Info |
---|
In diesem Kapitel erfahren Sie, wie Sie einen Mandanten der PICTURE-Prozessplattform wie in den vorigen Kapiteln eingerichteten Infrastruktur, installieren. |
...
Hinweis |
---|
Neuerungen in der Version 3.23 In der Version 3.23 der PICTURE-Prozessplattform wurde eine automatische Verschlüsselung der Konfigurations-Datei “config.xml” eingeführt. Dieser Mechanismus verschlüsselt die Geheimnisse in der o.g. Datei, falls zum Zeitpunkt des Hochfahrens der PPP-Webanwendung noch unverschlüsselt sind. |
Erweitern | ||
---|---|---|
| ||
|
...
Abschnitt | Unter-Abschnitt | Einstellung | XML-Tag / -Attribut | Beschreibung | Beispiel-Wert | ||
---|---|---|---|---|---|---|---|
applicationSettings | contentBrokers -> contentBroker | In diesem Abschnitt sind die Verbindungen für den Zugriff auf den/die Content-Broker-Server konfiguriert. Dieser Abschnitt ist nur relevant, wenn Sie für Ihren Prozessplattform-Mandanten die Zusatz-Option "Prozessnetzwerk improve" gebucht haben. Die nötigen Zugangsdaten (URL, Benutzername, Passwort) werden Ihnen in diesem Fall beim Beitritt in das Prozessnetzwerk vom PICTURE-Support mitgeteilt. Wenden Sie sich bei Fragen dazu gerne per E-Mail an support@picture-gmbh.de. | |||||
endPointName | Tag | Angezeigter Name des Netzwerkes | Improve (PICTURE GmbH) | ||||
endPointUri | Tag | Adresse des Content-Brokers | https://contentbroker.prozessplattform.de/contentbroker/rest | ||||
username | Tag | Benutzername, der zum Zugriff auf das hinterlegte Netzwerk (konkret: des Content-Broker-Server des Netzwerks) verwendet werden soll | ContentBroker_user | ||||
password | Tag | Passwort des unter "username" angegebenen Content-Broker-Benutzerkontos | StrengGeheim | ||||
databaseSettings | In diesem Abschnitt wird die Verbindung zum Datenbank-Backend des PPP-Mandanten konfiguriert. | ||||||
connectionUrl | Tag | JDBC-URL des Datenbank-Backend, welches für diesen PPP-Mandanten verwendet werden soll | jdbc:mariadb://localhost/ppp | ||||
sqlDialect | Tag | Konfigurationseinstellung für Hibernate (objektrelationaler Mapper, der von der PPP intern verwendet wird). Legt fest, welcher SQL-Dialekt für die automatische Generierung von SQL-Statements verwendet werden soll.
| org.hibernate.dialect.MariaDBDialect | ||||
debugMode | Tag | Legt fest, ob das Debug-Logging für den Datenbank-Zugriff mittels Hibernate aktiviert sein soll oder nicht (mögliche Werte: "true" / "false").
| false | ||||
driver | Tag | Voll qualifizierender Java-Klassenname des zu verwendenden JDBC-Treibers.
| org.mariadb.jdbc.Driver | ||||
username | Tag | Benutzername des MariaDB-Benutzerkontos, das zum Zugriff auf das Datenbank-Backend verwendet werden soll. | ppp | ||||
password | Tag | Passwort des unter "username" angegebenen MariaDB-Benutzerkontos | StrengGeheim | ||||
directorySettings | In diesem Abschnitt werden Dateisysteme-Pfade und URLs konfiguriert, aus denen bzw. in die zur Laufzeit vom PPP-Mandanten gelesen / geschrieben wird (z.B. persistente Ablage von Nutzer-Daten, Caching). | ||||||
officialUrl | Tag | Vollständige URL, unter welcher der PPP-Mandant im Internet bzw. Intranet erreichbar sein soll. Wird z.B. in den Textbausteinen der automatisch von der PPP generierten E-Mails verwendet um den "Absender-Mandanten" zu identifizieren. | http://www.mydomain.com/ppp | ||||
uploadDirectory | Tag | Absoluter Pfad zum Verzeichnis, unterhalb dessen dauerhaft Nutzerdaten gespeichert werden, die aus Performanzgründen nicht im Datenbank-Backend persistiert werden (z.B. Dateianhänge zu Prozess-Steckbriefen und Prozess-Bausteinen).
| /srv/picture/ppp/documents | ||||
tempDirectory | Tag | Absoluter Pfad zum Verzeichnis, unterhalb dessen zur Laufzeit der PPP-Webanwendung temporäre Daten gespeichert werden.
| /srv/picture/ppp/temp | ||||
fontDirectory | Tag | Absoluter Pfad zum Verzeichnis, in welchem zur Laufzeit die für den PDF-Export benötigte Schriftartendateien "ARIALUNI.TTF" zu finden ist. | /usr/local/share/fonts | ||||
mailConfig -> | In diesem Abschnitt wird der E-Mail-Server konfiguriert, der zur Laufzeit für den automatischen Versand von E-Mails aus dem PPP-Mandanten heraus genutzt wird. | ||||||
id | Attribute | Id für die eindeutige Identifizierung eines MailSenderAccounts | default | ||||
secureTransport | Tag | Versenden der E-Mails über eine sichere Verbindung (entspricht den Einstellungen "SMTP Auth: enabled", STARTTLS: enabled", "Protocols: SSLv3, TLSv1")? | true | ||||
senderAddress -> | Tag | E-Mail-Adresse, welche als Absender von E-Mails angezeigt wird, die automatisch von der PPP-Webanwendung versendet werden | support@picture-gmbh.de | ||||
senderAddress -> | Tag | Absender (Klarname), der als Absender von E-Mails angezeigt wird, die automatisch von der PPP-Webanwendung versendet werden | [PPP mandant@hostname] | ||||
smtpHost | Tag | Hostname des Mailservers, welcher für den automatischen Versand von E-Mails verwendet werden soll. | mail.prozessplattform.de | ||||
smtpPort | Tag | Port, auf welchem der o.g. Mailserver auf dem o.g. Host erreichbar ist. | 25 | ||||
smtpUsername | Tag | Benutzername eines SMTP-Accounts auf dem o.g. Mailserver, welcher beim automatischen E-Mail-Versand zur Authentifizierung genutzt werden soll. Muss entfernt werden, sofern der Mailserver keine Authentifizierung erfordert. | email_user | ||||
smtpPassword | Tag | Passwort des o.g. SMTP-Accounts. Muss entfernt werden, sofern der Mailserver keine Authentifizierung erfordert. | email_password | ||||
mailConfig | queueProcessingIntervalMillis | Tag | Intervall für die Abarbeitung des Warteschlange zum Versand der automatisch von der PPP-Webanwendung erzeugten Mails (erzeugte Mails werden in eine Warteschlange einsortiert, die alle x Millisekunden abgearbeitet wird) | 1000 | |||
debugRecipient -> | Tag | E-Mail-Adresse, welche alle von diesem PPP-Mandanten automatisch verschickten E-Mails anstelle des regulären Empfängers geschickt werden soll. Durch die Verwendung dieses Tags ("debugRecipient") wird der Debug-Modus aktiviert. Wird das Tag komplett weggelassen (=> empfohlene Einstellung für Produktiv-Zwecke), so werden die E-Mails an die regulären Empfänger ausgeliefert. | support@picture-gmbh.de | ||||
contextRepositories contextRepository | In diesem Abschnitt werden die Produkt- und Leistungskataloge für die öffentliche Verwaltung konfiguriert, die Sie in Ihre Prozessplattform importieren können | ||||||
id | Tag | Id für die eindeutige Identifizierung eines contextRepository | ozg | ||||
name | Tag | Name der in Import-Menu der PICTURE-Prozessplattform angezeigt wird | OZG-Umsetzungskatalog | ||||
url | Tag | Url unter der der Katalog bei auf den Servern der PICTURE GmbH gehostet wird | |||||
prefix | Tag | Namespace-Prefix der bei wiederholtem Import die Zuordnung des Katalogs sicherstellt | OZG. | ||||
type | Tag | Prozesskontext-Typ (derzeit nur Leistungen) | Product | ||||
username | Tag | Benutzername für den Downloadbereich | Download_user | ||||
password | Tag | Password für den Downloadbereich | StrengGeheim | ||||
proxySettings | hostname | Tag | Hostname des HTTP(S)-Proxy-Servers, über den der von der PPP-Webanwendung ausgehende HTTP(S)-Traffic geleitet werden soll (z.B. für den Aufruf externer Schnittstellen wie dem Content-Broker-Server für das Prozessnetzwerk PICTURE improve). Die Verwendung eines Proxy-Servers ist optional. Er wird nur benötigt, wenn alle u.g. Bedingungen zutreffen:
| ||||
port | Tag | Port auf dem o.g. Host, unter welchem der Proxy-Server erreichbar ist | 3128 | ||||
scheme | Tag | Protokoll-Schema für den Zugriff auf den o.g. Proxy-Server (unterstützte Werte: "http", "https") | http | ||||
username | Tag | Benutzername für die Authentifizierung am o.g. Proxy-Server. Dies ist eine optionale Angabe. Unterstützt der Proxy-Server den unauthentifizierten Zugriff, so muss dieses XML-Tag weggelassen werden. | proxy_user | ||||
password | Tag | Passwort für das o.g. Benutzerkonto zur Authentifizierung am o.g. Proxy-Server. Dies ist eine optionale Angabe. Unterstützt der Proxy-Server den unauthentifizierten Zugriff, so muss dieses XML-Tag weggelassen werden. | proxy_password | ||||
ldapSettings | In diesem Abschnitt wird die LDAP-Schnittstelle konfiguriert. Diese kann für den Login von Nutzern verwendet werden. | ||||||
ldapConfigurations ldapConfiguration | In diesem Abschnitt werden alle Einstellungen für eine LDAP-Anbindung* konfiguriert. Es können 1 - n LDAP-Anbindungen pro PPP-Mandant konfiguriert werden | ||||||
ldapHost | (Pflicht-Abschnitt für eine LDAP-Konfiguration) | ||||||
hostname | Tag | Adresse (Hostname) unter welcher der LDAP-Server zu erreichen ist | |||||
port | Tag | Port des LDAP-Dienstes auf dem o.g. Server | 389 | ||||
bindUserDistinguishedName | Tag | Name des LDAP-Benutzers (in "LDAP distinguished name"-Syntax), unter dessen Identität sich die PPP-Webanwendung mit dem LDAP-Server verbinden soll um Anfragen an den LDAP-Server zu stellen (z.B. für Nutzersuche, oder zum Auslesen der Attribute eines LDAP-Objekts) . | uid=admin,ou=system | ||||
bindUserPassword | Tag | Passwort des LDAP-Nutzers (bindUserDistinguishedName). | my*Secret!Bind*User*Password | ||||
baseUserContainerDistinguishedName | Tag | LDAP Einstiegspunkt (in "LDAP distinguished name"-Syntax), unterhalb dessen die LDAP-Benutzerobjekte abgelegt sind, die zur Authentifizierung verwendet werden sollen. | ou=people,o=myCompany | ||||
searchScope | Tag | (Optional, Default "ONELEVEL_SCOPE") Suchbereich in dem relativ zum Einstiegspunkt gesucht wird. Mögliche Ausprägungen:
| ONELEVEL_SCOPE oder SUBTREE_SCOPE | ||||
ldapUserMapping | (Pflicht-Abschnitt für eine LDAP-Konfiguration) In diesem Abschnitt wird definiert, welche (PPP-)Attribute von PPP-Benutzerkonten durch die LDAP-Schnittstelle automatisch auf Basis von (LDAP-)Attributen von LDAP-Benutzerkonten befüllt werden sollen. | ||||||
userIdentifierAttribute | Tag | Name des LDAP-Attributs, anhand dessen ein LDAP-Nutzer eindeutig identifiziert wird. Die Ausprägung dieses Attributs für einen konkreten Nutzer wird von der LDAP-Schnittstelle verwendet um den Benutzernamen des zugehörigen LDAP-Synchronisierten PPP-Benutzerkontos zu bestimmen (bzw. bei Ersterstellung festzulegen). | sAMAccountName | ||||
userGroupIdentifierAttribute | Tag | Name des LDAP-Attributs, in welchem die LDAP-Gruppenzugehörigkeiten des LDAP-Benutzerkontos gespeichert sind. | memberOf | ||||
title | Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "Anrede" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | salutation | ||||
firstName | Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "Vorname" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | givenname | ||||
lastName | Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "Nachname" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | sn | ||||
Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "E-Mail-Adresse" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | ||||||
academicTitle | Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "Akademischer Titel" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | academicTitle | ||||
department | Tag | (Optional) Name des LDAP-Attributs anhand dessen das Feld "Abteilung" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll | department | ||||
ldapSyncedUserPresets | (Pflicht-Abschnitt für eine LDAP-Konfiguration) In diesem Abschnitt wird konfiguriert, welche Einstellungen bzgl. der Zugriffsberechtigungen von neuen PPP-Benutzerkonten vorgenommen werden sollen, welche nach dem ersten erfolgreichen Login mit diesem Benutzernamen über die LDAP-Schnittstelle in der PPP (durch die LDAP-Schnittstelle) automatisch angelegt werden. Dies betrifft z.B. den Lizenz-Typ des neuen Nutzerkontos sowie dessen Gruppenmitgliedschaften.
| ||||||
caseSensitiveLdapUserNameSupported | Tag | (Optional - standardmäßig "true") Gibt an, ob der verwendete LDAP-Server bei der Authentifizierung von Nutzern Groß- und Kleinschreibung im Nutzernamen berücksichtigt ("true") oder nicht ("false"). Beispiel: Wenn der LDAP-Server Groß- und Kleinschreibung nicht berücksichtigt, dann wird mit den Nutzernamen "Nutzer" und "NuTzEr" aus Sicht des LDAP-Servers dasselbe Nutzerkonto identifiziert. Solange der Nutzer das passende Passwort angibt, könnte er sich mit beiden Schreibweisen erfolgreich einloggen. Wenn Sie an dieser Stelle nun den Wert "true" angeben (obwohl der LDAP-Server keine Groß- und Kleinschreibung berücksichtigt), würde für jede Schreibweise des Nutzernamens jeweils ein neues PPP-Nutzerkonto für den Nutzer angelegt werden (z.B. ein Nutzer mit dem Namen "Nutzer" und ein zweiter Nutzer mit dem Namen "NuTzEr"). Falls Sie dies verhindern möchten, sollten Sie an dieser Stelle "false" angeben. Dann wird unabhängig der Schreibweise nur ein PPP-Nutzerkonto angelegt. Dieses wird unabhängig von der Eingabe im Login-Fenster mit komplett kleingeschriebenen Namen angelegt (z.B. "nutzer"). | false | ||||
defaultPppUserType | Tag | (Optional, solange in einem "ldapGroupPreset" oder einem "ldapOrgUnitPreset" s.u. mindestens ein gültiger Nutzertyp angegeben wurde) Ist kein Default-PPP-Nutzertyp definiert und es wird kein Treffer bei den "ldapSyncedUserPreset" für eine LDAP-Gruppe des Nutzers gefunden, schlägt der Login fehl. Ist der "defaultPppUserType" vorhanden, dann muss auch die "defaultPppGroup" vorhanden sein. Mögliche Ausprägungen:
| Betrachter | ||||
defaultPppGroup | Tag | (Optional) Die Mitgliedschaft für die Default-PPP-Gruppe wird immer dann zugewiesen, wenn der "defaultPppUserType" verwendet wird. | Demo-Nutzer | ||||
ipWhiteList | Tag | (Optional) Hier kann der Name einer IP-Adressrange für die Vergabe von IP-Zugriffsbeschränkungen (wie im Modul "Verwaltung", Abschnitt "IP-Zugriffsbeschränkungen" definiert) eingetragen werden. Falls hier von dieser Einstellung Gebrauch gemacht wird, so wird für alle von der LDAP-Schnittstelle automatisch neu angelegten PPP-Benutzerkonten diese IP-Zugriffsbeschränkung aktiviert (d.h. Logins sind mit diesen Benutzerkonten nur möglich, wenn die Login-Anfrage aus dem im Verwaltungsmodul für diese IP-Adresse definierten Adressbereich kommt). | myIntranet | ||||
ldapGroupPresets ldapGroupPreset | In einem "ldapGroupPreset"-Abschitt kann jeweils eine Regel festgelegt werden, welche PPP-Einstellungen aus der Mitgliedschaft in einer bestimmten LDAP-Gruppe abgeleitet werden sollen. | ||||||
ldapGroup | Tag | Name der LDAP-Gruppe in der ein LDAP-Benutzer Mitglied sein muss, damit beim Anlegen des zugehörigen PPP-Benutzerkontos die in diesem Abschnitt codierten Einstellungen angewendet werden sollen. Der Name der LDAP-Gruppe ist hierbei in der gleichen Schreibweise anzugeben, wie er in den LDAP-User-Objekten im dortigen Attribut, welches als "userGroupIdentifierAttribute" s. oben) gemappt ist, gespeichert ist. | cn=IT-Betrieb,dc=beispiel,dc=DE | ||||
pppGroups pppGroup | Tag | (Optional) Hier können die Namen von 0 - n PPP-Gruppen angegeben werden, denen das LDAP-synchronisierte PPP-Benutzerkonto beim Anlegen automatisch zugewiesen werden soll, sofern das LDAP-Benutzerkonto Mitglied der unter "ldapGroup" angegebenen LDAP-Gruppe ist. | Mitarbeiter | ||||
pppUserType | Tag | Der Nutzertyp wird allen neuen PPP-Benutzerkonten zugewiesen, wenn der entsprechende LDAP-Benutzer Mitglied in der unter "ldapGroup" angegebenen LDAP-Gruppe ist. (Ist ein LDAP-Nutzer Mitglied in mehreren LDAP-Gruppen, für die hier "ldapGroupPresets" definiert sind, so wird dem zugehörigen PPP-Benutzerkonto der hier von "mächtigste" in Frage kommende Nutzertyp zugewiesen.) Mögliche Ausprägungen:
| Administrator | ||||
ldapOrgUnitPresets ldapOrgUnitPreset | In einem "ldapOrgUnitPreset"-Abschitt kann jeweils eine Regel festgelegt werden, welche PPP-Einstellungen aus der Zugehörigkeit einer bestimmten LDAP-Org-Unit abgeleitet werden sollen. | ||||||
ldapOrgUnit | Tag | Name der LDAP-Organisatonseinheit in welcher der LDAP-Benutzer eingegliedert sein muss, damit beim Anlegen des zugehörigen PPP-Benutzerkontos die in diesem Abschnitt codierten Einstellungen angewendet werden sollen. | ou=Beratung,ou=ORG,ou=PICTURE,dc=beispiel,dc=DE | ||||
pppGroups pppGroup | Tag | (Optional) Hier können die Namen von 0 - n PPP-Gruppen angegeben werden, denen das LDAP-synchronisierte PPP-Benutzerkonto beim Anlegen automatisch zugewiesen werden soll, sofern das LDAP-Benutzerkonto Mitglied der unter "ldapOrgUnit" angegebenen LDAP-Organisatonseinheit eingegliedert ist. | Content-Redakteure | ||||
pppUserType | Tag | Der Nutzertyp wird allen neuen PPP-Benutzerkonten zugewiesen, wenn der entsprechende LDAP-Benutzer Mitglied in der unter "ldapOrgUnit" angegebenen LDAP-Organisationseinheit ist. (Treffen mehrere LDAP-OrgUnitPresets für ein LDAP-Nutzer Mitglied zu, so wird dem zugehörigen PPP-Benutzerkonto der hier von "mächtigste" in Frage kommende Nutzertyp zugewiesen.) Mögliche Ausprägungen:
| Modellierer |
...
Erscheint erwartungsgemäß der Login-Bildschirm, dann loggen Sie sich in die PPP ein und prüfen Sie deren prinzipielle Funktionsfähigkeit, in dem Sie zentrale Features stichprobenartig testen. Nutzen Sie hierzu die Testanleitung unter 6 - Smoke-Test-Szenario für die erfolgreiche Installation der PPP-Webanwendung (v3.x) - Debian 12.x .
_________________
* LDAP-Anbindung = Unter einer LDAP-Anbindung verstehen wir eine konfigurierte Verbindung zu einen LDAP-Server und die notwendigen Mappings und Voreinstellungen