Allgemeine Informationen
Das Ticketing-System verwendet für die sichere Verbindung zwischen der Cloud Anwendung und der lokalen bMS einen Standard Hybrid Connection Service von MS Azure
Vorteil dieser Lösung ist, dass bMS damit nicht aus dem Internet erreichbar sein muss.
Weiterführende Informationen zur verwendeten Technologie z.B. unter: https://docs.microsoft.com/de-de/azure/app-service/app-service-hybrid-connections
Voraussetzung für die Schnittstelle
•bMS Installation mit einer verfügbaren bConnect Schnittstelle, aktuelle Version 1.1 sowie 2.0 (https Aufruf möglch)
•Installation MS Standardtool „Azure Hybrid Connection Manager“ (HCM) für die lokale sichere Verwaltung der Verbindung. Downloadlink HCM: <DOWNLOAD-LINK>
Sicherheitsaspekte der Schnittstelle
•Der Azure Hybrid Connection Manager (HCM) ermöglicht den sicheren Zugriff auf lokale Systeme und Dienste.
•Für das Feature ist kein Endpunkt im Kundennetzwerk erforderlich, der über das Internet zugänglich ist.
•Die Connection wird nicht aus dem www aufgerufen, sondern das lokale Tool verbindet sich gegen Azure
•Jede Hybridverbindung entspricht einer einzelnen Host-Port-Kombination
oEs sind nur https Aufrufe gegen den angegebenen Hostnamen möglich (Port 443)
•HCM führt ausschließlich https Aufrufe gegen Azure durch
oEs wird eine mit TLS 1.2 verschlüsselte WebSocket Verbindung aufgebaut
•Zusätzlich wird Ticketing-System –seitig ein individueller Sicherheitsschlüssel je Kundeninstanz generiert, welcher für die Verbindung mit Azure verwendet wird
•Optional kann zusätzlich das Server-Zertifikat der bConnect Schnittstelle angegeben werden. Das Ticketing-System überprüft dann bei jedem Aufruf gegen die bConnect Schnittstelle, ob die Zertifikate übereinstimmen.
Einrichtung und Update der Schnittstelle
Vorbemerkungen
•Es ist sinnvoll, zuerst die Personen (Endandwender, die Assets zugeordent werden sollen) anzulegen / zu importieren, damit beim Endpoint Import die "Primären User" aus bMS direkt dem Asset zugeordnet werden können (wird anhand der übereinstimmenden Email Adresse ODER dem LogIn Namen einer Person identifiziert). Ansonsten müssten im Nachhinein händische Zuordnungen erfolgen. Der Primary User/ Primärer Benutzer ist auf dem Asset Formular in einem eigenen Feld eingetragen und wird zudem auch automatisch in die Liste der Personen, die dem Asset zugeordnet sind, aufgenommen.
•Die Importe blockieren den Server des Ticketing Systems, in der Zeit können keine Benutzer arbeiten und bekommen eine „Sanduhr“/ Freeze und je nach Import Laufzeit dann einen Time-Out
oDie Import Dauer v.a. bei vielen Endpoints kann länger dauern (Referenzsystem mit 750 Endpoints: ca. 20 Minuten)
oDer Admin sollte die Importe v.a. für Assets keinesfalls ohne Ankündigung während der normalen Arbeitszeit ausführen à Möglichkeit geplanter Importe außerhalb der regulären Arbeitszeit
Anleitung für die Einrichtung
(1) In dem Administrationsbereich „bMS Schnittstelle“:
•Eintragen des FQDN (Fully Qualified Domain Name) der bMS bzw. konkret der bConnect Schnittstelle (wie aus dem Intranet erreichbar) im Feld "Hostname".
•Eintragen Schnittstellen User und Passwort (wird für die eigentliche Schnittstelleneinrichtung noch nicht benötigt, erst später für Importe/ Job Ausführung)
•Optionaler Upload eines Serverzertifikats, wenn für die bConnect Schnittstelle ein Web Server Zertifikat vorliegt
oWenn ein Zertifikat angegeben ist, wird nur diesem Server vertraut; ohne werden allen Servern vertraut
oEs werden alle öffentlichen Zertifikatsformate (also der Public Key) unterstützt, welche auch von der Windows Zertifikatsverwaltung unterstützt werden
•Schließen des Formulars Dialog mit „OK“ um die Angaben zu speichern
Bei allen Änderungen des FQDN oder des Zertifikats erhalten die Benutzer der Gruppe "Administrator - Voll" eine Benachrichtigung in das System, sobald die Schnittstelle eingerichtet ist und der Connection String erzeugt/ aktualisiert wurde (dies kann aktuell bis zu 1 Werktag dauern). Für die Verbindung werden immer die letzten gespeicherten Daten verwendet.
Die Benachrichtung wird im sogenannten "Benachrichtungsfenster" angezeigt, welches sich als eigene Tabliste öffenet sobald neue Nachrichten vorliegen bzw. noch ungelesene Nachrichten vorliegen. Die Benachrichtigungsliste wird ca. alle 15 Minuten aktualisiert. Das Benachrichtigungsfenster kann manuell über das allgemeine Enstellungen Menü geöffnet und aktualisiert werden.
(2) Einrichtung Azure Hybrid Connection Manager (Version Stand 02/2021)
•Installieren des Azure Hybrid Connection Managers (HCM) auf einem lokalen Server, welcher Zugriff auf die bConnect Schnittstelle hat. Dieser Server muss Internet Zugriff haben aber muss nicht aus dem Internet erreichbar sein
•Klicken auf „Enter Manually“ und kopieren des vollständigen Connection Strings in das entsprechende Feld, Bestätigung mit „Add“
•Die Connection wird hergestellt. In der Übersichtsliste muss „Connected“ stehen
•Bei Problemen mit dem Verbindungsaufbau bitte auch das Kapitel "Troubleshooting" beachten
(3) In dem Administrationsbereich „bMS Schnittstelle“:
•Verbindung testen: der Button "Verbindung testen" ruft den baramundi Server auf und gibt bei Erfolg die bMS Versionsnummer zurück. Ist dies erfolgreich ist das System über die Schnittstelle prinzipiell erreichbar, unabhängig von dem korrekten bConnect User/PW.
•Sofern der bConnect User die richtigen Berechtigungen seitens baramundi hat ist die Schnittstelle nun einsatzbereit und es können in bMS definierte Jobs und Endpoints über die vorbereiteten Import Jobs importiert werden
•Der jeweilige Job-Status wird in der Liste darunter angezeigt
•Empfehlung: Der Import von Jobs sollte zuerst ausgeführt werden, da er je nach Anzahl der Jobs in 1-2 Minuten abgeschlossen ist und aktuell auch als zusätzlicher Test dient.
•Hinweis: Während des Imports ist das Ticketing-System gesperrt, v.a. der Asset Import kann je nach Anzahl/ Internetverbindung länger dauern (grober Richtwert. bei 1000 Endpoints ca. 20 Min.) daher ist es ratsam diesen außerhalb der Arbeitszeit zu planen/ starten
Weiterhin ist es in diesem Bereich möglich automatische Importintervalle für den Import der Endpoints/ Assets bzw. Jobs zu definieren (täglich, wöchentlich (Sonntags)).
Die aktuelle Beschränkung der möglichen Anzahl der durchführbaren Importe ist auf 3 Mal pro Import Typ täglich gesetzt (Begrenzung gilt nicht für manuell durchgeführte Importe).