CPCE-Portal

Systemvoraussetzungen CPCE

1. Allgemeine Systemvoraussetzungen

1.1. Client Anforderungen

  • Browser

    • beliebiger moderner Browser, wie z.B. Google Chrome, Microsoft Edge oder Mozilla Firefox

    • Internet Explorer und Safari sind nur eingeschränkt verwendbar und nicht empfohlen

  • beliebiges Betriebssystem

1.2. CPCE Dienstkonto / Serviceuser einrichten

Für den Betrieb von CPCE sollte ein Benutzerkonto mit einem logischen Namen wie z.B. “Domäne\CPCE_Service“ eingerichtet werden. Unter diesem Konto wird der Schnittstellendienst ausgeführt.

Für das Servicekonto gelten folgende Empfehlungen:

  • Das Konto sollte als Domänenbenutzer angelegt werden. Nur so kann die Authentifizierung von Benutzern über die Windows-Authentifizierung zuverlässig und sicher erfolgen.

  • Das Konto sollte keine lokalen oder Domänen-Administratorrechte besitzen.

  • Das Kennwort sollte auf „läuft nie ab“ gesetzt werden.

  • Eine Kennwortänderung bei der ersten Anmeldung ist nicht erforderlich.

1.3. CP Admin Konto

  • Auf dem Applikationsserver sollte aufgrund der Installation von Corporate Planner bereits ein Benutzerkonto mit einem logischen Namen wie „Domäne\CP_Admin“ vorhanden sein.

  • Der tatsächliche Kontoname sowie das zugehörige Kennwort sind bekannt und verfügbar.

  • Das Konto verfügt über lokale Administratorrechte auf dem Applikationsserver.

  • Das Konto besitzt auf dem Datenbankserver die SQL-Server-Rolle sysadmin.

  • Das Konto kann für die Anmeldung an CPCE und gegebenenfalls auch an Corporate Planner verwendet werden.

  • Dieses Konto wird von unserem Technikteam im Rahmen der Einrichtung sowie für Supportzwecke genutzt.

1.4. Optional: Zertifikat für HTTPS-Verschlüsselung bereitstellen

  • CPCE ist innerhalb Ihres Netzwerks über ein Webfrontend im Browser erreichbar. Wenn die Verbindung per HTTPS abgesichert werden soll, stellen Sie bitte ein geeignetes SSL-Zertifikat auf dem Applikationsserver bereit.

Voraussetzungen:

  • Das Zertifikat ist im Zertifikatsspeicher des Applikationsservers installiert.

  • Es handelt sich um ein Standard-SSL-Webserverzertifikat (z. B. Single-Domain- oder Wildcard-Zertifikat).

  • In Einzelfällen können auch Multi-Domain- oder Multi-Domain-Wildcard-Zertifikate verwendet werden.

  • Die Schlüsselverwendung bzw. der beabsichtigte Zweck des Zertifikats lautet „Serverauthentifizierung“.

  • Das Zertifikat befindet sich innerhalb seines gültigen Zeitraums.

  • Das Zertifikat enthält sowohl den öffentlichen als auch den privaten Schlüssel. Im Windows-Zertifikatsmanager ist dies am Schlüsselsymbol erkennbar.

Zusätzlich sind folgende DNS-Voraussetzungen zu erfüllen:

  • Für den im Zertifikat hinterlegten Fully Qualified Domain Name (FQDN) existiert ein entsprechender DNS-Eintrag (z. B. CNAME oder Alias).

  • Der DNS-Name muss exakt mit dem im Zertifikat hinterlegten FQDN übereinstimmen, beispielsweise oct.companyname.com.

Betrieb und Wartung:

  • Die Gültigkeit des Zertifikats ist regelmäßig zu überwachen.

  • Vor Ablauf des Zertifikats muss dieses rechtzeitig erneuert und ausgetauscht werden. Eine Anleitung dazu finden Sie hier: 4.3. Austausch eines SSL-Zertifikats

  • Alternativ können Sie uns mit dem Austausch des Zertifikats beauftragen.

1.5. Fernwartungszugriff

  • Für die Einrichtung benötigen wir einen Remote-Zugang per TeamViewer mit einem Benutzerkonto, das über Administratorrechte verfügt. Hierfür wird in der Regel das Konto „Domäne\CP_Admin“ verwendet.

  • Bitte installieren Sie für die Dauer der Einrichtung TeamViewer Host. Die Nutzung ist für Sie lizenzfrei und ermöglicht unserem Technikteam einen eigenständigen Zugriff auf den Server.

  • Da im Rahmen der Einrichtung mehrere Aufschaltungen erforderlich sein können und Arbeiten gegebenenfalls auch außerhalb der regulären Geschäftszeiten stattfinden, sollte der Zugriff während des gesamten Einrichtungszeitraums verfügbar sein.

  • Nach Abschluss der Einrichtung kann TeamViewer Host wieder deaktiviert werden. Für spätere Wartungs- und Supporteinsätze wird der Zugriff nur nach vorheriger Abstimmung aktiviert.

  • Während der Installation muss eine Internetverbindung verfügbar sein, damit Installations- und Konfigurationspakete heruntergeladen werden können.

  • Die Nutzung der Zwischenablage darf nicht eingeschränkt oder gesperrt sein.

  • Sie können die Einrichtung bei Bedarf per Bildschirmaufzeichnung dokumentieren.

  • Die Einrichtung dient jedoch nicht als Schulung. Unsere Mitarbeiter müssen während der Umsetzung konzentriert arbeiten können und können daher die einzelnen Schritte nicht parallel erläutern oder eine Schulung durchführen. Eine Einweisung erfolgt zu einem späteren Zeitpunkt im dafür vorgesehenen Rahmen.


2. Zusätzliche Systemvoraussetzungen

Die Systemvoraussetzungen für die Installation CPCE unterscheiden sich je nach Betriebsvariante:

  • On-Premises (CPCE läuft auf Server und Datenbank auf SQL Server)

  • Hybrid (CPCE on-premises und Datenbank in der Cloud)

  • In der Cloud (CPCE und Datenbank in der Cloud)

2.1. Betriebsvariante “On-Premises”

CPCE läuft auf einem Server und die Datenbank liegt auf einem SQL Server.

2.1.1. Betriebssystem

  • Windows Server 2019 (64-bit) oder 2016 (befristet)

  • Windows Benutzer ohne administrative Rechte als Benutzerkonto für den Windows-Dienst

    • Passwort läuft nie ab

    • Passwort muss nicht bei erster Anmeldung geändert werden

    • ggf. Berechtigungen für lesenden Zugriff auf Datenquellen, wie z.B. SQL Server oder Netzwerkfreigaben

    • Empfohlen: Active Directory Benutzer (z.B. “DOMAIN\CPCE_Service”, alternativ lokaler Benutzer möglich)

  • Azure Entra ID Konten werden aktuell nicht unterstützt

  • Windows Benutzer mit administrativem Zugriff für die Installation & Wartung

    • Empfohlen: Active Directory Benutzer (lokaler Benutzer möglich)

    • idealerweise sysadmin Rechte auf der SQL Server Instanz

    • z.B. “DOMAIN\CPCE_Admin”

  • Empfohlen: Internetzugriff auf https://api.onecooltool.de

  • Optional: SSL Zertifikat im lokalen Computerzertifikatespeicher für HTTPS Verschlüsselung

  • ggf. eine lokale Python Installation, falls der Zugriff auf Web API Datenquellen über ein OCT Gateway erfolgen soll

2.1.2. SQL Server

  • Version: 2017 Service Pack 1 oder neuer (2016 nur noch teilweise unterstützt)

  • Edition: Standard oder Enterprise

    • SQL Server Express wird technisch unterstützt, ist aber aufgrund der Limitierungen nicht empfohlen

  • TCP/IP Protokoll für die SQL Server Instanz ist aktiviert

  • ggf. Zugriff auf SQL Server Instanz in der Firewall freischalten (Standardport 1433), falls der SQL Server getrennt vom Applikationsserver betrieben wird

2.1.3. Hardware Anforderungen

Da CPCE mit sehr unterschiedlichen Datenmengen arbeitet, hängt die notwendige Hardware stark von der Nutzung ab. Ressourcen werden hauptsächlich für den SQL Server benötigt.

Folgende Übersicht dient als grobe Richtlinie:

Szenario

CPU

RAM

Festplatte

Klein: weniger als 100.000 Datensätze pro Jahr

2 Kerne

8 GB

20 GB

Mittel: weniger als 1 Mio. Datensätze pro Jahr

4 Kerne

16 GB

50 GB

Groß: mehr als 1 Mio. Datensätze pro Jahr

8 Kerne

32 GB

100 GB

2.1.4. Zusätzliche Empfehlungen

  • Trennung von Applikations- und SQL-Server

  • Nutzung von aktueller Hard- und Software

  • Erstellung einer Active Directory Benutzergruppe für alle Endanwender, um einheitliche Berechtigungen auf dem SQL Server zu vergeben

2.1.5. Datenquellenzugriff ermöglichen

  • Das CPCE-Dienstkonto ist für den lesenden Zugriff per Windows-Authentifizierung auf die Datenquelle berechtigt, sofern die jeweilige Datenquelle Windows-Authentifizierung unterstützt.

  • Alternativ wurde ein separater Datenbankbenutzer für den lesenden Zugriff eingerichtet (z. B. bei Oracle-Datenbanken).

  • Bei Systemen mit API-Anbindung liegen die erforderlichen Zugangsdaten vor, beispielsweise Zugriffstoken, API-Keys oder vergleichbare Authentifizierungsinformationen.

2.1.6. Active Directory Gruppe für die Administratoren von Corporate Planner anlegen

  • Damit die Corporate-Planning-Administratoren (Anwender, die Daten aller Mandanten einsehen und importieren dürfen) auf die Daten der CPCE-Datenbank zugreifen können, muss eine entsprechende Active-Directory-Gruppe berechtigt werden.

  • Legen Sie eine AD-Gruppe mit einem Namen wie „Domäne\CP_Administratoren“ an.

  • Alternativ können Sie uns eine bereits vorhandene und geeignete AD-Gruppe benennen, die für diesen Zweck verwendet werden soll.


2.2. Betriebsvariante “Hybrid”

CPCE läuft on-premises und die Datenbank liegt in der Cloud.

2.2.1. Betriebssystem

  • Windows Server 2019 (64-bit) oder 2016 (befristet)

  • Windows Benutzer ohne administrative Rechte als Benutzerkonto für den Windows-Dienst

    • Passwort läuft nie ab

    • Passwort muss nicht bei erster Anmeldung geändert werden

    • ggf. Berechtigungen für lesenden Zugriff auf Datenquellen, wie z.B. SQL Server oder Netzwerkfreigaben

    • Empfohlen: Active Directory Benutzer (z.B. “DOMAIN\CPCE_Service”, alternativ lokaler Benutzer möglich)

  • Azure Entra ID Konten werden aktuell nicht unterstützt

  • Windows Benutzer mit administrativem Zugriff für die Installation & Wartung

    • Empfohlen: Active Directory Benutzer (lokaler Benutzer möglich)

    • idealerweise sysadmin Rechte auf der SQL Server Instanz

    • z.B. “DOMAINCPCE_Admin”

  • Empfohlen: Internetzugriff auf https://api.onecooltool.de

  • Optional: SSL Zertifikat im lokalen Computerzertifikatespeicher für HTTPS Verschlüsselung

  • ggf. eine lokale Python Installation, falls der Zugriff auf Web API Datenquellen über ein OCT Gateway erfolgen soll

2.2.2. Datenquellenzugriff ermöglichen

  • Für Datenquellen, die Windows-Authentifizierung unterstützen, wurden die Benutzer „CPCE_Service“ und „CP_Admin“ für den lesenden Zugriff auf die Vorsystemdatenbank(en) berechtigt.

  • Für Datenquellen, die keine Windows-Authentifizierung unterstützen, wurde ein entsprechender Datenbankbenutzer eingerichtet, über den ein lesender Zugriff auf das jeweilige System möglich ist.

2.2.3. Ausgehende Verbindungen aus dem lokalen Netzwerk in die CP Cloud zulassen

  • Erstellen Sie in Ihrer Firewall eine Regel, die ausgehende Verbindungen zur URL cpcesql.database.windows.net über den Port 1433 zulässt.

  • Die Freigabe der URL wird ausdrücklich empfohlen, da sich die verwendeten IP-Adressen aufgrund von Änderungen an der Load-Balancer-Konfiguration der Microsoft Azure Cloud ändern können.

  • Nach Bestätigung der Freigabe auf Seiten von Corporate Planning prüfen Sie die Verbindung mit folgendem PowerShell-Befehl: Test-NetConnection cpcesql.database.windows.net -Port 1433

grafik-20230628-111349.png

2.3. Betriebsvariante “Cloud”

CPCE und die Datenbank laufen in der Cloud.

2.3.1. Datenquellenzugriff ermöglichen

  • Für Datenquellen, die Windows-Authentifizierung unterstützen, wurden die Benutzer „CPCE_Service“ und „CP_Admin“ für den lesenden Zugriff auf die Vorsystemdatenbank(en) berechtigt.

  • Für Datenquellen, die keine Windows-Authentifizierung unterstützen, wurde ein entsprechender Datenbankbenutzer eingerichtet, über den ein lesender Zugriff auf das jeweilige System möglich ist.

2.3.2. Ausgehende Verbindungen aus dem lokalen Netzwerk in die CP Cloud zulassen

  • Erstellen Sie in Ihrer Firewall eine Regel, die ausgehende Verbindungen zur URL cpcesql.database.windows.net über den Port 1433 zulässt.

  • Die Freigabe der URL wird ausdrücklich empfohlen, da sich die verwendeten IP-Adressen aufgrund von Änderungen an der Load-Balancer-Konfiguration der Microsoft Azure Cloud ändern können.

  • Nach Bestätigung der Freigabe auf Seiten von Corporate Planning prüfen Sie die Verbindung mit folgendem PowerShell-Befehl: Test-NetConnection cpcesql.database.windows.net -Port 1433

grafik-20230628-111349.png


 

Last updated: