ПРИМЕЧАНИЕ. Настройку выполняйте после установки системы. Во время установки используйте аутентификацию по паролю. Подробнее см. раздел «Минимальные настройки».

1.На компьютере с установленной системой запустите оснастку Службы, откройте свойства службы DirectumRXServiceRunner и на вкладке «Вход в систему» задайте учетную запись и пароль доменного пользователя Windows.

2.В строку подключения CONNECTION_STRING добавьте параметр Integrated Security со значением true – использование проверки подлинности Windows. При этом параметры User ID и Password указывать не нужно.

Пример:

CONNECTION_STRING: 'Data Source=DBServer;Initial Catalog=DirectumRX;Integrated Security=True'

3.В секции ServiceRunner в параметре WINDOWS_USERNAME укажите доменного пользователя, который указан в свойствах службы DirectumRXServiceRunner.

Пример:

ServiceRunner:

    …
    # Имя пользователя для установки службы
    WINDOWS_USERNAME: 'Domain\AdminUser'
    # Пароль для установки службы
    WINDOWS_PASSWORD: 'AdminPassword'

4.Перезапустите сервисы. Для этого в командной строке перейдите в папку с Directum Launcher и выполните:

do all up

Поисковая система Elasticsearch используется для поиска по некоторым критериям и полнотекстового поиска документов, задач и заданий. Настройки для работы с Elasticsearch задаются в параметрах:

•ELASTICSEARCH_URL – URL для доступа к Elasticsearch. Обязательный параметр. Указывается в формате <http или https>://<IP-адрес сервера с Elasticsearch>:<Порт>. Пример: http://192.168.4.252:9200. Если значение параметра не задано, сервис индексирования не индексирует объекты системы. Также при этом не выполняется проверка работоспособности сервиса. Значение параметра рекомендуется очистить, например, если нужно удалить поисковую систему Elasticsearch и не фиксировать ошибки доступа к сервису;

•ELASTICSEARCH_INDEX_POSTFIX – постфикс индекса Elasticsearch. Обязательный параметр. Позволяет разделить индексы разных систем Directum RX при работе с одним экземпляром Elasticsearch. Для рабочей или тестовой системы и среды разработки укажите разные значения. Например, prod, test и dev;

•ELASTICSEARCH_IMPLICIT_PARTIAL_SEARCH_ENABLED – автоматически добавлять символ * при поиске по части слова. При полнотекстовом поиске учитываются только словоформы искомого слова. Например, по слову «ответ» ищутся только объекты, в тексте которых есть слова «ответа», «ответы» и т.д. Если в конце добавить символ *, то запустится поиск по фрагменту слова. В этом случае в результаты поиска также попадут объекты, содержащие слова «ответственный», «ответственность» и т.п. Чтобы автоматически добавлять * в конец запроса, в параметре установите флажок (true). В этом случае для поиска наиболее подходящих результатов рекомендуется задавать дополнительные критерии. По умолчанию флажок снят (false);

•ELASTICSEARCH_SHOW_QUERIES – логирование запросов к Elasticsearch. Используется при устранении ошибок в работе Elasticsearch. Выберите один из вариантов:

•установите флажок (true), чтобы включить логирование запросов. Рекомендуется включать настройку после завершения первоначального индексирования объектов. Имя лог-файла: <Имя компьютера>.<Имя сервиса>.ElasticsearchQuery.<Дата>.log;

•снимите флажок (false), чтобы отключить логирование запросов.

•ELASTICSEARCH_DOCUMENT_SEARCH_ENABLED – поиск по критериям документов на Elasticsearch. Установите флажок (true), чтобы включить поиск. По умолчанию флажок снят (false);

•ELASTICSEARCH_WORKFLOW_SEARCH_ENABLED – поиск по критериям задач, заданий и уведомлений на Elasticsearch. Установите флажок (true), чтобы включить поиск. По умолчанию флажок снят (false).

Если RabbitMQ развернут в кластере, то в Directum Launcher во встроенном редакторе YAML нужно задать дополнительные настройки подключения. Для этого в параметре QUEUE_ADDITIONAL_HOSTS укажите список хостов, на которых развернуты дополнительные узлы кластера. В случае обрыва соединения с основным хостом, указанным в параметре QUEUE_CONNECTION_STRING, произойдет автоматическое подключение к следующему доступному узлу из списка.

Пример настройки:

QUEUE_ADDITIONAL_HOSTS:

        # Адреса узлов кластера RabbitMQ.
        endpoint:
            - '@hostName': '127.0.0.1'
              '@port': '5473'
            - '@hostName': 'localhost'
              '@port': '5474'

Если изменился почтовый адрес, на который должны приходить отзывы о системе, укажите новое значение в параметре FEEDBACK_EMAIL. Для возможности отправки отзывов о системе установите флажок (true) в параметре IS_SEND_FEEDBACK_ALLOWED.

Чтобы настроить оповещения сотрудников по почте, заполните параметры:

•SMTP_FROM – email-адрес отправителя, который указывается в почтовой рассылке, например, о просроченных или новых заданиях, с отзывами о системе. Адрес отображается в письме, если не задана настройка SMTP_FROM_DISPLAY_NAME;

•SMTP_FROM_DISPLAY_NAME – имя отправителя, которое указывается в почтовой рассылке. Если настройка не задана, то в письме отображается адрес, указанный в параметре SMTP_FROM;

•SMTP_HOST – имя хоста почтового сервера;

•SMTP_PORT – порт на почтовом сервере, доступный по протоколу SMTP;

•SMTP_ENABLE_SSL – защищенное SSL-соединение с почтовым сервером. Укажите значение true, чтобы для рассылки уведомлений использовать защищенное SSL-соединение, или false, чтобы не использовать;

•SMTP_SSL_OPTIONS – тип защищенного подключения к почтовому серверу. Возможные значения: Ssl, StartTls, Auto. Если подключаетесь к почтовым серверам mail.ru и Яндекс.Почта, укажите значение Ssl. Это значение также подходит для большинства других почтовых серверов. Подробнее о поддерживаемом типе защищенного подключения см. в документации используемого почтового сервера. По умолчанию Auto;

•SMTP_CHECK_CERTIFICATE_REVOCATION – проверка отозванности SSL-сертификатов. Если система установлена в закрытом контуре без доступа к сети Интернет, то отключите проверку. Для этого в  параметре снимите флажок (false). По умолчанию флажок установлен (true) – проверка отозванности SSL-сертификатов выполняется;

•SMTP_USERNAME – имя пользователя для подключения к почтовому серверу;

•SMTP_PASSWORD – пароль пользователя для подключения к почтовому серверу;

•ADMINISTRATOR_EMAIL – почтовый адрес администратора, на который будут приходить запросы от пользователей, например, чтобы отписаться от рассылки оповещений по почте о приходе новых заданий.

Примечание. Для почтового клиента Яндекс.Почта кроме аутентификации по паролю поддерживается доступ по защищенному протоколу авторизации OAuth 2.0. В этом случае в конфигурационном файле не нужно заполнять параметр SMTP_PASSWORD.

Для настройки подключения к сервису Яндекс.Почта по защищенному протоколу OAuth 2.0 получите OAuth-токен доступа, затем заполните вышеперечисленные параметры и дополнительные:

•SMTP_OAUTH_PROVIDER – провайдер авторизации OAuth. Возможные значения: Yandex, None. Значение по умолчанию None;

•SMTP_OAUTH_TOKEN_URI – адрес сервера OAuth-провайдера для запроса на получение токена;

•SMTP_OAUTH_CLIENT_ID – идентификатор, полученный при создании приложения для получения токена;

•SMTP_OAUTH_CLIENT_SECRET – пароль для получения токена, сгенерированный при создании приложения;

•SMTP_OAUTH_ACCESS_TOKEN – токен доступа к сервису почты, полученный скриптом;

•SMTP_OAUTH_REFRESH_TOKEN – токен обновления, полученный скриптом;

•SMTP_OAUTH_ACCESS_TOKEN_EXPIRES_IN – срок действия токена доступа, полученный скриптом. Значение указывается в секундах, например 7776111;

•SMTP_OAUTH_ACCESS_TOKEN_REFRESH_PERIOD – период обновления токена доступа в секундах. Рекомендуемое значение для провайдера авторизации Яндекс – 7776000 (3 месяца).

Для настройки строгого доступа к документам добавьте параметры:

•UI_STRICT_ACCESS_DOCUMENT_TYPES – через «;» перечислите идентификаторы типов документов, для которых можно будет включать строгий доступ;

•UI_ENHANCED_STRICT_ACCESS_DOCUMENT_TYPES – через «;» перечислите идентификаторы типов документов, для которых можно будет включать усиленный строгий доступ.

Подробнее см. в разделе «Как узнать идентификатор типа документа». Если один и тот же идентификатор типа документа указан в обоих параметрах, то к документу будет применяться усиленный строгий доступ.

Примечание. Изменение параметров не влияет на доступ к конкретному документу с включенным ранее строгим доступом. Например, для договора поставки включили строгий доступ в системе, а после этого в параметре конфигурационного файла удалили идентификатор для типа договора. В этой ситуации строгий доступ не отключается, ограничение доступа к договору поставки продолжает действовать.

Пример настройки в config.yml:

UI_STRICT_ACCESS_DOCUMENT_TYPES: '09584896-81e2-4c83-8f6c-70eb8321e1d0'

UI_ENHANCED_STRICT_ACCESS_DOCUMENT_TYPES: 'd0190603-b367-4b4b-ac3c-856f3e495328'

Включение строгого доступа по кнопке в карточке документа можно настроить и в среде разработки.

Если разработчик программно настроил передачу прав доступа замещающему, то чтобы применить настройку, в конфигурационный файл необходимо добавить параметр ALLOW_STRICT_ACCESS_DELEGATION_IN_SUBSTITUTION – разрешить делегирование строгого доступа в замещениях. Для этого в параметре установите флажок (true). По умолчанию флажок снят (false) – права на документ со строгим доступом не передаются по замещению.

Если разворачивается сервис ключей, то укажите его адрес в конфигурационном файле на сервере, где установлен сервис хранилищ. Для этого заполните параметр KEY_DERIVATION_SERVICE_ADDRESS.

Пример настройки в config.yml:

KEY_DERIVATION_SERVICE_ADDRESS: '{{ protocol }}://{{ host_fqdn }}/KeyDerivation'

По умолчанию в Directum RX шифрование документов отключено. Чтобы его включить, на выделенном сервере разверните сервис ключей. После этого добавьте и заполните необходимые параметры:

•UI_ENCRYPTABLE_DOCUMENT_TYPES – укажите идентификаторы типов документов, для которых будет доступно шифрование через интерфейс. Подробнее см. в разделе «Как узнать идентификатор типа документа». В результате для таких документов на панели «Управление доступом» появится кнопка , по которой можно зашифровать документ.

Пример настройки в config.yml:

UI_ENCRYPTABLE_DOCUMENT_TYPES: 'd0190603-b367-4b4b-ac3c-856f3e495328;09584896-81e2-4c83-8f6c-70eb8321e1d0'

Кроме шифрования через интерфейс Directum RX, в системе есть возможность настроить программное шифрование. Его настраивает разработчик через программный код. В этом случае документы шифруются системой автоматически, исходя из логики, которая описана в коде.

•DATA_ENCRYPTION_ALGORITHM_OID – укажите OID (идентификатор) алгоритма, который необходимо использовать для симметричного шифрования данных. Поддерживаются алгоритмы:

•AES-256 – укажите значение 2.16.840.1.101.3.4.1.42. Значение по умолчанию;

•ГОСТ Р 34.12-2015 «Магма» – укажите значение 1.2.643.7.1.1.5.1;

•ГОСТ Р 34.12-2015 «Кузнечик» – укажите значение 1.2.643.7.1.1.5.2.

важно. Для шифрования документов по ГОСТ-алгоритмам на сервисе хранилищ требуется установка КриптоПро CSP версии 5.0 и выше.

Пример настройки в config.yml:

DATA_ENCRYPTION_ALGORITHM_OID: '1.2.643.7.1.1.5.1'

Если разработчик при модификации системы добавил программный код, который выполняется в зависимости от того, доступно в системе шифрование или нет, то добавьте параметр DATA_ENCRYPTION_ENABLED и установите в нем флажок (true). По умолчанию флажок снят (false).

Обратите внимание, что параметр необходимо заполнять только, когда нужно предусмотреть поведение работы при развернутом шифровании и при его отсутствии. Например, вы дорабатываете систему под разные организации, и нужно учесть, что в одной организации будет развертываться шифрование, а в другой нет. В этом случае в программном коде добавьте логику, по которой документ после согласования программно шифруется, если в системе настроено шифрование, и не шифруется, если возможность отсутствует.

Примечание. Эта настройка необязательная, так как она используется только для проверки, доступно ли шифрование в системе. Она не включает возможность шифрования документов в системе.

Если для типа документа настроены шифрование и строгий доступ через интерфейс системы, то по умолчанию в карточке документа они объединяются в одно действие :

При необходимости можно отключить совместный режим. Для этого в параметре UI_COMBINE_STRICT_ACCESS_AND_ENCRYPTION снимите флажок (false). По умолчанию флажок установлен (true) – действия объединяются.

В результате в карточке документа будет два разных действия:

Совместный режим можно включить или отключить и в среде разработки. Для этого в редакторе типа документа в событии Выполнение/Возможность выполнения необходимо переопределить логику работы действия ToggleStrictRightsAndEncryption.

Если в системе используется строгий доступ или шифрование документов, то рекомендуется добавить параметр BINARY_DATA_ACCESS_LOG_STACK_ENABLED – включить логирование стека при доступе к бинарным данным зашифрованных объектов или со строгим доступом. В параметре установите флажок (true). По умолчанию флажок снят (false), логирование отключено. В дальнейшем по информации из стека можно отследить последовательность вызова функций и найти изначальную функцию, в которой произошла ошибка при обращении к конфиденциальным данным. В лог-файле информация записывается в атрибут stackTrace.

Пример настройки в config.yml:

BINARY_DATA_ACCESS_LOG_STACK_ENABLED: 'true'

В системе можно ограничить доступ к содержимому документов для сотрудников, входящих в роль «Администраторы» или «Аудиторы». Это позволяет скрыть конфиденциальную информацию, например персональные данные работников.

Для настройки используются параметры:

•ALLOW_ADMINISTRATOR_ACCESS_TO_DOCUMENTS_CONTENT – разрешить доступ для роли «Администраторы»;

•ALLOW_AUDITOR_ACCESS_TO_DOCUMENTS_CONTENT – разрешить доступ для роли «Аудиторы».

Можно указать один параметр или оба. Если параметр не задан или в нем установлен флажок (true), у соответствующей роли есть доступ к содержимому всех документов. Если снять флажок (false), у сотрудника, входящего в роль, изымаются права доступа к документу, но ему не назначаются запрещающие права. Этот сотрудник получит доступ к содержимому только тех документов, права на которые выданы ему явно. При этом доступ к карточкам всех документов останется.

По умолчанию оба параметра не заданы, поэтому у администраторов и аудиторов есть доступ к содержимому всех документов. Чтобы ограничить доступ, в конфигураторе Directum Launcher в секцию Общие настройки (common_config) добавьте параметры со снятыми флажками (false).

Пример настройки в config.yml, при которой ограничивается доступ для администраторов и аудиторов:

common_config: &base

    ...
    ALLOW_ADMINISTRATOR_ACCESS_TO_DOCUMENTS_CONTENT: 'false'
    ALLOW_AUDITOR_ACCESS_TO_DOCUMENTS_CONTENT: 'false'

Если изменился адрес обработчика гиперссылок, укажите его в параметре HYPERLINK_SERVER. По умолчанию http://localhost/Sungero.

Чтобы изменить язык лог-файлов сервиса или веб-сервера (некоторые сообщения всегда записываются на английском языке, вне зависимости от настройки), укажите его в параметре LOG_LANGUAGE. По умолчанию значение Ru-ru.

В системе данные склоняются по падежам. Например, в автозаполняемых полях документов, созданных из шаблона. Чтобы отключить склонение, в параметре IS_CASE_DECLENSION_ENABLED снимите флажок (false). По умолчанию флажок установлен (true). Менять параметр не рекомендуется.

Для подписания документов также используются плагины. Если необходимо использовать сторонние плагины, разработанные на основе шаблонов для подписания документов, укажите путь до них в конфигурационном файле в параметре PLUGINS_ZIP_PATH. Имя папки по умолчанию DrxPlugins, для отладочного веб-сервера DrxPluginsLocal.

Чтобы включить подробное логирование для отладки системы, в Directum Launcher во встроенном редакторе YAML установите значение true в параметре LOGS_DEBUGGER. Возможные значения: true, false. Если установлено значение true, то на панели «Вывод» в среде разработки отображаются отладочные сообщения всех уровней логирования. Они помогают разработчику восстановить ход работы по этапам конкретного процесса в продуктивной системе. Значение по умолчанию false.

По умолчанию в системе для каждого сервиса и веб-сервера автоматически создаются статус-файлы. В них записывается информация по выполненным проверкам работоспособности (HealthCheck). При необходимости вы можете изменить время обновления статус-файлов, папку, в которой они хранятся, или отключить статус-файлы. Для этого используйте параметры в Directum Launcher во встроенном редакторе YAML:

•STATUS_FILE_ENABLED – включить или отключить запись результатов проверок в статус-файлы. По умолчанию true;

•STATUS_FILE_UPDATE_INTERVAL – частота обновления статус-файлов. По умолчанию 10 секунд;

•STATUS_FILE_PATH – папка для хранения статус-файлов. По умолчанию размещаются вместе с лог-файлами сервисов в подпапке status.

Пример настройки:

STATUS_FILE_ENABLED: 'true'

STATUS_FILE_UPDATE_INTERVAL: '00:00:10'
STATUS_FILE_PATH: '{{ home_path }}/logs/status'