- Démarrage
- Prérequis
- Prérequis matériels
- Prérequis logiciels
- Serveur Web sur une seule machine (Web Server on a Single Machine)
- Déploiement multinœud
- Haute disponibilité (High Availability)
- Récupération d'urgence (Disaster Recovery) - Active/Passive
- Récupération d'urgence (Disaster Recovery) - Deux centres de données actifs (Two Active Data Centers)
- Déploiement dans le cloud (Deployment in the Cloud)
- Meilleures pratiques
- Installation
- Mise à jour en cours
- Serveur d'identité
- Module complémentaire haute disponibilité
Guide d'installation d'Orchestrator
Prérequis à l'installation
Outre les conditions préalables énumérées ici pour l’installation d’Orchestrator, le serveur d'identité requiert les éléments suivants :
Le serveur d'identité requiert 2 certificats valides :
- Un certificat pour le protocole HTTPS.
-
Certificat utilisé pour signer les jetons générés par le serveur d’identité.
Important :Pour des raisons de sécurité, le certificat utilisé par le serveur d’identité doit :
- avoir une clé publique 2048 bits
- dispose d'une clé privée accessible par l'utilisateur d'AppPool,
- être dans sa période de validité (non expiré).
L’emplacement du certificat se définit dans le fichier de configurationappsettings.Production.json
du serveur d’identité, dans la section Signature des informations d’identification.Remarque : le certificat est utilisé pour signer les jetons d'accès OpenID qui sont utilisés pour l'identification de l'utilisateur via le navigateur et pour la communication de service à service entre Orchestrator et l'Identity Server. Cliquez ici pour plus de détails sur OpenID Connect.
Vous pouvez utiliser la rotation des certificats pour éviter le risque d’expiration du certificat et, implicitement, une panne de l'Identity Server. Cette méthode implique de maintenir deux certificats et de procéder à leur rotation périodique. Notez toutefois que vous ne pouvez utiliser qu’une seule clé de signature à la fois.
Pour lancer le processus de rotation des certificats, procédez comme il suit :
- Indiquez le
Name
,Location
etNameType
du certificat initial en utilisant le paramètreSigningCredential
dans la section SigningCredential deappsettings.Production.json
. Notez que la première clé de signature que vous enregistrez est la clé par défaut. - Spécifiez le
Name
du deuxième certificat,Location
etNameType
en utilisant le paramètreValidationKeys
dans la même section du fichierappsettings.Production.json
. Assurez-vous de terminer cette étape avant la date de rotation. - À ce stade, le deuxième certificat est publié à l’aide du point de terminaison
identity/.well-known/openid-configuration/jwks
. Cela permet à chacun d'avoir suffisamment de temps pour mettre à jour son document de découverte mis en cache. - Au moment de la rotation, changez les certificats et redémarrez Identity Server. Le nouveau certificat peut maintenant être utilisé pour la signature alors que le certificat précédent continue d’être disponible à des fins de validation aussi longtemps que vous en aurez besoin.
- Le certificat précédent peut être supprimé en toute sécurité de la configuration après 48 heures.
SigningCredential
fait référence au certificat actuellement utilisé alors que ValidationKeys
fait référence à la clé de validation nouvellement publiée.
"SigningCredentialSettings": {
"StoreLocation": {
"SigningCredential": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
},
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
"SigningCredentialSettings": {
"StoreLocation": {
"SigningCredential": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
},
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}