( 状況によって実行 ) マイグレートするユーザアプリケーションを含む Designer プロジェクト

が既存の場合、そのプロジェクトをバックアップします。

2a プロジェクトビューでプロジェクト名を右クリックして、［プロジェクトのコピー］を選択します。

2b プロジェクトの名前を指定して、［OK］をクリックします。

6. ( 状況によって実行 ) Identity Manager エンジンを新しいサーバにマイグレートするには、

eDirectory のレプリカを新しいサーバにコピーします。詳細については、417 ページのセク

ション 35.4「Identity Manager エンジンの新しいサーバへのマイグレート」を参照してくだ

さい。

7. Designer の新バージョンで新しい Designer プロジェクトを作成し、ユーザアプリケー

ションドライバをインポートしてマイグレーションを準備します。

8. ユーザアプリケーションドライバをマイグレートします。詳細については、417 ページのセ

クション 35.5「ユーザアプリケーションドライバのマイグレート」を参照してください。

9. 新しい役割およびリソースサービスドライバを作成します。

既存の役割とリソースサービスドライバをマイグレートすることはできません。詳細については、224 ページのセクション 15.6.3「役割とリソースサービスドライバの作成」を参照し

てください。

10. 2 つのドライバを識別ボールトに展開します。詳細については、225 ページのセクション

15.6.4「ユーザアプリケーションのドライバの展開」を参照してください。

11. 識別情報アプリケーションをアップグレードします。詳細については、388 ページのセク

ション 32.5「Identity Applications および Identity Reporting のアップグレード」を参照して

ください。

12. 古いバージョンの Identity Manager のコンテンツがブラウザに含まれていないことを確認し

ます。詳細については、419 ページのセクション 35.7.1「ブラウザのキャッシュのフラッ

シュ」を参照してください。

13. ( 状況によって実行 ) SharedPagePortlet のカスタム設定を回復します。詳細については、

419 ページのセクション 35.7.3「SharedPagePortlet の大タイムアウト設定の更新」を参


14. ユーザがフィルタのパラメータを入力するまで、グループの検索オプションに情報が表示されないことを確認します。詳細については、420 ページのセクション 35.7.4「グループの自

動クエリ設定の無効化」を参照してください。


414 Identity Manager の新しいサーバへのマイグレート

3 既存のプロジェクトのスキーマをアップデートするには、次の手順を実行します。

3a［モデラー］ビューで［識別ボールト］を選択します。

3b［ライブ］ > ［スキーマ］ > ［インポート］の順に選択します。

4 ( オプション ) プロジェクトの Identity Manager のバージョン番号が適切であることを検証する

には、次の手順を実行します。

4a［モデラー］ビューで、［識別ボールト］を選択し、［プロパティ］をクリックします。

4b 左のナビゲーションメニューで［サーバリスト］を選択します。

4c サーバを選択し、［編集］をクリックします。

［Identity Manager バージョン］に新バージョンが表示されるはずです。

35.3 ドライバセットのサーバ固有情報のコピー各ドライバおよびドライバセットに保存されているサーバ固有のすべての情報を、新しいサーバの情報にコピーする必要があります。その中には、新しいサーバに存在せず、コピーする必要がある、ドライバセットの GCV と他のデータも含まれます。サーバ固有の情報は、次のものに含まれてい

ます :

グローバル構成値

エンジン制御値

名前付きパスワード

ドライバの認証情報

ドライバの起動オプション

ドライバパラメータ

ドライバセットデータ

これは、Designer または iManager で実行できます。Designer を使用する場合には、自動的なプロ

セスです。iManager を使用する場合には、手動のプロセスです。バージョン 3.5 より古い Identity Manager サーバを 3.5 以降の Identity Manager サーバにマイグレートする場合、iManager を使用す

る必要があります。サポートされている他のすべてのマイグレーションパスの場合は、Designer を使用できます。

415 ページのセクション 35.3.1「Designer でサーバ固有の情報をコピーする」

416 ページのセクション 35.3.2「iManager でサーバ固有の情報を変更する」

416 ページのセクション 35.3.3「ユーザアプリケーションのサーバ固有の情報を変更する」

35.3.1 Designer でサーバ固有の情報をコピーする

この手順は、ドライバセットに保存されているすべてのドライバに影響します。


2［アウトライン］タブで、サーバを右クリックして、［移行］を選択します。

3 概要を読んで新しいサーバにマイグレートされる項目を確認し、［次へ］をクリックします。

4 選択可能なサーバのリストからターゲットサーバを選択して、［次へ］をクリックします。

リストに表示されているサーバだけが、現在ドライバセットに関連付けられておらず、ソースサーバの Identity Manager のバージョンと等しいか新しいサーバです。


5 次のいずれかのオプションを選択します。

ターゲットサーバをアクティブにする : ソースサーバの設定をターゲットサーバにコピー

して、ソースサーバのドライバを無効にします。このオプションを使用することをお勧めします。

ソースサーバをアクティブのままにする : 設定をコピーせずに、ターゲットサーバのすべ

てのドライバを無効にします。

ターゲットソースサーバの両方をアクティブにする : ソースサーバの設定をターゲット

サーバにコピーし、ソースサーバまたはターゲットサーバのドライバは無効にしません。このオプションはお勧めできません。両方のドライバを起動すると、同じ情報が 2 つの異

なるキューに書き込まれます。これは障害を起こす可能性があります。

6［移行］をクリックします。

7 変更されたドライバを識別ボールトに展開します。

詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「識別ボール

トへのドライバセットの展開」を参照してください。

8 ドライバを起動します。

詳細については、95 ページのセクション 9.4.2「ドライバの起動」を参照してください。

35.3.2 iManager でサーバ固有の情報を変更する





5 ドライバの右上隅をクリックし、［ドライバの停止］をクリックします。

6 ドライバの右上隅をクリックし、［プロパティの編集］をクリックします。

7 古いサーバの情報を含むすべてのサーバ固有のドライバパラメータ、グローバル環境設定値、エンジン制御値、名前付きパスワード、ドライバ認証データ、およびドライバの起動オプションを、新しいサーバの情報にコピーまたはマイグレートします。大ヒープサイズ、Java の設

定などのグローバル環境設定値やドライバセットのその他のパラメータは、古いサーバの値と同一の値を持つ必要があります。

8［OK］をクリックして、すべての変更を保存します。

9 ドライバの右上隅をクリックして、ドライバを起動します。

10 ドライバセットのドライバごとに、ステップ 5 ～ステップ 9 を繰り返します。

35.3.3 ユーザアプリケーションのサーバ固有の情報を変更する

新しいサーバを認識するようにユーザアプリケーションを再設定する必要があります。configupdate.bat を実行します。

1 デフォルトでユーザアプリケーションのインストールサブディレクトリにある設定更新ユーティリティに移動します。

2 コマンドプロンプトで、設定更新ユーティリティ (configupdate.bat) を起動します。

3 237 ページの第 15.8 章「識別情報アプリケーションの設定の管理」の説明に従って、値を指定

します。


35.4 Identity Manager エンジンの新しいサーバへのマイグレートIdentity Manager エンジンを新しいサーバにマイグレートする場合、古いサーバで現在使用してい

る eDirectory のレプリカを維持できます。

1 新しいサーバで、サポートされているバージョンの eDirectory をインストールします。

2 現在の Identity Manager サーバにあるのと同じ eDirectory のレプリカを、新しいサーバにコ

ピーします。

詳細については、『NetIQ eDirectory 管理ガイド』の「Administering Replicas」を参照してくだ

さい。

3 新しいサーバで Identity Manager エンジンをインストールします。

詳細については、55 ページのパート III「Identity Manager エンジンのインストール」を参照し

てください。

35.5 ユーザアプリケーションドライバのマイグレート新しいバージョンの Identity Manager にアップグレードする場合または別のサーバにマイグレート

する場合、ユーザアプリケーションドライバの新しいベースパッケージをインポートするか、または既存のパッケージをアップグレードする必要がある可能性があります。たとえば、［User Application Base Version 2.2.0.20120516011608］をインポートします。

Identity Manager プロジェクトの作業を開始すると、プロジェクトに新しいパッケージをインポー

トするように、Designer からのメッセージが自動的に表示されます。その時点で手動でパッケージ

をインポートすることもできます。

35.5.1 新しいベースパッケージのインポート


2［パッケージカタログ］を右クリックして［パッケージのインポート］をクリックし、適切なパッケージを選択します。

3 ( 状況によって実行 )［パッケージのインポート］ダイアログのリストにユーザアプリケーショ

ンベースパッケージが表示されない場合、次の手順を実行します。

3a［Browse］ボタンをクリックします。

3b designer_root/packages/eclipse/plugins/NOVLUABASE_version_of_latest_package.jar のある場所

に移動します。

3c［OK］をクリックします。


35.5.2 既存のベースパッケージのアップグレード


2 ユーザアプリケーションドライバを右クリックします。

3［ドライバ］ > ［プロパティ］ > ［パッケージ］の順にクリックします。


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/fbgciaad.html

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/fbgciaad.html

ベースパッケージをアップグレードできる場合、［アップグレード］列にチェックマークが表示されます。

4 アップグレード可能なパッケージの［操作の選択］をクリックします。

5 ドロップダウンリストで［アップグレード］をクリックします。

6 アップグレード後のバージョンを選択します。［OK］をクリックします。］

7［Apply ( 適用 )］をクリックします。

8 パッケージをアップグレードするための適切な情報をフィールドに入力します。次に、［次へ］


9 インストールの概要を読みます。続いて、［終了］をクリックします。

10［パッケージ管理］ページを閉じます。

11［適切なパッケージバージョンのみを表示］の選択を解除します。

35.5.3 マイグレートしたドライバの展開

ドライバのマイグレーションは、ユーザアプリケーションドライバを識別ボールトに展開するまで完了しません。移行後のプロジェクトは、移行した環境設定全体のみを展開できる状態になります。マイグレートした設定に定義をインポートすることはできません。マイグレートした設定全体を展開した後は、この制約は解除され、個々のオブジェクトを展開したり、定義をインポートしたりできるようになります。

1 Designer でプロジェクトを開いて、マイグレートされたオブジェクトに対してプロジェクト

チェッカを実行します。

詳細については、『NetIQ Identity Manager - Administrator’s Guide to Designing the Identity Applications』の「Validating Provisioning Objects」を参照してください。設定に検証エラーが

ある場合はそのことが表示されます。これらのエラーを修正するまでは、ドライバを展開できません。

2［アウトライン］ビューで、ユーザアプリケーションドライバを右クリックします。

3［展開］を選択します。

4 ドライバセットのユーザアプリケーションドライバごとにこのプロセスを繰り返します。

35.6 識別情報アプリケーションのアップグレード識別情報アプリケーションのアップグレードプログラムを実行する場合、次の検討事項を確実に反映します。

前のユーザアプリケーションで使用していたデータベースと同じデータベースを使用します。

前のインストールとは、移行元のインストールのことです。インストールプログラムで、データベースタイプとして［既存のデータベース］を指定します。

ユーザアプリケーションコンテキストに別の名前を指定できます。

前のインストールとは異なるインストール先を指定します。

Tomcat のサポートされているバージョンを参照します。


大文字と小文字を区別しない照合をデータベースに対して使用しないでください。大文字と小

文字を区別しない照合はサポートされていません。大文字と小文字を区別しない照合を使用すると、マイグレーション時に重複キーエラーが発生する場合があります。重複キーエラーが発生した場合は、照合を確認して修正してから、識別情報アプリケーションを再インストールします。

プロバイダごとのパスワード管理の違いを理解します。デフォルトプロバイダは SSPR です。

Identity Manager のレガシプロバイダまたは外部プロバイダを使用するには、アップグレード

後に識別情報アプリケーションの設定を更新する必要があります。詳細については、32 ページ

のセクション 4.4「Identity Manager でのセルフサービスパスワード管理の使用」を参照してく

ださい。

識別情報アプリケーションのアップグレードの詳細については、388 ページのセクション 32.5「Identity Applications および Identity Reporting のアップグレード」を参照してください。

35.7 識別情報アプリケーションのマイグレーションの完了識別情報アプリケーションのアップグレードまたはマイグレードの後で、マイグレーションプロセスを完了します。

35.7.1 ブラウザのキャッシュのフラッシュ

識別情報アプリケーションにログインする前に、ブラウザのキャッシュをフラッシュする必要があります。キャッシュをフラッシュしない場合、ランタイムエラーが発生する可能性があります。

35.7.2 レガシプロバイダまたは外部プロバイダによるパスワード管理

デフォルトでは、Identity Manager は SSPR を使用してパスワードを管理します。ただし、既存の

パスワードポリシーを使用するために Identity Manager 内部のレガシプロバイダを使用できます。

別の方法として、外部プロバイダも使用できます。これらのプロバイダを使用するように Identity Manager を設定する方法の詳細については、次のいずれかのセクションを参照してください。

233 ページの「レガシプロバイダによるパスワードを忘れた場合の管理」

235 ページの「外部システムによるパスワードを忘れた場合の管理」

35.7.3 SharedPagePortlet の大タイムアウト設定の更新 SharedPagePortlet のデフォルト設定または初期設定をカスタマイズしている場合、この設定は

データベースに保存されており、上書きされることはありません。したがって、［セルフサービス］タブに移動したときに、常に適切な共有ページが強調表示されるわけではありません。この問題が発生しないことを保証するには、次の手順を実行します。

1 ユーザアプリケーションの管理者としてログインします。

2［Administration ( 管理 )］ > ［Portlet Administration ( ポートレット管理 )］の順に移動します。

3［共有ページナビゲーション］を展開します。

4 左のポートレットツリーで［共有ページナビゲーション］をクリックします。

5 ページの右側で［設定］をクリックします。


6［大タイムアウト］が 0 に設定されていることを確認します。

7［Save Settings］をクリックします。］

35.7.4 グループの自動クエリ設定の無効化

デフォルトでは、ディレクトリ抽象化レイヤの［グループ］エンティティの［DNLookup 表示］は

有効です。このことは、グループを割り当てるためにオブジェクトセレクタを開くと、検索しなくてもデフォルトですべてのグループが表示されることを意味します。グループ検索ウィンドウには、ユーザが検索条件を入力するまで何も結果が表示されないようにする必要があるので、この設定を変更する必要があります。

この設定は、次に示すように、Designer で［自動クエリの実行］の選択を解除することで変更でき

ます。


36 36Identity Manager のコンポーネントのアンインストール

このセクションでは、Identity Manager のコンポーネントをアンインストールするプロセスについ

て説明します。コンポーネントによっては、アンインストールするための前提条件があります。アンインストールプロセスを始める前に、必ずコンポーネントごとのセクション全体をレビューしてください。

注 : Identity Manager コンポーネントをアンインストールする前に、Tomcat、PostgreSQL、ActiveMQ などのすべてのサービスを停止する必要があります。

36.1 識別ボールトのアンインストール識別ボールトをアンインストールする前に、eDirectory のツリー構造とレプリカの配置を理解する

必要があります。たとえば、ツリーに複数のサーバが存在するかどうかを知る必要があります。

1 ( 状況によって実行 ) eDirectory ツリーに複数のサーバが存在する場合、次の手順を実行しま

す。

1a ( 状況によって実行 ) eDirectory をインストールしたサーバにマスタレプリカが保持されて

いる場合、eDirectory を削除する前に、レプリカリング内の別のサーバをマスタになるよ

うにプロモートする必要があります。

詳細については、『NetIQ eDirectory 管理ガイド』の「パーティションおよびレプリカの管

理」を参照してください。

1b ( 状況によって実行 ) eDirectory をインストールしたサーバのツリーにパーティションの唯

一のコピーが保持されている場合、このパーティションを親パーティションにマージするか、または別のサーバにこのパーティションのレプリカを追加してマスタレプリカを保持させます。

詳細については、『NetIQ eDirectory 管理ガイド』の「パーティションおよびレプリカの管

理」を参照してください。

1c eDirectory データベースでヘルスチェックを実行します。発生したエラーを修正してから

次に進みます。

詳細については、『NetIQ eDirectory 管理ガイド』の「eDirectory の正常な動作の維持」を


2 識別ボールトのアンインストール :

［コントロールパネル］のプログラムを追加および削除するユーティリティを使用します。た

とえば、Windows Server 2012 R2 では、［プログラムと機能］をクリックします。［NetIQ eDirectory］を右クリックして、［アンインストール］をクリックします。

Identity Manager のコンポーネントのアンインストール 421

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/a2iiiik.html



https://www.netiq.com/documentation/edirectory-9/edir_admin/data/a2iiiik.html



https://www.netiq.com/documentation/edirectory-9/edir_admin/data/a5ziqam.html


3 ( 状況によって実行 ) eDirectory ツリーに複数のサーバが存在する場合、次の手順を実行しま

す。

3a サーバ固有のオブジェクトがツリーに残っている場合、それらを削除します。

3b ヘルスチェックを再実行して、サーバが正しくツリーから削除されていることを確認します。

詳細については、『NetIQ eDirectory 管理ガイド』の「eDirectory の正常な動作の維持」を


36.2 識別ボールトからのオブジェクトの削除Identity Manager をアンインストールする初のステップでは、すべての Identity Manager オブ

ジェクトを識別ボールトから削除します。ドライバセットの作成時に、ウィザードにより、ドライバセットを 1 つのパーティションにするようメッセージが表示されます。いずれかのドライバセッ

トオブジェクトが eDirectory のパーティションルートオブジェクトでもある場合、ドライバセット

オブジェクトを削除するには、パーティションを親パーティションにマージする必要があります。

識別ボールトからオブジェクトを削除するには :

1 eDirectory データベースでヘルスチェックを実行し、発生したエラーを修正してから次に進み

ます。

詳細については、『NetIQ eDirectory 管理ガイド』の「eDirectory の正常な動作の維持」を参照


2 eDirectory ツリーに対するすべての権限を持つ管理者として iManager にログインします。

3［パーティションとレプリカ］ > ［パーティションのマージ］の順に選択します。

4 パーティションのルートオブジェクトであるドライバセットオブジェクトを参照して選択し、［OK］をクリックします。

5 マージプロセスが完了するまで待ってから、［OK］をクリックします。

6 ドライバセットオブジェクトを削除します。

ドライバセットオブジェクトを削除する際、そのドライバセットに関連付けられているすべてのドライバオブジェクトが削除されます。

7 eDirectory データベースにある各ドライバセットオブジェクトに対して、すべて削除されるま

で、ステップ 3 ～ステップ 6 を繰り返します。

8 ステップ 1 を繰り返して、すべてのマージが完了し、オブジェクトがすべて削除されたことを

確認します。

36.3 Identity Manager エンジンのアンインストール

Identity Manager エンジンをインストールする際、インストールプロセスは Identity Manager サー

バにアンインストールスクリプトを配置します。このスクリプトを使用して、インストール時に作成されたすべてのサービス、パッケージ、およびディレクトリを削除できます。

注 : Identity Manager エンジンをアンインストールする前に、識別ボールトを準備します。詳細に

ついては、422 ページのセクション 36.2「識別ボールトからのオブジェクトの削除」を参照してく

ださい。

422 Identity Manager のコンポーネントのアンインストール





Windows サーバで Identity Manager エンジンをアンインストールするには、［コントロールパネル］

のプログラムを追加および削除するユーティリティを使用します。たとえば、Windows 2012 R2 で

は、［プログラムと機能］をクリックします。［Identity Manager］を右クリックして、［アンインス

トール］をクリックします。

36.4 リモートローダのアンインストールリモートローダをインストールすると、インストールプロセスはサーバ上にアンインストールスクリプトを配置します。このスクリプトを使用して、インストール時に作成されたすべてのサービス、パッケージ、およびディレクトリを削除できます。

Windows サーバでリモートローダをアンインストールするには、［コントロールパネル］のプログ

ラムを追加および削除するユーティリティを使用します。

36.5 Identity Applications のアンインストール

Roles Based Provisioning Module (RBPM) のコンポーネントは、ドライバやデータベースなど、1つずつアンインストールする必要があります。

RBPM に関連するランタイムコンポーネントをアンインストールする必要がある場合、Windows 上

でサイレントモードでアンインストールプログラムを実行している場合を除いて、アンインストールプログラムは自動的にサーバを再起動します。Windows サーバを手動で再起動する必要がありま

す。

注 : RBPM をアンインストールする前に、Identity Manager エンジンをアンインストールします。

詳細については、422 ページのセクション 36.3「Identity Manager エンジンのアンインストール」


36.5.1 Roles Based Provisioning Module のドライバの削除

Designer または iManager を使用して、ユーザアプリケーションドライバおよび役割とリソース

サービスドライバを削除できます。

1 ユーザアプリケーションドライバおよび役割ドライバとリソースドライバを停止します。使用するコンポーネントに応じて、次のどちらかのアクションを実行します。

Designer: ドライバ行を右クリックし、［Live ( ライブ )］ > ［Stop Driver ( ドライバの停止

)］をクリックします。

iManager: ［Driver Set Overview ( ドライバセットの概要 )］ページで、ドライバ画像の右

上隅をクリックして、［Stop Driver ( ドライバの停止 )］をクリックします。

2 ユーザアプリケーションドライバおよび役割ドライバとリソースドライバを削除します。使用するコンポーネントに応じて、次のどちらかのアクションを実行します。

Designer: ドライバ行を右クリックし、［削除］をクリックします。

iManager: ［Driver Set Overview ( ドライバセットの概要 )］ページで、［Drivers ( ドライ

バ )］ > ［Delete drivers ( ドライバの削除 )］の順にクリックし、削除するドライバをクリッ

クします。


36.5.2 Identity Applications のアンインストール

Tomcat からユーザアプリケーションとそのデータベースをアンインストールする必要があります。

ここでは、Tomcat と PostgreSQL からユーザアプリケーションとそのデータベースを削除する方法

について説明します。他のアプリケーションサーバとデータベースを使用している場合の手順については、その製品のマニュアルを参照してください。

重要 : ユーザアプリケーションを削除する場合、ユーザアプリケーションのスクリプトとサポートファイルがインストールされているフォルダからすべてのフォルダとファイルが削除されるので、注意が必要です。ファイルを削除する際、無意識に Tomcat または PostgreSQL をアンインストー

ルする可能性があります。たとえば、インストールフォルダは通常、C:\NetIQ\idm\apps\UserApplication です。このフォルダには、Tomcat と PostgreSQL のフォルダも置

かれています。

1 ユーザアプリケーションをインストールしたサーバにログインします。

2［コントロールパネル］のプログラムを追加および削除するユーティリティを開きます。たと

えば、Windows Server 2012 R2 では、［プログラムと機能］をクリックします。

3［Identity Manager User Application (Identity Manager ユーザアプリケーション )］を右クリック

して、［アンインストール］をクリックします。

36.6 Identity Reporting のアンインストールコンポーネントIdentity Reporting のコンポーネントをアンインストールする場合、次の順序で実行する必要があり

ます。

1. ドライバを削除します。詳細については、425 ページのセクション 36.6.1「レポーティングド

ライバの削除」を参照してください。

2. Identity Reporting を削除します。詳細については、425 ページのセクション 36.6.2「Identity Reporting のアンインストール」を参照してください。

3. Sentinel を削除します。詳細については、『NetIQ Identity Manager Setup Guide for Linux』の

Uninstalling Sentinel を参照してください。

注 : ディスク容量を節約するために、Identity Reporting のインストールプログラムは Java 仮想マ

シン (JVM) をインストールしません。したがって、1 つまたは複数のコンポーネントをアンインス

トールするには、使用可能な JVM が存在し、その JVM が PATH で指定されていることを確認しま

す。アンインストールの際にエラーが発生した場合、JVM の場所をローカルの PATH 環境変数に追

加してからアンインストールプログラムを再実行します。


36.6.1 レポーティングドライバの削除

Designer または iManager を使用して、データ収集および Managed System Gateway ドライバを削

除できます。

1 ドライバを停止します。使用するコンポーネントに応じて、次のどちらかのアクションを実行します。

Designer: ドライバごとに、ドライバ行を右クリックして、［ライブ］ > ［ドライバの停止］

の順にクリックします。

iManager: ［Driver Set Overview ( ドライバセットの概要 )］ページで、各ドライバ画像の

右上隅をクリックして、［Stop Driver ( ドライバの停止 )］をクリックします。

2 ドライバを削除します。使用するコンポーネントに応じて、次のどちらかのアクションを実行します。

Designer: ドライバごとに、ドライバ行を右クリックして、［削除］をクリックします。

iManager: ［Driver Set Overview ( ドライバセットの概要 )］ページで、［Drivers ( ドライ

バ )］ > ［Delete drivers ( ドライバの削除 )］の順にクリックし、削除するドライバをクリッ

クします。

36.6.2 Identity Reporting のアンインストール

Identity Reporting を削除する前に、データ収集および Managed System Gateway ドライバを削除済

みであることを確認します。詳細については、425 ページのセクション 36.6.1「レポーティングド

ライバの削除」を参照してください。

重要 : Identity Reporting アンインストールプログラムは Reporting インストールディレクトリから

すべてのファイルとフォルダを削除するので、アンインストールプログラムを実行する前に、これまでに生成したレポートを Reporting インストールディレクトリから使用しているコンピュータの

別の場所にコピー済みであることを確認します。たとえば、Reporting インストールフォルダは、

C:\NetIQ\idm\apps\IDMReporting です。

Identity Reporting をアンインストールするには、［コントロールパネル］のプログラムを追加およ

び削除するユーティリティを使用します。たとえば、Windows Server 2012 R2 では、［プログラム

と機能］をクリックします。［Identity Reporting］を右クリックして、［アンインストール］をクリッ

クします。

36.7 Analyzer のアンインストール

1 Analyzer を閉じます。

2 Analyzer をアンインストールします。


とえば、Windows Server 2008 では、［プログラムと機能］をクリックします。［Analyzer for Identity Manager］を右クリックして、［アンインストール］をクリックします。


36.8 iManager のアンインストール

このセクションでは、iManager と iManager ワークステーションをアンインストールする方法につ

いて説明します。iManager または関連するサードパーティコンポーネントをアンインストールする

場合、特定の順序で実行する必要はありません。これらのコンポーネントのアンインストールに関する検討事項をレビューすることをお勧めします。

Web サーバまたはサーブレットコンテナをアンインストールすると、iManager を実行できなく

なります。

すべてのプラットフォームで、アンインストールによって削除されるのは、初にインストー

ルされたファイルのみです。アプリケーションが実行中に作成したファイルは、アンインストールプロセスによって削除されません。たとえば、Tomcat が実行中に作成したログファイ

ルと自動生成設定ファイルです。

当初インストールの際に追加されたディレクトリ構造内で作成または変更されたファイルは、

アンインストールプロセスによって削除されません。これにより、アンインストールプロセスが誤ってデータを削除しないことが保証されます。

iManager のアンインストールは、ツリー内で設定した RBS の設定には影響しません。ログファ

イルまたはカスタムコンテンツは、アンインストールプロセスによって削除されません。

重要 : iManager をアンインストールする前に、残しておくすべてのカスタムコンテンツや他の特別

な iManager ファイルをバックアップします。たとえば、カスタマイズしたプラグインです。

36.8.1 Windows での iManager のアンインストール iManager のコンポーネントをアンインストールするには、［コントロールパネル］のプログラムを

追加および削除するユーティリティを使用します。アンインストールプロセスには、次の条件が適用されます。

［コントロールパネル］のユーティリティには、iManager とは別に、Tomcat と NICI が表示され

ます。これらのプログラムを今後使用しない場合はアンインストールします。

iManager がインストールされているサーバに eDirectory もインストールされている場合、NICIをアンインストールしないでください。eDirectory を実行するには、NICI が必要です。

iManagerをアンインストールする際、すべての iManagerファイルを削除するかどうかを確認す

るプロンプトが表示されます。［はい］を選択すると、それらのファイルが削除されますが、その中にはすべてのカスタムコンテンツが含まれます。ただし、2.7 RBS オブジェクトは

eDirectory ツリーから削除されず、スキーマは同じ状態のまま残ります。

36.8.2 iManager ワークステーションのアンインストール

iManager ワークステーションをアンインストールするには、ファイルを展開したディレクトリを削

除します。


36.9 Designer のアンインストール

1 Designer を閉じます。

2 オペレーティングシステムに応じた手順で、Designer をアンインストールします。


とえば、Windows Server 2008 では、［プログラムと機能］をクリックします。［Designer for Identity Manager］を右クリックして、［アンインストール］をクリックします。



37 37 トラブルシューティング

このセクションでは、Identity Manager のインストールに関する問題のトラブルシューティングに

役立つ情報について説明します。Identity Manager のトラブルシューティングの詳細については、

特定のコンポーネントのガイドを参照してください。

37.1 ユーザアプリケーションと RBPM のインストールのトラブルシューティング次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQ の担当者にお問い合わせください。

項目推奨されるアクション

アップグレードプロセスは、デフォルトのユーザアプリケーション管理アカウントをcn=uaadmin.ou=sa.o=data として設定しません。次の

エラーが catalina.out ファイルに記録されます。

AuthorizationManagerService [RBPM] Error occured calculating effective rights for attribute: nrfAccessMgrRevokeRole on object: cn=complianceAdmin,cn=System,cn=Level20,cn=RoleDefs,cn=RoleConfig,cn=AppConfig,cn=UserApplication,cn=Driver Set,o=system for trustee: cn=uaadmin,ou=sa,o=data.com.novell.srvprv.spi.security.IDMAuthorizationException: Error occured calculating effective rights for attribute: nrfAccessMgrRevokeRole on object: cn=complianceAdmin,cn=System,cn=Level20,cn=RoleDefs,cn=RoleConfig,cn=AppConfig,cn=UserApplication,cn=Driver Set,o=system for trustee: cn=uaadmin,ou=sa,o=data.at com.novell.idm.security.authorization.ldap.LdapRightsUtil.getPropertyRights(LdapRightsUtil.java:152)Unable to fetch roles from edirectory in the predefined time set.

1. setenv.bat ファイルに移動し、

CATALINA_OPTS エントリで、-Dncpclient_req_timeout プロパティの値を

「1150」に変更します。

2. Tomcat を再起動します。

インストール時に作成された次のユーザアプリケーション環境設定を 1 つまたは複数変更する必要があ

る。

識別ボールトの接続および証明書

電子メール設定

Identity Manager エンジンのユーザ識別情報と

ユーザグループ

Access Manager または iChain の設定

インストーラとは別に、環境設定ユーティリティを実行します。

インストールディレクトリ ( デフォルトでは

C:\NetIQ\idm\apps\UserApplication\) から次のコマンド


configupdate.bat

トラブルシューティング 429

37.2 アンインストールのトラブルシューティング次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQ の担当者にお問い合わせください。

Tomcat を起動すると次の例外が発生する。

port 8180 already in use

すでに実行されている Tomcat ( または他のサーバソ

フトウェア ) のすべてのインスタンスをシャットダウ

ンします。 8180 以外のポートを使用するように

Tomcat を再設定する場合は、ユーザアプリケーショ

ンドライバの config 設定を編集します。

Tomcat を起動すると、トラステッド証明書が見つか

らないと報告される。

ユーザアプリケーションのインストール時に指定したJDK を使用して Tomcat を起動していることを確認し

ます。

ポータル管理ページにログインできない。ユーザアプリケーション管理者アカウントが存在することを確認します。このアカウントは、iManager 管理者アカウントと同じではありません。

管理者アカウントを使用しても、新しいユーザを作成できない。

ユーザアプリケーション管理者は、上位コンテナのトラスティである必要があり、スーパバイザ権が必要です。ユーザアプリケーション管理者の権利をLDAP 管理者と同等の権利に設定することを試すこと

ができます (iManager を使用 )。

アプリケーションサーバを起動すると、キーストアエラーが発生する。

アプリケーションサーバが、ユーザアプリケーションのインストール時に指定した JDK を使用しない。

次のように keytool コマンドを使用して、証明書ファ

イルをインポートします。

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

aliasName は、この証明書に選択した一意の名前

に置き換えます。

certFile は、証明書ファイルのフルパスおよび名

前に置き換えます。

デフォルトのキーストアパスワードは、changeitです ( 別のパスワードがある場合は、それを指

定します )。

電子メール通知が送信されない。 configupdate ユーティリティを実行して、ユーザアプ

リケーション環境設定パラメータの電子メールの送信者と電子メールホストに値を指定したかどうかを確認します。

インストールディレクトリ ( デフォルトでは

C:\NetIQ\idm\apps\UserApplication\) から次のコマンド


configupdate.bat


430 トラブルシューティング

37.3 ログインのトラブルシューティング次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQ の担当者にお問い合わせください。

37.4 SSPR のページ要求エラーのトラブルシューティング次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQ の担当者にお問い合わせください。

Identity Applications への認証時またはログイン時に発生する一般的な問題については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』を参照してください。


アンインストールプロセスが未完了と報告されるが、ログファイルには何もエラーが表示されない。

インストールファイルがデフォルトで保存されるnetiq ディレクトリがプロセス中に削除されていませ

ん。このディレクトリは、コンピュータからNetIQ ソフトウェアをすべて削除している場合は削除

できます。


大規模環境に (200 万オブジェクトを超える ) ユーザ

がログインできない

eDirectory マスタとレプリカサーバの両方でルール

セットを Value として指定して mail(Internet Mail Address) 属性のインデックスを追加します。

アイデンティティアプリケーションページからサインアウトする場合、SSPR に 5053 ERROR_APP_UNAVALIABLE エラーが表示される。

このエラーは無視します。機能が損なわれることはないからです。


SSPR によって、ページの順序が異なるというページ

要求エラーが報告される

この問題は、SSPR ページで［戻る］ボタンをクリッ

クするときに発生します。SSPR エラーログに、以下

のような不正な順序に関するメッセージが記載されます。

ERROR, password.pwm.servlet.TopServlet, 5035 ERROR_INCORRECT_REQUEST_SEQUENCE (expectedPageID=3, submittedPageID=4, url=<some sspr url>

［SSPR Configuration Manager (SSPR 設定マネー

ジャ )］ > ［設定］ > ［セキュリティ］ > ［Web Security (Web セキュリティ )］の順に選択してから、

［戻る］ボタンの検出を無効にします。

注 : この設定を変更してもエンドユーザには影響しません。

トラブルシューティング 431

432 トラブルシューティング

A AWindows 上の Identity Manager クラスタ展開ソリューションのサンプル

この付録では、Windows 2012 R2 プラットフォーム上のクラスタ環境に Identity Manager を設定す

る方法に関する段階的手順を記載します。

433 ページのセクション A.1「前提条件」

433 ページのセクション A.2「eDirectory クラスタでの NetIQ Identity Manager の設定」

434 ページのセクション A.3「リモートローダのクラス化」

A.1 前提条件

Windows 2012 R2 上のクラスタ環境に eDirectory 8.8.8 SP9 または 9.0.2 以降のサービスが実行さ

れていること。eDirectory クラスタの設定の詳細については、『NetIQ eDirectory Installation Guide』の「Clustering eDirectory Services on Windows」を参照してください。

注 : eDirectory は、複数のクラスタノードを使用する負荷分散をサポートしていません。

eDirectory クラスタリングは、フェールオーバー機能を実現することのみを目的としています。

A.2 eDirectory クラスタでの NetIQ Identity Manager の設定

このセクションは、eDirectory クラスタがすでに設定されていることを前提としています。

次の手順を使用して、eDirectory クラスタ環境に Identity Manager を設定します。

1［クラスタマネージャ］で、プライマリノード上の eDirectory クラスタ化役割の優先度を［No Auto Start ( 自動起動しない )］に設定します。

2 セカンダリノードを停止します。

3 Identity Manager インストールウィザードで、［メタディレクトリサーバ］オプションを選択し

て、プライマリノード上に Identity Manager エンジンをインストールします。

重要 : ローカルストレージ上に Identity Manager エンジンをインストールしていることを確認

します。

4 Identity Manager インストールウィザードは、インストール中に eDirectory クラスタ役割を停

止します。この役割が停止されると、この役割のステータスが失敗と表示される場合があります。インストール後に、［クラスタマネージャ］から eDirectory クラスタ役割を起動します。

5 eDirectory クラスタ化役割に必要な優先度を設定し、セカンダリノードをアクティブにします。

Windows 上の Identity Manager クラスタ展開ソリューションのサンプル 433


https://www.netiq.com/documentation/edirectory-9/edir_install/data/bnevye9.html

6 DCLUSTER_INSTALL コマンドを使用して、セカンダリノード上に Identity Manager エンジンを

インストールします。

例 : idm_install.exe -DCLUSTER_INSTALL="true"

A.3 リモートローダのクラス化

1 プライマリおよびセカンダリクラスタノード上にリモートローダをインストールします。

注 : 両方のプライマリおよびセカンダリノードに対して、リモートローダが同一の共有ストレージパスにインストールされていることを確認します。

2 ( 状況によって実行 ) リモートローダとのセキュア通信を使用している場合は、共有ストレージ

にすべての SSL 証明書が格納されます。

3 リモートローダクラスタ役割を作成する前に、リモートローダコンソールを開き、［Remote Loader as a Windows Service (Windows サービスとしてリモートローダを使用 )］を選択します。

4［クラスタマネージャ］ > ［役割］で、新しいリモートローダクラスタ役割を作成します。

役割に次の情報を指定します。

役割タイプ : 汎用サービス

サービスの選択 : Windows サービスとして登録されているリモートローダインスタンス。

名前 : クラスタ役割名

アドレス : 固有の IP アドレスを指定する

ストレージの選択 : 共有クラスタストレージ

重複するレジストリ設定 : 1. HKEY_LOCAL_MACHINE\SOFTWARE\Novell\RLConsole

2. HKEY_LOCAL_MACHINE\SOFTWARE\Novell\DirXML Remote Loader\Command port 8000

クラスタ化するリモートローダインスタンスのレジストリパスを指定します。

3. HKEY_LOCAL_MACHINE\SOFTWARE\Novell\PassSync

注

デフォルトで、各クラスタ役割は 1 つの Windows サービスのみを受け入れます。した

がって、各リモートローダインスタンスに固有のコマンドポートおよび対応するレジストリパスを指定します。

Active DirectoryドライバのパスワードフィルタはWindowsクラスタではサポートされ

ていません。

434 Windows 上の Identity Manager クラスタ展開ソリューションのサンプル

B B マルチサーバ環境の設定

識別ボールトをインストールした後、ディレクトリを設定し、DHost ユーティリティを使用して、

サーバインスタンスを作成、起動、および停止できます。ご使用のサーバが IPv6 アドレス指定をサ

ポートしている場合は、IPv6 アドレスと連携するように識別ボールトを設定することもできます。

B.1 eDirectory ツリーとレプリカサーバの変更識別ボールトをインストールした後、DHost ユーティリティを使用して識別ボールトを設定できま

す。DHost ユーティリティを使用するには、管理者の権利を持っている必要があります。引数付き

でこのユーティリティを使用した場合は、すべての引数が検証され、管理者の権利を持つユーザのパスワード入力を要求するプロンプトが表示されます。引数なしで ndsconfig ユーティリティを使

用した場合は、このユーティリティに関する説明と利用可能なオプションが表示されます。

このユーティリティを使用して、eDirectory レプリカサーバを削除したり、eDirectory サーバの現

在の設定を変更したりすることもできます。詳細については、80 ページの第 7.4 章「インストール

後の識別ボールトの設定」を参照してください。

DHost ユーティリティを使用する場合、次の条件が適用されます。

treename、admin_FDN、および server_FDN 変数で使用できる大文字数次のとおりです。

treename: 32 文字

admin_FDN: 255 文字

server_FDN: 255 文字

既存のツリーにサーバを追加する場合、指定したコンテキストがサーバオブジェクトに存在し

ていないと、DHost ユーティリティは、サーバを追加する際にそのコンテキストを作成しま

す。

識別ボールトのインストール後、LDAP およびセキュリティサービスを既存のツリーに追加で

きます。

サーバで暗号化レプリケーションを有効にするには、既存のツリーにサーバを追加するための

コマンドに -E オプションを含めます。暗号化レプリケーションの詳細については、『NetIQ eDirectory 管理ガイド』の「暗号化レプリケーション」を参照してください。

DHost ユーティリティを使用して eDirectory を変更する方法の詳細については、『NetIQ eDirectory 管理ガイド』を参照してください。

B.2 識別ボールトへの新しいツリーの追加

識別ボールトに新しいツリーを作成する際には、識別ボールトサーバがすでに IPv6 アドレスをサ

ポートしている場合は、新しいツリーに IPv6 アドレスを指定できます。

マルチサーバ環境の設定 435


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/ak3hcd7.html


B.3 既存のツリーへのサーバの追加

eDirectory インストールプログラムを実行して、既存のツリーにサーバを追加できます。

B.4 サーバからの識別ボールトおよびそのデータベースの削除

1 dsreports ディレクトリに移動します。

2 iMonitor を使用して以前に作成した HTML ファイルを削除します。

B.5 ツリーからの eDirectory サーバオブジェクトとディレクトリサービスの削除

DHost ユーティリティを使用して、ツリーからサーバオブジェクトとディレクトリサービスを削除

します。詳細については、『NetIQ eDirectory 管理ガイド』を参照してください。

436 マルチサーバ環境の設定

Documents

セットアップガイド Windows 用 - NetIQセットアップガイド Windows用 2018年3月 保証と著作権 NetIQの保証と著作権、免責事項、保証、輸出およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およ

セットアップガイド Windows 用 - NetIQセットアップガイド Windows用 2018年3月保証と著作権 NetIQの保証と著作権、免責事項、保証、輸出およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およ