Configuration des coffres-forts Windchill pour l'utilisation d'Azure Blobs
Cette section décrit les configurations requises dans Windchill et dans le Portail Azure pour permettre l'utilisation du service Azure Blobs lorsque Windchill s'exécute dans le service Azure Virtual Machine.
|
• La connexion à Azure Blobs avec Windchill s'exécutant sur site n'est pas prise en charge.
• Les configurations décrites dans cette section doivent être réexécutées après la mise à jour ou la mise à niveau de la version existante de votre Windchill.
|
Configuration du Portail Azure
Les configurations requises dans le Portail Azure comprennent l'ajout des composants nécessaires et la configuration du contrôle d'accès. Vous devez configurer les permissions et définir l'accès sur le Portail Azure pour que Windchill fonctionne correctement avec Azure Blobs.
Windchill prend en charge deux mécanismes pour configurer l'authentification :
• MSI : il s'agit d'une option préférée qui peut être utilisée lorsque la machine virtuelle Azure est activée avec MSI.
• SECURITY_CREDENTIALS : il s'agit d'un mécanisme de secours si l'option MSI ne peut pas être utilisée. Dans cette option, Windchill stocke les informations d'identification de manière sécurisée et les utilise pour communiquer avec Azure.
Avant de commencer
Avant de configurer Azure Blobs pour Windchill, créez les entités ci-après dans le Portail Azure :
• Comptes de stockage : Type de compte doit être défini sur Blob storage type.
• Machines virtuelles Azure sur lesquelles la fonctionnalité Managed Service Identity (MSI) est activée.
• Clé Key Vault : cette entité est facultative et doit être créée si vous envisagez d'utiliser le cryptage Key Vault.
Ajout d'une politique pour un compte utilisateur MSI
La machine virtuelle Azure pour vos comptes de stockage sur laquelle MSI est activé doit recevoir le rôle Storage Blob Data Contributor. Pour ajouter ce rôle, procédez comme suit :
1. Connectez-vous à votre Portail Azure.
2. Accédez à votre compte de stockage.
3. Accédez à Access Control(IAM).
4. Cliquez sur Add.
5. Sélectionnez le rôle Storage Blob Data Contributor et attribuez l'accès à votre machine virtuelle Azure configurée avec MSI.
|
Si vous souhaitez être en mesure de copier du contenu entre différents comptes de stockage, attribuez le rôle Contributeur de comptes de stockage au lieu du rôle Contributeur aux données Blob du stockage. Cette règle s'applique si vous disposez de plusieurs comptes de stockage pour vos coffres-forts, comme dans le cas d'une réplication de contenu avec des serveurs de fichiers distants.
|
6. Cliquez sur Save. MSI n'est pas activé sur votre machine virtuelle Azure.
Définition du cryptage Key Vault dans Azure Blob
Pour activer le cryptage Key Vault, vous devez exécuter les étapes ci-après dans votre Portail Azure :
1. Créer un coffre de clés et générer une clé
2. Créer une application
3. Lier l'application à la clé
Création d'un coffre de clés et génération d'une clé
Pour créer un coffre de clés et générer une clé, procédez comme suit dans votre Portail Azure :
1. Dans le tableau de bord, cliquez sur + Créer une ressource.
2. Dans la fenêtre New, recherchez Key Vault.
3. Cliquez sur Créer. Renseignez les champs Name, Subscription, Resource Group et Location, puis cliquez sur Create.
4. Le coffre de clés Key Vault est généré, et la page Overview s'affiche. Notez la valeur du champ DNS Name figurant sur cette page.
|
L'élément KeyVaultKeyIDURL est une combinaison des éléments saisis dans les champs DNS Name et Name de la clé. Par exemple, si le champ Name de la clé est KeyVaultKey et que DNS Name est https://contentkeyvault.vault.azure.net/, l'élément KeyVaultKeyIDURL correspond à https://contentkeyvault.vault.azure.net/keys/KeyVaultKey. L'élément KeyVaultKeyIDURL est requis par le programme Java personnalisé dans Windchill.
|
5. Cliquez sur > .
6. Renseignez le champ Name.
7. Définissez le champ Key Type sur RSA.
8. Sélectionnez RSA Key Size, puis cliquez sur Create.
9. La clé Key est créée.
|
Le champ VALUE de la clé correspond à l'élément AuthKey utilisé par le programme Java personnalisé dans Windchill. Prenez soin de noter cette valeur, car vous ne pourrez pas la récupérer par la suite.
|
Création d'une application
Pour créer une application, procédez comme suit dans votre Portail Azure :
1. Dans le tableau de bord, cliquez sur > > .
2. Renseignez les champs Name, Application Type et Sign-on URL, puis cliquez sur Create.
3. L'application est créée.
|
Le champ Application ID correspond à l'élément AppId qui est requis par le programme Java personnalisé dans Windchill.
|
Association de l'application à la clé
Pour lier l'application à la clé, procédez comme suit dans votre Portail Azure :
1. Dans le tableau de bord, sélectionnez > > > .
2. Recherchez le nom de votre application, puis cliquez sur Select.
3. Dans Key permissions, choisissez Select all, puis cliquez sur OK.
4. L'application et la clé sont liées, ce qui termine la configuration du cryptage Key Vault dans Azure Blob.
Configuration du contrôle d'accès - Rappels
• Si vous optez pour une authentification à l'aide du nom de compte et de la clé de compte, Windchill dispose de l'accès administrateur à votre compte de stockage.
• Si vous choisissez d'utiliser MSI et d'attribuer le rôle Contributeur aux données Blob du stockage, Windchill dispose de l'accès administrateur à votre compte de stockage.
• Si vous attribuez le rôle Lecteur des données Blob du stockage, Windchill dispose uniquement d'un accès en lecture à votre compte de stockage.
Configurations de Windchill
Vous pouvez configurer Windchill pour l'utilisation d'Azure Blobs à l'aide de l'outil en ligne de commande.
Avant de commencer
Cet outil de ligne de commande se compose de champs de configuration. Pour ignorer une configuration spécifique, appuyez sur ENTREE. L'outil de ligne de commande affiche la configuration existante. La configuration est automatiquement diffusée à tous les serveurs de fichiers enregistrés, autrement dit aux sites répliqués.
Pour configurer le service Azure Blobs, exécutez la commande ci-après au niveau du shell Windchill :
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
Pour configurer le compte, procédez comme suit :
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] : la valeur par défaut est SECURITY_CREDENTIALS. Vous pouvez la remplacer par MSI.
2. Azure Storage Account Name : entrez le nom de compte que vous souhaitez configurer.
3. Azure Storage Account Key : saisissez l'ID de clé d'accès de votre compte Azure.
4. Blob Encryption Configurator Delegate Name : saisissez le nom du délégué pour choisir le type de cryptage. Le type de cryptage est utilisé pour crypter le contenu stocké sur Azure Blob.
5. SSEKeyVaultKeyProvider Delegate Name : saisissez le nom du délégué pour choisir l'ID de clé KMS. L'ID de clé KMS est utilisé pour crypter le contenu stocké sur Azure Blob.
6. CSESecKeyGenerator Delegate Name : saisissez le nom du délégué pour gérer les clés secrètes. La clé secrète renvoyée par le délégué est utilisée pour le cryptage du contenu stocké sur Azure Blob.
Pour plus d'informations sur le cryptage, consultez la section
Personnalisation du cryptage pour les montages Azure Blob.
Pour valider les configurations, vous pouvez générer un rapport à l'aide de l'outil en ligne de commande suivant :
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
• Si la configuration associée aux noms de délégué est modifiée, redémarrez le serveur principal et les serveurs répliqués pour que la configuration soit prise en compte.
• Windchill prend désormais en charge le transfert de fichiers sécurisé. Vous pouvez configurer votre compte de stockage Azure pour qu'il accepte uniquement les demandes émanant de connexions sécurisées en définissant la propriété Secure transfer required sur Activé pour le compte de stockage. Vous pouvez activer le transfert sécurisé comme indiqué dans cet article.
• Il est vivement recommandé de laisser le paramètre Secure transfer required activé pour garantir des connexions sécurisées à Azure Blob Storage.
|
Montage sur le service Azure Blob Storage
Avant de commencer
Dans le Portail Azure, créez un dossier dans le chemin de montage souhaité. Effectuez les étapes suivantes :
1. Connectez-vous à votre Portail Azure et accédez à la section Blobs.
2. Cliquez sur Upload.
3. Sélectionnez un exemple de fichier texte et, dans l'onglet Advanced, indiquez le nom de dossier souhaité dans le champ Upload to folder.
4. Cliquez sur Upload. Le dossier est créé. Notez le chemin sélectionné dans le Portail Azure.
Montage du dossier racine à partir de Windchill
Dans Windchill, définissez le champ Type de montage sur Azure Blob Storage pendant que vous montez le dossier racine, et le chemin de montage doit présenter le modèle suivant :
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
Par exemple, si votre compte de stockage porte le nom StorageForUSA, que le nom du conteneur est Container-in-USA et que le chemin correspond à VaultsForWindchill/RootFolderMountLocation, vous devez définir le chemin de montage sur la valeur suivante :
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation