Der JET Client kann auf Wunsch über das öffentliche Internet mit dem JET Server kommunizieren. Dadurch entfällt der Bedarf einer VPN-Einwahl in das Unternehmensnetzwerk. 

Der Betrieb über das öffentliche Internet erfordert eine sorgfältige Konfiguration und hohe Sicherheitsstandards, da öffentliche Verbindungen im Internet das Ziel von Cyberangriffen sein können. Bitte führen Sie solch eine Konfiguration daher nur nach Rücksprache und in enger Begleitung mit Ihrem Netzwerk- und Security-Spezialisten durch.


Restriktionen

Bei dem Betrieb über das öffentliche Internet stehen folgende Funktionen nicht zur Verfügung:

  • Awareness-Informationen: Die grafische Darstellung, ob und welche anderen Mitarbeiter aktuell am System angemeldet sind, ist nicht verfügbar
  • Push-Nachrichten des Servers: Werden auf dem Server neue Pinnwand-Nachrichten, Aufgaben oder Drucke erstellt, kann der Client nicht vom Server informiert werden. In der Folge sieht der Benutzer die veränderten Daten erst, wenn er (z. B. mit der F5-Taste) die Daten selbständig aktualisiert


Voraussetzungen

  • Reverse Proxy
    Damit der JET Client den JET Server über das Internet erreichen kann, muss ein Reverse-HTTP-Proxy-Server betrieben werden. Installation, Konfiguration und Betrieb dieser Komponente sind nicht Bestandteil von oxaion und liegen ausschließlich in der Verantwortung des Kunden. 

  • DMZ-Zone
    Der Reverse-Proxy muss auf einem abgesicherten und vom sonstigen Unternehmensnetzwerk getrennten System betrieben werden. Es empfiehlt sich, den Reverse Proxy in einer DMZ-Zone zu betreiben

  • Firewall
    Der Reverse-Proxy muss sowohl zum Internet, als auch zum lokalen LAN mit einer Firewall gesichert sein. Zwischen Internet und Reverse-Proxy 

  • SSL
    Der Reverse-Proxy muss mit einem gültigen und öffentlichen SSL-Zertifikat ausgestattet sein. Erwerb und Installation des SSL-Zertifikats liegen ausschließlich in der Verantwortung des Kunden

  • Öffentliche, statische IP-Adresse
    Der Reverse Proxy muss mit einer öffentlichen und festen IP-Adresse ausgestattet sein

  • Patch-Management
    Das Betriebssystem des Reverse Proxy, der Firewall und der Reverse Proxy selbst müssen stets und zeitnah auf dem aktuellsten Stand gehalten werden. Patches und Updates müssen zeitnah eingespielt werden.

Freizugebende Ports

Zwischen dem Internet und dem Reverse Proxy ist der Port 443 freizugeben.

Zwischen dem Reverse Proxy und dem oxaion Server ist der HTTP-Port (z. B. 11028) freizugeben.


Proxy-Routen

Der Reverse-Proxy muss folgende Routen an den oxaion Server weiterleiten:

/hessian => /hessian
/widgets => /widgets (falls Dashboard-Widgets verwenden werden sollen)
/api/docviewer => /api/docviewer (falls DMS-Vorschau verwendet werden soll)
/itemimages => /itemimages (falls Stücklsiten-Anzeige verwendet werden soll)
/license-info => /license-info
/ => /client


Beispiel-Konfiguration eines Apache HTTP-Servers als Reverse-Proxy. Der oxaion Server läuft auf der Maschine "erp01.kunde.local" auf Port 11028. Nach extern soll die Umgebung unter der URL https://xyz.de/erp-production erreichbar sein

ProxyPass /erp-production/hessian/ http://erp01.kunde.local:11028/hessian/
ProxyPassReverse /erp-production/hessian/ http://erp01.kunde.local:11028/hessian/

ProxyPass /erp-production/widgets/ http://erp01.kunde.local:11028/widgets/
ProxyPassReverse /erp-production/widgets/ http://erp01.kunde.local:11028/widgets/

ProxyPass /erp-production/api/docviewer/ http://erp01.kunde.local:11028/api/docviewer/
ProxyPassReverse /erp-production/api/docviewer/ http://erp01.kunde.local:11028/api/docviewer/

ProxyPass /erp-production/itemimages/ http://erp01.kunde.local:11028/itemimages/
ProxyPassReverse /erp-production/itemimages/ http://erp01.kunde.local:11028/itemimages/

ProxyPass /erp-production/license-info/ http://erp01.kunde.local:11028/license-info/
ProxyPassReverse /erp-production/license-info/ http://erp01.kunde.local:11028/license-info/

ProxyPass /erp-production/ http://erp01.kunde.local:11028/client/
ProxyPassReverse /erp-production/ http://erp01.kunde.local:11028/client/


Start des Clients

Damit der Client startet, ist die öffentliche IP-Adresse mit dem Parameter "hessian-url" wie folgt aufzurufen:

https://xyz.de/erp-production/client.jar?hessian-url=https://xyz.de/erp-production


Falls der oxaion Server direkt auf der Hauptroute registriert wurde (z. B. auf einer Sub-Domain), kann der Parameter hessian-url auch weggelassen werden, wenn statt client.jar eine oxaion.jar heruntergeladen wird:

https://oxaion.xyz.de/oxaion.jar

Empfehlung

Auch bei Hauptrouten empfiehlt sich in der jeweiligen wrapper.conf eine kleine Hilfestellung mittels
##für HESSIAN
wrapper.java.additional.12 = -Dserver.ip=oxaion.xyz.de



SSL-Zertifikat im Client

Falls das öffentliche SSL-Zertifikat nicht bereits in der Standard-Zertifikatsfolge der Java Runtime enthalten ist, muss dieses separat unter dem data/http/client/certs-Ordner abgelegt werden.


Restriktionen bei der Verwendung hinter einem HTTPS-Proxy

Unter dem Betriebssystem "Microsoft Windows" wird in manchen Netzwerken ein eventuell vorhandener HTTPS-Proxy-Server nicht automatisch erkannt. In diesem Fall muss in den Systemeinstellungen in der Proxy-Konfiguration das Häkchen "Einstellungen automatisch erkennen" DEAKTIVIERT werden und ein vorhandener Proxy-Server manuell in den Einstellungen eingetragen werden. 


Optional kann der URL auch der Parameter ?proxyHost=...&proxyPort=... mitgegeben werden, damit die heruntergeladene .jar-Datei immer zwingend diesen Proxy-Server verwendet.


  • Keine Stichwörter