고급 설정

구성 파일 편집 지침

processmining.conf 은 제대로 작동하는 데 필요한 속성을 포함하는 구성 파일입니다 IBM Process Mining 가 제대로 작동하는 데 필요한 속성이 포함된 구성 파일입니다. 기본값을 사용하는 경우 파일을 수정하지 않아도 작동하도록 배포됩니다. 그러나 파일을 편집할 때는 다음 지침을 반드시 준수하세요:

  • 필요한 값을 변경해야 합니다(예:LDAP hostname ). 사용하지 않는 값을 삭제할 필요는 없습니다.

  • 비어 있는 경우에도 모든 값을 지정해야 합니다. 그렇지 않으면 IBM Process Mining 가 시작되지 않습니다.

  • 실수로 변경하면 YAML 형식 스타일이 손상되어 제대로 작동하지 않을 수 있습니다.

서비스로 실행

애플리케이션을 서비스로 실행하려면 루트 사용자로 다음 명령을 입력하십시오.

cp <PM_HOME>/bin/pm*.service  /etc/systemd/system/
chmod 664 /etc/systemd/system/pmweb.service
chmod 664 /etc/systemd/system/pmengine.service
chmod 664 /etc/systemd/system/pmanalytics.service
chmod 664 /etc/systemd/system/pmaccelerators.service
chmod 664 /etc/systemd/system/pmmonitoring.service
chmod 664 /etc/systemd/system/pmmonet.service
chmod 664 /etc/systemd/system/pmbrm.service

systemctl daemon-reload
systemctl enable pmengine.service
systemctl enable pmweb.service
systemctl enable pmanalytics.service 
systemctl enable pmaccelerators.service 
systemctl enable pmmonitoring.service
systemctl enable pmmonet.service
systemctl enable pmbrm.service

*.service 파일을 수정하여 다음 구성을 설정해야 합니다.

  • 올바른 RUNAS 사용자

  • 올바른 PM_HOME 경로

서비스 시작 및 중지

다음 명령을 사용하여 서비스를 테스트하십시오.

systemctl start pmmonet.service
systemctl start pmengine
systemctl start pmweb
systemctl start pmanalytics
systemctl start pmaccelerators
systemctl start pmmonitoring
systemctl start pmbrm
systemctl stop pmmonet.service
systemctl stop pmengine
systemctl stop pmweb
systemctl stop pmanalytics
systemctl stop pmaccelerators
systemctl stop pmmonitoring
systemctl stop pmbrm
중요: SE Linux 가 활성화된 경우 SE로 식별되는 추가 작업을 수행해야 합니다 Linux.

이메일

이메일 서비스는 사용자에게 비밀번호 재설정 이메일을 보내는 데 사용됩니다.

이메일 서비스를 사용하려면 다음과 같이 <PM_HOME>/etc/processmining.confemail 섹션을 편집하십시오.

email: {
  from: "sender@mycompany.com" #optional, if empty user field will be used
  user:"theaccount@mycompany.com",
  password:"2bTPnxKK6rsf3z6VNpcEqA==",
  smtp: {
          starttls: {
                  enable: true,
                  required: true
          },
    auth: true,
          host: "smtp.mycompany.com",
    port: "465",
    socketFactory: {
      port: "465" ,
      fallback: false
                }       
        },
  sendgrid : {
                apikey: ""
                #host: "" #optional, if empty default value is https://api.sendgrid.com/v3/mail/send
        }       
},

SendGrid 사용

SMTP 대신 SendGrid 를 메일 프로그램으로 채택하는 것이 선호되는 경우 다음 구성이 필요합니다.

  • email.from 필드를 지정하십시오 (필수).
  • 제품 API키를 사용하여 sendgrid.sendgrid.apikey 를 지정하십시오 (필수).
  • SengGrid host 를 정의하십시오 (선택사항).
  • 예제에서와 같이 smtp 프로파일을 프로파일 섹션의 sendgrid 로 바꾸십시오.
profiles: [
  ...
  ...
  "sendgrid",                           # smtp | sendgrid
  ...
  ...
]
참고: 파일에 비밀번호를 저장하기 전에 비밀번호를 암호화된 형식으로 저장해야 합니다. 자세한 내용은 "비밀번호 암호화" 절을 참조하십시오.

저장 데이터 암호화

참고: 이 섹션은 IBM Process Mining 레거시 프로젝트에만 유효합니다.

파일 시스템

에 업로드한 데이터 파일(CSV)을 암호화할 수 있습니다 IBM Process Mining 에 업로드한 데이터 파일(CSV)을 AWS 키 관리 서비스(KMS)로 암호화할 수 있습니다.

데이터 파일을 암호화하려면 다음과 같이 <PM_HOME>/etc/processmining.confencryption 섹션을 편집해야 합니다.

encryption: {
  aws: {
    enabled: true,
    # test
    region: "eu-west-1",
    accessKeyId: "<YOUR AWS ACCESS KEY>",
    secretKey: "<YOUR AWS SECRET KEY>",
    # arn of the key
    cmkId: "arn:aws:kms:eu-west-1:992429998518:key/30be1e99-e584-4de5-a2bd-8c9927990f73"  
  }
},

그런 다음 engine.defaults.project.encryptSourceData 섹션을 편집하고 값을 true로 설정하십시오.

경고: AWS KMS와 서버는 동일한 AWS 지역에 있어야 합니다.
참고: 처음 설정할 때 이전 구성을 제공해야 합니다. CSV 암호화를 사용으로 설정하고 일부 프로젝트가 이미 작성된 경우 해당 CSV 파일의 업로드를 다시 실행해야 합니다.

JVM 메모리 설정

서버에서 사용 가능한 RAM에 따라 Java힙 메모리 설정을 설정해야 합니다.

<PM_HOME>/bin/environment.conf 에서 다음 특성을 편집하여 이러한 구성을 설정하십시오.

  • "JVM_MAX_HEAP_ENGINE"

제안되는 값은 사용 가능한 32Gb RAM이 있는 서버에서 16g입니다.

제안되는 값은 64Gb이상의 RAM을 사용할 수 있는 서버에서 24g입니다.

  • "JVM_MAX_DIRECT_MEMORY_ENGINE"

2g 의 기본값은 일반적으로 성능을 최적화하는 데 적합합니다.

  • "JVM_MAX_HEAP"

2g 의 기본값은 일반적으로 성능을 최적화하는 데 적합합니다.

  • "JVM_MAX_DIRECT_MEMORY"

기본값 1g 는 일반적으로 성능을 최적화하는 데 적합합니다.

JVM 설정을 변경한 후 변경사항을 적용하려면 서버를 다시 시작해야 합니다.

운영 체제 설정

정기적으로 사용할 프로젝트를 많이 만들 때는 가능한 한 많은 파일에 다음 설정을 적용하세요:

/etc/sysctl.conf
fs.file-max = 2097152
sudo sysctl -p

sudo vi /etc/security/limits.conf
* soft nofile 500000
ulimit -Sn

Nginx 에서 고급 보안 사용

프로덕션 환경의 경우 Nginx 고급 보안 구성을 사용하는 것이 좋습니다.

느린 사후 공격 완화

이 구성은 DDOS 느린 사후 공격을 완화하는 데 유용합니다.

이를 위해 /etc/nginx/conf.d/processmining.conf 파일을 편집하고 DDOS 느린 게시물 완화 공격과 관련된 섹션의 주석을 제거합니다.

client_body_timeout 5s;
client_header_timeout 5s;

location /signin 
{
        limit_req zone=one;
        limit_conn addr 10;
        proxy_pass              http://localhost:8080;
  proxy_set_header        X-Real-IP $remote_addr;
  proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header        Host $http_host;
}


limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;
limit_conn_zone $binary_remote_addr zone=addr:10m;

호스트 헤더 인젝션 방지

이 경우 /etc/nginx/conf.d/processmining.conf 파일을 편집하십시오.

  • server_name _;server_name <CURRENT PUBLIC HOSTNAME>로 바꾸십시오.
    • 즉,다음과 같습니다. server_name pm.mycompany.com;
  • Prevent Host Header Injection섹션을 주석 해제하십시오. 이를 통해 대상으로 올바르지 않은 호스트 이름을 사용하여 전용 파일 요청에 로그인할 수 있습니다.
    • 인증서와 관련된 섹션 업데이트

보안 쿠키

보안상의 이유로 보안 쿠키를 사용하는 것이 좋습니다. 이 옵션을 활성화하면 웹 애플리케이션은 8080 포트가 아닌 HTTPS 에서만 작동합니다.

  1. <PM_HOME>/etc/processmining.conf에서 프로파일 섹션을 편집하십시오.
  2. development 프로파일을 제거하십시오.

Task Mining 웹 애플리케이션과의 보안 통합

프로덕션 환경에서는 Task Mining 웹 애플리케이션 호스트 이름을 올바르게 설정하는 것이 좋습니다.

다음과 같이 <PM_HOME>/etc/processmining.confsso.redirect 섹션을 편집하십시오.

sso: {
  redirect: {
        # This must be filled, for security reason, in production environment with the taskmining hostname. I.e. tm.mycompany.com
    allow: ""
  },

Process App 구성을 위한 키 쌍 생성

키 쌍에는 프로세스 앱 서비스가 다음과 통신할 수 있도록 하는 공개 키와 개인 키가 포함되어 있습니다 IBM Process Mining. generateKeyPair.sh 스크립트를 사용하여 프로세스 앱의 키 쌍을 생성할 수 있습니다. generateKeyPair.sh 스크립트를 사용하여 키 쌍을 생성하는 방법에 대한 자세한 내용은 프로세스 앱의 비공개 키 및 공개 키 만들기를 참조하세요. 그러나 기존 키 쌍을 제거하고 수동으로 새 키 쌍으로 대체해야 하는 경우 다음 단계를 수행하십시오.

  • 다음으로 이동 - /opt/processmining/etc

    cd /opt/processmining/etc

  • 기존 키 쌍 파일 acf-ext-publicKey.der, acf-core-privateKey.derkeypair-callsToAcf.pem 를 삭제하십시오.

    rm -i acf-ext-publicKey.der
rm -i acf-core-privateKey.der
rm -i keypair-callsToAcf.pem

  • .pem 형식으로 RSA키 쌍 생성

    openssl genrsa -out keypair-callsToAcf.pem 2048

  • 다음 명령을 실행하여 키 쌍을 생성한 후 .der 형식의 공개 키를 <PM_HOME>/etc 디렉토리로 내보내십시오.

    openssl rsa -in keypair-callsToAcf.pem -outform DER -pubout -out acf-ext-publicKey.der

  • 키 쌍을 생성한 후 .der 형식의 개인 키를 {PM_HOME}/etc 디렉토리로 내보내려면 다음 명령을 실행하십시오.

     openssl pkcs8 -topk8 -nocrypt -in keypair-callsToAcf.pem -outform DER -out acf-core-privateKey.der
팁: 애플리케이션이 /opt/processmining 디렉터리에 설치되어 있지 않은 경우 publicKeyPath 속성을 <PM_HOME> /etc/processmining.conf 파일의 속성을 다음 값으로 설정해야 합니다: filesystem.home: "<PM_HOME>/etc/acf-ext-publicKey.der"

Process App에 대한 JWT 서명 키 생성

JWT 서명 키를 생성하여 Process App 서비스와 애플리케이션 간의 통신을 설정하고 보호할 수 있습니다. 기본적으로 기본 설정에서는 IBM Process Mining 의 단축키는 기본 설정에서 사용할 수 있습니다. 새 JWT 서명키를 생성하려면 다음 키 생성기 포털을 사용하세요: https://asecuritysite.com/encryption/keygen.

키 생성기 도구에서 JWT 서명 키를 생성하려면 다음 단계를 수행하십시오.

  • 비밀번호 문구 필드에 선택한 비밀번호 문구를 입력하십시오.
  • 아래 그림과 같이 암호화 알고리즘을 선택하여 다음에 대한 서명키를 생성하고 암호화합니다 IBM Process Mining :

Asecuritysite.com

  • 생성된 JWT 서명 키를 다음 위치에 복사하십시오.
    • IBM Process Mining 에 대해 처음 생성된 키입니다:

    1. <PM_HOME>/etc/accelerator-core.properties 파일의 issuer.jwt.key.ProcessMiningService 필드에 복사하십시오.

    2. <PM_HOME>/etc/processmining.conf 파일의 가속기 섹션에 있는 issuer.jwt.key.ProcessMiningService 필드에 복사하십시오.

RPA 봇 생성을 위한 설정 구성

다음을 사용할 수 있습니다 IBM Process Mining 을 사용하여 RPA 봇을 생성할 수 있습니다. 이렇게 하려면 Task Mining 환경이 Process Mining 환경에 연결되고 구성 파일에 활성 공급업체가 정의되어 있어야 합니다.

Task Mining 애플리케이션을 Process Mining 애플리케이션에 링크하려면 다음 구성으로 etc/processmining.conf 파일을 업데이트해야 합니다.

taskmining : {
url : "https://pm-qa-candidate-task-miner.fyre.ibm.com"
}
참고: 디바이스에서 URL ~ Task Mining 애플리케이션을 사용하여 URL 값을 업데이트해야 합니다.

etc/processmining.conf 파일에서 허용되는 활성 벤더 세트를 언급해야 합니다. 설치에 대한 활성 공급업체를 정의하려면 다음 구성으로 etc/processmining.conf 파일을 업데이트하십시오.

rpa : {
activeVendors : "IBM_RPA,UI_PATH"
}