Talend Identity and Access Management用の接続を保護

Talend Identity and Access Managementへの接続には、自己署名証明書付きのSSLを使用します。

手順

JKSファイルを<installation_path>/configフォルダーに配置します。
<installation_path>/start.shファイルを開いて編集します。

次の設定を追加します。

export SERVER_SSL_KEYSTORE=<absolute_path_to_your_jks_file> (for example: /keysotre/server.jks)
export SERVER_SSL_KEYSTOREPASSWORD=<secret>
export SERVER_SSL_KEYPASSWORD=<secret>

<installation_path>/config/iam.propertiesファイルを開き、以下のURLのhttpをhttpsに変更します:
```
oidc.url=https://${oidc.host}:${oidc.port}${oidc.context}
```
オプション: Talend Administration CenterでSSLを有効にしている場合は、<installation_path>/config/iam.propertiesで、以下のURLのhttpをhttpsに変更します:
```
tac.url=https://<host_name>:<port>/org.talend.administrator
```
オプション: 自分のTalend Administration CenterがSSLで自己署名証明書を使用している場合は、Talend Administration CenterでTLS/SSLを設定の説明に従って次のように操作します:
1. 次のコマンドを使ってTalend Administration Center証明書またはその認証機関を取得し、Talend Identity and Access Management Truststoreに追加します:
```
keytool -import -trustcacerts -alias <cert-alias> -file <TAC_certificate.crt> -keystore <IAM_truststore.jks>
```
2. 次の行をstart.shに追加します:
```
JAVA_OPTS="${JAVA_OPTS} -Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password"
```
オプション: Talend Data StewardshipやTalend Data PreparationなどのモジュールでSSLを有効にする場合は、次の操作を実行します:
- Talend Data Preparationの場合は、Talend Data PreparationのHTTPS接続を設定の説明に従って進めます。
- Talend Data Stewardshipの場合は、Talend Data Stewardship用の接続を保護の説明に従って進めます。
Talend Identity and Access Managementを再起動します。

サービスとしてのTalend Identity and Access Managementに対するKeystoreの追加設定

これらの設定変更は、Talend Identity and Access Managementをシステムサービスとしてインストールした場合のみ必要です。

Talend Identity and Access ManagementのOIDCとSCIMサービスについて、これらの変更を行います。

手順

etc/systemd/systemフォルダーで、Talend Identity and Access Managementサービスのsystemdファイルを検索します。
ファイル名は次のとおりです:
- talend-iam-oidc-8.0.1.service
- talend-iam-scim-8.0.1.service
8.0.1という数字は、この例で使用されているインストール済みバージョンを表しています。

このファイルはルートユーザーによって所有されているので、sudo権限を使ってテキストエディターでサービスファイルを開きます。

たとえば、talend-iam-oidc-8.0.1.serviceファイルのコンテンツは次のようになります:

 # systemd descriptor file for IAM service

[Unit]
Description=Talend Identity Access management service (OIDC)
Before=runlevel3.target runlevel5.target
After=local-fs.target remote-fs.target network-online.target time-sync.target postgresql.target systemd-journald-dev-log.socket
Wants=network-online.target
Conflicts=shutdown.target

[Service]
Type=simple
Restart=no
KillMode=process
Restart=no
Environment=SPRING_PROFILES_ACTIVE=onpremise
ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar
#ExecStop=
User=talenduser
Group=talendgroup
WorkingDirectory=/opt/Talend-8.0.1/iam
SuccessExitStatus=143 SIGKILL

[Install]
WantedBy=multi-user.target

Environment=SPRING_PROFILES_ACTIVE=onpremiseという行を検索します。

既存の行の後にKeystore設定を追加します:

Environment=SPRING_PROFILES_ACTIVE=onpremise
Environment=SERVER_SSL_KEYSTORE=/keystore/server.jks
Environment=SERVER_SSL_KEYSTOREPASSWORD=Password1
Environment=SERVER_SSL_KEYPASSWORD=Password2
ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar

オプション: 自分のTalend Administration CenterがSSLで自己署名証明書を使用している場合は、Talend Administration CenterでTLS/SSLを設定の説明に従って、ExecStartプロパティに自分のTalend Identity and Access ManagementのTruststore設定を追加します。
```
-Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password
```
これらの値を文字列の中央、-jar <jar名>の前に追加します。システムは、-jar <jar名>の後に続く文字列を、Javaのmainファンクションへのコマンドラインパラメーターとして解釈します。

情報メモ警告:
Talend Identity and Access ManagementTruststoreにTalend Administration Centerの証明書を追加したことを確認します。

これについては、前のセクションで説明されています。
talend-iam-oidc-8.0.1.serviceファイルを保存します。
talend-iam-scim-8.0.1.serviceファイルについても同じ操作を繰り返します。
両方のファイルを保存した後、次のコマンドを実行してsystemd環境をリロードします:
```
sudo systemctl daemon-reload
```

次のコマンドを使い、両方のサービスを再起動します:

sudo systemctl stop talend-iam-oidc-8.0.1.service
sudo systemctl stop talend-iam-scim-8.0.1.service
sudo systemctl start talend-iam-oidc-8.0.1.service
sudo systemctl start talend-iam-scim-8.0.1.service

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください