Installation des Backends

enaio® coLab 11.10 »

Die enaio® coLab-Backend-API ist als Spring-Boot-Anwendung programmiert worden.

Installation

Bevor Sie das Backend einrichten, kopieren Sie alle Ressourcen aus dem Serviceportal in ein lokales Verzeichnis (<colab-localfolder>).

Als nächstes installieren Sie enaio® coLab mit SAM tools.

  1. Navigieren Sie in einem Eingabeaufforderungsfenster zum Verzeichnis <enaio_install>\service-manager\tools\sam.

  2. Führen Sie den folgenden Befehl aus: sam install <colab_localfolder>\colab-app\enaio-colab-app.jar

    In einer Meldung wird angezeigt, dass die Konfiguration gespeichert und enaio® coLab installiert wurde.

  3. Kopieren Sie die Datei <colab-localfolder>\colab-app\colab-prod.yml in das Verzeichnis <enaio_installation>\service-manager\config.

Konfiguration

Die Anwendungseigenschaften passen Sie über die Konfigurationsdatei an:

<enaio_installation>\service-manager\config\colab-prod.yml.

Eine Konfigurationsdatei mit allen Parametern steht zum Download zur Verfügung.

In diesem Absatz wird beschrieben, wie Sie verschiedene Abschnitte in der Konfigurationsdatei erweitern und ändern können.

Validieren Sie die .yml-Datei mithilfe eines Tools Ihrer Wahl, nachdem Sie die Konfiguration abgeschlossen haben. Die App kann nicht gestartet werden, wenn die .yml-Datei nicht valide ist.
Sensible Daten in der Konfigurationsdatei können verschlüsselt werden.

global:
  service:
    baseUrl: http://<gateway_IP>/colab

Die global.service.baseUrl sollte auf die Back-End-URL verweisen. Wenn Sie HTTPS verwenden, müssen Sie das Protokoll entsprechend ändern.

epr:
  smtp:
    host: 127.0.0.1
    port: 26
    from:
      name: "enaio(c) coLab"
      address: enaio-colab@colab.dev
   auth:
     enable: true
     username: username
     password: pass

Definieren Sie die SMTP-Eigenschaften entsprechend den Systemeinstellungen, in denen enaio® coLab installiert wurde. Wenn Ihr E-Mail-Server keine Authentifizierung erfordert, benötigen Sie keinen auth-Parameter.

Im file-repository-Bereich sollte der Parameter store auf fs eingestellt sein.

file-system-dir: Dieser Parameter definiert den Pfad, in dem temporäre Dateien gespeichert werden sollen. Das angegebene Verzeichnis muss im Dateisystem vorhanden sein (z. B. C:\data).

bucket: Das Bucket-Verzeichnis muss im Dateisystem innerhalb des file-system-dir-Pfades vorhanden sein (z. B. C:\data\bucketdir).

Im Postgres-Bereich ist uri die URL des Postgres-Servers. Der Benutzername und das Passwort gelten für den enaio® coLab-Benutzer, den Sie bei der Installation von Postgres erstellt haben. Wenn sich Ihre Datenbank und enaio® coLab auf demselben Server befinden, verwenden Sie localhost als URL.

Wenn sich Postgres und enaio® coLab auf verschiedenen Servern befinden, fügen Sie die Postgres-URL folgendermaßen hinzu:

  1. Öffnen Sie die Konfigurationsdatei C:\Program Files\PostgreSQL\10\data\pg_hba.conf und suchen Sie den Eintrag host all all 127.0.0.1/32 md5.

  2. Kopiere Sie die Zeile und füge Sie die Zeile noch einmal ein.

  3. Ersetzen Sie die IP 127.0.0.1 durch Ihre Server-IP-Adresse und speichern Sie die Datei.

  4. Um die Postgres-Konfiguration neu zu laden, öffnen Sie 'pgAdmin 4' als Postgres-Benutzer.

  5. Führen Sie die folgende Abfrage aus:

    select pg_reload_conf();

Ebenfalls notwendig ist für Neuinstallationen folgender Eintrag in der colab-prod.yml:

liquibase:
  contexts: legacy

Wechseln Sie in das Verzeichnis <enaio_installation>\services\os_gateway\apps\os_gateway\config\, öffnen Sie die Datei application-prod.yml und geben Sie folgendes ein:

proxy:
  services:
   endpoints:
	- endpoint:				
		name: colab		
		url: 'http://<colab-IP>:8066'

Aktualisieren Sie Einstellungen für die Anmeldung externer Benutzer:

Ersetzen Sie:

handleRedirectsFromService: 'OSWebClient,osweb'

durch:

handleRedirectsFromService: 'OSWebClient,osweb,epr,colab'

Falls der Eintrag nicht vorhanden ist, erstellen Sie ihn:

proxy:
  services:
    handleRedirectsFromService: 'OSWebClient,osweb,epr,colab'

Starten Sie danach enaio® gateway neu.

Die Einstellungen für enaio® server nehmen Sie in folgender Konfigurationsdatei vor:

<enaio_installation>\service-manager\config\application_blue.yml.

  enaio.dms.username: <enaio_user>
  enaio.dms.password: <enaio_pw>
  server: enaiodms1.example.com:4000:50#enaiodms2.example.com:4000:50

Alle enaio®-Server müssen hier aufgelistet sein.

Die folgenden Einstellung für die NTLM-Anmeldung von enaio®-Benutzern sind in enaio® enterprise-manager notwendig:

  • SSP-Login: Windows

  • Security Support Provider: NTLM

  • Reihenfolge der Anmeldung: A oder AI

  • Benutzernamen für LoginPipe-Ausnahmen: Alle technischen Benutzer aller Dienste und Services, die in enaio® eingebunden sind.

  • IP-Adressen für LoginPipe-Ausnahmen: Alle Adressen aller Dienste und Services, die in enaio® eingebunden sind.

  • Alternative LoginPipe: UI

COLAB_USER

Als Standard haben alle enaio®-Benutzer Zugriff auf enaio® coLab.

Sie können den Zugriff einschränken auf alle enaio®-Benutzer einer Gruppe. Die Gruppe benötigt keine weiteren Eigenschaften.

Ergänzen Sie die Datei colab-prod.yml aus dem Verzeichnis <enaio_installation>\service-manager\config\ um folgenden Eintrag mit Angabe des Gruppennamens:
enaio:
colab-user-group: groupname

COLAB_ADMIN

In der Benutzerverwaltung von enaio® richten Sie die Gruppe 'COLAB_ADMIN' ein. Die Gruppe benötigt keine weiteren Eigenschaften.

Mitgliedern dieser Gruppe werden nach der Anmeldung alle bestehenden Projekträume angezeigt. Zu jedem Projektraum können detaillierte Informationen aufgerufen werden. Projekträume auch anderer Projektraum-Besitzer können administriert und gelöscht werden.

Über einen Eintrag in der Datei application-blue.yml aus dem Verzeichnis <enaio_installation>\service-manager\config\ können Sie einer anderen Gruppe diese Funktion geben:

enaio.admin-user-group: NEW-GROUP_NAME

Anmeldung für externe Benutzer

In der Datei colab-prod.yml können Sie die Anmeldung in enaio® coLab für externe Benutzer konfigurieren. Die Anmeldung kann entweder über die Google-, LinkedIn- oder Microsoft-Konten der Benutzer erfolgen oder mithilfe von Keycloak als Authentifizierungsinstanz.

Führen Sie die folgenden Schritte aus, damit sich Benutzer mit ihren Google-Konten anmelden können:

  1. Melden Sie sich unter https://console.developers.google.com an.

  2. Erstellen Sie ein neues Projekt und wechseln Sie in den Bereich Credentials.

  3. Klicken Sie auf Create credentials und wählen Sie den Eintrag OAuth client ID aus.

  4. Wählen Sie als Anwendungstyp Web application aus.

  5. Rufen Sie Client-ID und Client Secret ab und tragen Sie die Daten in den entsprechenden Bereich in der Konfigurationsdatei colab-prod.yml ein.

  6. Klicken Sie auf Authorized JavaScript originsund geben Sie Ihre Domäne mit dem Protokoll ein, auf dem enaio® gateway installiert ist.

    Beispiel: http://<gateway-IP>:colab

  7. Geben Sie unter Authorized redirect URIs Ihren Domänennamen gefolgt von /epr/login/google/ ein.

    Beispiel: http://<gateway-IP>/colab/epr/login/google

  8. Passen Sie die Datei <enaio_installation>\service-manager\config\colab-prod.yml an:

    9. spring:
      security:
        oauth2:
          client:
            registration:
              google:
                clientId: client_id
                clientSecret: client_secret
                redirect-uri: ${global.service.baseUrl}/epr/login/google
                scope: openid, email, profile

Führen Sie die folgenden Schritte aus, damit sich Benutzer mit ihren LinkedIn-Konten anmelden können:

  1. Melden Sie sich unter https://developer.linkedin.com/docs/oauth2 an und führen Sie nur den Schritt 1 aus. Nachdem Sie die Authentifizierungsschlüssel (Client-ID und Client Secret) erhalten haben, tragen Sie die Daten in den entsprechenden Abschnitt in der Konfigurationsdatei colab-prod.yml ein.

  2. Wenn die Anwendung erstellt wurde, geben Sie Ihren Domainnamen unter Authorized redirect URLs zusammen mit dem Protokoll und dem Port und gefolgt von /epr/login/linkedin ein.

  3. Passen Sie die Datei <enaio_installation>\service-manager\config\colab-prod.yml an:

    4. spring:
      security:
        oauth2:
          client:
            registration:
              linkedin:
                clientId: client_id
                clientSecret: client_secret
                redirect-uri: ${global.service.baseUrl}/epr/login/linkedin
                scope: r_emailaddress, r_liteprofile
                client-authentication-method: post
                authorization-grant-type: authorization_code
            provider:
              linkedin:
                authorization-uri: https://www.linkedin.com/oauth/v2/authorization
                token-uri: https://www.linkedin.com/oauth/v2/accessToken
                user-info-uri: https://api.linkedin.com/v2/me
                user-name-attribute: id

Führen Sie die folgenden Schritte aus, damit sich Benutzer mit ihren Microsoft-Konten anmelden können:

  1. Melden Sie sich unter https://portal.azure.com an und suchen Sie über das Suchfeld nach App registration.

  2. Klicken Sie auf 'New registration', füllen Sie alle Felder mit den entsprechenden Daten aus und klicken Sie auf 'Register'.

    Application- ID / Client-ID und Object-ID werden angezeigt.

  3. Klicken Sie auf ‘Certificates & secrets’ und dann auf ‘New client secret’.
  4. Kopieren Sie den Wert von 'Client secret'.

    Microsoft zeigt den Client Secret nur einmal an

  5. Gehen Sie zu 'Authentification', klicken Sie auf Add a platform und von der Konfigurations-Platform auf Web und gehen Sie zu 'RedirectURL' und geben Sie Ihren Domänennamen und Ihr Protokoll ein, gefolgt von /epr/login/microsoft.

    Beispiel: http://<gatewayIP>/colab/epr/login/microsoft

    Wenn der Prozess abgeschlossen ist, tragen Sie den Client Secret zusammen mit dem App Key in den entsprechenden Abschnitt in der Konfigurationsdatei colab-prod.yml ein.

  6. Passen Sie die Datei <enaio_installation>\service-manager\config\colab-prod.yml an:

    7. spring:
      security:
        oauth2:
          client:
            registration:
              microsoft:
                client-id: client_id
                client-secret: client_secret
                provider: microsoft
                redirect-uri: ${global.service.baseUrl}/epr/login/microsoft
                scope: openid, profile, email, https://graph.microsoft.com/.default
                client-authentication-method: basic
                authorization-grant-type: authorization_code
            provider:
              microsoft:
                authorization-uri: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
                token-uri: https://login.microsoftonline.com/common/oauth2/v2.0/token
                user-info-uri: https://graph.microsoft.com/v1.0/me
                jwk-set-uri: https://login.microsoftonline.com/common/discovery/v2.0/keys
                user-name-attribute: id

Es ist möglich, Keycloak als Authentifizierungsinstanz in enaio® coLab zu verwenden. Keycloak muss aus Sicherheits- und Wartungsgründen auf einem eigenen Server installiert werden.

Sie müssen zuerst Keycloak mithilfe der Installationsdateien und anhand der Anweisungen https://keycloak.org installieren und konfigurieren. Die Benutzeraccounts werden über Ihre Instanz von Keycloak verwaltet.

Um Keycloak als Authentifizierungsinstanz in enaio® coLab zu verwenden, ergänzen Sie folgende Konfiguration in der Datei colab-prod.yml:

spring:
  security:
    oauth2:
      client:
        registration:
          keycloak:
            client-id: client_id
            client-secret: client_secret
            provider: keycloak
            redirect-uri: ${global.service.baseUrl}/epr/login/keycloak
            scope: openid, profile, email
            authorization-grant-type: authorization_code
            title: Keycloak server
        provider:
          keycloak:
            authorization-uri: http://<server_ip>:<port>/auth/realms/colab-test/protocol/openid-connect/auth
            token-uri: http://<server_ip>:<port>/auth/realms/colab-test/protocol/openid-connect/token
            user-info-uri: http://<server_ip>:<port>/auth/realms/colab-test/protocol/openid-connect/userinfo
            jwk-set-uri: http://<server_ip>:<port>/auth/realms/colab-test/protocol/openid-connect/certs
            user-name-attribute: sub

Um zu prüfen, ob die Änderungen nach der Aktualisierung von enaio® coLab angewendet wurden, gehen Sie zu http://127.0.0.1:7273 > coLab app. Klicken Sie auf 'Details' und dann 'Umgebung'. Suchen Sie nach den Keycloak-Eigenschaften und prüfen Sie, ob diese in der Liste enthalten sind.

Einbinden eines Virenscanners

In enaio® coLab kann per Webhook ein Virenscanner eingebunden werden, der Dokumente, die Benutzer einfügen wollen, prüft. Benutzer erhalten gegebenenfalls einen entsprechenden Hinweis.

Das Einbinden ist auf den Update-Seiten beschrieben.

Weitere Update-Informationen erhalten Sie über die Release-Seiten.

Verschlüsselung von Konfigurationswerten

Die Konfigurationswerte der Datei colab-prod.yml im Verzeichnis \config\ von enaio® service-manager können verschlüsselt werden:

  • Öffnen Sie die Eingabeaufforderung als Administrator und wechseln Sie in das Verzeichnis \service-manager\tools\encryption\.

  • Führen Sie folgenden Befehl aus: encode.bat "value" -W

    Der verschlüsselte Wert wird mit führendem 'ENC' und in runden Klammern angezeigt: ENC(encryptedvalue)

  • Kopieren Sie den verschlüsselten Wert mit führendem 'ENC' und mit den runden Klammern und tragen Sie diesen in die Konfigurationsdatei ein.

  • Speichern Sie die Konfigurationsdatei und starten Sie den Service gegebenenfalls neu.

Wenn der zu verschlüsselnde Wert Anführungszeichen enthält oder mit einem Backslash endet, dann müssen diese Zeichen durch einen Backslash maskiert werden.
Beispiel: encode.bat "passwordwith\"quotation\"marks" -W