オンプレミスIDPの設定手順

miniOrangeのアイデンティティプロバイダー（IdP）は、ユーザーIDを保存・検証するサービスです。IdPは通常クラウドホスト型のサービスであり、多くの場合、シングルサインオン（SSO）プロバイダーと連携してユーザーを認証します。このガイドの目的は、Linux上でできるだけ早く起動して動作させ、miniOrangeの様々な機能を実際に試して試用できるようにすることです。miniOrangeはデフォルトのデータベースとパッケージ化されたTomcatを備えたスタンドアロンアプリケーションであり、複雑な導入オプションについては説明していません。

この短いチュートリアルでは、スタンドアロンモードでサーバーを起動し、初期管理者アカウントを設定し、miniOrange 管理ダッシュボードにログインする手順を説明します。

システム要件

miniOrange オンプレミスサーバーのシステム要件は次のとおりです。このセクションでは、推奨されるバージョンと要件を示します。

オペレーティングシステム (Linux 推奨)	Java 17以上が動作するオペレーティングシステム
CPUコア	4コア
RAM	16GB以上
Storage	32GB以上
JAVA環境	jdk1.8.0_381 以上
サーバーアクセスポリシー	ポート80 - HTTP ポート 1812 および 1813 - Radius UDP (オプション) ポート22 - SSH (Linuxサーバー) - ログイン用
データベース	サポートされているすべてのバージョンのリストを確認するこちら.
サーバーポート	必要なサービスをインストールするには、サーバー上で次のポートが使用可能であることを確認してください。 6379 - レディス 5672 - ラビットMq

オンプレミスサーバーのインストール

miniOrangeオンプレミスサーバーは以下からダウンロードできます。 こちら

オペレーティングシステムに miniOrange On-Premise サーバーを展開するには、次の手順に従います。

Linuxインストーラー

1. 前提条件とセットアップ

1.1. 前提条件

a. データベースのセットアップ:

空のスキーマで構成されたデータベースがあることを確認します。
サポートされているデータベース: PostgreSQL、MySQL、MSSQL。
例: PostgreSQL インストールガイド:
- 続きます このリンク Ubuntu セットアップ用。
- 続きます このリンク CentOS/RedHat セットアップ用。
データベースを作成する (PostgreSQL の例):
- psql に入るには、次のコマンドを実行します。 sudo -u postgres psql
- プロンプトで次のコマンドを入力します。 create database <databasename>;
  (「databasename」を希望のデータベース名に置き換えます)

b. 関連するガイドを使用して RabbitMQ をインストールします。

続きます このリンク Ubuntu セットアップ用。
続きます このリンク CentOS/RedHat セットアップ用。

c. RabbitMQ のインストールを確認するには、次のコマンドを使用します。

systemctl status rabbitmq-server.service

1.2. インストーラーの実行

インストーラをダウンロードするには、こちらをクリックしてください.
mo-installer.zip を解凍します。
実行可能ファイルに権限を追加するには、次のコマンドを実行します。 chmod +x *.sh
スクリプトを実行するには、このコマンドを実行します sudo sh mo-installer.sh

1.3. アイデンティティプロバイダ（IdP）の起動

IdPサービスを開始する sudo systemctl start mo-idp-miniorange.service
Web ブラウザを開き、次の場所に移動します。 https://<IP/DNS> (例: https://192.168.1.2)
(自己署名証明書が原因で SSL 警告が表示された場合は無視してください。)

1.4. データベース構成

セットアップページで次の詳細を入力します。

データベースの種類	PostgreSQL/MySQL/MSSQL
データベースホスト	ローカルホスト
データベースのユーザー名、パスワード、データベース名	インストール時に設定された

1.5. 管理者アカウントの設定

管理者のユーザー名とパスワードを設定します。
詳しくはこちら次へ管理者アカウントを作成します。

1.6. ユースケースの選択

要件に合った定義済みテンプレートを選択します。
不明な場合は、この手順をスキップできます。
完了すると、管理ダッシュボードが表示されます。

2. 付属サービスの開始

mo-installer.zip ファイルを解凍して、start-services スクリプトを取得します。
start-services スクリプトに権限を追加するには、次のコマンドを実行します。 ./start-services.sh プロンプトが表示されたら、次を入力します start.
サービスのステータスを確認するには、 http://<IP/DNS>:8070 すべてのサービスが起動することを確認します。

3. FAQとトラブルシューティング

1. 1つ以上のサービスが実行されていない

下記の手順でサービスを再起動します。 サービス開始 スクリプトの 再起動 プロンプト。
サービスステータスを確認するには、次のサイトにアクセスしてください: http://<IP/DNS>:8070.

2. サービスを手動で開始または停止する

サービスを手動で開始/停止する場合は、次の順序で開始できます。

miniOrange ユーレカサービス
miniOrange 設定サービス
miniOrange ゲートキーパーサービス
miniOrange アプリサービス
miniOrange監査サービス
miniOrange プロビジョニングサービス
miniOrangeディレクトリサービス

4. SSL証明書をJDK Truststoreにインポートする（ワークフローに必要）

ワークフローでは、HTTPS 経由の安全な通信が必要です。

ワークフローサービスがドメイン証明書を信頼していることを確認するには、証明書をJDKの カサート トラストストア。
デフォルトのキーストアのパスワード: それを変更

[注意： cacerts ファイルの場所は、JDK のインストールによって異なります。

以下のコマンドを使用して、ドメイン証明書を JDK トラストストアにインポートします。 sudo keytool -import \ -alias miniorange-wildcard \ -file /home/abhishek/Downloads/certificates/domain.crt \ -keystore /usr/lib/jvm/java-8-openjdk/jre/lib/security/cacerts \ -storepass changeit
JDKが別のパスにインストールされている場合は、 -キーストア それに応じて場所を選択します。
一般的な代替パス: /usr/lib/jvm/java-17-openjdk-amd64/jre/lib/security/cacerts /usr/lib/jvm/java-17-openjdk/lib/security/cacerts /opt/jdk/jre/lib/security/cacerts

5. ワークフローモジュールをスケジューラに登録する

ワークフロー実行を有効にするには、WorkflowモジュールをSchedulerサービスに登録する必要があります。お使いのオペレーティングシステムに応じた手順に従ってください。

インストールされた miniOrange ディレクトリに移動します。
に移動します。 /services/linux/scheduler-mq-register.sh
ナビゲーションの例: cd /opt/mo-idp-server/services/linux/
登録スクリプトを実行します。 sudo ./scheduler-mq-register.sh

Nginx に SSL 証明書を適用する方法:

Nginx でサポートされている証明書の形式:
- PEM 形式 (推奨: .crt、.cer、.pem)
- 秘密鍵は PEM 形式 (.key) である必要があります。
- NginxはDERまたはPFX形式の証明書を直接サポートしていません。使用する前にOpenSSLを使用して変換してください。

SSL証明書を生成する（CA署名証明書がない場合はオプション）

1。要件

あなたが持っていることを確認してください OpenSSLの システムにインストールされています:

実行： sudo apt で openssl をインストールします。

2. 自己署名証明書を生成する

ターミナルでこのコマンドを実行します:

 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nginx-selfsigned.key -out nginx-selfsigned.crt 
                        -subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=example.com"

コマンドの内訳:

フラグ	詳細説明
-x509	自己署名証明書を生成する
-ノード	秘密鍵のパスワードなし
-日数365	証明書の有効期間は1年間です
-キーアウト	秘密鍵を保存するパス
-でる	証明書を保存するパス
-件名	プロンプトなしで証明書の詳細を設定する

-subj 形式: /C=US/ST=State/L=City/O=Company/OU=Org/CN=example.com

フィールド	意味	例:
C	国コード（2文字）	米国、インド、ドイツ
ST	州/地方	カリフォルニア州、カルナタカ州
L	都市	サンフランシスコ、バンガロール
O	組織	アクメコーポレーション
OU	部門	IT、エンジニアリング
CN	ドメイン名	example.com

NginxでSSL証明書を適用する
1. nginx.confを見つける
- 実行： /etc/nginx/nginx.conf
2. サーバーブロックを編集する
server { listen 443 ssl; server_name example.com; # Replace with your domain ssl_certificate /path/to/nginx-selfsigned.crt; ssl_certificate_key /path/to/nginx-selfsigned.key; location / { # Your application settings } }

3. Nginxを再起動する
- 実行：
  sudo nginx -t # Test configuration sudo systemctl restart nginx

⚠ 注意: 自己署名証明書は信頼できる証明機関（CA）によって発行されていないため、ブラウザに警告が表示されます。ローカル開発または内部テストにのみ使用してください。

自己署名証明書の場合
信頼できるCAからの証明書の場合

1. キーストアを生成する

コマンドプロンプトまたはターミナルを開きます。パスを指定して、以下のコマンドを入力します。
keytool -genkey -alias onpremssoidp -keyalg RSA -keystore onpremssoidp.jks
この手順で権限エラーが発生した場合は、コマンドプロンプトまたはターミナルで場所をデスクトップまたは任意の場所に変更します。
都合の良いパスワードを入力して覚えておいてください。(入力したパスワードが機能しない場合は、パスワードを「changeit」のままにしておきます)。

2. SSL証明書を生成する

リターンキーを押すと、パスワードの入力を求められます。続行するにはReturnキーを押してください。
(注意: 名と姓はサーバーの DNS 名/ホスト名である必要があります)

SSL 自己署名証明書は指定された場所に生成されます。

3. 上記で生成したキーストアを使用してTomcatを構成する

1. Tomcat 設定を開きます。

に移動します confに miniOrange インストールフォルダー内のディレクトリ。
Video Cloud Studioで サーバー.xml テキストエディタでファイルを開きます。

2. server.xml を編集します。

線を見つけるサービス名=”Catalina”>.
この行の直後に、次のスニペットを挿入します。
```
" ciphers="ALL" keystorePass=""/>
```
交換するJKS キーストアパス> キーストアファイルのパスとキーストア生成時のパスワード> キーストアのパスワードを入力します。

注意： .jks ファイルに適切な権限があることを確認し、コマンドプロンプトを管理者として実行します。

LetsEncrypt、GoDaddy、Comodo SSL などの信頼できる CA からの証明書を使用します。

a) レッツエンクリプト

以下の手順は、Certbotで有効な証明書を生成済みであることを前提としています。証明書をお持ちでない場合は、以下のCertbotコマンドを使用してドメインの証明書を生成できます。
certbot certonly --standalone -d.example.com
証明書が生成されると、次のフォルダー構造が得られます。
#:/etc/letsencrypt/live/example.com# ls cert.pem chain.pem fullchain.pem privkey.pem README
IdP の conf ディレクトリに cert.pem、chain.pem、fullchain.pem、privkey.pem をコピーします。

conf/server.xml を編集し、次のコネクタ要素を追加します。

IdP を再起動します。これで、IdP は LetsEncrypt からの有効な証明書を使用するようになります。

b) ゴー・ダディ

以下の手順は、GoDaddyから有効なSSL証明書をダウンロード済みであることを前提としています。証明書はJavaキーストア（JKS）にインポートする必要があります。JKSを作成するには、keytoolユーティリティを使用できます。
keytool -genkey -alias onpremssoidp -keyalg RSA -keystore onpremssoidp.jks
元の証明書をキーストアから削除する必要があります。以下のコマンドで削除できます。
keytool -delete -alias onpremssoidp -keystore onpremssoidp.jks
OpenSSL コマンドを使用して、GoDaddy からダウンロードした証明書を Java Keystore にインポートできます。
openssl pkcs12 -export -in <GoDaddyCertificate>.crt -inkey <PrivateKey>.key -out <PublicPrivateKeyPair>.p12 -name tomcat -CAfile gd_bundle-g2-g1.crt -caname root
キーストアを使用して、コネクタを構成できるようになりました。 conf/server.xml.
```
" ciphers="ALL"
                      keystorePass=""/>
                      
```
IdP を再起動します。これで、IdP は GoDaddy からの有効な証明書を使用するようになります。

c) コモドSSL

新しいキーストアの作成

新しいキーストアを配置する予定のディレクトリに移動します。
次のコマンドを入力します。
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore your_site_name.jks
プロンプトが表示されたら、新しいキーストアのパスワードを作成します。
必要な情報を入力します (注: 名前フィールドに自分の名前を入力せず、FQDN を入力してください)。
完了したら、「Y」または「はい」と入力して情報を確認します。
最後に、手順 3 で作成したパスワードを入力します。

Tomcat サーバーでの CSR の作成

次のコマンドを実行します。
keytool -certreq -alias server -file csr.txt -keystore your_site_name.jks
プロンプトが表示されたら、キーストアの手順3で作成したパスワードを入力します。
キーストアの作成時に指定した情報を使用してください。CSRが生成され、選択したディレクトリに「CSR.txt」として保存されます。
CSRの生成が完了したら、キーストアファイルを保存してバックアップすることをお勧めします。CSRの作成が完了したら、TomcatサーバーにインストールするSSL証明書を選択し、購入してください。CSR（.txtファイルを開く）をコピー＆ペーストして、該当するフィールド（通常は「CSR」と表示されているフィールド）に貼り付けてください。
購入と検証が完了すると、CA から SSL 証明書と、一緒にインストールする必要がある中間証明書を含むバンドルが電子メールで送信されます。

Tomcat サーバーに SSL 証明書をインストールする方法

作成したキーストアディレクトリに証明書を保存します。
キーストアをインポートするには、次のコマンドを使用します。
keytool -import -alias server -file your_site_name.p7b -keystore your_site_name.jks
「証明書応答がキーストアにインストールされました。」という確認メッセージが表示されます。
証明書を信頼するには、「Y」または「Yes」と入力します。
最後に、HTTPS 経由で Web サイトを提供するように Tomcat サーバーを構成する必要があります。

SSL/TLS コネクタの設定

テキストエディターを使用して、Tomcat server.xml ファイルを開きます。
新しいキーストアで保護するコネクタを見つけます。
ポート 443 (HTTPS) を使用するようにコネクタを構成すると、構成ファイルは次のようになります。
server.xml ファイルへの変更を保存します。
Tomcat サーバーを再起動します。

上記の方法が機能しない場合は、以下のリンクに従ってください。
こちらをクリックしてください他の CA 証明書がある場合は、手順に従ってください。

Zip 配布からインストーラへの移行

現在のTomcatインストールディレクトリに移動し、現在のバックアップを取得します。 モアス ディレクトリが存在する
データベースのバックアップを取ってください。内部統合データベースを使用している場合は、外部データベースの場合は、DBのスナップショットを取得できます。
バックアップを取る 設定ファイル Tomcat 自体に SSL 用の追加コネクタを追加した場合は、このファイルを参照してください。

オンプレミス IDP サーバーの Windows 移行 (Zip からインストーラーへ)

現在の Tomcat インストールを削除します。
インストーラーをダウンロードし、ダウンロードしたインストーラーファイルを実行して、最新のオンプレミスサーバーをインストールします。
インストールしたばかりのオンプレミスサービスを停止します。
インストールされたディレクトリのルートに移動します。
パスへ移動 /WEB-INF/クラス/ とコピー db.properties とライセンスファイル.
パスへ移動 /moas/WEB-INF/クラス/ db.properties ファイルとライセンスファイルを貼り付けます。
インストールしたオンプレミス IDP サーバーサービスを開始します。

オンプレミスIDPのアップグレード

注意： miniOrange を Java 17 ランタイムにアップグレードする際に、Java 8 に存在するカスタム証明書は カサート トラストストアは手動でエクスポートしてJava 17にインポートする必要があります カサート トラストストアは、外部システムとの信頼できるSSL接続を維持するために使用されます。

受験資格：

あなたへのログイン 管理者アカウント そしてに行く 設定>>製品設定. コピー サーバーベース URL.
db インスタンス内の miniorange db のバックアップを取得します。
サーバー内の次のファイルのバックアップを作成します。

mo-idp-server-*/moas/WEB-INF/classes/db.properties
mo-idp-server-*/moas/WEB-INF/classes/ライセンス

に行く mo-idp-server-*/bin 実行中の Tomcat インスタンスをシャットダウンします。 (sh shut down.sh を使用できます)

アップグレードの手順:

最新バージョンを Linux サーバーにダウンロードし、解凍します。
解凍されたフォルダの中にmoasフォルダがあります。mo-idp-server-3.3.*/moasを新しいmoasフォルダに置き換えます。
上記と同じパスにある db.properties とライセンスファイルのバックアップを置き換えます。
mo-idp-server-*/binに移動し、実行中のTomcatインスタンスをシャットダウンします。（ sh シャットダウン.sh)
Tomcatインスタンスを再起動します。 sh スタートアップ.sh
ブラウザを開いて、 < サーバーのベース URL >/initialize

オンプレミスIDPのアンインストール

実行中の miniOrange tomcat プロセス/サービスをすべてシャットダウンします。
データベースに必要なバックアップをすべて取得します。
フォルダに移動する mo-idp-サーバー-* 削除してください。

よくある質問

キーストアの問題に対するエラー処理

「keytoolエラー: java.lang.Exception: キーペアが生成されませんでした、エイリアスすでに存在します"

これは、キーストアファイルがすでに存在することを示します。これを解決するには、次の手順に従います。

パスから既存のキーストアファイルを削除します「onpremssoidp.jks」という名前のファイル
キー生成コマンド「keytool -genkey -alias onpremssoidp -keyalg RSA -keystore onpremssoidp.jks」を再実行し、詳細を入力します。

Contents