yuuvis® RAD service-manager installieren

Schritte für die Installation von yuuvis® RAD service-manager:

1. Installationsverzeichnis yuuvis_rad_service-manager in das Dateisystem des Rechners kopieren, auf dem yuuvis® RAD service-manager mit den Microservices installiert werden soll.

2. yuuvis_rad_service-manager_setup-<Version>.exe aus dem Installationsverzeichnis ausführen.

Der Installationsassistent wird gestartet. Folgen Sie den Schritten des Installationsassistenten.

3. Geben Sie folgende Microservice-Parameter an.

   Die zentralen Microservice-Parameter werden in die Konfigurationsdateien der Microservices eingetragen. Nachträgliche Änderungen können über den Service Application Manager SAM vorgenommen werden.

Technischer Dienstname / Dienstanzeigename	Technischer Dienstname und Dienstanzeigename für die Dienststeuerung.
HTTP-Port	Port von yuuvis® RAD service-manager. Default: 7281
Datenverzeichnis	Datenverzeichnis für yuuvis® RAD service-manager.
Server	IP-Adresse des Rechners, auf dem yuuvis® RAD core-service installiert ist.
API-Schlüssel	API-Schlüssel des Systembenutzers angeben. Der hier benötigte API-Schlüssel wird bei der Installation von yuuvis® RAD core-service angezeigt. Zugriffe aus yuuvis® RAD service-manager auf yuuvis® RAD core-service erfolgen im Kontext des Systembenutzers, der bei diesen Zugriffen über alle Rechte verfügt.
Datenbanktyp	MSSQL PostgreSQL Oracle Datenbanken werden nur für bestehende Installationen weiterhin unterstützt.
Datenbankserver	IP-Adresse des Rechners, auf dem die Datenbank installiert ist.
Datenbankserver-Port	Port des Datenbankrechners.
Datenbankinstanz	Datenbankinstanzname
Datenbankname	Datenbankname
Schemaname	Schemaname der Datenbank.
Datenbankbenutzer	Name des technischen Benutzers für den Datenbankzugriff.
Datenbankpasswort	Passwort des technischen Benutzers für den Datenbankzugriff.
JDBC Zeichenkette	Die JDBC Zeichenkette für die Datenbankverbindung wird automatisch aus den Datenbankangaben erstellt. Ändern Sie den Eintrag nur, wenn Anpassungen für spezifische Umgebungen notwendig sind.
Rendition-Server	IP-Adresse des Rendition-Dienstes. Der Rendition-Dienst kann nach yuuvis® RAD service-manager installiert werden.
Rendition-Server-Port	Port des Rendition-Dienstes. Default: 8090
Tesseract OCR	Tesseract wird mit yuuvis® RAD service-manager installiert und, falls die Option aktiviert wird, als OCR-Komponente vorkonfiguriert. Für Tesseract geben Sie die gewünschten Sprachen an. Die Sprachkonfiguration wird in die Konfigurationsdatei <service-manager>\config\ocr–prod.yml eingetragen und kann nachträglich bearbeitet werden. tesseract:   languages: deu,eng
Elasticsearch: Server und Port	IP-Adresse von Elasticsearch und Port. Default: 9200
Elasticsearch: Passwort	Passwort der Elasticsearch-Installation. Das Passwort wird in der Datei application-es.yml gespeichert.
Sprachkürzel	Sprache für das Linguistic Plugin. Aktiviert werden kann eine Sprache: Deutsch (de), Englisch (en), Französisch (fr), Spanisch (es) oder Italienisch (it). Lizenzen für mehrere und weitere Sprachen können von OPTIMAL SYSTEMS erworben und eingebunden werden.
IP-Filter für dms-sidecar	IP-Adressen, von denen über den Service 'dms-sidecar' auf yuuvis® RAD core-service zugegriffen werden kann. Voreingetragen sind 127.0.0.1 und die Adresse von yuuvis® RAD service-manager. Diese Adressen sind für diesen IP-Filter notwendig und in der Regel ausreichend. Eingetragen werden die Adressen in die Konfigurationsdatei application-prod.yml aus dem Verzeichnis \config.

4. Passen Sie vor dem Dienststart die Dienstparameter an:

   • yuuvis_rad_service_managerw.exe aus dem Verzeichnis \service-manager\bin\ ausführen.

   Dienstparameter:

   Log On > Account	Konto für die Dienstanmeldung yuuvis® RAD service-manager benötigt ein administratives Konto.
   Logging > Level	Optional: Protokollierungslevel für die Dienstprotokollierung
   Logging > Path	Optional: Pfad für Dienstprotokolle
   Logging > Stdout	Optional: Umleitung der Standardausgabe in eine Datei
   Logging > Stderror	Optional: Umleitung der Standardfehlerausgabe eine Datei
   Startup > Arguments	Der Port von yuuvis® RAD service-manager kann geändert werden. Default: 7281
   Java > Java Options	Optional: Tomcat-Datenverzeichnisse anpassen.

5. Wenn die Microservices 'structureservice' und 'discoveryservice' auf unterschiedlichen Rechnern laufen und/oder der Discoveryservice auf einem anderen Port als dem Standard-Port (7261) läuft, dann ergänzen Sie die Konfigurationsdatei <service-manager>\config\servicewatcher-sw.yml um die entsprechenden Werte, Host/ Port des Discoveryservice, im Structureservice-Abschnitt wie folgt:

   - name: structureservice
     type: executable
     profiles: prod,red,es,mq
     instances: 1
     port: 7461-7469
     path: ${appBase}/structureservice/structure-service.exe
     env:
       EUREKA_HOST: discovery-host
       EUREKA_PORT: discovery-port

6. Einstellung für die Authentifizierung über den Microservice 'GATEWAY'

   Über die Konfigurationsdatei gateway-prod.yml aus dem Verzeichnis \service-manager\config\ wird die Authentifizierung konfiguriert.

   • Einstellungen für Login-Form (Default-Einstellung)

     Das Login erfolgt über den yuuvis® RAD-Benutzernamen und das yuuvis® RAD-Passwort:

     authentication.filter.ntlm: false
     authentication.filter.form: true
     authentication.filter.basic: true
     authentication.filter.ldap: false
     authentication.filter.oauth2: false

   • Einstellungen für Single-Sign-On über NTLM

     Das Login erfolgt automatisch über die vom Benutzer verwendete Windows-Domänen Sitzung:

     authentication.filter.ntlm: true
     authentication.filter.form: false
     authentication.filter.basic: false
     authentication.filter.ldap: false
     authentication.filter.oauth2: false

     Wenn die Domäne des Benutzers beim Login berücksichtigt werden soll, weil diese in der Benutzerverwaltung angegeben ist, dann kann ein zusätzlicher Parameter angegeben werden:

     authentication.ntlm.usersubstitutionpattern:

     Default: '#USER#'

     Geben Sie das Muster an, in der Benutzername und Domain in der Benutzerverwaltung angegeben sind. Beispiele: '#USER#@#DOMAIN#.com' '#USER#@#FQDOMAIN#' Werte: '#USER#', '#DOMAIN#', '#FQDOMAIN#' #FQDOMAIN# ist der 'Fully Qualified Domain Name'.

     Per Default wird die Domäne nicht verwendet und muss deshalb nicht konfiguriert werden.

     Ebenfalls angegeben werden kann das Protokoll für das Single-Sign-On: NTLM (Default) oder Negotiate. Negotiate geben Sie für Anmeldungen per Kerberos an:

     authentication.ntlm.protocol:

     Default: 'NTLM'

     Geben Sie 'Negotiate' für Anmeldung per Kerberos an.

     Die Authentifizierung erfolgt über das Sitzungs-Token bei der Domäne. Die Benutzer müssen ebenfalls als yuuvis® RAD-Benutzer angelegt sein, beispielsweise über die Operation Organisation importieren. Das Passwort wird nicht in yuuvis® RAD gespeichert.

     Voraussetzung für eine erfolgreiche Single-Sign-On-Authentifizierung ist die korrekte Konfiguration der Sicherheitszone der yuuvis® RAD-Webclient-URL und das Erlauben der Übertragung des Sitzungs-Tokens in den Domänen-Gruppenrichtlinien bzw. in den Einstellungen der gewünschten Server- bzw. Client-Arbeitsplätzen. Informationen dazu finden Sie beispielsweise hier.

   • Einstellungen für das Einbinden eines Identity Providers über einen Reverse Proxy

   yuuvis® RAD gateway verwendet dabei die Header-Authentifizierung. Der Reverse Proxy muss diesen Header setzen, damit eine gültige Session aufgebaut werden kann.

   Dieses Anmeldeverfahren ermöglicht die Anmeldung ohne Passwort. yuuvis® RAD gateway sollte über IP-Filter gesichert werden oder über eine Firewall, um nur eine Zugriff über den Reverse Proxy zu erlauben.

   Die Konfigurationsdatei gateway-prod.yml muss um folgende Zeilen erweitert werden:

   authentication.filter.external: true
   authentication.filter.header.name: 'X-User'
   
   routing.logoutSuccessRedirect: '/app/logout'
   authentication.exposed.endpoints: '/app/logout'
   
   server.forward-headers-strategy: NATIVE

   Parameter:

   authentication.filter.external	true Kennzeichnung für die Verwendung eines externen Identity Providers.
   authentication.filter.header.name	Header, der für den Reverse Proxy konfiguriert ist. Wird der konfigurierte Header nicht gefunden oder enthält einen ungültigen Benutzernamen, dann wird der nächste Anmelde-Filter aufgerufen. Der nächste Filter ist als Standard der Filter, der in der gateway-prod.yml in der aufgeführten Reihenfolge den Wert true hat. 'NTML' hat immer Vorrang vor 'FORM' bzw. 'Basic'.
   routing.logoutSuccessRedirect	Seite, auf die nach dem Ausloggen weitergeleitet wird. Angegeben werden muss ein Verzeichnis mit einer Datei index.html. Das Verzeichnis muss im Installationsverzeichnis von yuuvis® RAD service-manager unterhalb des Verzeichnisses \webresource\public\ liegen. Das Verzeichnis \webresource\public\ wird dabei mit /app angegeben.
   routing.logoutSuccessRedirect	Seite, auf die nach Fehlern weitergeleitet wird. Die Seite muss entsprechend der Seite, auf die nach dem Ausloggen weitergeleitet wird, angelegt werden.
   server.forward-headers-strategy	NATIVE Notwendiger Spring Boot Parameter.

   Weiter notwendig ist folgende Einstellung in der Konfigurationsdatei application-prod.yml aus dem Verzeichnis \config von yuuvis® RAD service-manager:

   server.max-http-header-size: 10MB
   server.max-http-request-header-size: 10MB

   Die Funktion Passwort ändern steht beim Einbinden eines Identity Providers in yuuvis® RAD client nicht zur Verfügung.

   Keycloak und Azure AD / Entra ID können direkt angebunden werden.

   • Einstellungen für LDAP-Authentifizierung

     Das Login erfolgt über den Windows Active Directory (Domäne) bzw. LDAP-Server Benutzernamen und Passwort:

     authentication.filter.ntlm: false
     authentication.filter.form: true
     authentication.filter.basic: true
     authentication.filter.ldap: true
     authentication.filter.oauth2: false

     Mit 'LDAP' muss immer auch 'FORM' oder 'BASIC' aktiviert werden.

     Die Authentifizierung erfolgt dann gegen den (Domänen-)Verzeichnisdienst, die Benutzer müssen ebenfalls als yuuvis® RAD-Benutzer angelegt sein, beispielsweise über die Operation Organisation importieren.

     Wie bei 'NTLM' sind die Passwörter nicht in yuuvis® RAD gespeichert. Benutzer müssen ihr Passwort aber beim Login angeben.

     Zusätzlich müssen die Daten für die Verbindung zum Verzeichnisdienst angegeben werden:

     authentication.filter.ldap: true
     
       ldap:
         defaultpostfix: '@DOMAIN1.local'
         usedefaultforlogin: false
         provider:
           - domain: 'DOMAIN1.local'
             providerurl: 'ldap://10.6.0.119:389'
           - domain: 'DOMAIN2.local'
             providerurl: 'ldap://10.6.0.120:389'
           - domain: 'DOMAIN3\'
             providerurl: 'ldap://10.6.0.121:389'
         excludeuser:
           - root2
           - root

     Parameter:

     provider	Provider geben Sie mit der Domain und einer gültigen voll qualifizierten LDAP-Server URL an. Mehrere Provider sind möglich.
     defaultpostfix	Benutzernamen können mit einem Domain-Postfix erweitert an den entsprechenden Provider aus der Liste zur Anmeldung weitergeleitet werden. Dadurch müssen Benutzer nur noch den Benutzernamen ohne Domain angeben, können also statt 'Name@Domain' nur ihren Namen eingeben. Falls Benutzer den Benutzernamen mit '@' eintragen, dann wird der Eintrag nicht erweitert
     usedefaultforlogin	Wenn yuuvis® RAD-Benutzerbezeichnungen mit einem Domain-Praefix oder -Postfix angelegt sind, dann geben Sie hier 'true' an, andernfalls 'false'. Benutzer aus Verzeichnisdiensten können über eine Synchronisierungs-Operation in die yuuvis® RAD-Benutzerverwaltung übernommen werden. Dabei können Daten strukturiert und mit Postfix angelegt werden.
     excludeuser	Liste von Benutzern, die nicht über den Verzeichnisdienst, sondern als yuuvis® RAD-Benutzer angemeldet werden.

7. Weitere optionale Anpassungen:

   • HTTPS

   HTTPS kann aktiviert werden.

   • SameSite-Attribut

   Für die Cookies von yuuvis® RAD kann das SameSite-Attribut gesetzt werden: strict, lax, none.

   Das SameSite-Attribut wird in die Konfigurationsdatei gateway-prod.yml aus dem Verzeichnis \service-manager\config\ in einer neuen Zeile eingetragen: cookie.samesite: 'strict'

   • Kontextpfad

   Ein Kontextpfad wird für alle URLs als Präfix verwendet. Durch einen Kontextpfad wird yuuvis® RAD gateway erreichbar, wenn er als einer von mehreren Diensten auf einer Adresse läuft. Damit ist beispielsweise das Einbinden in Portale möglich.

   • Über die Konfigurationsdatei gateway-prod.yml aus dem Verzeichnis <service-manager>\config\ wird ein Kontextpfad eingebunden:

     server.servlet.context-path: '/yuuvis/contextpath'
     management.server.port: 7396

     • server.servlet.context-path: Angegeben werden beliebig viele Pfadsegmente mit führendem /, aber ohne abschließendem /.

     • management.server.port: freier Port, der für die anderen yuuvis®-Dienste erreichbar ist, Standard: 7396. Management-URLs werden nicht unter dem Kontextpfad, sondern unter dem definierten Port aufgerufen.

     Falls mehrere Instanzen des Microservice 'Gateway' laufen, dann kann für jede Instanz ein Kontextpfad angegeben werden. Benötigt wird ebenfalls jeweils ein eigener Management-Port.

     Für die weiteren Instanzen des Microservice 'Gateway' legen Sie jeweils als Profil eine Datei gateway-<profilbezeichnung>.yml an und geben dort Kontextpfad und Management-Port an.

     Beispiel für eine Profil-Datei gateway-context.yml:

     server.servlet.context-path: '/yuuvis/contextpath_2'
     management.server.port: 7397

     Der Management-Port muss jeweils mit fortlaufender Nummerierung angegeben werden.

     Das Profil wird dem entsprechenden Microservice 'Gateway' über die Konfigurationsdatei servicewatcher-sw.yml zugeordnet.

     Beispiel für eine Profilzuordnung über die Konfigurationsdatei servicewatcher-sw.yml:

     - name: gateway
       type: microservice
       profiles: prod,cloud,red
       instances: 1
       memory: 256M
       port: 80
       path: ${appBase}/gateway/gateway-app.jar
       args:
       - --management.server.port=7396
       
     - name: gateway_2
       type: microservice
       profiles: prod,cloud,red,context
       instances: 1
       memory: 256M
       port: 81
       path: ${appBase}/gateway/gateway-app.jar
       args:
       - --management.server.port=7397

     Der Management-Port kann, statt in Profildateien, wie im Beispiel in der servicewatcher-sw.yml angegeben werden.

     Wenn ein Kontextpfad konfiguriert ist, dann sollte für den Service 'clientservice' das Cachen über folgenden Eintrag in der Datei client-prod.yml aktiviert werden: spring.web.resources.chain.cache: true

   • Instanzen und Speicherzuweisungen

   Über die Konfigurationsdatei servicewatcher-sw.yml aus dem Verzeichnis \service-manager\config\ können Microservice-Instanzen hinzugefügt und Microservices deaktiviert werden (instances: 0).

   Die Speicherzuweisung für die einzelnen Microservices kann geändert werden.

   • Service 'messagingservice'

   Die Standardgröße für die KAHADB-Datenbank des Services 'messagingservice' beträgt 50 GB. Diese Größe reicht aus für bis zu 100 Millionen Nachrichten. Falls mehr Nachrichten zu erwarten sind, dann kann die Größe hoch gesetzt werden.

   Über die Konfigurationsdatei application-mq.yml aus dem Verzeichnis \service-manager\config\ geben Sie den Wert in Bytes über folgenden Parameter an:

   spring.activemq.storeLimitInBytes

8. Starten Sie den Dienst yuuvis® RAD service-manager.

   Der Start von yuuvis® RAD service-manager und der Microservices kann einige Minuten in Anspruch nehmen.

Falls yuuvis® RAD service-manager Microservices nicht startet, dann prüfen Sie die folgende Einstellung im Registrierungs-Editor: Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfProc\Performance\Disable Performace Counters (REG_DWORD). Als Wert muss 0 angegeben werden.
Falls die Spracheinstellung des Betriebssystems geändert wurde und die Microservices nicht starten, dann prüfen Sie die folgenden Einstellungen im Registrierungs-Editor: Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009. Die Werte müssen in englisch vorliegen. Das Zurücksetzen der Sprachumstellung löst in der Regel das Problem. Informationen finden Sie ebenfalls bei Microsoft.