Écran d'installation
Résumé pré-installation
Description
Lisez la page de résumé de la pré-installation pour vérifier vos paramètres d'installation.
Si nécessaire, utilisez Retour pour retourner aux pages d'installation précédentes et modifier les paramètres d'installation.
La page de configuration de l'application utilisateur ne sauvegarde pas de valeur. Une fois les pages précédentes de l'installation à nouveau spécifiées, vous devez saisir à nouveau les valeurs de configuration de l'application utilisateur. Lorsque vous êtes satisfait de vos paramètres d'installation et de configuration, retournez à la page Récapitulatif de pré-installation, puis cliquez sur Installer.
Indique que l'installation est terminée.
Installation terminée
Le programme d'installation crée l'utilisateur novlua. Le programme d'installation crée un nouvel utilisateur dont le nom est novlua. Le script jboss_init exécute JBoss sous l'identité de cet utilisateur et les autorisations définies dans les fichiers JBoss sont configurées pour ce dernier.
5.1.1 Affichage des fichiers journaux et d'installation
Si votre installation s'est terminée sans erreur, passez à la section Tester l’installation
. Si l'installation a émis des messages d'erreur ou d'avertissement, examinez les fichiers journaux pour déterminer les problèmes :
Identity_Manager_User_Application_InstallLog.log
contient les résultats des tâches d'installation de base.
Novell-Custom-Install.log
contient des informations sur la configuration de l'application utilisateur effectuée lors de l'installation.
5.2 Tester l’installation
1 Démarrez votre base de données. Reportez-vous à la documentation de votre base de données pour obtenir des directives.
2 Démarrez le serveur de l'application utilisateur (JBoss). Sur la ligne de commande, faites du répertoire d'installation votre répertoire de travail et exécutez le script suivant (fourni par l'installation de l'application utilisateur) :
/ etc/init.d/jboss_init start
(Linux et Solaris) start-jboss.bat
(Windows)
Si vous n'utilisez pas X11 Window System, vous devez inclure le drapeau
Djava.awt.headless=true
dans le script de démarrage du serveur. Cet élément est nécessaire à l'exécution des rapports. Vous pouvez, par exemple, ajouter la ligne suivante à votre script :
JAVA_OPTS="-Djava.awt.headless=true -server -Xms256M -Xmx256M-
XX:MaxPermSize=256m"
Installation de l'application utilisateur sur JBoss
79
3 Démarrez le pilote d'application utilisateur. Cela active la communication vers le pilote de l'application utilisateur.
3a Loguez-vous à iManager.
3b Sur l'écran des Rôles et tâches dans la trame de navigation de gauche, sélectionnez
Présentation Identity Manager sous Identity Manager.
3c Sur l'affichage du contenu, spécifiez l'ensemble de pilotes qui contient le pilote de l'application utilisateur, puis cliquez sur Rechercher. Un graphique s'affiche, indiquant l'ensemble de pilotes avec ses pilotes associés.
3d Cliquez sur l'icône rouge et blanche sur le pilote.
3e Sélectionnez Démarrer le pilote. Le statut du pilote change et passe au symbole du yin et du yang, indiquant que le pilote est démarré.
Le pilote, au démarrage, tente une « reconnaissance mutuelle » avec l'application utilisateur. Si votre serveur d'applications n'est pas en cours d'exécution ou si le WAR n'a pas été correctement déployé, le pilote renvoie une erreur.
4 Pour lancer et se loguer à l'application utilisateur, utilisez votre navigateur Web pour aller sur l'URL suivante : http://nom_hôte:port/nom_application
Dans cette URL, nom_hôte:port correspond au nom d'hôte du serveur d'applications (par exemple, monserveur.domaine.com) et au port de votre serveur d'applications (par exemple, 8180, valeur par défaut sur JBoss). La valeur par défaut de Nom_application est
IDMProv. Vous avez spécifié le nom de l'application lors de l'installation lorsque vous avez fourni les informations de configuration du serveur d'applications.
La page de renvoi de l'application utilisateur Novell Identity Manager s'affiche.
5 Dans le coin supérieur droit de cette page, cliquez sur Login pour vous loguer à l'application utilisateur.
Si la page de l'application utilisateur Identity Manager ne s'affiche pas dans votre navigateur à la suite de ces étapes, vérifiez l'absence de messages d'erreur sur la console du terminal et reportezvous à la
Section 9.9, « Dépannage », page 154
.
80
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Installation de l'application utilisateur sur WebSphere
Cette section décrit la procédure d'installation de l'application utilisateur pour le module de provisioning basé sur les rôles sur un serveur d'applications WebSphere à l'aide de l'interface graphique du programme d'installation.
Section 6.1, « Installation et configuration du fichier WAR de l'application utilisateur », page 81
Section 6.2, « Configuration de l'environnement WebSphere », page 96
Section 6.3, « Déploiement du fichier WAR », page 110
Section 6.4, « Démarrage et accès à l'application utilisateur », page 111
Exécutez le programme d'installation en tant qu'utilisateur non-root.
Migration de données. Pour en savoir plus sur la migration, reportez-vous au manuel
User
Application: Migration Guide (http://www.novell.com/documentation/idm40/index.html) (Guide de migration de l'application utilisateur).
6.1 Installation et configuration du fichier WAR de l'application utilisateur
Remarque : pour WebSphere 7.0, le programme d'installation requiert le JDK 1.6 d'IBM. Si vous utilisez une version différente, la procédure d'installation ne configurera pas correctement le fichier
WAR de l'application utilisateur. L'installation semblera réussir, mais vous rencontrerez des erreurs lorsque vous tenterez de démarrer l'application utilisateur.
1 Accédez au répertoire contenant vos fichiers d'installation.
2 Vous devez appliquer les fichiers de stratégie non restreints au JDK IBM. Pour accéder à ces fichiers à partir IBM et savoir comment les appliquer, reportez-vous à la documentation de
WebSphere. Appliquez ces fichiers à l'environnement JDK d'IBM avant de poursuivre l'installation. Le fichier JAR contenant les fichiers de stratégie non restreints doit être placé dans le dossier JAVA_HOME\jre\lib\security.
En l'absence de ces fichiers, le message d'erreur « Taille de clé incorrecte » s'affiche. La cause première de ce problème est l'absence de fichiers de stratégie non restreints. Veillez dès lors à utiliser le JDK d'IBM approprié.
3 Lancez le programme d'installation à partir de l'environnement Java d'IBM, comme décrit ciaprès :
Linux ou Solaris
$ /opt/WS/IBM/WebSphere/AppServer/java/bin/java -jar IdmUserApp.jar
Windows
C:\WS\IBM\WebSphere\AppServer\java\bin\java -jar IdmUserApp.jar
Lors du lancement du programme d'installation, vous êtes invité à choisir une langue :
6
Installation de l'application utilisateur sur WebSphere
81
4 Utilisez les informations suivantes pour sélectionner la langue, confirmer l'accord de licence et choisir la plate-forme du serveur d'applications :
Écran d'installation
Installation de l'application utilisateur
Accord de licence
Description
Sélectionnez la langue du programme d'installation. La valeur par défaut est Français.
Lisez l'accord de licence, puis sélectionnez J'accepte les termes
de l'accord de licence.
82
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation
Plate-forme du serveur d'applications
Description
Sélectionnez WebSphere.
Si le fichier WAR de l'application utilisateur est dans un répertoire différent du programme d'installation, ce dernier vous invite à saisir le chemin d'accès au WAR.
Si le fichier WAR se trouve à l'emplacement par défaut, vous pouvez cliquez sur Restaurer le fichier par défaut. Ou, pour spécifier l'emplacement du fichier WAR, cliquez sur Choisir et sélectionnez un emplacement.
Lorsque vous installez l'application sur WebSphere, vous devez lancer le programme d'installation à partir de l'environnement
Java d'IBM. Si vous sélectionnez WebSphere comme serveur d'applications alors que vous n'utilisez pas l'environnement Java d'IBM pour lancer l'installation, vous recevez un message d'erreur et l'installation s'interrompt :
5 Aidez-vous des informations suivantes pour sélectionner le type d'installation, choisir un dossier d'installation et configurer la base de données :
Écran d'installation
Type d'installation
Sélectionnez le dossier d'installation
Plate-forme de la base de données
Description
Provisioning basé sur les rôles : sélectionnez cette option pour installer le module de provisioning basé sur les rôles. Il s'agit du seul type d'installation pris en charge avec cette version.
Indiquez l'emplacement auquel le programme d'installation doit mette les fichiers.
Sélectionnez la plate-forme de la base de données. Vous devez avoir installé la base de données et le pilote JDBC. Pour
WebSphere, les options sont les suivantes :
Oracle
Microsoft SQL Server
IBM DB2
PostgreSQL
Installation de l'application utilisateur sur WebSphere
83
Écran d'installation
Hôte et port de la base de données
Description
Hôte : indiquez le nom d'hôte ou l'adresse IP du serveur de bases de données. Pour une grappe, indiquez le même nom d'hôte ou la même adresse IP pour chaque membre de la grappe.
Port : indiquez le numéro du port d'écoute de la base de données.
Pour une grappe, indiquez le même port pour chaque membre de la grappe.
84
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation
Nom d'utilisateur et mot de passe de la base de données
Description
Nom de la base de données (ou SID) : pour DB2, MS SQL Server ou PostgreSQL, indiquez le nom de votre base de données préconfigurée. Pour Oracle, donnez l'identificateur système
Oracle (SID) que vous avez créé précédemment. Pour une grappe, indiquez le même nom ou SID de base de données pour chaque membre de la grappe.
Nom d'utilisateur de la base de données : indiquez le nom d'utilisateur de la base de données. Pour une grappe, indiquez le même utilisateur de base de données pour chaque membre de la grappe.
Mot de passe de la base de données : indiquez le mot de passe de la base de données. Pour une grappe, indiquez le même mot de passe de base de données pour chaque membre de la grappe.
Fichier JAR du pilote de base de données : indiquez le fichier JAR du client léger pour le serveur de base de données. Ce paramètre est obligatoire.
Important : le bouton Parcourir en regard du champ Fichier JAR
du pilote de base de données ne vous permet de sélectionner qu'un seul fichier JAR. Or, pour DB2, vous devez fournir 2 fichiers
JAR :
db2jcc.jar
db2jcc_license_cu.jar
Par conséquent, vous pouvez ne sélectionner qu'un seul fichier JAR mais vous devrez saisir le deuxième fichier manuellement. Pour cela, utilisez le séparateur de fichiers approprié pour le système d'exploitation sous lequel s'exécute le programme d'installation. Vous pouvez aussi spécifier manuellement les deux fichiers.
Par exemple, sous Windows : c:\db2jars\db2jcc.jar;c:\db2jars\db2jcc_license_ cu.jar
Par exemple, sous Solaris et Linux :
/home/lab/db2jars/db2jcc.jar:/home/lab/ db2jcc_license_cu.jar
Installation de l'application utilisateur sur WebSphere
85
Écran d'installation
Administrateur de la base de données
Description
Cette page est préremplie avec les mêmes nom d'utilisateur et mot de passe que sur la page Nom d'utilisateur et mot de passe de la base de données. Si l'utilisateur de base de données spécifié précédemment ne possède pas les autorisations suffisantes pour créer des tables sur le serveur de base de données, alors vous devez indiquer l'ID d'un utilisateur possédant les droits requis.
Créer des tables de base de données
Indiquez le moment auquel les tables de base de données doivent
être créées :
86
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Nouvelle base de données ou base de données existante
Si la base de données à utiliser est nouvelle ou vide, sélectionnez
Nouvelle base de données. Si la base de données provient d'une installation précédente, sélectionnez Base de données existante.
Installation de l'application utilisateur sur WebSphere
87
Écran d'installation
Tester la connexion à la base de données
Description
Pour vérifier que les informations fournies dans les écrans précédents sont correctes, vous pouvez tester la connexion à la base de données en cochant la case Tester la connexion à la
base de données :
Le programme d'installation doit se connecter à la base de données pour créer les tables directement et créer le fichier .SQL.
Un échec au test de connexion à la base de données permet néanmoins de poursuivre l'installation. Dans ce cas, vous devrez créer les tables après l'installation, comme décrit dans le
User
Application: Administration Guide (http://www.novell.com/ documentation/idm40/agpro/?page=/documentation/idm40/agpro/ data/bncf7rj.html) (Guide d'administration de l'application utilisateur).
6 Aidez-vous des informations suivantes pour configurer Java et IDM ainsi que les paramètres d'audit et la sécurité.
88
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Installation de Java Indiquez le dossier d'installation racine de Java. L'écran Installation de Java fournit le chemin d'accès à Java à partir de votre variable d'environnement
JAVA_HOME et vous permet de le rectifier :
À ce stade, le programme d'installation vérifie également que la plate-forme
Java sélectionnée est appropriée pour le serveur d'applications spécifié. En outre, il vérifie qu'il peut éditer le fichier cacerts du JRE indiqué.
Installation de l'application utilisateur sur WebSphere
89
Écran d'installation Description
Configuration d'IDM Sélectionnez le type de configuration du serveur d'applications :
Sélectionnez par défaut si cette installation est sur un noeud simple qui ne fait pas partie d'une grappe.
Si vous sélectionnez par défaut et décidez que vous aurez besoin d'une grappe ultérieurement, vous devrez réinstaller l'application utilisateur.
Sélectionnez tout si cette installation fait partie d'une grappe.
Contexte de l'application : noms de la configuration du serveur d'applications, du fichier WAR de l'application et du contexte de l'URL. Le script d'installation crée une configuration serveur et par défaut nomme la configuration en fonction du Nom de l'application. Notez le nom de l'application et ajoutez-le dans l'URL lorsque vous démarrez l'application utilisateur dans un navigateur.
90
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Sélectionner le type de consignation de l'audit
Pour activer la consignation, cliquez sur Oui. Pour désactiver la consignation, cliquez sur Non.
Le tableau de bord suivant vous invite à indiquer le type de consignation.
Choisissez parmi les options suivantes :
Novell Identity Audit ou Novell Sentinel : permet d'activer la consignation via un client Novell pour l'application utilisateur.
OpenXDAS : les événements sont consignés sur votre serveur de consignation OpenXDAS.
Pour plus d'informations sur la configuration de la consignation , reportezvous au manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).
Installation de l'application utilisateur sur WebSphere
91
Écran d'installation Description
Novell Identity Audit ou Novell Sentinel
Serveur : si vous activez la consignation, indiquez le nom d'hôte ou l'adresse IP du serveur. Si vous désactivez la consignation, cette valeur est ignorée.
Sécurité : clé principale
Dossier de cache des journaux : indiquez le répertoire du cache de consignation.
Oui : vous permet d'importer une clé principale existante. Si vous choisissez d'importer une clé maîtresse codée existante, coupez et collez la clé dans la fenêtre de procédure d'installation.
Non : crée une clé principale. Une fois l'installation terminée, vous devez enregistrer manuellement la clé maîtresse comme décrit dans la
« Enregistrement de la clé maîtresse », page 149 .
La procédure d'installation inscrit la clé maîtresse codée dans le fichier master-key.txt
dans le répertoire d'installation.
Voici des raisons d'importer une clé principale existante :
Vous déplacez votre installation d'un système provisoire à un système de production et vous souhaitez conserver l'accès à la base de données que vous avez utilisée avec le système provisoire.
Vous avez installé l'application utilisateur sur le premier membre d'une grappe et vous l'installez maintenant sur de nouveaux membres de la grappe (qui requièrent la même clé maîtresse).
En raison d'un disque défectueux, vous devez restaurer votre application utilisateur. Vous devez réinstaller l'application utilisateur et indiquer la même clé maîtresse codée que celle qu'utilisait l'installation précédente. Cela vous donne accès aux données codées stockées précédemment.
7 Si vous souhaitez configurer le module RBPM maintenant, sélectionnez Configurer
maintenant, puis cliquez sur Suivant.
92
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
(Si le programme ne vous invite pas à saisir ces informations, vous n'avez peut-être pas suivi toutes les étapes définies à la
Section 2.5, « Installation du kit de développement Java », page 32 .)
La vue par défaut du volet de configuration du module de provisioning basé sur les rôles contient les six champs suivants :
Installation de l'application utilisateur sur WebSphere
93
Le programme d'installation utilisera la valeur du champ DN du conteneur racine et l'appliquera aux valeurs suivantes :
DN du conteneur de l'utilisateur
DN du conteneur du groupe
Le programme d'installation utilisera la valeur du champ Administrateur de l'application utilisateur et l'appliquera aux valeurs suivantes :
Administrateur du provisioning
Administrateur de conformité
Administrateur de rôles
Administrateur de la sécurité
Administrateur de ressources
Administrateur de la configuration RBPM
Pour définir ces valeurs explicitement, vous pouvez cliquer sur le bouton Aff. options avancées et les modifier :
94
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le programme d'installation de l'application utilisateur permet de configurer les paramètres de configuration de l'application utilisateur. La plupart de ces paramètres sont également éditables avec configupdate.sh
ou configupdate.bat
après l'installation ; les exceptions sont notées dans les descriptions des paramètres.
Installation de l'application utilisateur sur WebSphere
95
8 Les informations suivantes permettent de terminer l'installation.
Écran d'installation
Résumé pré-installation
Installation terminée
Description
Lisez la page de résumé de la pré-installation pour vérifier vos paramètres d'installation.
Si nécessaire, utilisez Retour pour retourner aux pages d'installation précédentes et modifier les paramètres d'installation.
La page de configuration de l'application utilisateur ne sauvegarde pas de valeur. Une fois les pages précédentes de l'installation à nouveau spécifiées, vous devez saisir à nouveau les valeurs de configuration de l'application utilisateur. Lorsque vous êtes satisfait de vos paramètres d'installation et de configuration, retournez à la page Récapitulatif de pré-installation, puis cliquez sur Installer.
Indique que l'installation est terminée.
6.1.1 Affichage des fichiers journaux d'installation
.
Si l'installation a émis des messages d'erreur ou d'avertissement, examinez les fichiers journaux pour déterminer les problèmes :
Identity_Manager_User_Application_InstallLog.log
contient les résultats des tâches d'installation de base.
Novell-Custom-Install.log
contient des informations sur la configuration de l'application utilisateur effectuée lors de l'installation.
6.2 Configuration de l'environnement
WebSphere
Section 6.2.1, « Configuration d'une réserve de connexions », page 96
Section 6.2.2, « Ajout de fichiers de configuration de l'application utilisateur et des propriétés
Section 6.2.4, « Transmission de la propriété preferIPv4Stack à la JVM », page 110
6.2.1 Configuration d'une réserve de connexions
Pour configurer une réserve de connexions à utiliser avec WebSphere, vous devez créer un fournisseur JDBC ainsi qu'une source de données. Cette section fournit des instructions pour la création du fournisseur et de la source de données.
Pour créer un fournisseur JDBC :
1 Développez Ressources sur le côté gauche de la page Integrated Solutions Console :
96
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Développez JDBC :
3 Cliquez sur Fournisseurs JDBC :
Installation de l'application utilisateur sur WebSphere
97
4 Développez Étendue :
5 Sélectionnez Node=nom_de_votre_serveur, Server=serveur1.
6 Cliquez sur le bouton Nouveau.
98
Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7 Sélectionnez le type de base de données (par exemple, DB2).
8 Cliquez sur Suivant.
9 Saisissez les informations du chemin de classe JDBC.
Installation de l'application utilisateur sur WebSphere
99
10 Cliquez sur Suivant.
11 Cliquez sur Terminer.
12 Cliquez sur le lien Enregistrer.
Pour créer une source de données :
1 Développez Ressources sur le côté gauche de la page.
2 Développez JDBC.
3 Cliquez sur Sources de données.
100 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Développez Étendue.
5 Sélectionnez Node=nom_de_votre_serveur, Server=serveur1.
6 Cliquez sur le bouton Nouveau.
7 Saisissez le nom de la source de données ainsi que le nom JNDI (par exemple,
IDMUADataSource pour les deux).
8 Cliquez sur Suivant.
9 Cliquez sur Sélectionner un fournisseur JDBC existant.
Installation de l'application utilisateur sur WebSphere 101
10 Sélectionnez le fournisseur JDBC que vous venez de créer.
11 Cliquez sur Suivant.
12 Saisissez les informations relatives à la base de données demandées par la source de données
(nom de la base de données et du serveur, port, nom d'utilisateur et mot de passe).
102 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
13 Cliquez sur Suivant.
14 Saisissez les informations relatives à l'alias de sécurité ou laissez les valeurs par défaut.
15 Cliquez sur Suivant.
16 Cliquez sur Terminer.
17 Cliquez sur Enregistrer.
18 Sélectionnez votre nouvelle source de données en cochant la case située à gauche du nom.
Installation de l'application utilisateur sur WebSphere 103
19 Cliquez sur le bouton Tester la connexion et assurez-vous qu'il renvoie bien la valeur Réussite.
6.2.2 Ajout de fichiers de configuration de l'application utilisateur et des propriétés JVM
Les étapes suivantes permettent l'installation sous WebSphere.
1 Copiez le fichier sys-configuration-xmldata.xml
du répertoire d'installation de l'application utilisateur dans un répertoire de la machine hébergeant le serveur WebSphere, par exemple
/UserAppConfigFiles
.
Le répertoire d'installation de l'application utilisateur est celui dans lequel vous avez installé l'application utilisateur.
2 Définissez le chemin d'accès du fichier sys-configuration-xmldata.xml
dans les propriétés du système JVM. Loguez-vous à la console d'administration WebSphere en tant qu'utilisateur administrateur pour ce faire.
3 Dans le panneau de gauche, accédez à Serveurs > Serveur d'application.
4 Cliquez sur le nom du serveur dans la liste, par exemple serveur1.
5 Dans la liste des paramètre de droite, accédez à Java et Gestion de processus sous
Infrastructure de serveur.
6 Développez le lien et sélectionnez Définition du processus.
7 Sous la liste des Propriétés supplémentaires, sélectionnez Machine virtuelle Java.
8 Sélectionnez Propriétés personnalisées sous le titre Propriétés supplémentaires de la page
JVM.
104 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
9 Cliquez sur Nouveau pour ajouter une nouvelle propriété du système JVM.
9a Pour le Nom, indiquez extend.local.config.dir
.
9b Pour la valeur, indiquez le nom du répertoire d'installation que vous avez spécifié lors de l'installation.
Le programme d'installation y a écrit le fichier sys-configuration-xmldata.xml
.
9c Description permet de saisir la description de la propriété. (exemple : chemin vers sysconfiguration-xmldata.xml
).
9d Cliquez sur OK pour enregistrer la propriété.
10 Cliquez sur Nouveau pour ajouter une autre propriété nouvelle du système JVM.
10a Pour le Nom, indiquez idmuserapp.logging.config.dir
.
10b Pour la valeur, indiquez le nom du répertoire d'installation que vous avez spécifié lors de l'installation.
10c Description permet de saisir la description de la propriété (exemple : chemin vers idmuserapp_logging.xml
).
10d Cliquez sur OK pour enregistrer la propriété.
le fichier idmuserapp-logging.xml
n'existe pas tant que vous n'avez pas appliqué les modifications dans Application utilisateur > Administration > Configuration de
l'application > Consignation.
Vous devez également configurer une bibliothèque partagée pour l'application utilisateur sur
WebSphere. La bibliothèque partagée définit le comportement de chargement de classes nécessaire à la bonne exécution de l'application.
Pour configurer la bibliothèque partagée :
1 Créez la bibliothèque partagée pour l'application utilisateur :
1a Cliquez sur Environnement dans le menu de navigation de gauche.
1b Cliquez sur Bibliothèques partagées.
Installation de l'application utilisateur sur WebSphere 105
1c Cliquez sur le bouton Nouveau.
1d Saisissez un nom (comme IDMUA Classloader).
1e Saisissez la liste des fichiers JAR requis dans le champ Chemin de classe :
antlr.jar
log4j.jar
commons-logging.jar
Remarque : vous devez télécharger ce fichier JAR à partir du site Apache.
xalan.jar
xercesImpl.jar
xsltc.jar
serializer.jar
jaxb-impl.jar
IDMselector.jar
1f Cliquez sur OK.
106 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
1g Cliquez sur le lien Enregistrer.
2 Ajoutez la bibliothèque partagée à IDMProv :
2a Cliquez sur Applications à gauche.
2b Cliquez sur Applications d'entreprise WebSphere.
2c Cliquez sur le nom IDMProv_war.
2d En bas de la page, sous Références, cliquez sur Références de bibliothèque partagée.
Installation de l'application utilisateur sur WebSphere 107
2e Cochez la case en regard de IDMProv (et non IDMProv_war).
2f Cliquez sur le bouton Référencer les bibliothèques partagées.
2g Sélectionnez le nom de la bibliothèque partagée (Chemin de classe IDMUA) dans la zone
Disponible. Cliquez ensuite sur la flèche pointant vers la droite de façon à ce que ce nom passe dans la zone Sélectionné.
2h Cliquez sur OK pour revenir à la page précédente.
2i Cliquez à nouveau sur OK.
108 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2j Cliquez sur Enregistrer pour conserver les changements apportés à la configuration du serveur.
2k Redémarrez le serveur une fois que toutes les autres étapes de la configuration ont été réalisées.
Notez que le changement de chargement de classe doit être effectué au niveau de l'application et non du module. WebSphere crée un fichier EAR pour le WAR déployé et fait de ce dernier un module au sein du EAR :
6.2.3 Importation de la racine approuvée d'eDirectory dans le keystore WebSphere
1 Copiez les certificats de racine approuvée eDirectory sur la machine qui héberge le serveur
WebSphere.
La procédure d'installation de l'application utilisateur exporte les certificats vers le répertoire dans lequel vous installez l'application utilisateur.
2 Importez les certificats dans la zone de stockage de clés WebSphere. Pour cela, utilisez la console de l'administrateur WebSphere (
« Importation de certificats avec la console de l'administrateur WebSphere » page 109
) ou la ligne de commande ( « Importation de certificats avec la ligne de commande » page 110
).
.
Importation de certificats avec la console de l'administrateur WebSphere
1 Loguez-vous à la console d'administration WebSphere en tant qu'utilisateur administrateur.
Installation de l'application utilisateur sur WebSphere 109
2 Dans le panneau de gauche, accédez à Sécurité > Gestion des certificats SSL et des clés.
3 Dans la liste des paramètres à droite, accédez à Zone de stockage des clés et des certificats sous
Éléments associés.
4 Sélectionnez NodeDefaultTrustStore (ou la zone de stockage fiable que vous utilisez).
5 Sous Propriétés supplémentaires, sur la droite, sélectionnez Certificats du signataire.
6 Cliquez sur Ajouter.
7 Saisissez le nom de l'alias et le chemin d'accès complet au fichier de certificat.
8 Modifiez le type de donnée dans la liste déroulante en sélectionnant Données DER binaires.
9 Cliquez sur OK. À présent, le certificat doit apparaître dans la liste des certificats du signataire.
10 Cliquez sur le lien Enregistrer en haut de l'écran.
Importation de certificats avec la ligne de commande
Dans la ligne de commande de la machine qui héberge le serveur WebSphere, exécutez l'outil clé pour importer le certificat dans la zone de stockage de clés de WebSphere.
Remarque : vous devez utiliser l'outil clé de WebSphere pour que cela fonctionne. Vérifiez en outre que la zone de stockage est de type PKCS12.
L'outil clé WebSphere se trouve dans
/IBM/WebSphere/AppServer/java/bin.
Exemple de commande d'outil clé : keytool -import -trustcacerts -file servercert.der -alias myserveralias keystore trust.p12 -storetype PKCS12
Si votre système contient plusieurs fichiers trust.p12
, il se peut que vous deviez indiquer le chemin complet du fichier.
6.2.4 Transmission de la propriété preferIPv4Stack à la JVM
L'application utilisateur utilise JGroups pour l'implémentation du caching. Dans certaines configurations, JGroups requiert que la propriété preferIPv4Stack soit définie sur vrai pour garantir le bon fonctionnement de la liaison mcast_addr. Sans cette option, l'erreur ci-dessous peut se produire et le caching ne fonctionne pas correctement :
[10/1/09 16:11:22:147 EDT] 0000000d UDP W org.jgroups.util.Util
createMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sure your mcast_addr is of the same type as the IP stack (IPv4 or IPv6).
Le paramètre java.net.preferIPv4Stack=true
est une propriété système qui peut être configurée de la même façon que les autres propriétés système telles que extend.local.config.dir
. Pour obtenir les instructions relatives à la configuration des
6.3 Déploiement du fichier WAR
Déployez le fichier WAR via les outils de déploiement WebSphere.
110 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
6.3.1 Configuration supplémentaire pour WebSphere 7.0
Si vous utilisez WebSphere 7.0 avec la version 4.0 de RBPM, vous devez savoir que dans cette version de RBPM, plusieurs fichiers JAR (tels que commons-digester.jar) ont été mis à niveau vers les dernières versions disponibles. Par conséquent, si vous ne configurez pas votre environnement correctement, des conflits de version sont susceptibles de se produire avec les fichiers JAR fournis avec WebSphere.
Pour vérifier que vous utilisez les fichiers JAR appropriés, vous devez configurer votre serveur
WebSphere pour qu'il charge d'abord les classes du fichier IDMProv.war. Pour le fichier
IDMProv.war, vous devez sélectionner l'option D'abord les classes chargées avec le chargeur de
classes local (parent en dernier).
6.4 Démarrage et accès à l'application utilisateur
Pour démarrer l'application utilisateur :
1 Loguez-vous à la console d'administrateur WebSphere en tant qu'utilisateur administrateur.
2 Dans le panneau de gauche, accédez à Applications > Applications d'entreprise.
3 Cochez la case en regard de l'application que vous voulez démarrer, puis cliquez sur Démarrer.
Une fois l'application démarrée, la colonne État de l'application affiche une flèche verte.
Accès à l'application utilisateur
1 Accédez au portail en utilisant le contexte que vous avez spécifié au cours du déploiement.
Le port par défaut du conteneur Web sur WebSphere est 9080, ou 9443 pour le port sécurisé. Le format de l'URL est le suivant :
http://<serveur>:9080/IDMProv
Installation de l'application utilisateur sur WebSphere 111
112 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Installation de l'application utilisateur sur WebLogic
Le programme d'installation de l'interface graphique configure le fichier WAR de l'application utilisateur en fonction des informations que vous fournissez. Cette section contient des informations sur :
Section 7.1, « Liste de contrôle pour l'installation de WebLogic », page 113
Section 7.2, « Installation et configuration du fichier WAR de l'application utilisateur », page 114
Section 7.3, « Préparation de l'environnement WebLogic », page 128
Section 7.4, « Déploiement du fichier WAR de l'application utilisateur », page 131
Section 7.5, « Accès à l'application utilisateur », page 131
Pour en savoir plus sur l'installation avec une interface utilisateur non graphique, reportez-vous au
Chapitre 8, « Installation depuis la console ou à l'aide d'une commande unique », page 133
.
Exécutez le programme d'installation en tant qu'utilisateur non-root.
Migration de données. Pour en savoir plus sur la migration, reportez-vous au manuel
User
Application: Migration Guide (http://www.novell.com/documentation/idm40/index.html) (Guide de migration de l'application utilisateur).
7.1 Liste de contrôle pour l'installation de
WebLogic
Installez WebLogic.
Suivez les instructions données dans la documentation de WebLogic.
Créez un fichier WAR compatible avec WebLogic.
Utilisez le programme d'installation de l'application utilisateur Identity Manager pour réaliser
.
Préparez l'environnement WebLogic afin de déployer le fichier WAR en copiant les fichiers de configuration aux emplacements WebLogic appropriés.
Reportez-vous à la
Section 7.3, « Préparation de l'environnement WebLogic », page 128
.
Déployez le fichier WAR.
Reportez-vous à la
Section 7.4, « Déploiement du fichier WAR de l'application utilisateur », page 131 .
7
Installation de l'application utilisateur sur WebLogic
113
7.2 Installation et configuration du fichier WAR de l'application utilisateur
Remarque : pour WebLogic 10.3, le programme d'installation requiert la version 1.6 du JDK de
JRockit pour la plate-forme Java 2 Standard Edition. Si vous utilisez une version différente, la procédure d'installation ne configurera pas correctement le fichier WAR de l'application utilisateur.
L'installation semblera réussir, mais vous rencontrerez des erreurs lorsque vous tenterez de démarrer l'application utilisateur.
1 Accédez au répertoire contenant vos fichiers d'installation.
2 Lancez le programme d'installation pour votre plate-forme à partir de la ligne de commande, à l'aide de l'environnement Java JRockit (version 1.6_17) :
Solaris
$ /opt/WL/bea/jrockit_160_17/bin/java -jar IdmUserApp.jar
Windows
C:\WL\bea\jrockit_160_17\bin\java -jar IdmUserApp.jar
Lors du lancement du programme d'installation, vous êtes invité à choisir une langue.
3 Utilisez les informations suivantes pour sélectionner la langue, confirmer l'accord de licence et choisir la plate-forme du serveur d'applications :
Écran d'installation
Installation de l'application utilisateur
Accord de licence
Description
Sélectionnez la langue du programme d'installation. La valeur par défaut est Français.
Lisez l'accord de licence, puis sélectionnez J'accepte les termes
de l'accord de licence.
114 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation
Plate-forme du serveur d'applications
Description
Sélectionnez WebLogic.
Si le fichier WAR de l'application utilisateur est dans un répertoire différent du programme d'installation, ce dernier vous invite à saisir le chemin d'accès au WAR.
Si le fichier WAR se trouve à l'emplacement par défaut, vous pouvez cliquez sur Restaurer le fichier par défaut. Ou, pour spécifier l'emplacement du fichier WAR, cliquez sur Choisir et sélectionnez un emplacement.
Lorsque vous installez l'application sur WebLogic, vous devez lancer le programme d'installation à partir de l'environnement
Java de BEA (JRockit). Si vous sélectionnez WebLogic comme serveur d'applications alors que vous n'utilisez pas l'environnement JRockit pour lancer l'installation, vous recevez un message d'erreur et l'installation s'interrompt :
4 Aidez-vous des informations suivantes pour sélectionner le type d'installation, choisir un dossier d'installation et configurer la base de données :
Écran d'installation
Type d'installation
Sélectionnez le dossier d'installation
Plate-forme de la base de données
Description
Provisioning basé sur les rôles : sélectionnez cette option pour installer le module de provisioning basé sur les rôles. Il s'agit du seul type d'installation pris en charge avec cette version.
Indiquez l'emplacement auquel le programme d'installation doit mettre les fichiers.
Sélectionnez la plate-forme de la base de données. Vous devez avoir installé la base de données et le pilote JDBC. Pour
WebLogic, les options sont les suivantes :
Oracle
Microsoft SQL Server
PostgreSQL
Installation de l'application utilisateur sur WebLogic 115
Écran d'installation
Hôte et port de la base de données
Description
Hôte : indiquez le nom d'hôte ou l'adresse IP du serveur de bases de données. Pour une grappe, indiquez le même nom d'hôte ou la même adresse IP pour chaque membre de la grappe.
Port : indiquez le numéro du port d'écoute de la base de données.
Pour une grappe, indiquez le même port pour chaque membre de la grappe.
116 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation
Nom d'utilisateur et mot de passe de la base de données
Description
Nom de la base de données (ou SID) : pour MS SQL Server ou
PostgreSQL, indiquez le nom de votre base de données préconfigurée. Pour Oracle, donnez l'identificateur système
Oracle (SID) que vous avez créé précédemment. Pour une grappe, indiquez le même nom ou SID de base de données pour chaque membre de la grappe.
Nom d'utilisateur de la base de données : indiquez le nom d'utilisateur de la base de données. Pour une grappe, indiquez le même utilisateur de base de données pour chaque membre de la grappe.
Mot de passe de la base de données : indiquez le mot de passe de la base de données. Pour une grappe, indiquez le même mot de passe de base de données pour chaque membre de la grappe.
Fichier JAR du pilote de base de données : indiquez le fichier JAR du client léger pour le serveur de base de données. Ce paramètre est obligatoire.
Installation de l'application utilisateur sur WebLogic 117
Écran d'installation
Administrateur de la base de données
Description
Cette page est préremplie avec les mêmes nom d'utilisateur et mot de passe que sur la page Nom d'utilisateur et mot de passe de la base de données. Si l'utilisateur de base de données spécifié précédemment ne possède pas les autorisations suffisantes pour créer des tables sur le serveur de base de données, alors vous devez indiquer l'ID d'un utilisateur possédant les droits requis.
Créer des tables de base de données
Indiquez le moment auquel les tables de base de données doivent
être créées :
118 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Nouvelle base de données ou base de données existante
Si la base de données à utiliser est nouvelle ou vide, sélectionnez
Nouvelle base de données. Si la base de données provient d'une installation précédente, sélectionnez Base de données existante.
Installation de l'application utilisateur sur WebLogic 119
Écran d'installation
Tester la connexion à la base de données
Description
Pour vérifier que les informations fournies dans les écrans précédents sont correctes, vous pouvez tester la connexion à la base de données en cochant la case Tester la connexion à la
base de données :
Le programme d'installation doit se connecter à la base de données pour créer les tables directement et créer le fichier .SQL.
Un échec au test de connexion à la base de données permet néanmoins de poursuivre l'installation. Dans ce cas, vous devrez créer les tables après l'installation, comme décrit dans le
User
Application: Administration Guide (http://www.novell.com/ documentation/idm40/agpro/?page=/documentation/idm40/agpro/ data/bncf7rj.html) (Guide d'administration de l'application utilisateur).
5 Aidez-vous des informations suivantes pour configurer Java et IDM ainsi que les paramètres d'audit et la sécurité.
120 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Installation de Java Indiquez le dossier d'installation racine de Java. L'écran Installation de Java fournit le chemin d'accès à Java à partir de votre variable d'environnement
JAVA_HOME et vous permet de le rectifier :
À ce stade, le programme d'installation vérifie également que la plate-forme
Java sélectionnée est appropriée pour le serveur d'applications spécifié. En outre, il vérifie qu'il peut éditer le fichier cacerts du JRE indiqué.
Installation de l'application utilisateur sur WebLogic 121
Écran d'installation Description
Configuration d'IDM Sélectionnez le type de configuration du serveur d'applications :
Sélectionnez par défaut si cette installation est sur un noeud simple qui ne fait pas partie d'une grappe.
Si vous sélectionnez par défaut et décidez que vous aurez besoin d'une grappe ultérieurement, vous devrez réinstaller l'application utilisateur.
Sélectionnez tout si cette installation fait partie d'une grappe.
Contexte de l'application : noms de la configuration du serveur d'applications, du fichier WAR de l'application et du contexte de l'URL. Le script d'installation crée une configuration serveur et par défaut nomme la configuration en fonction du Nom de l'application. Notez le nom de l'application et ajoutez-le dans l'URL lorsque vous démarrez l'application utilisateur dans un navigateur.
122 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Écran d'installation Description
Sélectionner le type de consignation de l'audit
Pour activer la consignation, cliquez sur Oui. Pour désactiver la consignation, cliquez sur Non.
Le tableau de bord suivant vous invite à indiquer le type de consignation.
Choisissez parmi les options suivantes :
Novell Identity Audit ou Novell Sentinel : permet d'activer la consignation via un client d'audit Novell pour l'application utilisateur.
OpenXDAS : les événements sont consignés sur votre serveur de consignation OpenXDAS.
Pour plus d'informations sur la configuration de la consignation , reportezvous au manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).
Installation de l'application utilisateur sur WebLogic 123
Écran d'installation Description
Novell Identity Audit ou Novell Sentinel
Serveur : si vous activez la consignation, indiquez le nom d'hôte ou l'adresse IP du serveur. Si vous désactivez la consignation, cette valeur est ignorée.
Sécurité : clé principale
Dossier de cache des journaux : indiquez le répertoire du cache de consignation.
Oui : vous permet d'importer une clé principale existante. Si vous choisissez d'importer une clé maîtresse codée existante, coupez et collez la clé dans la fenêtre de procédure d'installation.
Non : crée une clé principale. Une fois l'installation terminée, vous devez enregistrer manuellement la clé maîtresse comme décrit dans la
« Enregistrement de la clé maîtresse », page 149 .
La procédure d'installation inscrit la clé maîtresse codée dans le fichier master-key.txt
dans le répertoire d'installation.
Voici des raisons d'importer une clé principale existante :
Vous déplacez votre installation d'un système provisoire à un système de production et vous souhaitez conserver l'accès à la base de données que vous avez utilisée avec le système provisoire.
Vous avez installé l'application utilisateur sur le premier membre d'une grappe et vous l'installez maintenant sur de nouveaux membres de la grappe (qui requièrent la même clé maîtresse).
En raison d'un disque défectueux, vous devez restaurer votre application utilisateur. Vous devez réinstaller l'application utilisateur et indiquer la même clé maîtresse codée que celle qu'utilisait l'installation précédente. Cela vous donne accès aux données codées stockées précédemment.
6 Si vous souhaitez configurer le module RBPM maintenant, sélectionnez Configurer
maintenant, puis cliquez sur Suivant.
124 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
(Si le programme ne vous invite pas à saisir ces informations, vous n'avez peut-être pas suivi toutes les étapes définies à la
Section 2.5, « Installation du kit de développement Java », page 32 .)
La vue par défaut du volet de configuration du module de provisioning basé sur les rôles contient les six champs suivants :
Installation de l'application utilisateur sur WebLogic 125
Le programme d'installation utilisera la valeur du champ DN du conteneur racine et l'appliquera aux valeurs suivantes :
DN du conteneur de l'utilisateur
DN du conteneur du groupe
Le programme d'installation utilisera la valeur du champ Administrateur de l'application utilisateur et l'appliquera aux valeurs suivantes :
Administrateur du provisioning
Administrateur de conformité
Administrateur de rôles
Administrateur de la sécurité
Administrateur de ressources
Administrateur de la configuration RBPM
Pour définir ces valeurs explicitement, vous pouvez cliquer sur le bouton Aff. options avancées et les modifier :
126 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le programme d'installation de l'application utilisateur permet de configurer les paramètres de configuration de l'application utilisateur. La plupart de ces paramètres sont également éditables avec configupdate.sh
ou configupdate.bat
après l'installation ; les exceptions sont notées dans les descriptions des paramètres.
Installation de l'application utilisateur sur WebLogic 127
7 Les informations suivantes permettent de terminer l'installation.
Écran d'installation
Résumé pré-installation
Installation terminée
Description
Lisez la page de résumé de la pré-installation pour vérifier vos paramètres d'installation.
Si nécessaire, utilisez Retour pour retourner aux pages d'installation précédentes et modifier les paramètres d'installation.
La page de configuration de l'application utilisateur ne sauvegarde pas de valeur. Une fois les pages précédentes de l'installation à nouveau spécifiées, vous devez saisir à nouveau les valeurs de configuration de l'application utilisateur. Lorsque vous êtes satisfait de vos paramètres d'installation et de configuration, retournez à la page Récapitulatif de pré-installation, puis cliquez sur Installer.
Indique que l'installation est terminée.
7.2.1 Affichage des fichiers journaux et d'installation
Si votre installation s'est terminée sans erreur, passez à la section Préparation de l'environnement
. Si l'installation a émis des messages d'erreur ou d'avertissement, examinez les fichiers journaux pour déterminer les problèmes :
Identity_Manager_User_Application_InstallLog.log
contient les résultats des tâches d'installation de base.
Novell-Custom-Install.log
contient des informations sur la configuration de l'application utilisateur effectuée lors de l'installation.
7.3 Préparation de l'environnement WebLogic
Section 7.3.1, « Configuration de la réserve de connexions », page 128
Section 7.3.3, « Suppression des fichiers JAR OpenSAML », page 131
Section 7.3.4, « Plug-in de workflow et configuration de WebLogic », page 131
7.3.1 Configuration de la réserve de connexions
Copiez les fichiers JAR du pilote de votre base de données dans le domaine où vous voulez déployer l'application utilisateur.
Créez votre source de données.
Suivez les instructions permettant de créer une source de données dans la documentation
WebLogic.
Notez que le nom JNDI de la source de données doit être jdbc/IDMUADataSource
, quel que soit le nom spécifié pour la source de données ou la base de données lors de la création du fichier WAR de l'application utilisateur.
128 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7.3.2 Définition de l'emplacement des fichiers de configuration du module RBPM
L'application utilisateur WebLogic doit pouvoir localiser les fichiers sys-configurationxmldata.xml
, idmuserapp_logging.xml
et wl_idmuserapp_logging.xml
. Pour cela, vous devez ajouter l'emplacement des fichiers au fichier setDomainEnv.cmd
.
Pour les rendre disponibles pour le serveur d'applications, indiquez l'emplacement dans le fichier setDomainEnv.cmd
ou setDomainEnv.sh
:
1 Ouvrez le fichier setDomainEnv.cmd
ou setDomainEnv.sh
.
2 Localisez la ligne qui ressemble à ce qui suit : set JAVA_PROPERTIES export JAVA_PROPERTIES
3 Sous l'entrée JAVA_PROPERTIES, ajoutez des entrées des éléments suivants :
-Dextend.local.config.dir==<chemin_répertoire> fichier) qui contient le fichier sys-configuration.xml
.
: indiquez le dossier (et non le
-Didmuserapp.logging.config.dir==<chemin_répertoire> : indiquez le dossier
(et non le fichier) qui contient le fichier idmuserapp_logging.xml
.
-Dlog.init.file==<nom_fichier> wl_idmuserapp_logging.xml
: indiquez le fichier
utilisé pour la configuration log4j. Ce fichier gère les configurations appender et logger requises pour l'application utilisateur dans des cas où plusieurs applications sont installées sur le même serveur d'applications.
Par exemple, sous Windows : set JAVA_OPTIONS=-Dextend.local.config.dir=c:\novell\idm set JAVA_OPTIONS=%JAVA_OPTIONS% -
Didmuserapp.logging.config.dir=c:\novell\idm set JAVA_OPTIONS=%JAVA_OPTIONS%
-Dlog.init.file=wl_idmuserapp_logging.xml
4 Définissez la variable d'environnement
EXT_PRE_CLASSPATH
de façon à ce qu'elle pointe vers les fichiers JAR suivants :
antlr-2.7.6.jar
log4j.jar
commons-logging.jar
Remarque : vous devez télécharger ce fichier JAR à partir du site Apache.
xalan.jar
xercesImpl.jar
xsltc.jar
serializer.jar
IDMselector.jar
Remarque : pour ajouter ces fichiers JAR à la variable EXT_PRE_CLASSPATH, vous pouvez
également les copier dans le répertoire WEB-INF/lib du fichier IDMProv.war.
4a Recherchez cette ligne :
Installation de l'application utilisateur sur WebLogic 129
ADD EXTENSIONS TO CLASSPATH
4b Ajoutez
EXT_PRE_CLASSPATH
en dessous. Par exemple, sous Windows : set
EXT_PRE_CLASSPATH=C:\bea\user_projects\domains\base_domain\lib\antlr-
2.7.6.jar;C:\bea\user_projects\domain\base_domain\lib\log4j.jar;C:\be a\user_projects\domains\base_domain\lib\commonslogging.jar;C:\bea\user_projects\domains\base_domain\lib\xalan.jar;C:
\bea\user_projects\domains\base_domain\lib\xercesImpl.jar;C:\bea\user
_projects\domains\base_domain\lib\xsltc.jar;C:\bea\user_projects\doma ins\base_domain\lib\serializer.jar
Par exemple, sous Linux : export EXT_PRE_CLASSPATH=/opt/bea/user_projects/domains/base_domain/ lib/antlr-2.7.6.jar:/opt/bea/user_projects/domain/base_domain/lib/ log4j.jar:/opt/bea/user_projects/domains/base_domain/lib/commonslogging.jar:/opt/bea/user_projects/domains/base_domain/lib/ xalan.jar:/opt/bea/user_projects/domains/base_domain/lib/ xercesImpl.jar:/opt/bea/user_projects/domains/base_domain/lib/ xsltc.jar:/opt/bea/user_projects/domains/base_domain/lib/ serializer.jar
5 Enregistrez le fichier et quittez l'application.
Les fichiers XML sont également utilisés par l'utilitaire configuré ; par conséquent, vous devez modifier les fichiers configupdate.bat
ou configupdate.sh
comme suit :
1 Ouvrez configupdate.bat
ou configupdate.sh
.
2 Repérez la ligne suivante :
-Duser.language=en -Duser.region="
3 Mettez à jour la ligne existante pour inclure le chemin au fichier sys-configuration.xml :
Par exemple, sous Windows :
-Dextend.local.config.dir=c:\novell\idm
Par exemple, sous Linux :
-Dextend.local.config.dir=/opt/novell/idm
4 Enregistrez et fermez le fichier.
5 Exécutez l'utilitaire de mise à jour de la configuration pour installer le certificat dans le keystore du JDK sous BEA_HOME.
Lorsque vous exécutez une configupdate
, le programme vous invite à indiquer le fichier cacerts
sous le JDK que vous utilisez. Si vous n'utilisez pas le JDK spécifié pendant l'installation, vous devez exécuter la commande configupdate
sur le fichier WAR. Soyez attentif au JDK indiqué, car cette entrée doit pointer vers le JDK utilisé par WebLogic. Ceci sert à importer un fichier de certificat pour la connexion au coffre-fort d'identité. L'objectif est d'importer un certificat pour la connexion à eDirectory.
Dans l'utilitaire configupdate, la valeur Certificats du coffre-fort d'identité doit pointer vers l'emplacement suivant : c:\jrockit\jre\lib\security\cacerts
130 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7.3.3 Suppression des fichiers JAR OpenSAML
Les fichiers JAR OpenSAML utilisés par WebLogic créent des conflits avec ceux requis par l'application utilisateur. Par conséquent, vous devez supprimer les fichiers du répertoire WebLogic /
WL103/modules afin de garantir le déploiement correct de l'application utilisateur sur WebLogic.
Cette exigence s'applique à toute application utilisateur dont la fonction SSO n'est pas activée.
Veillez à supprimer les fichiers JAR suivants du répertoire WebLogic /WL103/modules : com.bea.core.bea.opensaml_1.0.0.0_5-0-2-0.jar
com.bea.core.bea.opensaml2_1.0.0.0_5-0-2-0.jar
7.3.4 Plug-in de workflow et configuration de WebLogic
Le plug-in Administration du workflow d'iManager ne peut pas se connecter au pilote de l'application utilisateur en cours d'exécution sur WebLogic si enforce-valid-basic-authcredentials
est défini sur vrai. Pour que la connexion réussisse, vous devez désactiver le drapeau.
Pour désactiver enforce-valid-basic-auth-credentials, procédez comme suit :
1 Ouvrez le fichier config.xml
dans le dossier
<WLHome>\user_projects\domains\idm\config\
.
2 Ajoutez la ligne suivante dans la section
<security-configuration>
juste avant la fin de cette section :
<enforce-valid-basic-auth-credentials>false</enforce-valid-basic-authcredentials>
</security-configuration>
3 Enregistrez le fichier et redémarrez le serveur.
Une fois cette modification effectuée, vous devriez être en mesure de vous loguer au plug-in
Administration du workflow.
7.4 Déploiement du fichier WAR de l'application utilisateur
À ce stade, vous pouvez déployer le fichier WAR de l'application utilisateur en ayant recours à la procédure de déploiement WebLogic standard.
7.5 Accès à l'application utilisateur
Naviguez vers l'URL de l'application utilisateur : http://application-server-host:port/application-context
Par exemple : http://localhost:8180/IDMProv
Installation de l'application utilisateur sur WebLogic 131
132 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Installation depuis la console ou à l'aide d'une commande unique
Cette section décrit les méthodes d'installation dont vous disposez si vous ne souhaitez pas utiliser l'interface graphique décrite au
Chapitre 5, « Installation de l'application utilisateur sur JBoss », page 59
. Les rubriques sont les suivantes :
Section 8.1, « Installation de l'application utilisateur à partir de la console », page 133
Section 8.2, « Installation de l'application utilisateur avec une seule commande », page 134
Section 8.3, « Exécution de l'utilitaire JBossPostgreSQL en mode console ou silencieux », page 145
Section 8.4, « Exécution du programme d'installation RIS en mode console ou silencieux », page 146
8.1 Installation de l'application utilisateur à partir de la console
Cette section décrit l'installation de l'application utilisateur Identity Manager à l'aide de la console
(ligne de commande) du programme d'installation.
Remarque : le programme d'installation requiert au moins la version 1.5 du kit de développement de la plate-forme Java 2, Standard Edition. Si vous utilisez une version antérieure, la procédure d'installation ne configurera pas correctement le fichier WAR de l'application utilisateur.
L'installation semblera réussir, mais vous rencontrerez des erreurs lorsque vous tenterez de démarrer l'application utilisateur.
1 Une fois que vous êtes en possession des fichiers d'installation décrits dans le
Tableau 2-2 page 18 , connectez-vous et ouvrez une session de terminal.
2 Lancez le programme d'installation correspondant à votre plate-forme avec Java en utilisant la commande suivante : java -jar IdmUserApp.jar -i console
3 Suivez les mêmes étapes que pour l'interface utilisateur graphique au
Chapitre 5, « Installation de l'application utilisateur sur JBoss », page 59
: lisez les invites sur la ligne de commande et saisissez les réponses sur la ligne de commande, grâce aux étapes d'importation ou de création de la clé maîtresse.
4 Pour définir les paramètres de configuration de l'application utilisateur, lancez manuellement l'utilitaire configupdate. Sur une ligne de commande, saisissez configupdate.sh
(Linux ou
Solaris) ou configupdate.bat
(Windows), puis renseignez les valeurs telles que décrites dans la
Section A.1, « Configuration de l'application utilisateur : paramètres de base », page 157
.
5 Si vous utilisez un WAR de gestion des mots de passe externe, copiez-le manuellement dans le répertoire d'installation et dans le répertoire de déploiement du serveur distant JBoss qui exécute la fonction WAR de mot de passe externe.
6 Passez au Chapitre 9, « Tâches post-installation », page 149 .
8
Installation depuis la console ou à l'aide d'une commande unique
133
8.2 Installation de l'application utilisateur avec une seule commande
Cette section décrit l'installation en mode silencieux. Une installation en mode silencieux ne requiert aucune interaction lors de l'installation et peut faire gagner du temps, en particulier lors d'une installation sur plusieurs systèmes. L'installation en mode silencieux est prise en charge sous Linux et Solaris.
1 Obtenez les fichiers d'installation appropriés indiqués dans le Tableau 2-2 page 18 .
2 Loguez-vous et ouvrez une session de terminal.
3 Recherchez le fichier de propriétés Identity Manager, silent.properties
, qui se trouve avec le s fichiers d'installation. Si vous travaillez à partir d'un CD, faites une copie locale de ce fichier.
4 Modifiez silent.properties
pour fournir vos paramètres d'installation et les paramètres de configuration de l'application utilisateur.
Reportez-vous au fichier silent.properties
pour afficher un exemple de chaque paramètre d'installation. Les paramètres d'installation correspondent aux paramètres d'installation que vous avez configurés dans les procédures d'installation de l'interface utilisateur graphique ou de la console.
Reportez-vous au Tableau 8-1 pour obtenir une description de chaque paramètre de
configuration de l'application utilisateur. Les paramètres de configuration de l'application utilisateur sont les mêmes que ceux que vous pouvez configurer dans les procédures d'installation de l'interface utilisateur graphique ou de la console ou avec l'utilitaire configupdate.
5 Lancez l'installation silencieuse de la façon suivante : java -jar IdmUserApp.jar -i silent -f /chemin_de_votre_répertoire/ silent.properties
Saisissez le chemin d'accès complet à silent.properties
si ce fichier est dans un répertoire différent du script du programme d'installation. Le script décondense les fichiers nécessaires vers un répertoire temporaire et lance l'installation en mode silencieux.
Tableau 8-1
Paramètres de configuration de l'application utilisateur pour l'installation en mode silencieux
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_CONFIG_LDAPHOST=
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
Paramètres de connexion eDirectory : hôte LDAP.
Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP.
134 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_CONFIG_LDAPADMIN=
NOVL_CONFIG_LDAPADMINPASS=
NOVL_CONFIG_ROOTCONTAINERNAME=
NOVL_CONFIG_PROVISIONROOT=
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
Paramètres de login eDirectory : administrateur
LDAP.
Indiquez les références de l'administrateur LDAP.
Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffre-fort d'identité.
Cette valeur est codée, en fonction de la clé maîtresse.
Paramètres de login eDirectory : mot de passe administrateur LDAP.
Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.
DN eDirectory : DN du conteneur racine.
Indiquez le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.
DN eDirectory : DN du pilote de provisioning.
Indiquez le nom distinctif du pilote de l'application utilisateur. Par exemple, si votre pilote est
UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, vous saisissez une valeur de : cn=UserApplicationDriver,cn=myDriverS et,o=myCompany
Installation depuis la console ou à l'aide d'une commande unique 135
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_CONFIG_LOCKSMITH=
NOVL_CONFIG_PROVLOCKSMITH=
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
DN eDirectory : admin. de l'application utilisateur.
Un utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Novell Designer pour
Identity Manager ou l'application utilisateur (onglet
Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Reportez-vous au Guide
d'administration de l'application utilisateur pour en savoir plus.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
DN eDirectory : administrateur de l'application de provisioning.
Ce rôle est disponible dans la version de provisioning d'Identity Manager . L'administrateur de l'application de provisioning utilise l'onglet
Provisioning (sous l'onglet Administration) pour gérer les fonctions de workflow du provisioning.
Ces fonctions sont accessibles aux utilisateurs en passant par l'onglet Requêtes et approbations de l'application utilisateur. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné administrateur de l'application Provisioning.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
136 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Nom du paramètre de l'application utilisateur dans silent.properties
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
provisioning basé sur les rôles de Novell d'Identity
Manager. Il permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que de révoquer les assignations de rôles des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Rôles >
Assignations de rôles de l'application utilisateur.
NOVL_CONFIG_COMPLIANCECONTAINERDN L'administrateur du module de conformité est un rôle système qui permet aux membres d'exécuter toutes les fonctions de l'onglet Conformité. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné comme administrateur du module de conformité.
NOVL_CONFIG_USERCONTAINERDN= Identité utilisateur du méta-annuaire : DN du conteneur utilisateur.
Indiquez le nom distinctif (DN) LDAP ou le nom
LDAP complet du conteneur utilisateur. Cela définit l'étendue de recherche d'utilisateurs et de groupes.
Les utilisateurs de ce conteneur (et en-dessous) sont autorisés à se loguer à l'application utilisateur.
NOVL_CONFIG_GROUPCONTAINERDN=
NOVL_CONFIG_KEYSTOREPATH=
Important : vérifiez que l'administrateur de l'application utilisateur indiqué lors de la configuration des pilotes de l'application utilisateur existe dans ce conteneur si vous souhaitez que cet utilisateur soit en mesure d'exécuter les workflows.
Groupes d'utilisateurs du méta-annuaire : DN du conteneur de groupes.
Indiquez le nom distinctif (DN) LDAP ou le nom
LDAP complet du conteneur de groupes. Utilisé par les définitions d'entités au sein de la couche d'abstraction d'annuaire.
Certificats eDirectory : chemin d'accès au keystore.
Requis.
Indiquez le chemin d'accès complet au fichier keystore ( cacerts ) du JRE utilisé par le serveur d'applications. L'installation de l'application utilisateur modifie le fichier keystore. Sous Linux ou
Solaris, l'utilisateur doit avoir une autorisation pour
écrire sur ce fichier.
Installation depuis la console ou à l'aide d'une commande unique 137
Nom du paramètre de l'application utilisateur dans silent.properties
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
NOVL_CONFIG_KEYSTOREPASSWORD= Certificats eDirectory : mot de passe du keystore.
Indiquez le mot de passe cacerts . L'unité par défaut est changeit
.
NOVL_CONFIG_SECUREADMINCONNECTION= Paramètres de connexion eDirectory : connexion d'admin. sécurisée.
Requis. Indiquez Vrai pour que toutes les communications utilisant le compte administrateur soient effectuées à l'aide d'un socket sécurisé
(cette option peut nuire aux performances). Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
Indiquez Faux si le compte administrateur n'utilise pas de communication à socket sécurisé.
NOVL_CONFIG_SECUREUSERCONNECTION= Paramètres de connexion eDirectory : connexion utilisateur sécurisée.
NOVL_CONFIG_SESSIONTIMEOUT=
NOVL_CONFIG_LDAPPLAINPORT=
NOVL_CONFIG_LDAPSECUREPORT=
NOVL_CONFIG_ANONYMOUS=
Requis. Indiquez Vrai pour que toutes les communications sur le compte de l'utilisateur logué soient effectuées via un socket sécurisé (cette option peut nuire fortement aux performances).
Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
Indiquez Faux si le compte utilisateur n'utilise pas de communication par socket sécurisé.
Divers : timeout de session.
Requis. Indiquez un intervalle de timeout de session d'application.
Paramètres de connexion eDirectory : port non sécurisé LDAP.
Requis. Indiquez le port non sécurisé de votre serveur LDAP, par exemple 389.
Paramètres de connexion eDirectory : port sécurisé
LDAP.
Requis. Indiquez le port sécurisé de votre serveur
LDAP, par exemple 636.
Paramètres de connexion eDirectory : utiliser un compte anonyme public.
Requis. Indiquez Vrai pour permettre aux utilisateurs non logués d'accéder au compte anonyme public LDAP.
Indiquez Faux si vous préférez activer
NOVL_CONFIG_GUEST.
138 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Nom du paramètre de l'application utilisateur dans silent.properties
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
NOVL_CONFIG_GUEST=
NOVL_CONFIG_GUESTPASS=
NOVL_CONFIG_EMAILNOTIFYHOST=
Paramètres de login eDirectory : invité LDAP.
Permet aux utilisateurs non logués d'accéder à des portlets autorisés. Vous devez également désélectionner Utiliser un compte anonyme public.
Le compte utilisateur Guest doit déjà exister dans le coffre-fort d'identité. Pour désactiver l'utilisateur
Guest, sélectionnez Utiliser un compte anonyme
public.
Paramètres de connexion eDirectory : mot de passe Guest LDAP.
Courrier électronique : jeton HÔTE du modèle de notification.
Indiquez le serveur d'applications hébergeant l'application utilisateur Identity Manager. Par exemple : myapplication serverServer
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. L'URL construite est la liaison aux tâches de requête de provisioning et aux notifications d'approbation.
NOVL_CONFIG_EMAILNOTIFYPORT= Courrier électronique : jeton du port du modèle de notification.
Utilisé pour remplacer le jeton $PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
NOVL_CONFIG_EMAILNOTIFYSECUREPORT= Courrier électronique : jeton du port sécurisé du modèle de notification.
NOVL_CONFIG_NOTFSMTPEMAILFROM=
NOVL_CONFIG_NOTFSMTPEMAILHOST=
Utilisé pour remplacer le jeton $SECURE_PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Courrier électronique : notification SMTP - expéditeur du courrier électronique.
Requis. Indiquez l'utilisateur expéditeur du courrier
électronique dans le message de provisioning.
Courrier électronique : notification SMTP - destinataire du courrier électronique.
Requis. Indiquez l'utilisateur destinataire du courrier électronique dans le message de provisioning. Il peut s'agir d'une adresse IP ou d'un nom DNS.
Installation depuis la console ou à l'aide d'une commande unique 139
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_CONFIG_USEEXTPWDWAR=
NOVL_CONFIG_EXTPWDWARPATH=
NOVL_CONFIG_EXTPWDWARRTNPATH=
NOVL_CONFIG_FORGOTWEBSERVICEURL=
NOVL_CONFIG_USEROBJECTATTRIBUTE=
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
Gestion des mots de passe : utiliser un WAR de mots de passe externe.
Indiquez Vrai si vous utilisez un WAR de gestion de mots de passe externe. Si vous indiquez Vrai, vous devez également fournir des valeurs pour
NOVL_CONFIG_EXTPWDWARPTH et
NOVL_CONFIG_EXTPWDWARRTNPATH.
Indiquez Faux pour utiliser la fonction de gestion des mots de passe interne par défaut,
/jsps/ pwdmgt/ForgotPassword.jsp
(sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
Gestion des mots de passe : liaison Mot de passe oublié.
Indiquez l'URL de la page de la fonction Mot de passe oublié, ForgotPassword.jsp
, dans un fichier WAR de gestion de mot de passe externe ou interne. Vous pouvez également accepter le fichier
WAR de gestion de mot de passe interne par défaut. Pour plus de détails, reportez-vous à la
section « Configuration de la gestion externe des mots de passe oubliés » page 152 .
Gestion des mots de passe : liaison de retour Mot de passe oublié.
Définissez le paramètre Lien Retour mot de passe oublié afin que l'utilisateur puisse cliquer dessus après une opération de type Mot de passe oublié.
Gestion des mots de passe : URL du service Web de mot de passe oublié.
Il s'agit de l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. Le format de cette URL est le suivant : https://<idmhost>:<sslport>/<idm>/ pwdmgt/service
Identité utilisateur du méta-annuaire : classe d'objets utilisateur.
Requis. La classe d'objets utilisateur LDAP
(généralement inetOrgPerson).
140 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Nom du paramètre de l'application utilisateur dans silent.properties
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
NOVL_CONFIG_LOGINATTRIBUTE=
NOVL_CONFIG_NAMINGATTRIBUTE=
Identité utilisateur du méta-annuaire : attribut de login.
Requis. L'attribut LDAP (par exemple, CN) qui représente le nom de login de l'utilisateur.
Identité utilisateur du méta-annuaire : attribut d'assignation de nom.
Requis. L'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes.
Il est différent de l'attribut de login, qui n'est utilisé que lors du login, et non pas lors des recherches d'utilisateurs/de groupes.
NOVL_CONFIG_USERMEMBERSHIPATTRIBUTE
=
Identité utilisateur du méta-annuaire : attribut d'adhésion utilisateur. Facultatif.
NOVL_CONFIG_GROUPOBJECTATTRIBUTE=
NOVL_CONFIG_GROUPMEMBERSHIPATTRIBU
TE=
Requis. L'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espace pour ce nom.
Groupes d'utilisateurs du méta-annuaire : classe d'objets Groupe.
Requis. La classe d'objets Groupe LDAP
(généralement groupofNames).
Groupes d'utilisateurs du méta-annuaire : attribut d'adhésion à un groupe.
Requis. Indiquez l'attribut représentant l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espace pour ce nom.
NOVL_CONFIG_USEDYNAMICGROUPS= Groupes d'utilisateurs du méta-annuaire : utiliser des groupes dynamiques.
Requis. Indiquez Vrai si vous souhaitez utiliser les groupes dynamiques. Indiquez Faux dans le cas contraire.
NOVL_CONFIG_DYNAMICGROUPOBJECTCLAS
S=
Groupes d'utilisateurs du méta-annuaire : classe d'objets de groupe dynamique.
NOVL_CONFIG_TRUSTEDSTOREPATH=
Requis. Indiquez la classe d'objets de groupe dynamique LDAP (généralement dynamicGroup).
Keystore approuvé : chemin de keystore approuvé.
Le keystore approuvé contient les certificats de tous les signataires approuvés. Si ce chemin est vide, l'application utilisateur obtient le chemin à partir de la propriété Système javax.net.ssl.trustStore
. Si le chemin n'y est pas, il est supposé être jre/lib/security/ cacerts .
Installation depuis la console ou à l'aide d'une commande unique 141
Nom du paramètre de l'application utilisateur dans silent.properties
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
NOVL_CONFIG_TRUSTEDSTOREPASSWORD= Keystore approuvé : mot de passe du keystore approuvé.
NOVL_CONFIG_ICSLOGOUTENABLED= Paramètres Access Manager et IChain : logout simultané activé.
Indiquez Vrai pour activer le logout simultané de l'application utilisateur et de Novell Access
Manager ou d'iChain. L'application utilisateur vérifie la présence du cookie Novell Access Manager ou iChain durant le logout ; s'il est présent, l'utilisateur est renvoyé à la page de logout simultané.
Indiquez Faux pour désactiver le logout simultané.
NOVL_CONFIG_ICSLOGOUTPAGE=
NOVL_CONFIG_EMAILNOTIFYPROTOCOL=
Paramètres Access Manager et IChain : page de logout simultané.
Indiquez l'URL pointant vers la page de logout de
Novell Access Manager ou iChain (il doit s'agir d'un nom d'hôte attendu par Novell Access Manager ou iChain). Si la consignation ICS est activée et qu'un utilisateur se délogue de l'application utilisateur, il est réacheminé vers cette page.
Courrier électronique : jeton PROTOCOLE du modèle de notification.
NOVL_CONFIG_EMAILNOTIFYSECUREPROTO
COL=
NOVL_CONFIG_OCSPURI=
NOVL_CONFIG_AUTHCONFIGPATH=
Se rapporte à un protocole non sécurisé, HTTP.
Utilisé pour remplacer le jeton $PROTOCOL$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Courrier électronique : jeton du port sécurisé du modèle de notification.
Divers : OCSP URI.
Si l'installation client utilise le protocole OCSP
(protocole de propriété d'état de certificat en ligne), fournissez un identificateur de ressource uniforme
(URI). Par exemple, le format est http://hstport/ ocspLocal. L'URI OCSP met à jour le statut des certificats approuvés en ligne.
Divers : chemin de configuration d'autorisation.
Le nom complet du fichier de configuration de l'autorisation.
142 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_CONFIG_CREATEDIRECTORYINDEX
NOVL_CONFIG_REMOVEDIRECTORYINDEX
NOVL_CONFIG_SERVERDN
NOVL_CREATE_DB
NOVL_DATABASE_NEW
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
Divers : créer un index eDirectory.
Indiquez Vrai si vous souhaitez que le programme d'installation silencieux crée des index sur les attributs manager, ismanager et srvprvUUID sur le serveur eDirectory indiqué dans
NOVL_CONFIG_SERVERDN. Si ce paramètre est défini sur Vrai,
NOVL_CONFIG_REMOVEEDIRECTORYINDEX ne peut pas être Vrai.
Pour que les performances soient optimales, la création de l'index doit être terminée. Les index doivent être en mode En ligne pour que vous puissiez rendre l'Application utilisateur disponible.
Divers : supprimer un index eDirectory.
Indiquez Vrai si vous souhaitez que le programme d'installation silencieux supprime des index sur le serveur indiqué dans
NOVL_CONFIG_SERVERDN. Si ce paramètre est défini sur Vrai,
NOVL_CONFIG_CREATEEDIRECTORYINDEX ne peut pas être Vrai.
Divers : DN de serveur.
Indiquez le serveur eDirectory sur lequel les index doivent être créés ou duquel ils doivent être supprimés.
Indique la méthode de création de la base de données. Vous avez le choix entre :
maintenant : crée la base de données immédiatement
fichier : écrit la sortie SQL dans un fichier
démarrage : crée la base de données au démarrage de l'application
Indique si la base de données est nouvelle ou existe déjà. Choisissez Vrai dans le cas d'une nouvelle base de données. Choisissez Faux dans le cas d'une base de données existante.
Installation depuis la console ou à l'aide d'une commande unique 143
Nom du paramètre de l'application utilisateur dans silent.properties
NOVL_RBPM_SEC_ADMINDN
NOVL_RBPM_RESOURCE_ADMINDN
NOVL_RBPM_CONFIG_ADMINDN
RUN_LDAPCONFIG=
Nom du paramètre équivalent dans le fichier des paramètres de configuration de l'application utilisateur
Administrateur de la sécurité.
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité.
L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Le domaine Sécurité permet
également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines du module de provisioning basé sur les rôles. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.
Administrateur de ressources.
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource.
L'administrateur de ressources peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Ressource.
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration.
L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Configuration. Il contrôle l'accès aux éléments de navigation dans le module de provisioning basé sur les rôles. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.
Indique à quel moment vous souhaitez configurer les paramètres LDAP, à savoir maintenant ou ultérieurement. Valeurs :
Maintenant : exécute la configuration LDAP immédiatement en remplissant le fichier WAR avec les paramètres de configuration LDAP fournis.
Ultérieurement : installe simplement les fichiers de l'application utilisateur sans configurer les paramètres LDAP.
144 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
8.3 Exécution de l'utilitaire JBossPostgreSQL en mode console ou silencieux
Vous pouvez exécuter l'utilitaire JBossPostgreSQL en mode console ou silencieux. Avant d'exécuter l'utilitaire JBossPostgreSQL en mode silencieux, vous devez éditer son fichier de propriétés. Une fois le fichier de propriétés édité, lancez-le à l'aide de la commande suivante :
JBossPostgreSQL -i silent -f <path to the properties file>
Par exemple :
JBossPostgreSQL -i silent -f /home/jdoe/idm-install-files/silent.properties
Voici les propriétés d'une installation JBossPostgreSQL en mode silencieux :
Tableau 8-2
Propriétés de configuration JBossPostgreSQL
Propriété
USER_INSTALL_DIR
NOVL_DB_NAME
NOVL_DB_PASSWORD
NOVL_DB_PASSWORD_CONFIRM
CHOSEN_INSTALL_FEATURE_LIST
Description
Chemin d'installation de JBoss et du JRE.
Requis en cas d'installation de JBoss ; dans le cas contraire, ne pas renseigner.
Nom de la base de données à utiliser. Le nom de la base de données par défaut est idmuserappdb.
Requis en cas d'installation de PostgreSQL. Si vous n'installez pas PostgreSQL, cette valeur est ignorée.
Mot de passe root de la base de données.
Requis en cas d'installation de PostgreSQL. Si vous n'installez pas PostgreSQL, cette valeur est ignorée.
Confirme le mot de passe root de la base de données.
Requis en cas d'installation de PostgreSQL. Si vous n'installez pas PostgreSQL, cette valeur est ignorée.
Ensembles d'installation à installer
Requis. Vous pouvez choisir d'installer JBoss et
PostgreSQL ou uniquement l'un de ces deux produits.
Exemples :
CHOSEN_INSTALL_FEATURE_LIST=JBoss,
PostgreSQL
CHOSEN_INSTALL_FEATURE_LIST=JBoss,""
Installation depuis la console ou à l'aide d'une commande unique 145
Propriété
NOVL_POSTGRESQL_INSTALL_DIR
START_DB
Description
Nom du répertoire d'installation de PostgreSQL.
Requis en cas d'installation de PostgreSQL. Si
CHOSEN_INSTALL_FEATURE_LIST n'inclut pas
PostgreSQL, cette propriété est ignorée.
Indique si le programme d'installation lance la base de données au moment de l'installation. Indiquez la valeur Démarrer si vous souhaitez que le programme d'installation lance la base de données ; dans le cas contraire, ne renseignez pas cette propriété.
Facultatif.
8.4 Exécution du programme d'installation RIS en mode console ou silencieux
Cette version inclut un programme d'installation distinct que vous pouvez utiliser pour configurer la fonction RIS (Rest Information Services). Cette fonction permet de configurer le fichier RIS.war, qui prend en charge les ressources REST. Les ressources REST exposées via RIS passent des appels
SOAP pour collecter des informations à partir de différents systèmes RBPM.
Vous pouvez exécuter le programme d'installation RIS en mode console ou silencieux. Avant d'exécuter le programme d'installation RIS, vous devez éditer son fichier de propriétés. Une fois le fichier de propriétés édité, lancez-le à l'aide de la commande suivante :
RisUpdateWar -i silent -f <path to the properties file>
Par exemple :
RisUpdateWar -i silent -f /home/jdoe/idm-install-files/silent.properties
Le programme d'installation requiert les informations suivantes :
Emplacement du fichier RIS.war
Port d'exécution de l'application utilisateur
Contexte défini pour l'application utilisateur
Nom de l'hôte sur lequel le fichier RIS.war sera déployé
Voici les propriétés d'une installation RIS :
Tableau 8-3
Propriétés de configuration RIS
Propriété
NOVL_INSTALL_HOST
Description
Nom de l'hôte sur lequel le fichier RIS.war sera déployé. Ce nom ne peut pas être localhost.
Requis.
146 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Propriété
NOVL_USERAPP_PORT
NOVL_CONTEXT_NAME
RIS_INSTALL_DIRECTORY
RIS_WAR_FILE
RIS_INSTALL_LOG
Description
Port sur lequel s'exécute l'application utilisateur
RBPM.
Requis.
Nom du contexte de l'application utilisateur
Requis.
Répertoire d'installation du fichier RIS.war
Requis.
Nom du fichier RIS.war.
Ne modifiez pas cette valeur.
Nom du fichier journal du programme d'installation.
Vous pouvez choisir un nom pour le fichier. Le programme d'installation écrit le fichier à l'emplacement spécifié dans la propriété
RIS_INSTALL_DIR.
Si vous ne renseignez pas cette propriété, le fichier journal par défaut est RIS-Install.log.
Facultatif.
Installation depuis la console ou à l'aide d'une commande unique 147
148 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tâches post-installation
La présente section présente les tâches de post-installation. Les rubriques sont les suivantes :
Section 9.1, « Enregistrement de la clé maîtresse », page 149
Section 9.2, « Configuration de l'application utilisateur », page 149
Section 9.3, « Configuration d'eDirectory », page 150
Section 9.5, « Configuration de la gestion externe des mots de passe oubliés », page 152
Section 9.6, « Mise à jour des paramètres de mot de passe oublié », page 153
Section 9.7, « Considérations relatives à la sécurité », page 154
Section 9.8, « Augmentation de la taille du tas Java d'IDM », page 154
Section 9.9, « Dépannage », page 154
9.1 Enregistrement de la clé maîtresse
Immédiatement après l'installation, copiez la clé maîtresse codée et enregistrez-la en lieu sûr.
1 Ouvrez le fichier master-key.txt
dans le répertoire d'installation.
2 Copiez la clé maîtresse codée dans un emplacement sûr accessible en cas de défaillance système.
Avertissement : conservez toujours une copie de la clé maîtresse codée. Vous avez besoin de la clé maîtresse codée pour accéder à nouveau aux données codées en cas de perte de la clé maîtresse, par exemple en raison d'une défaillance de l'équipement.
Si cette installation est sur le premier membre d'une grappe, utilisez cette clé maîtresse codée lors de l'installation de l'application utilisateur sur d'autres membres de la grappe.
9.2 Configuration de l'application utilisateur
Pour obtenir des informations sur la post-installation afin de configurer l'application utilisateur
Identity Manager et le sous-système des rôles, reportez-vous aux documents suivants :
La section « Configuring the User Application Environment » (Configuration de l'environnement de l'application utilisateur) du manuel Novell IDM Roles Based Provisioning
Module Administration Guide (Guide d'administration du module de provisioning basé sur les rôles Novell IDM).
Le manuel Novell IDM Roles Based Provisioning Module Design Guide (Guide de conception du module de provisioning basé sur les rôles Novell IDM).
9
Tâches post-installation
149
9.2.1 Configuration de la consignation
Pour configurer la consignation, suivez les instructions de la section « Setting Up Logging
(Configuration de la consignation) » dans le manuel User Application: Administration Guide (http:/
/www.novell.com/documentation/idm40/index.html) (Guide d'administration de l'application utilisateur).
9.3 Configuration d'eDirectory
Section 9.3.1, « Création d'index dans eDirectory », page 150
Section 9.3.2, « Installation et configuration de la méthode d'authentification SAML », page 150
9.3.1 Création d'index dans eDirectory
Pour améliorer les performances de l'application utilisateur, l'administrateur d'eDirectory doit créer des index pour les attributs manager, ismanager et srvprvUUID. Sans index sur ces attributs, les performances de l'application utilisateur peuvent être réduites, en particulier dans les environnements en grappes.
Ces index peuvent être créés automatiquement pendant l'installation si vous sélectionnez Créer des
index eDirectory sous l'onglet Avancé du volet Configuration de l'application utilisateur (décrit dans le Tableau A-2 page 160 ). Reportez-vous au Guide d'administration de Novell eDirectory (http:// www.novell.com/documentation) pour obtenir des instructions sur l'utilisation du gestionnaire d'index en vue de créer des index.
9.3.2 Installation et configuration de la méthode d'authentification SAML
Cette configuration est nécessaire uniquement si vous souhaitez utiliser la méthode d'authentification SAML et que vous n'utilisez pas Access Manager. Si vous utilisez Access
Manager, votre arborescence eDirectory comprend déjà la méthode. La procédure comprend :
L'installation de la méthode SAML dans l'arborescence eDirectory.
La modification des attributs eDirectory à l'aide d'iManager.
L'installation de la méthode SAML dans l'arborescence eDirectory.
1 Localisez le fichier nmassaml.zip
du fichier
.iso
puis dézippez-le.
2 Installez la méthode SAML dans votre arborescence eDirectory.
2a Étendez le schéma stocké dans le fichier authsaml.sch
L'exemple suivant montre comment procéder sous Linux : ndssch -h <edir_ip> <edir_admin> authsaml.sch
2b Installez la méthode SAML.
L'exemple suivant montre comment procéder sous Linux : nmasinst -addmethod <edir_admin> <tree> ./config.txt
150 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Modification des attributs eDirectory
1 Ouvrez iManager et allez à Rôles et tâches > Administration de répertoire > Créer un objet.
2 Sélectionnez Afficher toutes les classes d'objets.
3 Créez un objet de la classe authsamlAffiliate
.
4 Sélectionnez authsamlAffiliate
, puis cliquez sur OK. (Vous pouvez attribuer tout nom valide à cet objet.)
5 Pour préciser le contexte, sélectionnez l'objet du conteneur SAML Assertion.Authorized Login
Methods.Security dans l'arborescence, puis cliquez sur OK.
6 Vous devez ajouter des attributs à l'objet de la classe authsamlAffiliate
.
6a Allez dans l'onglet iManager Afficher les objets > Parcourir et cherchez votre nouvel objet affilié dans le conteneur SAML Assertion.Authorized Login Methods.Security.
6b Sélectionnez le nouvel objet affilié, puis sélectionnez Modifier l'objet.
6c Ajoutez l'attribut authsamlProviderID au nouvel objet affilié. Cet attribut permet d'associer une assertion à son affilié. Le contenu de cet attribut doit correspondre exactement à l'attribut Issuer (émetteur) envoyé par l'assertion SAML.
6d Cliquez sur OK.
6e Ajoutez les attributs authsamlValidBefore et authsamlValidAfter à l'objet affilié. Ces attributs définissent la durée (en secondes) autour d'IssueInstant (instant d'émission) dans une assertion considérée comme valide. Une valeur par défaut classique est 180 secondes.
6f Cliquez sur OK.
7 Sélectionnez le conteneur Sécurité, puis sélectionnez Créer un objet pour créer un Conteneur
de racine approuvée dans votre conteneur Sécurité.
8 Créez des objets de racine approuvée dans le conteneur racine approuvée.
8a Revenez à Rôles et tâches > Gestion d'annuaire, puis sélectionnez Créer un objet.
8b Sélectionnez de nouveau Afficher toutes les classes d'objets.
8c Création d'un objet de racine approuvée pour le certificat que votre affilié utilisera pour signer des assertions. Pour ce faire, vous devez avoir une copie codée der du certificat.
8d Créez de nouveaux objets de racine approuvée pour chaque certificat de la chaîne des certificats de signature jusqu'au certificat CA racine.
8e Définissez le contexte sur le conteneur de racine approuvée créé ci-dessus, puis cliquez sur OK.
9 Retournez à la visionneuse d'objets.
10 Ajoutez un attribut authsamlTrustedCertDN à votre objet affilié, puis cliquez sur OK.
Cet attribut doit pointer vers « l'objet de racine approuvée » du certificat de signature que vous avez créé à l'étape précédente. (Toutes les assertions de l'affilié doivent être signées par des certificats pointés par cet attribut, sinon elles seront rejetées.)
11 Ajoutez un attribut authsamlCertContainerDN à votre objet affilié, puis cliquez sur OK.
Cet attribut doit pointer vers le « conteneur de racine approuvée » que vous avez créé auparavant. (Cet attribut permet de vérifier la chaîne du certificat de signature.)
Tâches post-installation 151
9.4 Reconfiguration du fichier WAR de l'application utilisateur après l'installation
Pour mettre votre fichier WAR à jour, vous devez exécuter l'utilitaire de mise à jour de la configuration comme suit :
1 Exécutez l'utilitaire ConfigUpdate dans le répertoire d'installation de l'application utilisateur via configupdate.sh
ou configupdate.bat
. Cela permet de mettre à jour le fichier WAR dans le répertoire d'installation.
Pour plus d'information sur les paramètres de l'utilitaire ConfigUpdate, reportez-vous à la
Section A.1, « Configuration de l'application utilisateur : paramètres de base », page 157 et au
Tableau 8-1 page 134 .
2 Déployez le nouveau fichier WAR sur votre serveur d'applications.
Dans le cas de WebLogic et WebSphere, redéployez le fichier WAR sur le serveur d'applications. Dans le cas d'un serveur JBoss unique, les modifications sont appliquées au fichier WAR déployé. Si vous l'exécutez dans une grappe JBoss, le fichier WAR doit être mis à jour sur chaque serveur JBoss de la grappe.
9.5 Configuration de la gestion externe des mots de passe oubliés
Utilisez le paramètre de configuration Liaison Mot de passe oublié pour indiquer l'emplacement d'un
WAR contenant la fonction Mot de passe oublié. Vous pouvez indiquer un WAR qui est externe ou interne à l'application utilisateur.
Section 9.5.2, « Spécification d'un WAR de mot de passe interne », page 153
Section 9.5.4, « Configuration de la communication SSL entre serveurs JBoss », page 153
9.5.1 Spécification d'un fichier WAR externe de gestion des mots de passe oubliés
1 Utilisez soit la procédure d'installation, soit l'utilitaire configupdate.
2 Dans les paramètres de configuration de l'application utilisateur, cochez la case du paramètre de configuration Utiliser le WAR de mot de passe externe.
3 Pour le paramètre de configuration Liaison Mot de passe oublié, indiquez l'emplacement du
WAR de mots de passe externe.
Indiquez l'hôte et le port, par exemple http://localhost:8180/ExternalPwd/jsps/ pwdmgt/ForgotPassword.jsp.
Un fichier WAR de mots de passe externe peut être en dehors du pare-feu qui protège l'application utilisateur.
4 Pour l'option Lien Retour mot de passe oublié, indiquez le lien qui s'affiche lorsque l'utilisateur a terminé la procédure de mot de passe oublié. Lorsque l'utilisateur clique sur ce lien, il est redirigé vers le lien spécifié.
152 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
5 Pour l'option URL du service Web de mot de passe oublié, indiquez l'URL du service Web que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur. Le format de l'URL doit être le suivant : https://<hôte_idm>:<port_ssl>/<idm>/pwdmgt/ service
.
La liaison de retour doit utiliser SSL pour assurer une communication sécurisée des services
.
6 Copiez manuellement le fichier
ExternalPwd.war
dans le répertoire de déploiement du serveur distant JBoss qui exécute la fonction WAR de mot de passe externe.
9.5.2 Spécification d'un WAR de mot de passe interne
1 Dans les paramètres de configuration de l'application utilisateur, ne cochez pas la case Utiliser
le WAR de mot de passe externe.
2 Acceptez l'emplacement par défaut de la liaison Mot de passe oublié ou fournissez une URL pour un autre WAR de mots de passe.
3 Acceptez la valeur par défaut de la liaison de retour Mot de passe oublié.
9.5.3 Test de la configuration du fichier WAR externe pour les mots de passe oubliés
Si vous disposez d'un fichier WAR de mots de passe externe et souhaitez y accéder pour tester la fonction Mot de passe oublié, vous le trouverez à l'emplacement suivant :
Directement, dans un navigateur. Accédez à la page Mot de passe oublié dans le fichier WAR de mots de passe externe, par exemple http://localhost:8180/ExternalPwd/jsps/ pwdmgt/ForgotPassword.jsp
.
Dans la page de login de l'application utilisateur, cliquez sur le lien Mot de passe oublié.
9.5.4 Configuration de la communication SSL entre serveurs
JBoss
Si vous sélectionnez Utiliser le WAR de mot de passe externe dans le fichier de configuration de l'application utilisateur lors de l'installation, vous devez configurer la communication SSL entre les serveurs JBoss sur lesquels vous déployez le fichier WAR de l'application utilisateur et le fichier
WAR externe de gestion des mots de passe oubliés. Reportez-vous à votre documentation JBoss pour obtenir des directives.
9.6 Mise à jour des paramètres de mot de passe oublié
Vous pouvez modifier les valeurs des paramètres Lien Mot de passe oublié, Lien Retour mot de
passe oublié et URL du service Web de mot de passe oublié après l'installation. Utilisez soit l'utilitaire configupdate, soit l'application utilisateur.
Tâches post-installation 153
Utilisation de l'utilitaire configupdate. Sur une ligne de commande, naviguez jusqu'au répertoire d'installation et saisissez configupdate.sh
(Linux ou Solaris) ou configupdate.bat
(Windows).
Si vous créez ou modifiez un WAR de gestion de mots de passe externe, vous devez alors renommer manuellement le WAR avant de le copier sur le serveur distant JBoss.
Utilisation de l'application utilisateur. Loguez-vous en tant qu'administrateur de l'application utilisateur et allez dans Administration > Configuration application > Configuration module mot de
passe > Login. Modifiez les champs suivants :
Lien Mot de passe oublié (par exemple : http://localhost:8180/ExternalPwd/jsps/ pwdmgt/ForgotPassword.jsp
)
Lien Retour mot de passe oublié (par exemple : http://localhost/IDMProv
)
URL du service Web de mot de passe oublié (par exemple : https://
<hôte_idm>:<port_ssl>/<idm>/pwdmgt/service
)
9.7 Considérations relatives à la sécurité
Au cours de l'installation, le programme d'installation écrit des fichiers journaux dans le répertoire d'installation. Ces fichiers contiennent des informations relatives à votre configuration. Une fois votre environnement configuré, il est conseillé de supprimer ces fichiers journaux ou de les stocker dans un emplacement sécurisé.
Au cours de l'installation, vous avez la possibilité d'écrire le schéma de base de données dans un fichier. Étant donné que ce fichier contient des informations descriptives sur votre base de données, il est conseillé de le déplacer dans un emplacement sécurisé une fois le processus d'installation terminé.
9.8 Augmentation de la taille du tas Java d'IDM
Dans un environnement d'entreprise, le pilote du service de rôles et de ressources requiert une taille maximale de tas Java supérieure à la quantité par défaut définie dans IDM. Une taille maximale de segment Java de 256 Mo est recommandée afin d'éviter les situations OutOfMemoryError.
La taille du segment Java peut être spécifiée dans iManager, sous la section Divers des propriétés de l'ensemble de pilotes, ou en configurant les variables d'environnement
DHOST_JVM_INITIAL_HEAP et DHOST_JVM_MAX_HEAP. Pour plus d'informations sur la configuration des options de la machine virtuelle Java, reportez-vous au Identity Manager Common
Driver Administration Guide (http://www.novell.com/documentation/idm40/idm_common_driver/ index.html?page=/documentation/idm40/idm_common_driver/data/front.html) (Guide d'administration des pilotes communs d'Identity Manager).
9.9 Dépannage
Votre représentant Novell vous aidera à régler tout problème d'installation et de configuration. En attendant, voici quelques points à vérifier en cas de problème.
154 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Point Actions suggérées
Vous souhaitez modifier les paramètres de configuration de l'application utilisateur définis lors de l'installation. Cela comprend la configuration des
éléments suivants par exemple :
Exécutez l'utilitaire de configuration indépendamment du programme d'installation.
Sous Linux et Solaris, exécutez la commande suivante depuis le répertoire d'installation (par défaut, /opt/novell/idm ) :
Connexions et certificats du coffre-fort d'identité
Paramètres de messagerie électronique
Identité utilisateur du méta-annuaire, groupes d'utilisateurs
Paramètres Access Manager ou iChain configupdate.sh
Sous Windows, exécutez la commande suivante depuis le répertoire d'installation (par défaut, c:\opt\novell\idm ) : configupdate.bat
Des exceptions sont renvoyées au démarrage du serveur d'applications, avec un message de journal indiquant port 8180 already in use
.
Arrêtez toutes les instances de Tomcat (ou autre logiciel de serveur) qui pourraient déjà être en cours d'exécution. Si vous décidez de reconfigurer le serveur d'applications de façon à ce qu'il utilise un autre port que le port 8180, n'oubliez pas de modifier les paramètres config du pilote de l'application utilisateur.
Au démarrage du serveur d'applications, un message s'affiche indiquant qu'aucun certificat approuvé n'a été trouvé.
Vous ne pouvez pas vous loguer à la page d'administration du portail.
Veillez à démarrer le serveur d'applications en utilisant le JDK indiqué pendant l'installation de l'application utilisateur.
Assurez-vous que le compte administrateur de l'application utilisateur existe. Ne le confondez pas avec votre compte administrateur iManager. Il s'agit de deux objets admin. différents (normalement).
Vous pouvez vous loguer en tant qu'administrateur, mais vous ne pouvez pas créer de nouveaux utilisateurs.
L'administrateur de l'application utilisateur doit être un ayant droit du conteneur maître et doit avoir des droits de superviseur. En attendant, vous pouvez essayer de configurer les droits administrateur de l'application utilisateur équivalents aux droits administrateur LDAP (via iManager).
Vous rencontrez des erreurs de keystore lors du démarrage du serveur d'applications.
Votre serveur d'applications n'exécute pas le JDK spécifié à l'installation de l'application utilisateur.
Utilisez la commande keytool
pour importer le fichier de certificat : keytool -import -trustcacerts -alias
aliasName -file certFile -keystore
..\lib\security\cacerts -storepass changeit
Remplacez aliasName par un nom unique de votre choix pour ce certificat.
Remplacez certFile par le chemin complet et le nom de votre fichier de certificat.
Le mot de passe du keystore par défaut est changeit (si vous avez un mot de passe différent, indiquez-le).
Tâches post-installation 155
Point
Aucune notification n'a été envoyée par courrier
électronique.
Actions suggérées
Exécutez l'utilitaire configupdate pour vérifier que vous avez fourni les valeurs des paramètres de configuration de l'application utilisateur suivants :
Message électronique de et Message électronique
à.
Sous Linux ou Solaris, exécutez cette commande depuis le répertoire d'installation (par défaut, / opt/novell/idm
) : configupdate.sh
Sous Windows, exécutez la commande suivante depuis le répertoire d'installation (par défaut, c:\opt\novell\idm
) : configupdate.bat
156 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Référence de configuration de l'application utilisateur IDM
Cette section décrit les options destinées à fournir des valeurs lors des mises à jour de la configuration ou de l'installation de l'application utilisateur.
Section A.1, « Configuration de l'application utilisateur : paramètres de base », page 157
Section A.2, « Configuration de l'application utilisateur : tous les paramètres », page 160
A.1 Configuration de l'application utilisateur : paramètres de base
Figure A-1
Options de base de configuration de l'application utilisateur
A
Référence de configuration de l'application utilisateur IDM
157
Tableau A-1
Options de base de configuration de l'application utilisateur
Type de paramètre Option Description
Paramètres du coffre-fort d'identité
Serveur du coffrefort d'identité
Administrateur du
coffre-fort d'identité
Requis. Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP et son port sécurisé. Par exemple : myLDAPhost
Requis. Indiquez les références de l'administrateur LDAP.
Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffre-fort d'identité. Cette valeur est codée, en fonction de la clé maîtresse.
Utilisez l'utilitaire ConfigUpdate pour modifier ce paramètre,
à condition de ne pas l'avoir modifié à l'aide de l'onglet
Administration de l'application utilisateur.
Mot de passe de l'administrateur du coffre-fort d'identité
Requis. Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.
Utilisez l'utilitaire ConfigUpdate pour modifier ce paramètre,
à condition de ne pas l'avoir modifié à l'aide de l'onglet
Administration de l'application utilisateur.
158 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre
DN du coffre-fort d'identité
Option
DN du conteneur racine
DN du pilote de l'application utilisateur
Administrateur de l'application utilisateur
Description
Requis. Indiquez le nom distinctif LDAP du conteneur racine.
Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.
Requis. Indiquez le nom distinctif du pilote de l'application utilisateur. Par exemple, si votre pilote est
UserApplicationDriver, que votre ensemble de pilotes est appelé myDriverSet et que l'ensemble de pilotes est dans un contexte o=myCompany, vous saisissez la valeur suivante : cn=UserApplicationDriver,cn=myDriverSet,o=my
Company
Requis. Un utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Novell Designer pour Identity Manager ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Reportez-vous au Guide
d'administration de l'application utilisateur pour en savoir plus.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages
Administration > Sécurité de l'application utilisateur.
Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.
Affiche le nom actuel du contexte
Nom du contexte
RBPM
Administrateur de rapports RBPM
Pointe vers l'administrateur de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.
Remarque : vous pouvez modifier la plupart des paramètres de ce fichier après l'installation. Pour ce faire, exécutez le script configupdate.sh ou le fichier Windows configupdate.bat
qui se trouve dans votre sous-répertoire d'installation. N'oubliez pas que dans une grappe, les paramètres de ce fichier doivent être identiques pour tous les membres de la grappe.
Référence de configuration de l'application utilisateur IDM 159
A.2 Configuration de l'application utilisateur : tous les paramètres
Ce tableau indique les paramètres de configuration disponibles lorsque vous cliquez sur Afficher les
options avancées.
Tableau A-2
Configuration de l'application utilisateur : toutes les options
Type de paramètre Option Description
Paramètres du coffrefort d'identité
Serveur du coffre-fort d'identité
Port LDAP
Port LDAP sécurisé
Administrateur du coffre-fort d'identité
Requis. Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple : myLDAPhost
Indiquez le port non sécurisé de votre serveur LDAP. Par exemple : 389.
Indiquez le port sécurisé de votre serveur LDAP. Par exemple : 636.
Requis. Indiquez les références de l'administrateur LDAP. Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffrefort d'identité. Cette valeur est codée, en fonction de la clé maîtresse.
Mot de passe de l'administrateur du coffre-fort d'identité
Requis. Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.
Utiliser le compte anonyme public
Guest LDAP
Permet aux utilisateurs non logués d'accéder au compte anonyme public LDAP.
Permet aux utilisateurs non logués d'accéder à des portlets autorisés. Ce compte utilisateur doit déjà exister dans le coffre-fort d'identité. Pour activer Guest LDAP, vous devez désélectionner Utiliser le compte anonyme public. Pour désactiver l'utilisateur Guest, sélectionnez Utiliser le compte
anonyme public.
Indiquez le mot de passe Guest LDAP.
Mot de passe
Guest LDAP
Connexion
Admin sécurisée
Sélectionnez cette option pour que toutes les communications utilisant le compte administrateur soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
Login utilisateur sécurisé
Sélectionnez cette option pour que toutes les communications sur le compte de l'utilisateur logué soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
160 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre
DN du coffre-fort d'identité
Option
DN du conteneur racine
DN du pilote d'application utilisateur
Administrateur de l'application utilisateur
Administrateur du provisioning
Description
Requis. Indiquez le nom distinctif LDAP du conteneur racine.
Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.
Requis. Indiquez le nom distinctif du pilote de l'application utilisateur. Par exemple, si votre pilote est
UserApplicationDriver, que votre ensemble de pilotes est appelé myDriverSet et que l'ensemble de pilotes est dans un contexte o=myCompany, vous saisissez la valeur suivante : cn=UserApplicationDriver,cn=myDriverSet,o=myC ompany
Requis. Un utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager,
Novell Designer pour Identity Manager ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Pour plus d'informations, reportez-vous au manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages
Administration > Sécurité de l'application utilisateur.
Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.
L'administrateur du provisioning gère les fonctions de workflow de provisioning disponibles dans l'application utilisateur. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné administrateur du provisioning.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
Référence de configuration de l'application utilisateur IDM 161
Type de paramètre Option
Administrateur de conformité
Administrateur de rôles
Administrateur de la sécurité
Administrateur de ressources
Description
L'administrateur de conformité est un rôle système qui permet aux membres d'exécuter toutes les fonctions de l'onglet
Conformité. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné comme administrateur du module de conformité.
Lors des mises à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si vous n'avez pas d'administrateur de conformité valide assigné. Si un administrateur de conformité valide existe, vos modifications ne sont pas enregistrées.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
Il permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que de révoquer les assignations de rôles des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Par défaut, ce rôle est assigné
à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
Lors des mises à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si vous n'avez pas d'administrateur de module de conformité valide attribué. Si un administrateur de rôles valide existe, vos modifications ne sont pas enregistrées.
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité.
L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine
Sécurité. Le domaine Sécurité permet également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines du module de provisioning basé sur les rôles. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource. L'administrateur de ressources peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Ressource.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
162 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre Option Description
Administrateur de la configuration
RBPM
Administrateur de rapports
RBPM
Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration. L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine
Configuration. Il contrôle l'accès aux éléments de navigation dans le module de provisioning basé sur les rôles. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration >
Assignations de l'administrateur de l'application utilisateur.
Pointe vers l'administrateur de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.
Réinitialiser la sécurité RBPM
Case à cocher vous permettant de réinitialiser la sécurité.
URL IDMReport URL qui pointe vers l'interface utilisateur du module de création de rapports Identity.
Référence de configuration de l'application utilisateur IDM 163
Type de paramètre Option
Identité de l'utilisateur du coffre-fort d'identité
DN du conteneur d'utilisateurs
Description
Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs.
Les utilisateurs de ce conteneur (et en-dessous) sont autorisés à se loguer à l'application utilisateur.
Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.
Important : vérifiez que l'administrateur de l'application utilisateur indiqué lors de la configuration des pilotes de l'application utilisateur existe dans ce conteneur si vous souhaitez que cet utilisateur soit en mesure d'exécuter les workflows.
Étendue du conteneur d'utilisateurs
Cela définit l'étendue de recherche d'utilisateurs.
Classe d'objets
Utilisateur
La classe d'objets utilisateur LDAP (généralement inetOrgPerson).
Attribut de login
L'attribut LDAP (par exemple, CN) qui représente le nom de login de l'utilisateur.
Attribut de nom
L'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes. Il est différent de l'attribut de login, qui n'est utilisé que lors du login, et non pas lors des recherches d'utilisateurs/de groupes.
Attribut de l'adhésion utilisateur
Facultatif. L'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espace pour ce nom.
164 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre Option Description
Groupes d'utilisateurs du coffre-fort d'identité
DN de conteneur de groupes
Étendue du conteneur de groupes
Classe d'objets
Groupe
Cela définit l'étendue de recherche des groupes.
La classe d'objets Groupe LDAP (généralement groupofNames).
Attribut d'adhésion à un groupe
L'attribut qui représente l'adhésion d'un utilisateur à un groupe.
N'utilisez pas d'espaces pour le nom.
Utiliser des groupes dynamiques
Classe d'objets
Groupe dynamique
Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur de groupes. Utilisé par les définitions d'entités au sein de la couche d'abstraction d'annuaire.
Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.
Sélectionnez cette option si vous souhaitez utiliser des groupes dynamiques.
La classe d'objets Groupe dynamique LDAP (généralement dynamicGroup).
Certificats du coffrefort d'identité
Chemin d'accès au Keystore
Requis. Indiquez le chemin d'accès complet au fichier keystore
( cacerts
) du JRE utilisé par le serveur d'applications pour s'exécuter, ou cliquez sur le petit bouton du navigateur pour accéder au fichier cacerts
.
L'installation de l'application utilisateur modifie le fichier keystore. Sous Linux ou Solaris, l'utilisateur doit avoir une autorisation pour écrire sur ce fichier.
Remarque concernant WebSphere. Le champ relatif au chemin du fichier Keystore doit être défini sur le répertoire d'installation du module RBPM et non l'emplacement du fichier cacerts du JDK, comme c'est le cas pour les installations
JBoss. La valeur par défaut est définie sur l'emplacement correct.
Mot de passe
Keystore
Confirmer le mot de passe
Keystore
Requis. Indiquez le mot de passe cacerts
. L'unité par défaut est changeit .
Référence de configuration de l'application utilisateur IDM 165
Type de paramètre Option Description
Banque de clés approuvée
Clé de certificat et signature numérique
Novell Audit
Chemin d'accès
à la banque approuvée
Le keystore approuvé contient les certificats de tous les signataires approuvés. Si ce chemin est vide, l'application utilisateur obtient le chemin à partir de la propriété Système javax.net.ssl.trustStore
. Si le chemin n'y est pas, il est supposé être jre/lib/security/cacerts .
Mot de passe de la banque approuvée
Si ce champ est vierge, l'application utilisateur obtient le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword
. S'il n'y a aucune valeur, changeit est utilisé. Ce mot de passe est codé, en fonction de la clé maîtresse.
Keystore de type JKS
Keystore de type PKCS12
Indique le type de signature numérique à utiliser. Si ce paramètre est sélectionné, cela signifie que le chemin de la zone de stockage approuvée est de type JKS.
Indique le type de signature numérique à utiliser. Si ce paramètre est sélectionné, cela signifie que le chemin de la zone de stockage approuvée est de type PKCS12.
Contient la clé de signature numérique et le certificat pour le service d'audit.
Paramètres Access
Manager
Certificat de signature numérique
Novell Audit
Clé privée de signature numérique
Novell Audit
Logout simultané activé
Affiche le certificat de signature numérique pour le service d'audit.
Affiche la clé privée de signature numérique. Cette clé est codée, en fonction de la clé maîtresse.
Si cette option est activée, l'application utilisateur prend en charge le logout simultané de l'application utilisateur et de
Novell Access Manager ou d'iChain. L'application utilisateur vérifie la présence du cookie Novell Access Manager ou iChain durant le logout ; s'il est présent, l'utilisateur est renvoyé à la page de logout simultané.
Page de Logout simultané
L'URL pointant vers la page de logout de Novell Access
Manager ou iChain, lorsque l'URL est un nom d'hôte attendu par Novell Access Manager ou iChain. Si la consignation ICS est activée et qu'un utilisateur se délogue de l'application utilisateur, il est réacheminé vers cette page.
166 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre
Configuration du serveur de messagerie
Option Description
HÔTE du modèle de notification
Indiquez le serveur d'applications hébergeant l'application utilisateur Identity Manager. Par exemple :
PORT du modèle de notification
PORT
SÉCURISÉ du modèle de notification
myapplication serverServer
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. L'URL construite est la liaison aux tâches de requête de provisioning et aux notifications d'approbation.
Utilisé pour remplacer le jeton $PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Utilisé pour remplacer le jeton $SECURE_PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
PROTOCOLE du modèle de notification
PROTOCOLE
SÉCURISÉ du modèle de notification
Se rapporte à un protocole non sécurisé, HTTP. Utilisé pour remplacer le jeton $PROTOCOL$ des modèles de courrier
électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Se rapporte à un protocole sécurisé, HTTPS. Utilisé pour remplacer le jeton $SECURE_PROTOCOL$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Notification
SMTP - expéditeur du courrier
électronique
Indiquez l'utilisateur expéditeur du courrier électronique dans le message de provisioning.
Nom du serveur
SMTP
Indiquez l'utilisateur destinataire du courrier électronique dans le message de provisioning. Il peut s'agir d'une adresse IP ou d'un nom DNS.
Référence de configuration de l'application utilisateur IDM 167
Type de paramètre Option Description
Gestion des mots de passe
Utiliser le WAR de mots de passe externe
Divers
Liaison Mot de passe oublié
Cette fonction permet d'indiquer une page Mot de passe oublié qui réside dans un WAR Mot de passe oublié externe et une
URL que le WAR Mot de passe oublié externe utilise pour rappeler l'application utilisateur grâce à un service Web.
Si vous sélectionnez Utiliser le WAR de mot de passe externe, vous devez indiquer des valeurs pour les paramètres Lien Mot
de passe oublié, Lien Retour mot de passe oublié et URL du
service Web de mot de passe oublié.
Si vous ne sélectionnez pas Utiliser le WAR de mot de passe
externe, IDM utilise la fonction de gestion des mots de passe interne par défaut,
/jsps/pwdmgt/ForgotPassword.jsp
(sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
Cette URL pointe vers la page de fonction Mot de passe oublié. Indiquez un fichier ForgotPassword.jsp
dans un fichier WAR de gestion des mots de passe externe ou interne.
Lien Retour mot de passe oublié
Définissez le paramètre Lien Retour mot de passe oublié afin que l'utilisateur puisse cliquer dessus après une opération de type Mot de passe oublié.
URL du service
Web de mot de passe oublié
Il s'agit de l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. Le format de cette URL est le suivant : https://<idmhost>:<sslport>/<idm>/pwdmgt/ service
Le timeout de session de l'application.
Timeout de session
OCSP URI
Chemin de configuration d'autorisation
Si l'installation client utilise le protocole OCSP (protocole de propriété d'état de certificat en ligne), fournissez un identificateur de ressource uniforme (URI). Par exemple, le format est http://host:port/ocspLocal. L'URI OCSP met à jour le statut des certificats approuvés en ligne.
Nom complet du fichier de configuration de l'autorisation.
168 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type de paramètre
Objet Conteneur
Option Description
Créer un index de coffre-fort d'identité
Cochez cette case si vous souhaitez que l'utilitaire d'installation crée des index sur les attributs manager, ismanager et srvprvUUID. Sans index pour ces attributs, les utilisateurs de l'application utilisateur peuvent connaître la performance de l'application utilisateur se réduire, en particulier dans un environnement à grappes. Vous pouvez créer ces index manuellement en utilisant iManager après avoir installé l'application utilisateur. Reportez-vous à la
Section 9.3.1, « Création d'index dans eDirectory », page 150
.
Pour que les performances soient optimales, la création de l'index doit être terminée. Les index doivent être en mode En ligne pour que vous puissiez rendre l'Application utilisateur disponible.
Supprimer l'index de coffrefort d'identité
Supprime des index des attributs manager, ismanager et srvprvUUID.
DN du serveur
Sélectionnez le serveur eDirectory sur lequel les index doivent
être créés ou duquel ils doivent être supprimés.
Remarque : pour configurer des index sur plusieurs serveurs eDirectory, vous devez exécuter l'utilitaire ConfigUpdate plusieurs fois. Vous ne pouvez indiquer qu'un seul serveur à la fois.
Sélectionné
Type d'objet
Conteneur
Sélectionnez chaque type d'objet Conteneur à utiliser.
Sélectionnez parmi les conteneurs standard suivants : lieu, pays, unité organisationnelle, organisation et domaine. Vous pouvez également définir vos propres conteneurs dans iManager et les ajouter sous Ajouter un nouvel objet
Conteneur.
Nom de l'attribut
Conteneur
Indique le nom de type d'attribut associé au type d'objet
Conteneur.
Ajouter un nouvel objet
Conteneur : type d'objet
Conteneur
Indiquez le nom LDAP d'une classe d'objets du coffre-fort d'identité pouvant servir de conteneur.
Ajouter un nouvel objet
Conteneur : nom d'attribut
Conteneur
Donnez le nom d'attribut de l'objet Conteneur.
Référence de configuration de l'application utilisateur IDM 169
170 Guide d'installation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Öffentlicher Link aktualisiert
Der öffentliche Link zu Ihrem Chat wurde aktualisiert.