Microsoft BHOLD Suite インストール ガイド

  • [アーティクル]

Microsoft® BHOLD Suite は、Microsoft Identity Manager 2016 SP2 (MIM) と共に使用すると、MIM に効果的なロール管理と構成証明を追加するアプリケーションのコレクションです。 Microsoft BHOLD スイート SP1 は次のモジュールで構成されます。

  • BHOLD コア
  • Access Management Connector
  • BHOLD Reporting
  • BHOLD 構成

注意

適用対象: Microsoft Identity Manager 2016 SP2 以降。 BHOLD モデル ジェネレーター、BHOLD Analytics、BHOLD FIM 統合モジュールは、2021 年 10 月 12 日に サポートが終了 する Microsoft Silverlight に依存しているため、BHOLD から削除されます。

BHOLD は、新しいデプロイにはお勧めしません。 Microsoft Entra ID では、BHOLD 構成証明キャンペーン機能に代わるアクセス レビューと、アクセス割り当て機能を置き換えるエンタイトルメント管理が提供されるようになりました。

このドキュメントの内容

このドキュメントでは、ビジネス ニーズに合わせて BHOLD デプロイを計画し、各 BHOLD モジュールをインストールする方法について説明します。 モジュール、関連するハードウェア、インフラストラクチャ、およびソフトウェア要件ごとに、インストール前のネットワーク構成、セットアップ中に必要な情報、およびインストール後の手順 (存在する場合) を詳しく説明します。

前提条件となる知識

このドキュメントでは、サーバー コンピューターにソフトウェアをインストールする方法に関する基本的な知識があることを前提としています。 また、Active Directory® Domain Services、Forefront or Microsoft Identity Manager (FIM)、および Microsoft SQL Server 2012 データベース ソフトウェアに関する基本的な知識があることを前提としています。 AD DS、FIM などの依存テクノロジをセットアップして構成する方法は、このドキュメントでは説明しません。 Microsoft BHOLD モジュールが実行する機能については、Microsoft BHOLD スイート概念ガイドを参照してください。

対象ユーザー

このドキュメントは、IT プランナー、システム アーキテクト、技術上の意思決定者、コンサルタント、インフラストラクチャ プランナー、および Microsoft BHOLD スイートのデプロイを計画する IT 担当者を対象としています。

BHOLD インフラストラクチャに関する考慮事項

BHOLD と FIM は、ほとんどの場合、大規模なインフラストラクチャ環境で使用されます。 BHOLD と FIM のアーキテクチャは、特定のビジネス ニーズに合わせて調整できます。 次のセクションでは、実現可能なアーキテクチャ ソリューションをいくつか紹介します。 この概要では、すべてのオプションを詳しく説明することはできませんが、BHOLD をネットワークにデプロイするときに参考になる情報を提供します。

このセクションは、次のトピックで構成されています。

  • 単一サーバー アーキテクチャ
  • デュアル サーバー アーキテクチャ
  • 2 層アーキテクチャ
  • SQL Server の推奨事項

単一サーバー アーキテクチャ

小規模な組織や開発目的でのデプロイについては、次の図に示すように、SQL Server および AD DS と同じサーバーに BHOLD と FIM をインストールできます。

単一サーバー アーキテクチャ

BHOLD スイート SP1 と FIM ポータルを単一サーバーに一緒にインストールする場合、BHOLD と FIM の DNS では異なるホスト別名 (CNAME または A レコード) を作成する必要があります。 これにより、BHOLD サービスと FIM サービスに対して、個別のサービス プリンシパル名 (SPN) を作成できます。 詳細については、「BHOLD Core Installation」 (BHOLD コアのインストール) をご覧ください。 単一サーバー構成への FIM インストールに関するガイダンスについては、Microsoft TechNet ライブラリの「Common Configuration for Getting Started Guides」 (最初の一般的な構成ガイド) をご覧ください。

デュアル サーバー アーキテクチャ

BHOLD コアおよび FIM をそれぞれ別のサーバーにインストールすると、多層アーキテクチャで実現する複雑なデプロイを必要としない中規模な組織でパフォーマンスと柔軟性が向上します。 次の図は、それぞれ独自のサーバーにインストールされた BHOLD と FIM を示しています。FIM サーバーでは SQL Server も実行され、BHOLD と FIM に対してデータベース サービスを提供しています。 FIM サーバーで実行されている FIM 同期サービスにより、FIM データベースと BHOLD データベースの間で変更が同期されます。

2 層アーキテクチャ

ほとんどの環境で、特にパフォーマンスが重要な場合は、BHOLD スイート SP1、FIM、および SQL Server はそれぞれ個別のサーバーで実行する必要があります (2 層アーキテクチャ)。 2 層アーキテクチャでは、メモリと CPU リソースが層ごとに専用になります。 次の図は、2 層アーキテクチャを構成する方法の 1 つを示しています。 FIM サーバーで実行されている FIM 同期サービスにより、FIM データベースと BHOLD データベースの間で変更が同期されます。

2 層アーキテクチャ

SQL Server の推奨事項

BHOLD を大規模な組織にデプロイする場合は、次のガイドラインに従って、Microsoft SQL Server データベースを設定することを強くお勧めします。

  • FIM または BHOLD サービスから切り離されたサーバーに SQL Server をデプロイします。
  • ログ ファイルは物理ディスク レベルでデータ ファイルから切り離します。
  • RAID を使用してストレージ冗長性を提供している場合は、RAID レベル 10 (1 + 0) を使用します。 RAID レベル 5 は使用しないでください。
  • SQL Server を実行しているサーバーに対して 2 GB を超える物理メモリを使用する場合は、必ず正しい設定を構成してください。

SQL Server のベスト プラクティスの詳細については、Microsoft TechNet ライブラリの「Storage Top 10 Best Practices」 (ストレージのベスト プラクティス トップ 10) をご覧ください。

信頼できる証明書一覧の更新

サービスを開始する前に証明書チェーンを検証するように、Windows を構成できます。 こうしたシステムでは、サービスの実行可能コードが、サーバーの信頼できる証明書一覧 (TCL) に含まれない証明書で署名されている場合、そのサービスは開始できません。 Microsoft BHOLD スイート SP1 ソフトウェアは、Microsoft Root Certificate Authority 2010 証明書のコード署名証明書チェーンを使用してコード署名されています。 インターネットに接続されている場合は、インターネット経由で Microsoft からルート証明書を取得するように、Windows を構成できます。 ただし、接続されていないシステムの場合、Windows Server に含まれるのは、Windows がリリースされる前にルート プログラムに存在していた証明書のみです。 Windows Server 2010 より前の Windows Server リリースでは、こうした証明書に、BHOLD スイート SP1 コード署名証明書チェーンの検証に必要なルート証明書は含まれません。 最新 TCL がない可能性があるシステムに 1 つ以上の Microsoft BHOLD スイート SP1 モジュールをインストールする場合は、その BHOLD スイート SP1 モジュールをインストールする前に、ルート更新パッケージをダウンロードしてインストールするか、グループ ポリシーを使用してルート更新パッケージをインストールする必要があります。 詳細については、 Windows ルート証明書プログラムのメンバーを参照してください。

Windows Server 2012/2016 への BHOLD スイート SP1 のインストールに必要なステップ

IIS による BHOLD のインストール

BHOLD スイート SP1 を Windows Server 2012 または 2016 にインストールする場合、BHOLD Web ページは、C:\Windows\System32\inetsrv\config にある applicationHost.config ファイルを変更するまで使用できなくなります。 <globalModules> セクションで、preCondition="bitness64 を、<add name="SPNativeRequestModule" で始まるエントリに追加します。これにより次のようになります。

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

ファイルを編集して保存した後、iisreset コマンドを実行して IIS サーバーをリセットします。

BHOLD スイートのアップグレード

既存の BHOLD スイートのインストールをアップグレードすることはできません。 BHOLD モジュールを更新するには、その前に既存の BHOLD スイートのインストールをアンインストールする必要があります。 既存の BHOLD ロール モデルがある場合は、BHOLD データベースをアップグレードし、更新された BHOLD コア モジュールをインストールするときにそれを使用できます。 詳細については、「Replacing BHOLD Suite with BHOLD Suite SP1」 (BHOLD スイートを BHOLD スイート SP1 に置き換える) をご覧ください。

次のステップ