HELIOS Fenix Administrace, IDM a KZR
Instalační příručka Verze 7.60.0.3
1
Obsah Před instalací ...................................................................................................................................... 3 Požadavky na technologie ......................................................................................................... 3 Varianty instalace ......................................................................................................................... 3 Instalační soubory ........................................................................................................................ 3 Postup při instalaci ........................................................................................................................... 4 Instalace databáze ....................................................................................................................... 4 Upgrade databáze .................................................................................................................... 4 Instalace klientské aplikace .................................................................................................. 4 Úprava konfig. souboru pro Helios Administrace verze 7.50 a vyšší ................... 6 Další kroky konfigurace .......................................................................................................... 7 Instalace webových služeb ................................................................................................... 8 Ruční instalace webových služeb........................................................................................ 8 Ověření webových služeb ...................................................................................................... 8 Instalace kořenových certifikátů....................................................................................... 12 Nastavení klientské aplikace pro komunikaci .............................................................. 13 Konfigurace Helios FENIX ............................................................................................................ 13 Nastavení pro ISZR ................................................................................................................ 13 Dotažení seznamu agend a činností ze souboru v modulech ................................ 15 Editační agendy ....................................................................................................................... 16 Otestování provozu ................................................................................................................ 16
2
Před instalací
Požadavky na technologie Před instalací je nutné zkontrolovat, jestli zákazník má k dispozici tyto technologie. .NET Framework 4.0 IIS 6.0 a vyšší MS SQL Server 2005 a vyšší nebo Oracle
Varianty instalace Pro instalaci Identity Managementu (IDM) a Komunikační komponenty základních registrů (KKZR) a jejich případných vzájemných kombinací slouží následující instalátory:
Administrace, IDM a KZR – HELIOS_Administrace
Webová služba IDM – WsIDM
Webová služba KZR - WsKzr
Produkt je možné nainstalovat ve třech variantách. 1. IDM základ + Komponenta základních registrů Pro zákazníky, kteří chtějí pouze komponentu, která bude zprostředkovávat komunikaci produktů HELIOS se základními registry.
2. IDM základ + IDM rozšíření Pro zákazníky, kteří chtějí pouze systém, který se bude starat o jednotné přihlašování k produktům HELIOS. 3. IDM základ + IDM rozšíření + Komponenta základních registrů
Instalační soubory Jsou k dispozici tři instalátory pro instalaci. Tyto instalátory se musí spustit vždy, ať jde o jakoukoliv variantu. Rozdíl spočívá až pouze v aplikování licenčního čísla, které povoluje funkce v závislosti na vybranou variantu aplikace.
Klientská aplikace:
HELIOS_Administrace.msi
Webová služba IDM: WsIDM.msi
Webová služba KZR: WsKZR.msi
Každé z těchto MSI musí být spuštěno s administrátorským oprávněním (Spustit jako administrátor).
3
Postup při instalaci Před instalací je nutné si stáhnout instalační CD Helios Fenix, které najdete umístěné na FTP, případně na rozcestníku novější verze než 7.20.
Instalace databáze Jako první věc při instalaci je potřeba nainstalovat a nastavit databázi. Databázi IDM+KZR a RUIAN najdete na instalačním CD Helios Fenix. Při instalaci varianty bez komponenty ZR není databáze RUIAN potřebná. Databáze pro IDM a KZR jsou společné, tudíž pro instalaci všech variant je nutné tuto databázi nainstalovat. Databázi najdete ve formě zálohy v umístění Install\Identity Management\Databáze Databázi RUIAN najdete ve formě samostatného archivu na FTP. Po instalaci databáze je nutné překontrolovat, že tato databáze obsahuje uživatele idm s heslem idm a je pro tuto databázi nastaven jako db_owner.
Upgrade databáze Pokud u zákazníka pouze aktualizujete aplikaci na vyšší verzi, zkontrolujte, jestli jsou na ní spuštěné požadované upgrade skripty. Tyto skripty jsou opakovatelné, tudíž opakovaným spuštěním nic nezkazíte. Pokud Vám to při spouštění skriptu hlásí chybu, zkuste aplikovat ještě předchozí skripty. Tyto aktualizační skripty najdete na CD Helios Fenix v stejném umístění jako databáze, v podsložce \Upgrade. Jednotlivé skripty jsou označeny datovým uložištěm, na které se mají spustit, a také verzí aplikace.
Instalace klientské aplikace Po nastavení databáze a zkontrolování přístupů uživatele idm k těmto databázím přejdeme na instalaci klientské aplikace IDM. Tato klientská aplikace obsahuje funkcionality IDM i KZR. Pro instalaci klientské aplikace IDM spustíme instalátor, který najdete na instalačním CD Helios Fenix v umístění Install\Identity Management\Klient IDM\HELIOS_Administrace.msi. Spustí se Vám instalační dialog, ve kterém je nutné odsouhlasit podmínky licenční smlouvy a pak se proklikat instalací až na konec. Poznámka: Jedna z funkcionalit klientské aplikace je Aktualizace dat z RPP. Kvůli této funkčnosti musí být alespoň jeden klient nainstalován na serveru, kde běží webové služby, resp. na stroji, jehož veřejná IP adresa má přístup k základním registrům. První věc, kterou je nutné udělat po instalaci klienta, je nastavit konfigurační soubor pro připojení k databázi a případně i základním registrům. Ve složce s aplikací (defaultně C:\Program Files (x86)\Asseco Solutions\IDM Client) spustíme Editor konfiguračního souboru IDM a KZR - soubor s názvem Asseco.IDM.ConfigEditorUtil.exe. Editor je třeba vždy spouštět jako správce
4
(pravé tlačítko myši a zvolit Spustit jako správce)
Po spuštění je potřeba nastavit připojení k jednotlivým datovým uložištím. Aplikace je rozdělena na 6 datových uložišť (IDM, ROB, ROS, RUIAN, Fenix a Fenix .NET). Ve standardních instalacích jsou datová uložiště rozdělena databázově na IDM+ROB+ROS a RUIAN (případně Fenix a Fenix .NET). Pokud tedy máte datová uložiště rozdělena, a nemáte je všechna v jednom umístění (pozn. Všechny datová uložiště by neměla být v jedné databázi, protože databáze RUIAN je obrovská a vyhledávání v ostatních uložištích by trvalo zbytečně dlouho), tak zvolte v konfiguračním nástroji volbu Oddělená uložiště a nastavte připojení k jednotlivým datovým uložištím. Pokud máte standardní instalaci a máte tedy datová uložiště IDM, ROB, ROS v jedné databázi, můžete použít tlačítko Kopírovat do a nastavit stejné připojení i do ostatních uložišť.
5
Úprava konfig. souboru pro Helios Administrace verze 7.50 a vyšší Pokud se u zákazníka nasazuje Helios Administrace verze 7.50 nebo 7.60, je třeba věnovat pozornost konfiguraci připojení k databázi Fenix a Fenix .NET. Předešlá aplikace Helios IDM klient verze 7.40 nevyžadovala nakonfigurované připojení k databázi Fenix, ale Helios Administrace toto potřebuje, protože obsahuje Jednotnou administraci (JAD). Je-li u zákazníka Helios IDM klient verze 7.40 (a nižší), pak konfigurační soubor Asseco.Core.dll.config (obvykle je ve složce C:\Program Files (x86)\Asseco Solutions\IDM Client) nebude obsahovat sekce s údaji pro připojení k db Fenix (a ani k db Fenix .NET). Pokud sekce pro db Fenix a Fenix .NET v konfiguračním souboru nejsou, pak se v aplikaci Editor konfiguračního souboru IDM a KZR nezobrazí záložka Fenix (příp. Fenix .NET). Chybějící sekce je třeba v tom případě pořídit ručně do souboru Asseco.Core.dll.config takto:
pro db Fenix: o přidejte do oddílu
tento záznam:
<section name="SQLConfigurationFENIX" type="System.Configuration.ClientSettingsSection, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" allowExeDefinition="MachineToLocalUser" requirePermission="false" /> o
přidejte na konec souboru před značku tuto sekci
<SQLConfigurationFENIX> <setting name="TypDB" serializeAs="String"> MSSQL <setting name="Server" serializeAs="String"> <setting name="Database" serializeAs="String"> <setting name="Login" serializeAs="String"> <setting name="Password" serializeAs="String">
pro db Fenix .NET o přidejte do oddílu tento záznam:
<section name="SQLConfigurationFENIX_II" type="System.Configuration.ClientSettingsSection, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" allowExeDefinition="MachineToLocalUser" requirePermission="false" />
6
o
přidejte na konec souboru před značku tuto sekci
<SQLConfigurationFENIX_II> <setting name="TypDB" serializeAs="String"> MSSQL <setting name="Server" serializeAs="String"> <setting name="Database" serializeAs="String"> <setting name="Login" serializeAs="String"> <setting name="Password" serializeAs="String">
Další kroky konfigurace Po nastavení připojení vyzkoušejte připojení tlačítkem Test připojení. Pokud připojení proběhlo správně, zobrazí se Vám informace a indikátor napravo od názvu databáze zezelená. Všechna ostatní datová uložiště se stejným připojením zezelenají také. Po dalším spuštění aplikace, se tato kontrola provede na pozadí, a kontrolka zezelená nebo zčervená, podle dostupnosti připojení. Přepneme na záložku Ostatní a nastavíme zbytek vlastností pro správnou funkčnost aplikace. URL adresa eGon služeb by měla být nastavena na provozní prostředí. Tuto adresu doplníte stisknutím tlačítka po pravé straně URL adresy a vyberete volbu Provozní prostředí. Timeout je možné změnit, pokud zákazník má problémy s připojením na ZR a jeho připojení vyžaduje delší čas na reakci. Doporučujeme nechat vytvářet logovací soubory komunikace s ISZR a trasovací logy. Pro ukládání těchto logů musíte mít vytvořenou složku někde na lokálním disku, a tato složka musí mít nastavena oprávnění pro zápis. Do nastavení nelze nastavit adresu, která neexistuje. Adresář pro ukládání souborů RUIAN je složka, kam se budou stahovat data, pro aktualizaci databáze RUIAN.
7
Zkontrolujeme všechna nastavení a poté stiskneme Uložit a zavřít. Poznámka: Pokud máte konfigurační soubor s těmito daty už někde nastavený a nastavujete další konfigurační soubor se stejnými daty například pro webové služby, můžete použít funkci Soubor – Import konfigurace a vybrat konfigurační soubor, který má tato data již naplněná. Konfigurace se poté překopíruje a stačí již pouze Uložit a zavřít.
Instalace webových služeb Po instalaci klienta budeme potřebovat nainstalovat webové služby. Webové služby musí být na stroji, jehož veřejná IP adresa bude mít oprávnění přistupovat k ZR. Spustíme tedy instalátory, které najdete na CD Helios Fenix v umístění Install\Identity Management\Webová služba IDM\WsIDM.msi a Install\Identity Management\Webová služba KZR\WsKZR.msi. Postup instalace je stejný jako postup při instalaci klientské aplikace. Po dokončení instalace se Vám do složky s webovými aplikacemi (standardně C:\inetpub\wwwroot) doinstalovaly dvě nové složky WsIDM a WsKZR. V těchto složkách
v podadresáři Bin naleznete stejný konfigurační nástroj jako u klientské aplikace s názvem Asseco.IDM.ConfigEditorUtil.exe. Nezapomeňte tento program Spustit jako správce a zopakovat stejný postup při nastavení, nebo využijte funkci konfiguračního nástroje Soubor – Import konfigurace.
Ruční instalace webových služeb V případě, že bude instalace jevit nějaké problémy nebo chyby, je možné zkusit webové služby nainstalovat ručně. Ruční instalace spočívá v nakopírování složek s webovými službami – WsIDM, WsKZR, do složky s webovými aplikacemi (standardně C:\inetpub\wwwroot). Po nakopírování těchto složek je třeba přejít do nástroje Správce internetové informační služby, kde si najdete Fondy aplikací a vytvoříte nový s názvem například „HeliosIDM“, který musí nutně mít nastavenou verzi Frameworku na 4.0. Poté je nutné si najít složku s
webovými službami WsIDM a WsKzr a tyto webové služby převést na aplikaci.
Ověření webových služeb První věc co je nutné zkontrolovat, tak v nástroji Správce internetové informační služby si najdete složky s webovými službami WsIDM a WsKZR. Tyto složky by měly být převedené na aplikaci a tyto aplikace by měly využívat aplikační pool, který běží na
.NET Frameworku 4.0.
Pokud si myslíte, že je vše nastaveno správně, klepněte pravým tlačítkem na webovou službu WsIDM a zvolte procházet aplikaci.
8
Otevře se Vám webový prohlížeč s odkazem na webovou službu. Po přechodu na tento odkaz, by se Vám měla zobrazit stránka, jako níže na obrázku. Tato informativní stránka znamená, že je webová služba nainstalována správně. Poté zopakujte postup pro WsKZR.
Pokud se místo uvedené stránky zobrazí chybová zpráva, postupujte podle následujících kroků. 1) Proveďte aktualizaci Internetové informační služby. To je nutno v případě, že byl Framework nainstalován dříve než IIS. a) Na systémech Windows 7 a předchozích lze provést spuštěním příkazu aspnet_regiis –i z příkazové řádky. Příkaz je nutno spustit z adresáře Frameworku, jak je uvedeno na obr. níže.
b) Na systémech Windows Server 2008 a 2012 je možno aktualizaci provést pomocí příkazu
dism /online /enable-feature /all /featurename:IIS-ASPNET45 který spustíme ve Windows PowerShell. Důležité je, aby aplikace byla spuštěna
s oprávněním administrátora.
9
2) Zkontrolujete mapování obslužných rutin pro webové služby ve správci Internetové informační služby. Na úrovni počítače vyberte „Mapování obslužných rutin“.
V seznamu musí být obsaženo mapování pro „svc-Integrated-4.0“.
Pokud mapování chybí, je nutno ho vytvořit podle níže uvedeného obrázku.
10
Do položky „Typ“ vložíme hodnotu System.ServiceModel.Activation.ServiceHttpHandlerFactory, System.ServiceModel.Activation, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 Po vyplnění uložíme a ve správci IIS opět vyzkoušíme zobrazení informativní stránky.
Nastavení firewallu Pro správnou funkci webových služeb je potřeba, aby byl na firewallu povolen příchozí http přenos. Spusťte aplikaci Brána Firewall s pokročilým zabezpečením (Windows Firewall with Advenced Security) a ověřte, že v uzlu Příchozí pravidla (Inbound Rules) je příchozí http přenos povolen:
nebo
11
Instalace kořenových certifikátů Kořenové certifikáty je nutné nastavit na stanicích, které se budou přímo připojovat k základním registrům. Jde tedy o stanice, na kterých běží webové služby WsIDM a WsKzr a klientská aplikace ze které se bude provádět Aktualizace dat z RPP. Tyto certifikáty jsou k dispozici na webových stránkách http://www.szrcr.cz v sekci vývojáři. Přímý odkaz ke stažení: http://www.szrcr.cz/uploads/Dokumenty/certifikaty.zip
Spustíme tedy C:\WINDOWS\system32\mmc.exe (nebo přes Start – Spustit – mmc.exe). Přidáme snap-in pro Kořenový adresář konzoly – Certifikáty. Pozor: musíme vybrat účet počítače.
Poté přes akci Importovat nainstalujeme oba kořenové certifikáty mezi Důvěryhodné kořenové certifikační úřady.
A kořenové certifikáty máme nainstalované.
12
Nastavení klientské aplikace pro komunikaci Nyní nám už zbývá pouze nakonfigurovat klientskou aplikaci. Spustíme tedy klientskou aplikaci, na které je možné spustit Aktualizaci dat z RPP. Po spuštění se přihlásíme k databázi systémovým účtem idm s heslem idm. Nejprve je nutné nastavit licenční číslo, aby byly zpřístupněny všechny funkce, které budeme potřebovat. Licenční číslo se vyplňuje v aplikaci v menu Nástroje – Licenční číslo. Po vyplnění licenčního čísla se Vám zobrazí všechny moduly, které jsou k dispozici. Uložíme a restartujeme aplikaci. Po druhém přihlášení do aplikace se nám zobrazí tentokrát celá stromová struktura. Nyní je nutný použít následující postup při konfiguraci aplikace:
Zavedení zaměstnanců, kteří budou mít přístup k ZR (nebo v případě plného IDM, budou ověřováni, zda mají oprávnění přistupovat do aplikace), nebo jejich import z Active Directory
Upravit vzorový orgán veřejné moci na reálná data, nezapomenout hlavně doplnit správné IČ úřadu do položky Kód OVM
Vytvořit nový agendový informační systém Helios FENIX, nezapomenout také doplnit správný Kód AIS
Vytvořit jednotlivé moduly systému, které budou přistupovat k ZR
Zavést uživatele přistupující k ZR nebo modulům Helios FENIX přes Organizační strukturu a Interní role (pouze plné IDM) nebo zavedení uživatelů ručně.
Nyní je potřeba spustit Aktualizaci dat z RPP, kterou najdete na záložce s agendovým informačním systémem Helios FENIX – při prvním spuštění aktualizace, je nutné mít zaškrtlé naplnění číselníků agend a činností
Zkontrolovat dotažené agendy u jednotlivých aplikací a provést případné úpravy (povolení/zakázání některých agend)
Poznámka: Tento postup není uveden podrobně, protože je k nalezení v nápovědě klientské aplikace nebo konfiguračního nástroje.
Konfigurace Helios FENIX Klientskou aplikaci, webové služby i databázi máme nainstalovanou a nakonfigurovanou. Nyní musíme nakonfigurovat aplikaci, která nám bude tato data zobrazovat.
Nastavení pro ISZR Nejprve musíme nastavit údaje nutné k připojení k IDM. V úloze Helios Administrace dojdeme k nastavení takto: nabídka JAD -> Helios Fenix -> Úloha -> Připojení k ISZR.
13
Pokud zákazník nepoužívá aplikaci Helios Administrace, lze konfigurovat při pojení k ISZR i v aplikaci Správa aplikací a uživatelů. V menu zvolíme Úloha – Připojení k ISZR.
Nastavíme správné adresy URL webových služeb, zaškrtneme volbu používat KZR pro přístup k ISZR a zkusíme ověřit dostupnost. Pokud test dostupnosti projde, máme připojení nastavené správně a můžeme pokračovat. Dále musíme k aplikacím nastavit používaný Kód AIS, ten který jsme vyplňovali při zavádění agendového informačního systému v klientské aplikace IDM. Přejdeme tedy na záložku Nastavení aplikací. Na této záložce si zvolíme IČO majitele, pro kterého potřebujeme nastavit přístup k základním registrům. Zobrazí se seznam aplikací, kterým je potřeba nastavit Kód AIS, pro každou aplikaci zvlášť, nebo využít funkci Použít pro všechny.
14
Nastavení uložíme a pokračujeme nastavením seznamu agend a činností.
Dotažení seznamu agend a činností ze souboru v modulech Klepnutím na nabídku Číselníky – Agendy, činnosti základních registrů v hlavním menu aplikace se otevře číselník. Číselník obsahuje v horní tabulce informace o registrovaných agendách včetně činností ve správě základních registrů SZR. Dolní tabulka obsahuje definované a přiřazené činnosti IS Helios Fenix k agendám SZR. Pokud je řádek horního seznamu agend SZR zvýrazněn „modře“ existuje k této agendě přiřazení nadefinované činnosti. Plnění a aktualizace číselníku: Při prvotním použití je nutné si ručně číselník naplnit přes nabídky v menu. Aktualizace probíhá přes nabídku:
Nástroje – Aktualizace – reg. agend ze souboru. Nástroje – Aktualizace – činností úlohy ze souboru.
Aktualizační soubor: Soubor CinnostiAgendFenix.xls, který je umístěný u aplikace (např. soubor mat.exe). Plnění registrovaných agend (Nástroje – Aktualizace – reg. agend ze souboru): Záložky souboru „APLIKACE _reg_agendy, APLIKACE _reg_agendy“ obsahují aktuální seznam agend ze SZR. Tuto operaci je nutné spustit před „Aktualizací činností za úlohu“. Plnění registrovaných agend (Nástroje – Aktualizace – činností úlohy ze souboru.): Záložky souboru „APLIKACE_cinnosti, APLIKACE _cinnosti“ obsahují uživatelsky předefinovaný seznam činností za úlohu Fenix (přiřazený k zaregistrované agendě SZR).
15
Editační agendy Seznam těchto agend najdete v Excel souboru na CD Helios Fenix v umístění Install\Identity Management\Dokumenty\Editacni_agendy.xlsx. Agendy, zapsané v tomto seznamu se nesmí používat pro dotazování na data ze základních registrů. Jak už název napovídá, slouží pouze k editaci údajů. Pokud tedy máte problém s tím, že vám to při výběru dat hlásí chybu, že agenda není pro daný AIS přístupná, doporučujeme zkontrolovat používanou agendu oproti tomuto seznamu.
Otestování provozu Pokud byla všechna nastavení provedena správně, měla by aplikace nyní být schopna komunikovat se správou základních registrů SZR. Otestujeme komunikaci na některé z aplikací, nejlépe na Matrice. Otevřeme si tedy Matriku a pořídíme nový záznam v knize narození. Při pořizování nového záznamu je nutno vyplnit povinná vstupní výběrová kritéria jméno, příjmení, datum narození a následné ověření přes tlačítko Ověřit osobu v ZR.
Po stisknutí tlačítka ověření, se Vám zobrazí dialog, potvrzující agendu a činnost, kterou se chystáte použít. Pokud chcete použít jinou kombinaci agendy a činnosti, stačí ji jednoduše vybrat přes vyhledávací tlačítko na dialogu. Zkontrolujte, že na
16
potvrzovacím dialogu máte zaškrtlou volbu Je požadován online přístup do ZR. Pokud dotaz po stisknutí tlačítko OK projde, dialog zmizí a stáhnutá data se doplní do okna s novým záznamem. Obdobně je možné otestovat přístup i z ostatních aplikací. Pokud jste se dostali až sem, máte plně funkční a připravené propojení produktu Helios FENIX se správou základních registrů SZR.
17
