Abonnieren

UiPath Installation and Upgrade

Die UiPath-Installations- und Upgrade-Anleitung

Identity Server AppSettings.json

Die Datei appsettings.json (C:\Program Files (x86)\UiPath\Orchestrator\Identity) enth├Ąlt die sofort einsatzbereiten Konfigurationseinstellungen f├╝r Identity Server. Eine zweite, identische Datei, appsettings.Production.json, enth├Ąlt ihre spezifischen Identity Server-Einstellungen.

­čÜž

Wichtig!

Um Identity Server nach Ihren W├╝nschen zu konfigurieren, m├╝ssen Sie die Datei appsettings.Production.json ├Ąndern. Diese Datei ├╝berschreibt alle vorab vorhandenen Einstellungen in von appsettings.json nach jedem Installationsvorgang.

­čôś

Hinweis:

Es empfiehlt sich, dass nur Administratoren die Werte dieser Parameter ├Ąndern.

Au├čerdem empfiehlt es sich, den IIS-Server herunterzufahren, um die appsettings.Production.json-Einstellungen unter allen Umst├Ąnden zu ├Ąndern.

Parameter, die nicht auf dieser Seite dokumentiert sind, d├╝rfen nicht ge├Ąndert werden.

Bei allen Parametern wird Gro├č-/Kleinschreibung ber├╝cksichtigt.

Priorit├Ąt der Einstellungen

Einstellungen k├Ânnen an mehreren Stellen konfiguriert werden. Hier sind die Priorit├Ąten, die von Identity Server bei der Bestimmung des Werts einer Einstellung verwendet werden, geordnet von hoch (1) nach niedrig (3):

  1. Wert in der Datei appsettings.Production.json
  2. Wert in der Datei appsettings.json
  3. Standardwert im Code festgelegt. Wird nur verwendet, wenn eine bestimmte Einstellung nicht in appsettings.Production.json oder appsettings.json gefunden werden kann.

Einstellungen

Die Datei appsettings.json hat eine interne Struktur, die aus mehreren JSON-Abschnitten besteht, die durch ein Komma getrennt sind.

Verbindungszeichenfolge

Der Abschnitt ConnectionStrings wird zum Speichern der Identity Server-Datenbankverbindungszeichenfolge verwendet. Dieser Wert wird vom Installationsprogramm aufgef├╝llt.
Diese Einstellung hat Werte in appsettings.Production.json und appsettings.json.

"ConnectionStrings": {
  "DefaultConnection": "Server=.\\sqlexpress;Database=IdentityServer;User ID=<username>;Password=<password>;"
}

Verschl├╝sselung

The EncryptionSettings section is used to store tenant encryption keys. The values are automatically migrated from Orchestrator's UiPath.Orchestrator.dll.config during installation.
Diese Einstellung hat Werte in appsettings.Production.json und appsettings.json.

"EncryptionSettings": {
  "EncryptionKey": "3wkO1hkaXLwR9LZoRZIueIxG3GIEB/YMDZUWhD9AR8g="
}

Identity Server kann f├╝r die Verwendung eines lokalen Schl├╝ssels (siehe oben) oder eines Azure-Schl├╝sseltresors (siehe unten) konfiguriert werden, genau wie Orchestrator.

"EncryptionSettings": {
  "MultiTenantEncryptionKeyProvider": "AzureKeyVault",
  "EncryptionKeyPerTenant": true,
  "AzureKeyVaultAddress": "keyVaultAddress",
  "AzureKeyVaultCertificateThumbprint": "keyvaultCertificateThumbprint",
  "AzureKeyVaultClientId" : "azureClientId"
},
  • MultiTenantEncryptionKeyProvider - gibt an, in welcher Schl├╝sselverwaltungsanwendung die von Orchestrator pro Mandant generierten Verschl├╝sselungsschl├╝ssel gespeichert werden sollen. Standardm├Ą├čig hat die Einstellung den Wert ConfigFileKey innerhalb des Codes. Die akzeptierten Werte sind AzureKeyVault und ConfigFileKey. W├Ąhrend der Identity Server-Installation wird der Wert aus der EncryptionKeyPerTenant.KeyProvider-Einstellung von UiPath.Orchestrator.dll.config kopiert.

Die folgenden Identity Server-Schl├╝ssel stimmen mit den Orchestrator-Schl├╝sseln im Abschnitt SecureAppSettings von UiPath.Orchestrator.dll.config ├╝berein:

Identity Server KeyOrchestrator Key
EncryptionKeyPerTenantEncryptionKeyPerTenant.Enabled
AzureKeyVaultAddressAzure.KeyVault.VaultAddress
AzureKeyVaultCertificateThumbprintAzure.KeyVault.CertificateThumbprint
AzureKeyVaultClientIdAzure.KeyVault.ClientId
MultiTenantEncryptionKeyProviderEncryptionKeyPerTenant.KeyProvider

­čÜž

Wichtig!

Wenn der Paramter CertificatesStoreLocation in UiPath.Orchestrator.dll.config auf LocalMachine festgelegt ist, stellen Sie sicher, dass AzureKeyVaultCertificateStoreLocation in appsettings.Production.json denselben Wert hat.

­čÜž

Wichtig!

Wenn Sie den Verschl├╝sselungsschl├╝ssel oder die Azure Key Vault-Einstellungen in der Datei UiPath.Orchestrator.dll.config von Orchestrator ├Ąndern, m├╝ssen Sie auch die Datei appsettings.Production.json von Identity Server mit denselben Werten aktualisieren.

Protokollierung

The Logging section configures the log level for each component used by Identity Server. This is a generic logging configuration. Find more information here.
Dieser Abschnitt hat Werte in appsettings.json.

"Logging": {
  "LogLevel": {
    "Default": "Trace",
    "Microsoft": "Warning",
    "Microsoft.Hosting.Lifetime": "Information"
  }
}

Identity Server stellt einige Standardeinstellungen f├╝r einige wichtige Komponenten wie Microsoft und Microsoft.Hosting.Lifetime bereit.

NLog

Im Abschnitt NLog wird definiert, wie Informationen in Identity Server ├╝ber NLog-Ziele protokolliert werden, genau wie in Orchestrator.
Dieser Abschnitt hat Werte in appsettings.json.

"NLog": {
  "IncludeScopes": true,
  "throwConfigExceptions": false,
  "targets": {
    "EventLog": {
      "type": "EventLog",
      "source": "IdentityService",
      "layout": "${longdate} ${logger} ${message}${onexception:${newline}${exception:maxInnerExceptionLevel=10:format=shortType,message,stacktrace:separator=*:innerExceptionSeparator=&#xD;&#xA;&#x9;}}"
    }
  },
  "rules": [
    {
      "logger": "*",
      "minLevel": "Info",
      "writeTo": "EventLog"
    }
  ]
},

Standardm├Ą├čig ist NLog so konfiguriert, dass Protokolle in ApplicationEvents geschrieben werden. Lesen Sie hier weitere Informationen zum Konfigurieren von NLog mithilfe eines json-Abschnitts.

App-Einstellungen

Der Abschnitt AppSettings ist der Hauptkonfigurationsabschnitt von Identity Server. Dieser Abschnitt hat Werte in appsettings.Production.json und appsettings.json.

  • IdentityServerAddress - stellt die Zielgruppe dar, die Identity Server bei der Validierung des Token pr├╝ft, das zum Aufruf der Identity Server-API verwendet wird. W├Ąhrend der Installation wird dieses Feld innerhalb von appsettings.Production.json automatisch mit der Adresse von Identity Server ausgef├╝llt. ├ändern Sie diesen Wert nicht, da dies die Orchestrator-Datenweitergabe unterbricht.
    Diese Einstellung hat Werte in appsettings.Production.json und appsettings.json.

­čôś

Hinweis:

Stellen Sie sicher, dass Sie als Wert f├╝r IdentityServerAddress eine URL aus Kleinbuchstaben angeben; andernfalls tritt ein Fehler auf.

  • Saml2ValidCertificateOnly - Wenn auf true festgelegt, ist die Verwendung ung├╝ltiger Zertifikate beim Konfigurieren von SAML2 nicht zul├Ąssig.
    Standardm├Ą├čig hat die Einstellung den Wert true innerhalb des Codes.
  • EnablePII - Wenn auf true festgelegt, enthalten die Ausnahmen vertrauliche Informationen (z.┬áB. die URL-Adresse des externen Identit├Ątsanbieters oder die Adresse von Identity Server usw.).
    Standardm├Ą├čig hat die Einstellung den Wert false in appsettings.json und im Code.
  • HideErrorCodesInUi - Steuern Sie, ob Anmeldefehlercodes auf der Benutzeroberfl├Ąche angezeigt werden. Dieser Parameter wird standardm├Ą├čig nicht angezeigt. Der Standardwert ist false. Legen Sie true fest, um Anmeldefehlercodes auf der Benutzeroberfl├Ąche auszublenden. Beispiel: "HideErrorCodesInUi": true.
  • CookieValidationInterval - stellt das Zeitintervall (in Sekunden) dar, nach dem das Cookie ├╝berpr├╝ft wird, um festzustellen, ob der Benutzer und der Mandant noch aktiv sind und ob sich der Benutzer nicht in einem anderen Browser angemeldet hat. Der Wert in appsetttings.Production.json wird automatisch von Orchestrator migriert, das dieselbe Einstellung hat.
    Standardm├Ą├čig wird der Wert in appsettings.Production.json und des Codes auf 60 Sekunden festgelegt.
  • CookieExpireMinutes - stellt das Zeitintervall (in Minuten) dar, nach dem das Identity Server-Cookie abl├Ąuft. Der Wert in appsetttings.Production.json wird automatisch von Orchestrator migriert, das dieselbe Einstellung hat.
    Standardm├Ą├čig wird der Wert in appsettings.Production.json und im Code auf 60 Minuten festgelegt.
  • OrchestratorUrl - Represents the URL of the Orchestrator. This is where Identity Server redirects you when you click the Orchestrator icon within Identity Management Portal's Hub menu.
    Der Wert wird w├Ąhrend der Installation in appsettings.Production.json festgelegt.

­čôś

Hinweis:

Stellen Sie sicher, dass Sie als Wert f├╝r OrchestratorUrl eine URL aus Kleinbuchstaben angeben; andernfalls tritt ein Fehler auf.

"AppSettings": {
    "IdentityServerAddress": "https://myIdentity.domain.local/identity",
    "EnablePII": false,
    "HideErrorCodesInUi": true,
    "CookieExpireMinutes": 30,
    "OrchestratorUrl": "https://myOrchestratorURL.domain.local"
  }
}

Lokalisierung

Der Abschnitt LocalizationSettings enth├Ąlt die folgenden Standardwerte im Code:

"LocalizationSettings": {
  "EnabledLanguages": "en,ja,de,es,es-MX,fr,ko,pt,pt-BR,ru,tr,zh-CN"
}
  • EnabledLanguages - listet die in Identity Server verf├╝gbaren Sprachen auf. Wird verwendet, um die Anzahl der verf├╝gbaren Sprachen zu begrenzen.

Lastausgleich

Der Abschnitt LoadBalancerSettings enth├Ąlt die folgenden Standardwerte in appsettings.Production.json und im Code:

"LoadBalancerSettings": {
  "UseRedis": false,
  "RedisConnectionString": "",
  "SlidingExpirationTimeInSeconds":  600
}

Die Werte in appsetttings.Production.json werden im Falle eines Upgrades mehrerer Knoten automatisch aus UiPath.Orchestrator.dll.config von Orchestrator migriert. Wenn Redis nicht innerhalb von Orchestrator konfiguriert ist, enth├Ąlt appsettings.Production.json diese Einstellung.

  • UseRedis- Verwenden Sie Redis als eine Datenbank zum Verteilen von Meldungen von und zu all den Maschinen, die ├╝ber Ihren Lastausgleich verbunden sind. Dies ist f├╝r Multi-Node obligatorisch.
  • RedisConnectionString - Can only be used if LoadBalancer.UseRedis is set to true. A connection string that enables you to set up your Redis server, which contains the URL of the server, the password, and port used with Redis. It is also possible to enable SSL encrypted connections between the Orchestrator nodes and the Redis service. For more information, please click here. Examples:
    • mit aktiviertem SSL - "RedisConnectionString": "DOCWREDIS02:6379,password=12345678,ssl=true"
    • ohne aktiviertes SSL - "RedisConnectionString": "DOCWREDIS02:6379,password=12345678"
  • SlidingExpirationTimeInSeconds - steuert die gleitende Ablaufzeit eines Elements im Cache. Diese Ablaufzeit gilt sowohl f├╝r Redis Cache als auch f├╝r InMemory Cache (dies ist die Standardeinstellung, wenn Redis nicht verf├╝gbar ist).

Signierungsanmeldeinformationen

Im Abschnitt SigningCredentialSettings wird der Speicherort des Zertifikats beschrieben, das zum Signieren der von Identity Server generierten Token verwendet wird. Die Werte der Einstellungen in diesem Abschnitt werden vom Installationsprogramm basierend auf Ihrer Eingabe aufgef├╝llt. Die Einstellungen k├Ânnen so konfiguriert werden, dass das Zertifikat aus einem Zertifikatspeicher oder aus Azure Key Vault gelesen werden kann.

Einstellungen zur Zertifikatsrotation

  • SigningCredential ÔÇô Verwenden Sie diesen Parameter, um Name, Location und NameType Ihres Standardzertifikats anzugeben.
  • ValidationKeys ÔÇô Geben Sie Name, Location und NameType Ihres zweiten Zertifikats an. Dies ist f├╝r die Zertifikatsrotation erforderlich.

­čôś

Hinweis:

Aus Sicherheitsgr├╝nden muss das Signaturzertifikat ├╝ber einen ├Âffentlichen 2048-Bit-Schl├╝ssel verf├╝gen. Stellen Sie sicher, dass das Zertifikat g├╝ltig und nicht abgelaufen ist, und dass Identity Server Zugriff auf den privaten Schl├╝ssel hat.
Weitere Informationen zu den Anpassungen, die Sie im Abschnitt SigningCredentialSettings vornehmen m├╝ssen, um sicherzustellen, dass Sie immer ein Zertifikat innerhalb seiner G├╝ltigkeitsdauer verwenden, finden Sie unter Zertifikatsrotation.

Beispiel f├╝r Pfadeinstellungen f├╝r den Zertifikatspeicher

Hier ist eine klassische Konfiguration zum Suchen eines Zertifikats im Zertifikatspeicher:

"SigningCredentialSettings": {
  "StoreLocation": {
    "Name": "30f3c11e676fc8eb1f9dd4e330f3ce668d796796",
    "Location": "LocalMachine",
    "NameType": "Thumbprint"
  }

In diesem Beispiel stellt Name einen Fingerabdruckwert dar.
Es wird nicht empfohlen, andere Werte f├╝r Location und NameType zu verwenden.

Beispiel f├╝r Azure Key Vault-Pfadeinstellungen

"SigningCredentialSettings": {
  "AzureKeyVaultLocation": {
    "KeyName": "key_name_534553553"
  }

In diesem Beispiel stellt KeyName den Schl├╝ssel dar, nach dem in Azure Key Vault gesucht werden soll.

Autorisierung

  • RestrictBasicAuthentication: Erm├Âglicht die Steuerung, ob sich Benutzer mit grundlegenden Authentifizierungsanmeldeinformationen bei einer Orchestrator-Instanz anmelden k├Ânnen. Diese Einstellung wird nicht standardm├Ą├čig in der Datei appsettings.Production.json angezeigt. Die folgenden Werte sind verf├╝gbar:

    • true : Benutzer k├Ânnen sich nicht mit Standard-Authentifizierungsanmeldeinformationen anmelden.
    • false : Benutzer k├Ânnen sich mit Standard-Authentifizierungsanmeldeinformationen anmelden. Dies ist der Standardwert.
  • EnableBasicAuthenticationForHostTenant: Erm├Âglicht die Steuerung, ob sich ein Hostadministrator mit Standard-Authentifizierungsanmeldeinformationen beim Hostmandanten einer Orchestrator-Instanz anmelden kann. Diese Einstellung wird nicht standardm├Ą├čig in der Datei appsettings.Production.json angezeigt. Die folgenden Werte sind verf├╝gbar:

    • true - Der Hostadministrator kann sich mit Standard-Authentifizierungsanmeldeinformationen anmelden. Dies ist der Standardwert.
    • false - Der Hostadministrator kann sich nicht mit Standard-Authentifizierungsanmeldeinformationen anmelden.

Dieser Parameter umgeht den RestrictBasicAuthentication-Parameter, d.┬áh. wenn Sie EnableBasicAuthenticationForHostTenant auf true und RestrictBasicAuthentication auf true setzen, k├Ânnen Sie sich nur mit Standard-Authentifizierungsanmeldeinformationen auf Host-Ebene anmelden.

Vor etwa einem Monat aktualisiert


Identity Server AppSettings.json


Auf API-Referenzseiten sind ├änderungsvorschl├Ąge beschr├Ąnkt

Sie k├Ânnen nur ├änderungen an dem Textk├Ârperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.