Last modified: 2024-10-08

Instructions de déploiement

La prise en charge des déploiements sur site, y compris ceux utilisant des conteneurs, s'est terminée le 31 décembre 2023.

Pour plus d'informations, veuillez consulter notre page Cycle de vie des produits OneSpan et la politique de fin de vie de OneSpan.

Pour toute question supplémentaire, contactez votre conseiller du service clientèle.

_____________________________________________________________________________________

Les sections suivantes contiennent des instructions pour le déploiement de conteneurs OneSpan Sign :

Avant de commencer

Avant de commencer, vous devez vous assurer que votre système satisfait aux conditions matérielles et logicielles préalables au déploiement.

Vous devez également avoir installé les outils tiers suivants :

Pour savoir comment installer et configurer ces outils, cliquez sur leurs liens dans la liste ci-dessus :

Nous vous recommandons vivement de bloquer l’accès externe à tous les chemins locaux :

  • /sysinfo/*

  • /esep/admin-console/*

  • /backoffice/*

  • /sso/saml/web/metadata/login

Téléchargement du graphique OneSpan Sign Helm

Pour télécharger le dernier graphique Helm, contactez votre conseiller du service clientèle ou notre notre équipe de soutien.

Sécurisation de l'accès au registre Docker

Avant de commencer à déployer les conteneurs, vous devez obtenir l'accès au registre Docker de OneSpan Sign. Cela vous permettra de tirer les images Docker de OneSpan Sign pendant l'installation de Helm. Pour obtenir cet accès, vous devez créer un objet secret Kubernetes approprié dans votre espace de noms.

L'exemple de fichier regcred.yaml suivant explique comment déclarer un secret de registre :

    apiVersion: v1
    data:
      .dockerconfigjson: abcdefghijklmn
    kind: Secret
    metadata:
      name: regcred
    type: kubernetes.io/dockerconfigjso

Une fois que c'est fait, vous pouvez créer un objet secret Kubernetes dans votre espace de noms cible :

    $ kubectl apply -f regcred.yaml -namespace my-namespace

Vous devez avoir effectué les actions ci-dessus avant de continuer.

Pour plus d’informations sur la création de secrets Kubernetes, consultez Secrets de Kubernetes.

Configuration du graphique de Helm

Les sections suivantes traitent des différents aspects de la configuration de la carte Helm :

Spécification d'une URL publique & d'un registre de conteneurs

L'installation de OneSpan Sign nécessite une URL de service public et un registre de conteneurs précis. L'exemple suivant illustre une façon de les spécifier :

global:
  publicUrl: "<url>"                                             # Public Edge/Loadbalancer Url
  containerRegistry: "onespan.jfrog.io/oss-onprem-docker-local"  # Global registry for all containers

Si vous utilisez un dépôt distinct pour chaque composant (comme dans notre dépôt jfrog ), vous devez fournir l'argument repository pour chaque composant. Par exemple :

envoy-load-balancer:
  repository: oss-gateway

sysinfo:
  repository: oss-system-information

sender-ui:
  repository: oss-sender-ui

signer-ui:
  repository: oss-signer-ui

backend-admin:
  repository: oss-backend-admin

backend:
  repository: oss-backend

backend-database-setup:
  repository: oss-backend-database-setup
  oracleRepository: oss-platform-database-setup

platform:
  repository: oss-platform

platform-admin:
  repository: oss-platform-admin

platform-database-setup:
  repository: oss-platform-database-setup
  oracleRepository: oss-platform-database-setup

aspose-document-converter:
  repository: oss-aspose-pdf-converter

document-engine:
  repository: oss-document-engine

sso:
  enabled: true
  repository: oss-single-sign-on

platform-seed:
  repository: oss-resource-manager-tenant-seeds

Ajout de certificats externes de serveur SMTP

La procédure suivante ajoute les certificats externes d'un serveur SMTP dans un environnement de conteneur OneSpan Sign.

Pour ajouter des certificats externes à partir d'un serveur SMTP :

  1. Dans le fichier my-values.yaml mettez à jour la propriété customCA pour inclure les certificats de votre serveur SMTP (p. ex. : Outlook, Google.com).

    Votre paquet d'autorité de certification (AC) personnalisé doit être au format PEM (Privacy Enhanced Mail). Il doit contenir le paquet de certificats CA qui doivent être approuvés par l'application Java. Cela permet à backend ou backend-admin d'interagir avec le service SMTP (ou tout autre service).

  2. Si c'est la première fois que vous déployez des conteneurs OneSpan Sign, continuez la procédure. Si ce n'est pas le cas, voir Mise à niveau de OSS Container Deployment .
  3. Connectez-vous à OneSpan Sign BackOffice. Pour ce faire, vous devez disposer des privilèges d'administrateur appropriés. Si vous n'avez pas de compte, contactez notre équipe de soutien. Pour plus d'informations sur l'utilisation de BackOffice voir le Guide de l'administrateur de l'application.
  4. Mettez à jour le fichier email.properties avec les valeurs de configuration de votre serveur SMTP. Par exemple :
  5. {
       "email.endpoint" : "",
      "email.service.type" : "smtpEmailService",
      "email.stmp.host" : "smtp.office365.com",
      "email.stmp.port" : "587",
      "email.username" : "[email protected]",
      "email.password" : "vP$Td&4************^En4xxhdD",
      "email.stmp.ssl" : "false",
      "email.stmp.tls" : "true"
    }

Assurez-vous que votre domaine n'est pas bloqué et que tous les ports requis sont ouverts au réseau du cluster.

Visualisation des valeurs de paramètres par défaut

Pour visualiser les valeurs de paramètres par défaut du graphique Helm pour OneSpan Sign :

  • Exécutez la commande suivante :

$ helm inspect values oss > default-values.yaml

Un fichier default-values.yaml contenant les valeurs par défaut est alors créé.

Le fichier default-values.yaml est un bon point de départ pour créer votre propre fichier my-values.yaml personnalisé, car il explique les valeurs disponibles les plus courantes. La section Installation de OneSpan Sign à l’aide de Helm vous explique comment effectuer cette personnalisation.

Les valeurs par défaut suivantes peuvent présenter un intérêt particulier :

  • targetDatabaseType: "mysql" — Si vous choisissez d'utiliser MySQL comme fournisseur de base de données externe, vous devez modifier le fichier my-values.yaml.

  • emailTemplateType: "smtp" — Le type de service de messagerie par défaut pour OneSpan Sign est SMTP. Pour recevoir des notifications système, vous devez spécifier les secrets suivants :

    emailAccessUserKey: ""                             
    emailSecretPasswordKey: ""                         
    emailSMTPHostServerName: ""
  • useExternalCertificates: "false" — Par défaut, les services OneSpan Sign sont configurés avec des certificats auto-signés. Toutefois, nous vous recommandons d'utiliser des certificats externes si vous êtes dans un environnement autre que celui du développement. Pour plus d’informations, voir Installation des certificats.

Le graphique Helm pour OneSpan Sign prend en charge les serveurs de base de données externes. Cependant, si vous décidez d'utiliser un serveur de base de données externe, vous devez fournir les informations de connexion requises.

Validation du graphique Helm

Helm peut valider un graphique en se connectant au serveur de l'API Kubernetes.

Pour valider le graphique Helm :

  • Exécutez la commande suivante :

$ helm install --dry-run oss oss \
     -f my-values.yaml --debug \
     --namespace my-namespace

Si la validation est réussie, le manifeste se présentera sous forme de yamls (ressources Kubernetes).

Débogage de la configuration du graphique

Helm fournit une commande "template" hors ligne permettant de déboguer des graphiques, et de tester ou prévisualiser une configuration de graphique. Cela vous permet de : (1) présenter un graphique Helm sans appliquer ses valeurs ; (2) voir ensuite les ressources que le graphique peut créer dans votre cluster Kubernetes.

Pour déboguer la configuration du graphique Helm :

  • Exécutez la commande suivante :

$ helm template --debug oss oss \
    -f my-values.yaml \
    --namespace my-namespace

Installation de OneSpan Sign à l’aide de Helm

Lors de l'installation de Helm, OneSpan Sign crée en arrière-plan les bases de données suivantes :

  • Base de données principale : Base de données utilisée par le composant principal.

  • OneSpan Sign Application Database : Base de données utilisée par l'application OneSpan Sign.

  • Audit Database : Base de données utilisée par le service d'audit.

La configuration initiale de ces bases de données passe par un processus de migration des données, puis par un processus d'amorçage des bases de données. Ces processus initialisent les paramètres de base pour les différents composants OneSpan Sign.

Pour obtenir des explications sur les valeurs des paramètres les plus courants, voir le fichier default-values.yaml.

Le processus d'amorçage de la base de données n'a lieu que pendant la première mise à niveau. Toute mise à niveau future sautera ce processus.

Après avoir configuré et vérifié le graphique Helm, vous pouvez commencer à personnaliser votre fichier my-values.yaml.

OneSpan fournira le fichier my-values.yaml que vous pourrez ensuite personnaliser.

Pour personnaliser puis appliquer le fichier my-values.yaml :  

  1. Dans le fichier, spécifiez les valeurs des paramètres obligatoires suivants :

    • publicUrl

    • containerRegistry

    • Par exemple :

      global:
        publicUrl: "my-oss.mydomain.com"
        containerRegistry: "myregistry.com"
  2. Spécifiez les valeurs suivantes pour le répartiteur de charge :

    envoy-load-balancer:
     image:
        repository: oss-gateway
     externalCertificateMountPath: "/tmp/certificates"
     externalCertificate: true
     externalPublicKey: |- # If adding external public key to values, put cert underneath |- and not within quotations
     -----BEGIN CERTIFICATE-----
     puclic key in PEM format
     -----END CERTIFICATE-----
     externalPrivateKey: |- # If adding external private key to values, put cert underneath |- and not within quotations
     -----BEGIN RSA PRIVATE KEY-----
     private key in PEM format 
     -----END RSA PRIVATE KEY-----
    
  3. Après votre installation initiale, plusieurs composants optionnels peuvent être installés pour le service OneSpan Sign. Pour spécifier les valeurs des paramètres de ces composants, vous devrez les éditer dans le fichier my-values.yaml. Par exemple :

  4. sso:
      enabled: true
      
    remote-sign-authenticator:
      enabled: true

    Pour obtenir des conseils sur l'édition de ces valeurs, se référer à oss/README.md.

  5. Préparez votre fichier my-values.yaml, en utilisant les valeurs spécifiées dans la section correspondant à la base de données que vous prévoyez d'utiliser :
  1. Pour installer dans l'espace de noms Kubernetes my-namespace une version OneSpan Sign utilisant les valeurs spécifiées dans votre fichier my-values.yaml, exécutez la commande suivante :

  2. $ helm install oss oss \
        -f my-values.yaml \
        --namespace my-namespace 

Utilisation de LunaHSM

Si vous utilisez LunaHSM, des configurations supplémentaires doivent être effectuées dans le fichier my-values.yaml.

Pour personnaliser puis appliquer le fichier my-values.yaml à utiliser avec LunaHSM :

  1. Préparez le fichier my-values.yaml pour déployer les graphiques Helm OSS, comme décrit dans Configuration du graphique de Helm. Étant donné que LunaHSM interagit avec le moteur de document, vous devrez fournir les configurations de moteur de document suivantes.  

    document-engine:
      image:
        pullPolicy: Always
        repository: oss/document-engine/project
      ## Parameters for Luna HSM, set when hsm=lunahsm
      hsm: lunahsm
      lunahsm:
        hsmIp:                        # HSM IP address or FQDN, required for Luna Network(on-premise) HSM
        partitionPassword:            # The partition password, required for Luna Network(on-premise) HSM
        partitionIp:                  # The partition name of your Luna HSM, required for Luna Network(on-premise) HSM
        slotId:                       # Slot number of the HSM partition the Luna HSM Client is connecting to
        cuUser:                       # Username for logging into the Luna HSM from the Luna HSM client, required for Luna Network(on-premise) HSM; note: as of this writing, this user must have "admin" user rights
        cuPassword:                   # Password for logging into the Luna HSM from the Luna HSM client, required for Luna Network(on-premise) HSM
        cuClient:                     # Client username registered in the partition if using the Luna Network(on-premise) HSM
        clientPublicIp:               # Public IP of oss kubernetes cluster 
  2. Pour installer dans l'espace de noms Kubernetes my-namespace une version OneSpan Sign utilisant les valeurs spécifiées dans votre fichier my-values.yaml, exécutez la commande suivante :

    $ helm install oss oss \
        -f my-values.yaml \
        --namespace my-namespace 
  3. Connectez-vous à la console d'administration de la plate-forme : https://{host}/esep/admin-console/main/index.htm
  4. Accédez à Gérer les paramètres > Moteur de documents PDF > Ressources, puis téléchargez les certificats suivants :
    • ca-sha256-root_cert.pem
    • CMG7_cert.pem
    • intrm-sha256-2_cert.pem
    • privatekeyhandle.pem
  5. Accédez à Gérer les paramètres > Moteur de documents PDF > Configurations > DocumentEngineSettings.properties, puis téléchargez les propriétés suivantes :

    CPSFile

    Le chemin complet d'un fichier *.pem qui contient la clé privée du PDF Document Engine.

    privatekeyhandle.pem#/opt/gemsigning/safenet/lunaclient/lib/libCryptoki2_64.so#0

    Remarque : Si vous avez un déploiement Luna Network HSM, vous devez utiliser le format suivant pour ce paramètre :

    <Key Handle PEM file>#<Absolute Path>/libCryptoki2.so#<slot id>

    Cependant, si vous utilisez le slot id = 1 (valeur par défaut), et si la bibliothèque libCryptoki se trouve dans son "emplacement installé Luna Client", le format que vous devez utiliser pour ce paramètre est simplement <Key Handle PEM file>.

    IntermediateCertificatesintrm-sha256-2_cert.pem
    SignerCertificateCMG7_cert.pem
    TrustedCertificatesca-sha256-root_cert.pem
  6. Recyclez le module document-moteur. Cela synchronisera les modifications de configuration apportées dans la console d'administration de la plateforme.

Utilisation d'une base de données Oracle existante

Pour utiliser votre propre base de données Oracle préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.

Les utilisateurs de la base de données définis dans les conteneurs de configuration de la base de données ont besoin d'autorisations DDL complètes. Les utilisateurs de la base de données définis dans le backend et les services de la plateforme ont besoin d'un DML complet sur leurs schémas respectifs.

backend-admin:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oracleDatabaseUrl: ""                              # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database)
  oracleDatabaseUserName: ""                         # Oracle Backend Username (Required for external oracle database)
  oracleDatabasePassword: ""                         # Oracle Backend User Password (Required for external oracle database)
  oracleDatabaseSchema: ""                           # Oracle Backend Database Schema Name (Required for external oracle database)
  oracleAuditDatabaseSchema: ""                      # Oracle Audit Database Schema Name (Required for external oracle database)

backend:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oracleDatabaseUrl: ""                              # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database)
  oracleDatabaseUserName: ""                         # Oracle Backend Username (Required for external oracle database)
  oracleDatabasePassword: ""                         # Oracle Backend User Password (Required for external oracle database)
  oracleDatabaseSchema: ""                           # Oracle Backend Database Schema Name (Required for external oracle database)

backend-database-setup:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleCreateApplicationUsers: ""                   # Boolean Value to Create or not Create Application Users on Oracle Setup (Required for external oracle database)
  oracleCreateTableSpace: ""                         # Boolean Value to Create or not Create Table Spaces on Oracle Setup (Required for external oracle database)
  oracleCreatePlatformSchema: ""                     # Boolean Value to Create or not Create Platform Schema on Oracle Setup (Required for external oracle database)
  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oracleDatabaseUrl:                                 # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database)
  oracleDatabaseSchema:                              # Oracle Backend Database Schema Name (Required for external oracle database)
  oraclePlatformDatabaseSchema: ""                   # Oracle Platform Database Schema Name (Required for external oracle database)
  oracleAuditDatabaseSchema: ""                      # Oracle Audit Database Schema Name (Required for external oracle database)
  oracleDatabaseUserName:                            # Oracle Backend Username (Required for external oracle database)
  oracleAuditDatabaseUser: ""                        # Oracle Audit Username (Required for external oracle database)
  oraclePlatformDatabaseUserName: ""                 # Oracle Platform Username (Required for external oracle database)
  oracleRootPassword: ""                             # Oracle Database Root Password for 'sys' user (Required for external oracle database)
  oracleBackendDatabasePassword: ""                  # Oracle Backend User Password (Required for external oracle database)
  oracleAuditDatabasePassword: ""                    # Oracle Audit User Password (Required for external oracle database)

platform:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oracleDatabaseUrl: ""                              # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database)
  oraclePlatformDatabaseUserName: ""                 # Oracle Platform Username (Required for external oracle database)
  oracleDatabasePassword: ""                         # Oracle Platform User Password (Required for external oracle database)
  oracleDatabaseSchema: ""                           # Oracle Platform Database Schema Name (Required for external oracle database)

platform-admin:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oracleDatabaseUrl: ""                              # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database)
  oraclePlatformDatabaseUserName: ""                 # Oracle Platform Username (Required for external oracle database)
  oracleDatabasePassword: ""                         # Oracle Platform User Password (Required for external oracle database)
  oracleDatabaseSchema: ""                           # Oracle Platform Database Schema Name (Required for external oracle database)

platform-database-setup:
  targetDatabaseType: "oracle"                       # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle

  oracleDatabaseHost: ""                             # Oracle Database Hostname (Required for external oracle database)
  oracleDatabaseServicePort: ""                      # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521)
  oraclePlatformDatabaseUserName: ""                 # Oracle Platform Username (Required for external oracle database)
  oracleDatabasePassword: ""                         # Oracle Platform User Password (Required for external oracle database)
  oracleBackendDatabaseSchema: ""                    # Oracle Backend Database Schema Name (Required for external oracle database)
  oraclePlatformDatabaseSchema: ""                   # Oracle Platform Database Schema Name (Required for external oracle database)
  oracleRootPassword: ""                             # Oracle Database Root Password for 'sys' user (Required for external oracle database)
  oracleBackendDatabaseUserName: ""                  # Oracle Backend Username (Required for external oracle database)
  oracleBackendDatabasePassword: ""                  # Oracle Backend User Password (Required for external oracle database)
  oracleAuditDatabaseSchema: ""                      # Oracle Audit Database Schema Name (Required for external oracle database)
  oracleAuditDatabaseUserName: ""                    # Oracle Audit Username (Required for external oracle database)
  oracleAuditDatabasePassword: ""                    # Oracle Audit User Password (Required for external oracle database)
  oracleCreateTableSpace: ""                         # Boolean Value to Create or not Create Table Spaces on Oracle Setup (Required for external oracle database)
  oracleCreateApplicationUsers: ""                   # Boolean Value to Create or not Create Application Users on Oracle Setup (Required for external oracle database)
  oracleCreatePlatformSchema: ""                     # Boolean Value to Create or not Create Platform Schema on Oracle Setup (Required for external oracle database)

Si vous utilisez Amazon Relational Database Service (RDS)

Si vous utilisez le service Relational Database Service (RDS) d'Amazon, des paramètres supplémentaires doivent être ajoutés au paramètre Oracle susmentionné. En plus de ces paramètres, vous devez ajouter ceux-ci :

useAmazonRds: "true"                    # Required to be true for external oracle database using Amazon RDS.
awsRdsMasterUserName: "<master user>"   # Required for externa

Création manuelle d'espaces de table et d'utilisateurs d'applications

Si vous préférez créer manuellement des espaces de table et des utilisateurs d'applications, certaines valeurs doivent être sur false. Avant de configurer ces valeurs, vous devez d'abord créer les éléments suivants :

  • La plateforme de base de données

  • La base de données d'application et la base de données d'audit

  • Vos utilisateurs. Chaque utilisateur de base de données doit avoir les autorisations pour créer, modifier et déposer des objets.

Une fois que c'est fait, modifiez votre fichier yaml pour définir la création de certains objets sur false comme indiqué ici :

yaml
backend-database-setup:
oracleCreateApplicationUsers: "false"                   # Boolean Value to Create or not Create Application Users on Oracle Setup 
oracleCreateTableSpace: "false"                         # Boolean Value to Create or not Create Table Spaces on Oracle Setup 
oracleCreatePlatformSchema: "true"                      # Boolean Value to Create or not Create Platform Schema on Oracle Setup 
oracleRootPassword: ""                                  # Oracle Database Root Password for 'sys' user (Not required when 'oracleCreateApplicationUsers' or 'oracleCreateTableSpace' or 'oracleCreatePlatformSchema' is set to 'false')
oracleDatabaseHost: ""                                  # Oracle Database Hostname
oracleDatabaseServicePort: ""                           # Oracle Database Host Port 
oracleDatabaseUrl:                                      # Oracle Database Hostname + Port ex: 'domain.com:1521' 
oracleDatabaseSchema:                                   # Oracle Backend Database Schema Name 
oraclePlatformDatabaseSchema: ""                        # Oracle Platform Database Schema Name 
oracleAuditDatabaseSchema: ""                           # Oracle Audit Database Schema Name 
oracleDatabaseUserName:                                 # Oracle Backend Username 
oracleAuditDatabaseUser: ""                             # Oracle Audit Username 
oraclePlatformDatabaseUserName: ""                      # Oracle Platform Username 
oracleBackendDatabasePassword: ""                       # Oracle Backend User Password
oracleAuditDatabasePassword: ""                         # Oracle Audit User Password 
  
platform-database-setup:  
oracleCreateTableSpace: "false"                         # Boolean Value to Create or not Create Table Spaces on Oracle Setup 
oracleCreateApplicationUsers: "false"                   # Boolean Value to Create or not Create Application Users on Oracle Setup 
oracleCreatePlatformSchema: "false"                     # Boolean Value to Create or not Create Platform Schema on Oracle Setup 
oracleRootPassword: ""                                  # Oracle Database Root Password for 'sys' user (Not required when 'oracleCreateApplicationUsers' or 'oracleCreateTableSpace' or 'oracleCreatePlatformSchema' is set to 'false')
oracleDatabaseHost: ""                                  # Oracle Database Hostname 
oracleDatabaseServicePort: ""                           # Oracle Database Host Port (IF port is NOT 1521)
oraclePlatformDatabaseUserName: ""                      # Oracle Platform Username 
oracleDatabasePassword: ""                              # Oracle Platform User Password 
oracleBackendDatabaseSchema: ""                         # Oracle Backend Database Schema Name
oraclePlatformDatabaseSchema: ""                        # Oracle Platform Database Schema Name
oracleBackendDatabaseUserName: ""                       # Oracle Backend Username 
oracleBackendDatabasePassword: ""                       # Oracle Backend User Password
oracleAuditDatabaseSchema: ""                           # Oracle Audit Database Schema Name
oracleAuditDatabaseUserName: ""                         # Oracle Audit Username 
oracleAuditDatabasePassword: ""                         # Oracle Audit User Password 	

Utilisation d'une base de données MS SQL existante

Pour utiliser votre propre base de données Microsoft SQL Server préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.

yaml
backend-admin:
  ## MSSQL Required parameters
  ## To use Your External instance - you must provide all mssql option args
  ## Defaults to configuration of "contained" mssql DB
  targetDatabaseType: "sqlserver"
  flywayJdbcUrl:
  flywayAuditJdbcUrl:
  mssqlHostname:
  mssqlDatabasePort:
  mssqlDatabase:
  mssqlDatabaseSchema:
  mssqlRootUsername:
  mssqlRootPassword:
  mssqlUsername:
  mssqlPassword:
  mssqlDeployUsername:
  mssqlDeployPassword:
  mssqlReadonlyUsername:
  mssqlReadonlyPassword:
  mssqlAuditDatabase:
  mssqlAuditDatabaseUsername:
  mssqlAuditDatabasePassword:
  mssqlAuditDeployDatabaseUsername:
  mssqlAuditDeployDatabasePassword:

backend:
  ## MSSQL Required parameters below.
  targetDatabaseType: "sqlserver"

backend-database-setup:
  ## MSSQL Required parameters below.
  targetDatabaseType: "sqlserver"

platform:
  ## MSSQL Required parameters below. Refer from values.yaml file
  targetDatabaseType: "sqlserver"

platform-admin:
  ## MSSQL Required parameters below. Refer from values.yaml file
  targetDatabaseType: "sqlserver"

platform-database-setup:
  ## MSSQL Required parameters below. Refer from values.yaml file
  targetDatabaseType: "sqlserver"

platform-seed:
  targetDatabaseType: "sqlserver"

Utilisation d'une base de données MYSQL existante

Pour utiliser votre propre base de données MYSQL préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.

backend-admin:
  mysqlDatabaseUserName: "myUser"
  mysqlDatabasePassword: "myPassword"
  mysqlDatabaseHostName: "myHostname"
  mysqlDatabaseServicePort: "3306"

backend:
  mysqlDatabaseUserName: "myUser"
  mysqlDatabasePassword: "myPassword"
  mysqlDatabaseHostName: "myHostname"
  mysqlDatabaseServicePort: "3306"

platform:
  mysqlDatabaseUserName: "myUser"
  mysqlDatabasePassword: "myPassword"
  mysqlDatabaseHostName: "myHostname"
  mysqlDatabaseServicePort: "3306"
  
platform-admin:
  mysqlDatabaseUserName: "myUser"
  mysqlDatabasePassword: "myPassword"
  mysqlDatabaseHostName: "myHostname"
  mysqlDatabaseServicePort: "3306"

Installation des certificats

Par défaut, les composants OneSpan Sign utilisent des certificats auto-signés. Cependant, lorsque vous êtes dans un environnement non lié au développement, nous vous recommandons d'utiliser des certificats externes.

Les paramètres que vous devez configurer sont déterminés par les composants auxquels un certificat personnalisé sera appliqué.

Les paramètres suivants sont communs à chaque graphique :

  • ExternalCertificates - Si vous utilisez un certificat externe, définissez cette valeur sur true. Fournit le certificat avec externalPublicKey et externalPrivateKey.
  • externalPublicKey
  • externalPrivateKey

Le tableau suivant décrit les certificats utilisés par chaque composant.

Composant Certificat et secret Remarques
##backend

nom : backend-secret-tls

  • variables :

    • tls.crt :

    • tls.key :

nom : backend-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.

 

##backend-admin nom : backend-admin-secret-tls
  • variables :

    • tls.crt :

    • tls.key :

nom : backend-admin-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.
##document-engine nom : document-engine-cert
  • variables :

    • LOCALHOSTCRT :

    • LOCALHOSTKEY :

nom : backend-admin-secret-ca-cert

  • variables :

    • ca-all.cer :

 
##envoy-load-balancer nom : secret-envoy-load-balancer-tls
  • variables :

    • server.crt :

    • server.key :

nom : backend-admin-secret-ca-cert

  • variables :

    • ca-all.cer :

 
##platform nom : platform-secret-tls
  • variables :

    • tls.crt :

    • tls.key :

nom : platform-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.
##platform-admin nom : platform-admin-secret-tls
  • variables :

    • tls.crt :

    • tls.key :

nom : platform-admin-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.
##remote-sign-authenticator nom : remote-sign-authenticator-secret-tls
  • variables :

    • tls.crt :

    • tls.key :

nom : remote-sign-authenticator-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : Générique

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.

Exemple : kubectl crée un secret générique

remote-sign-authenticator-secret-ca-cert --from-file=ca-all.cer

##remote-sign-authenticator

- GovTech

nom : remote-sign-authenticator-issuer-cert
  • variables :

    • GOVTECH_ISSUER_CERT :

nom : remote-sign-authenticator-root-cert

  • variables :

    • GOVTECH_ISSUER_CERT :

nom : Générique

  • variables :

    • ca-all.cer :

Le certificat pour GovTech peut être transmis sur une seule ligne via le fichier de valeurs ou en utilisant une CLI.

Par exemple :

govTechIssuerCert: "MIIEZDCCA+qgAwIBAgIQKJRkgTsNFqX5YcSkR..." govTechRootCertificate: "MIIEZDCCA+qgAwIBAgIQKJRkgTsNFqX5..."

##sender-ui nom : secret-sender-ui-tls
  • variables :

    • tls.crt :

    • tls.key :

 
##signer-ui nom : secret-signer-ui-tls
  • variables :

    • tls.crt :

    • tls.key :

 
##sso nom : sso-secret-tls
  • variables :

    • tls.crt :

    • tls.key :

nom : sso-secret-ca-cert

  • variables :

    • ca-all.cer :

nom : externalCertificateCA (voir Remarques)

Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.
##sysinfo nom : secret-sysinfo-tls
  • variables :

    • tls.crt :

    • tls.key :

 

Création d’objets secrets Kubernetes

Pour plus d’informations sur les secrets, consultez Gestion des secrets à l’aide de kubectl.

Les objets secrets de Kubernetes peuvent être créés de la manière suivante :

Passage de certificat en ligne

Lorsque vous passez un certificat dans le fichier de valeurs, vous devez l'insérer exactement tel qu'il apparaît dans le fichier de certificat réel. Par exemple :

externalPublicKey: |-
  -----BEGIN CERTIFICATE-----
  MIIEhjCCA26gAwIBAgIBEzANBgkqhkiG9w0BAQsFADB4MQswCQYDVQQGEwJDQTEP
  MA0GA1UECAwGUXVlYmVjMRswGQYDVQQKDBJTaWxhbmlzIFRlY2hub2xvZ3kxDDAK
  BgNVBAsMA1ImRDEtMCsGA1UEAwwkVGVzdENlcnQgT3BlblNTTCBTSEEyIEludGVy
		
		...<the rest of the certificate>...

  -----END CERTIFICATE-----

Passage de certificat de ligne unique

Pour passer un certificat en utilisant une seule ligne, utilisez la commande suivante :

externalCertificate: '---BEGIN CERTIFICATE-\nMIIEhjCCA26gAwIBAgIBEzANBgkqhkiG9w0BAQsFADB4MQswCQYDVQQGEwJDQTEP\n .... \nGaIm5+Hw5F9r3g==\n-END CERTIFICATE---\n'

Passage de certificat de ligne de commande

Lorsque vous créez un secret via une ligne de commande (CLI), vous devez référencer : (1) le fichier approprié dans le système de fichiers ; (2) le secret approprié, tel que décrit ci-dessus. Par exemple :

kubectl create secret tls <tls secret name> --<certificate variable name>=<certificate file> --<key variable name>=<key file>
kubectl create secret generic <generic secret name> --from-file=<ca bundle file>

Gestion des ressources

Cette section décrit les personnalisations suivantes :

Personnalisation des limites et requêtes de ressources

Vous pouvez personnaliser les limites et requêtes de ressources pour chaque composant en ajoutant les valeurs resource appropriées dans le graphique Helm. Cela remplacera tous les paramètres par défaut correspondants.

Par exemple, pour personnaliser les valeurs de la mémoire et du processeur, vous devez ajouter ce qui suit à la section backend de votre fichier my-values.yaml :

backend:
  enabled: true
  resources:                # Specify CPU and memory resource limits and requests for this pod
    requests:
      memory: "8G"
      cpu: "4"
    limits:
      memory: "8G"
      cpu: "4"

Personnalisation des paramètres JVM

Le graphique Helm de OneSpan Sign a prédéfini les paramètres JVM pour les composants suivants :

  • backend
  • backend-admin
  • platform
  • platform-admin
  • aspose-document-converter

Le sous-graphique de chaque composant affiche les configurations suivantes dans les fichiers values.yaml correspondants :

minJavaHeapSizeInMb: 128
maxJavaMetaspaceSizeInMb: 3072
maxJavaRamPercentage: "80.00"
Was this information helpful?
X