Installation sur un système Ubuntu
Base de données
- Installez Maria DB en suivant les instructions d'installation officielles.
- Vérifiez l'installation à l'aide de la commande suivante (selon la version actuelle de MariaDB, le service peut s'appeler
MariaDB ou mysqld) :
systemctl start mysql
systemctl status mysql
3. Configurez la base de données et l'utilisateur correspondant :
sudo mysql -uroot -e "CREATE DATABASE frontlinecommandcenter CHARACTER SET = 'utf8' COLLATE = utf8_bin;"
sudo mysql -uroot -e "CREATE USER 'frontline'@'localhost' IDENTIFIED BY '$PASS'"
sudo mysql -uroot -e "GRANT ALL ON frontlinecommandcenter.* TO 'frontline'@'localhost' IDENTIFIED BY '$PASS' WITH GRANT OPTION;"
4. Remplacez l'espace réservé $PASS par un mot de passe sécurisé.
Note : Si une base de données appropriée a déjà été installée et configurée auparavant, créez un utilisateur pour cette base de données et remplacez -u root par -u nom_de_l'utilisateur -p.
Frontline Centre de commandement
1. Créez un répertoire pour le fichier .jar defrontline: sudo mkdir /var/opt/frontline
2. Créez un répertoire pour les données de l'utilisateur : sudo mkdir /var/data/frontline
3. Téléchargez le fichier JAR de l'application serveur à partir de la pageFrontline Downloads.
4. Renommez-le en frontline.jar et copiez-le dans /var/opt/frontline: sudo cp ~/Downloads/frontline.jar /var/opt/frontline
5. Rendez frontline.jar exécutable : sudo chmod +x /var/opt/frontline / frontline.jar
6. Frontline s'exécute en tant que service Spring Boot. Naviguez vers /etc/systemd/system et créez un fichier avec les détails du service : sudo touch frontline.service
7. Modifiez frontline.service et ajoutez :
[Unit]
Description=frontline command center
After=mysql.service
[Service]
Environment="UBIMAX_HOME=/var/data/frontline/"
ExecStart=/var/opt/frontline/frontline.jar
SuccessExitStatus=143
[Install]
WantedBy=multi-user.target
8. Pour activer le service, utilisez systemctl enable frontline.service
9. Démarrez le service via systemctl start frontline.service
10. Le service créera quelques fichiers de configuration /var/data/frontline et s'arrêtera ensuite.
Installation sur un système Windows
Base de données
1. Téléchargez la dernière version stable de MariaDB depuis le site officiel et suivez le guide d'installation.
2. Exécutez le programme d'installation de MariaDB, y compris le programme de support HeidiSQL .
3. Créez un mot de passe root pour la base de données.
Note : Le mot de passe root sera appelé dbrootpassword dans ce manuel.
4. Cliquez sur Suivant.
5. Une fois l'installation terminée, démarrez l'utilitaire HeidiSQL. Dans le cas d'une installation par défaut, le fichier est situé ici : C:\NProgram Files (x86)\NCommon Files\NMariaDBShared\NHeidiSQL\Nheidisql.exe
6. Cliquez sur Nouveau.
7. Créez une nouvelle base de données avec un nom donné (par exemple, Frontline_Test).
8. Remplacez l'espace réservé$PASSpar votremot de passe dbroot créé précédemment.
9. Facultatif : personnaliser le nom d'hôte/IP et le numéro de port.
Si vous utilisez un autre système de base de données, adaptez l'instruction SQL ci-dessous à votre base de données :
CREATE DATABASE FrontlineCommandCenter CHARACTER SET = 'utf8' COLLATE = utf8_bin;
CREATE USER 'frontline'@'%' IDENTIFIED BY '$PASS';
GRANT ALL ON FrontlineCommandCenter.* TO 'frontline'@'%' IDENTIFIED BY '$PASS' WITH GRANT OPTION;
Frontline Centre de commandement
- Allez sur la page Frontline Downloads.
- Téléchargez le fichier de l'application serveur et renommez-le en frontline.jar.
- Téléchargez le wrapper du service serveur à partir de la même page.
FCC nécessite un répertoire d'installation et un répertoire DATA :
- Répertoire d'installation - Contient le fichier frontline.jar et les fichiers WinSW_frontline.exe et WinSW_frontline.xml.
- Emplacement :
C:\N-Frontline - ID :
$BASE$
- Répertoire DATA - Il s'agit du répertoire personnel. Il est utilisé pour les ressources du client telles que les cartes de connexion et les thèmes. Créez un nouveau dossier dans le répertoire d'installation et nommez-le DATA.
- Emplacement :
C:\N-Frontline\NDATA - ID :
$FRONTLINE_HOME
Note : Les identifiants d'emplacement $BASE$ et $FRONTLINE_HOME$ seront utilisés comme référence dans les exemples de code suivants.
Le service wrapper WinSW_frontline.exe permet aux utilisateurs d'installer le service FCC en tant que service Windows.
- Facultatif : si vous devez configurer un proxy de transmission (par exemple, pour permettre à FCC d'accéder à notre serveur de licences), ouvrez le fichier WinSW_frontline.xml et ajoutez
-Dhttps.proxyHost =$ HOST -Dhttps.proxyPort=$PORT -Dhttps.nonProxyHosts=localhost au début de l'élément <arguments> , en remplaçant $HOST et $PORT par les valeurs de votre proxy. - Ouvrez une invite de commande (avec des droits d'administrateur).
- Changez le répertoire en
$BASE$. - Exécutez
WinSW_frontline.exe install. - net start frontline(l'ID du service par défaut est frontline).
Lors du premier démarrage, le service s'arrête automatiquement après avoir extrait les fichiers de configuration. Windows peut signaler que le service a échoué ou s'est écrasé.
Le répertoire FCC config est situé dans le répertoire $FRONTLINE_HOME$. L'emplacement doit être C:\N-Frontline\NDATA\Nconfiguration\N. Le fichier de configuration xserver.properties doit être modifié comme expliqué ci-dessous.
Configuration initiale de Frontline Command Center (Ubuntu et Windows)
- Ouvrez le fichier xserver.properties situé dans
UBIMAX_HOME/configuration/configuration/. - Modifiez l'adresse IP, le nom d'utilisateur et le mot de passe de la base de données (pour afficher l'adresse IP, utilisez la commande
ip addr show ). - Si le client a un nom host,
xserver.url.external.http peut être utilisé à la place de l'adresse IP. Le port doit être mentionné dansserver.port. SSL doit être configuré à moins qu'il n'y ait un proxy inverse avec terminaison SSL.
Selon le système et les besoins individuels, l'installation ou la configuration de composants tels que Keycloak, xAssist Stack, ffmpeg, Email et FaaS est nécessaire.
FaaS (obligatoire)
1. Pour utiliser les services cloud Frontline, définissez la propriété suivante :
fcc.faas.base-url=https://functions.svc.frontlineworker.com/function/
2. Dans le cas de l'auto-hébergement, le point de terminaison de chaque FaaS peut être modifié individuellement :
fcc.faas.function.<function>.override-url=
alors que la fonction est imagemagick, pdfmake ou proglove.
3. Pour ImageMagick et Proglove, aucune configuration supplémentaire n'est nécessaire.
4. Pour PDFMake, les variables environnementales suivantes doivent être définies :
RAW_BODY: "true"
MAX_RAW_SIZE: "100mb"
Démarrage du serveur
- Une fois la configuration des propriétés terminée, démarrez le serveur à l'aide de la commande suivante :
systemctl start frontline.service (UBUNTU) ou net start frontline (WINDOWS). - L'état du service peut être vérifié sous
UBIMAX_HOME/log/server/fronline.log. - Lors du premier démarrage réussi de FCC, un utilisateur administrateur système appelé
sysadmin est créé avec un mot de passe aléatoire. Cet utilisateur est utilisé pour configurer FCC. - Le mot de passe de l'utilisateur
sysadmin peut être récupéré dans les fichiers journaux situés dans$FRONTLINE_HOME\logs. - Ouvrez le fichier.log defrontlineet le mot de passe s'affiche dans le format suivant :
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - YOUR GENERATED SYSADMIN PASSWORD: 123456789 - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - CHANGE THIS PASSWORD AS SOON AS POSSIBLE TO A PERSONALIZED ONE. - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - ########################################################## - -:-/-
INFO de.ubimax.xserver.DatabaseSetupManager - #####################################################
6. Connectez-vous avec l'utilisateur sysadmin et modifiez le mot de passe.
Pour importer une licence :
- Ouvrez Frontline Command Center.
- Allez à Configuration.
- Allez dans Licences.
- Cliquez sur Importation de licence.
- Dans la fenêtre modale qui s'affiche ensuite, cliquez sur Importer la licence pour synchroniser l'entrée avec le serveur de licences.
Porte-clés (obligatoire)
Il existe deux modes de fonctionnement pour Keycloak : le mode autonome et le mode groupé. Le choix de l'un ou de l'autre dépend de vos besoins individuels. Pour un guide détaillé sur la façon de configurer l'un ou l'autre, veuillez consulter le guide d'installation officiel de Keycloak. Frontline prend en charge la version 15 ou une version ultérieure.
Une fois que Keycloak a été installé avec succès, les domaines à utiliser dans cette installation doivent être créés. Chaque domaine d'une installation FCC doit avoir un domaine distinct.
- Téléchargez ce fichier JSON.
- Ouvrez le fichier JSON d'exportation de domaine.
- Remplacer toutes les occurrences de
<the-fcc-url> par l'URL réelle de la FCC. - Facultatif: Remplacer toutes les occurrences de
frontline-realm par un autre nom de domaine (uniquement applicable si plusieurs domaines Frontline sont requis dans Keycloak). - Facultatif : Recherchez
"claim.name" : "domain" et remplacez la valeur du domaine correspondant (uniquement applicable si FCC utilise un domaine autre que le domaine ubimax par défaut). - Connectez-vous à la console d'administration Keycloak via le navigateur.
- Cliquez sur Select Realm.
- Choisissez Ajouter un domaine.
- Sélectionnez un fichier à importer.
- Ouvrez le domaine importé.
- Naviguez jusqu'à
Clients/FCC/Credentials. - Cliquez sur Régénérer le secret.
- Copier cette valeur.
- La valeur copiée doit être définie dans le fichier xserver.properties du FCC en tant que
fcc.keycloak.realms.<domain>.clientSecret (<domain> est ubimax par défaut). - Facultatif : Configurez un serveur SMTP dans l'onglet email des paramètres du royaume.
- Une fois Keycloak configuré, les propriétés suivantes doivent être définies pour chaque domaine dans le fichier xserver.properties du FCC :
- Tous les espaces réservés écrits en chevrons (<>) doivent être remplacés par les détails correspondants.
- Il est prévu de donner à l'
URI du KeyMan la valeur null.
fcc.keycloak.enabled=true
fcc.keycloak.realms.<domain>.name=<realm-name>
fcc.keycloak.realms.<domain>.domainTag=<domain>
fcc.keycloak.realms.<domain>.realmId=<realm-name>
fcc.keycloak.realms.<domain>.serverUrl=<keycloak-external-url>
fcc.keycloak.realms.<domain>.clientId=fcc
fcc.keycloak.realms.<domain>.clientSecret=<client-secret>
fcc.keycloak.keyman.uri=
Remarque :KeyManest un service qui exécute automatiquement toutes les étapes décrites ci-dessus sur les instances de Frontline Cloud et n'est pas nécessaire pour l'auto-hébergement de Keycloak.
Télécharger l'application client
Une fois le Keycloak configuré, un utilisateur administrateur doit être créé et l'application client doit être téléchargée sur le centre de commande Frontline.
- Créez un utilisateur avec un rôle d'administrateur en suivant les étapes mentionnées sur la page Gestion des utilisateurs.
- Téléchargez la dernière version de l'application Frontline Workplace smart glass à partir de la page Téléchargements .
- Sur Frontline Command Center, en haut à gauche, sélectionnez Navigation Pane.
- Allez à Configuration.
- Suivez les étapes mentionnées sur la page de gestion des candidatures pour télécharger la candidature.
Intégration IAM
Pour faciliter la gestion des utilisateurs, Frontline prend en charge la synchronisation des détails de l'utilisateur entre votre fournisseur d'identité et FCC. Si ce mappage est activé, FCC traitera les détails de l'utilisateur IDP et ne permettra pas de les remplacer au niveau de l'administration de FCC. Les détails de l'utilisateur synchronisés sont les préférences linguistiques, les rôles, l'attribution de licences et les équipes.
Actuellement, Frontline prend en charge les types d'IAM suivants :
- Microsoft Azure Active Directory
- Microsoft Active Directory
- Gestion des identités et des accès AWS
Les rôles, les licences et les équipes ne seront pas appliqués avec succès dans les cas suivants :
- La licence, les rôles ou l'équipe ne correspondent pas à 100 % dans l'IDP et la FCC (la sensibilité à la casse s'applique).
- La FCC n'a pas de licences gratuites (pour les rôles et la cartographie des licences)
- L'utilisateur ne s'est pas encore connecté (la synchronisation n'a lieu que lorsqu'un utilisateur se connecte).
Les rôles et les équipes disponibles chez les fournisseurs d'identité doivent être soigneusement définis afin que les rôles, les licences et les équipes puissent être mis en correspondance avec succès :
- <LicenseName> attribue la licence à un utilisateur particulier (par exemple, License_xAssist)
- <RoleName> attribue un rôle à un utilisateur particulier et assume une licence (par exemple, Administrateur).
- <Team> assigne un utilisateur particulier à une équipe de FAC
Courtage d'identité (facultatif)
Note : Le courtage d'identité n'est possible que sur les installations du FCC où les utilisateurs sont entièrement présents dans Keycloak. Il ne fonctionne que lorsque tous les utilisateurs existants se sont connectés au moins une fois avec Keycloak ou sur les nouvelles installations où Keycloak a été activé dès le départ.
Grâce au courtage d'identité, les domaines Keycloak peuvent être connectés à des fournisseurs d'identité (IDP) externes basés sur OpenID. Cela signifie qu'au lieu de saisir ses informations d'identification dans Keycloak, l'utilisateur est redirigé vers un IDP externe (par exemple Azure AD ou Okta) et, une fois l'authentification réussie, il est renvoyé vers Keycloak (puis vers Frontline).
L'image ci-dessous montre le processus d'authentification de base lorsqu'un utilisateur se connecte :
L'utilisateur ne partagera jamais son mot de passe avec le FCC mais sera redirigé vers Keycloak et le fournisseur d'identité qui créera un jeton d'authentification. Par défaut, Keycloak tente de faire correspondre l'utilisateur externe à un utilisateur existant de Frontline par le biais de l'adresse électronique. Si cela n'est pas possible (si aucun utilisateur correspondant n'a été trouvé), la procédure de connexion est interrompue et l'accès à Frontline est refusé.
Un domaine Keycloak peut contenir plusieurs courtiers d'identité (par exemple, Azure AD). Cela permet de se connecter avec des comptes locaux ainsi qu'avec différents comptes externes. Dans certains scénarios, il peut être intéressant de créer des utilisateurs à la volée lorsqu'un nouvel utilisateur tente de se connecter. C'est ce qu'on appelle le provisionnement des utilisateurs et il peut être activé en utilisant la propriété suivante dans FCC :
fcc.keycloak.user-provisioning.enabled=true
En outre, les propriétés suivantes doivent être configurées :
server.servlet.session.cookie.same-site=none
server.servlet.session.cookie.secure=true
Cela créera en effet des comptes d'utilisateurs lors de la première connexion, mais le compte lui-même est pratiquement inutile à ce stade, car il n'a pas de niveau de licence ni de rôles attribués. Ce comportement peut être modifié grâce aux propriétés suivantes. Les changements suivants auront pour résultat que tous les utilisateurs provisionnés se retrouveront dans le FCC avec le rôle xAssist du niveau de licence xAssist assigné.. :
fcc.keycloak.user-provisioning.default-license-tiers=xAssist
fcc.keycloak.user-provisioning.default-roles=xAssist
Le courtage d'identité nécessite une certaine configuration de la part du fournisseur d'identité que vous souhaitez utiliser. L'exemple ci-dessous montre comment configurer Azure AD en tant que fournisseur d'identité. D'autres fournisseurs d'identité suivent des approches similaires.
Pour configurer Azure AD en tant que fournisseur d'identité dans Keycloak :
- Sélectionnez votre domaine.
- Allez à Fournisseurs d'identité.
- Ajouter un nouveau fournisseur OpenID Connect v1.0.
- Descendez jusqu'à Importer la configuration IDP externe.
- Collez l'URL de votre découverte.
- Cliquez sur Importer. Les champs tels que l'URL d'autorisation ou l'URL du jeton devraient être remplis.
- Modifiez manuellement les valeurs suivantes :
- Alias et nom - Ces valeurs peuvent être personnalisées. Le nom est celui qui sera affiché ultérieurement sur la page de connexion, tandis que l'alias se trouve dans l'URI de redirection.
- ClientAuthMethod - Sélectionner
client_secret_post. - ClientID - Trouvé lors de la création d'une application dans Azure.
- ClientSecret - Trouvé lors de la création d'une application dans Azure.
- Enregistrez le fournisseur d'identité nouvellement ajouté. Il devrait ensuite apparaître sur la page de connexion unique.
Azure AD comme fournisseur d'identité
- Se connecter à Azure.
- Naviguez jusqu'à App Registrations.
- Allez à Nouvelle inscription.
- Nommez l'application Frontline Keycloak.
- Réglez-le sur Locataire unique. L'URI de redirection n'est pas encore nécessaire.
6. Une fois l'application créée, elle affiche l'identifiant du client sur la page principale.
7. L'URL de découverte se trouve sous Endpoints. Il s'agit du document de métadonnées OpenID Connect.
8. Générez le secret du client. Pour ce faire, cliquez sur les informations d'identification du client actuel.
9. Pour ajouter un nouveau secret client, cliquez sur Nouveau secret client. La description doit être Frontline secret et la durée doit être fixée à 24 mois.
10. Une fois le secret ajouté, une entrée avec une valeur et un ID secret sera générée.
Note : Copiez immédiatement et stockez en toute sécurité la valeur, car elle ne sera pas disponible ultérieurement, il s'agit du secret du client.
Pour configurer l'URI de redirection manquant dans Azure :
- Naviguez vers notre application Frontline Keycloak via l'enregistrement de l'application.
- Sélectionnez Redirect URIs.
3. Sélectionnez Ajouter une plateforme/web.
4. L'URI de redirection à saisir ressemble à ceci :
<Local-Keycloak-Url>/auth/realms/<votre-nom-de-royaume>.
