...
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
application.title = Esup Signature application.footer=Université de Rouen Normandie |
src/main/resources/
...
application.
...
yml
La configuration d' esup-signature se fait au travers du fichier src/main/ressource/application.yml
Pour commenter une ligne il faut ajoute un # devant.
| Avertissement |
|---|
Il faut faire attention à l'indentation lors de la modification du fichier. Une mauvaise indentation peut faire échouer la compilation |
global
Dans la plupart des cas il s'agit ici de modifier root-url par l'adresse de votre esup-signature. Vous pouvez aussi configurer le système d'archivage et activer le switch user.
| Info |
|---|
| Pour des tests en local, il est possible d'utiliser http://localhost:8080 pour root-url |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
global:
root-url: https://esup-signature.univ-ville.fr # Adresse d'accès à votre instance
nexu-url: https://localhost:9895
nexu-version: 1.23-SNAPSHOT
nexu-download-url: /downloads/nexu-bundle.zip
hide-wizard: false # Désactiver le bouton "Assistant de création de demande"
hide-auto-sign: false # Désactiver le bouton "Auto signature"
hide-send-sign-request: false # Désactiver le bouton "Demander une signature"
hide-wizard-except-roles: # rôles faisant exception à la règle hide-wizard précédente
hide-auto-sign-except-roles: # rôles faisant exception à la règle hide-auto-sign précédente
hide-send-sign-except-roles: # rôles faisant exception à la règle hide-send-sign précédente
# archive-uri: smb://serveur_fichier/archives # chemin pour l'archivage des documents
# delay-before-cleaning : 0 # Délai en jours après signature pour archivage et nettoyage des documents (désactivé si commenté)
enable-su |
Par défaut le chemin est relatif.
| Remarque |
|---|
Si vous modifiez l'emplacement du fichier de log par un chemin absolu, celui-ci doit exister et être accessible au compte qui exécute esup-signature. |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
<appender name="FILE" class="ch.qos.logback.core.FileAppender">
<file>logs/esup-signature.log</file>
<append>true</append>
<immediateFlush>true</immediateFlush>
<encoder>
<pattern>[%-5level] %date{dd/MM/yyyy HH:mm:ss} %logger{35} - %msg%n</pattern>
</encoder>
</appender>
|
src/main/resources/application.yml
La configuration d' esup-signature se fait au travers du fichier src/main/ressource/application.yml
Pour commenter une ligne il faut ajoute un # devant.
| Avertissement |
|---|
Il faut faire attention à l'indentation lors de la modification du fichier. Une mauvaise indentation peut faire échouer la compilation |
global
Dans la plupart des cas il s'agit ici de modifier root-url par l'adresse de votre esup-signature. Vous pouvez aussi configurer le système d'archivage et activer le switch user.
| Info |
|---|
| Pour des tests en local, il est possible d'utiliser http://localhost:8080 pour root-url |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
global: root-url: https://esup-signature.univ-ville.fr # Adresse d'accès à votre instance nexu-url: https://localhost:9895 nexu-version: 1.23-SNAPSHOT nexu-download-url: /downloads/nexu-bundle.zip hide-wizard: false # DésactiverActiver leou boutonnon "Assistantle de création de demande"switch user hideenable-auto-signsplash: falsetrue # DésactiverActiver ou non le bouton "Auto signature" hide-send-sign-request: false message d'accueil de la première connexion application-email: esup.signature@univ-ville.fr # Désactiver le bouton "Demander une signature" hide-wizard-except-roles: Adresse email avec laquelle seront envoyés les alertes mail hours-before-refresh-notif: 24 # rôlesNombre faisantd'heures exceptionentre àdeux la règle hide-wizard précédente hide-auto-sign-except-roles:relances utilisateur shareMode: 3 # rôlesvaleur faisantde exception0 à la règle hide-auto-sign précédente hide-send-sign-except-roles: # rôles faisant exception à la règle hide-send-sign précédente # archive-uri: smb://serveur_fichier/archives # chemin pour l'archivage des documents # delay-before-cleaning : 0 3 : 0 = relances désactivé, 1 = force le mode signature du délégué, 2 = force signature du mandant, 3 = choix du mode possible return-to-home-after-sign: false # DélaiForcer enle joursretour aprèsà signaturela pourpage archivaged'accueil et nettoyage des documents (désactivé si commenté) enable-su: falseaprès signature infinite-scrolling: true # Activer ou nonl'infinite scrolling sur le switchtableau user de bord, sinon bascule enable-splash: truesur de la pagination signed-suffix: "_signé" # Activersuffix ouajouté nonau lefichiers message d'accueil de la première connexion application-email: esup.signature@univ-ville.frsignés naming-template: "[user.initials]-[title]" # Adressetemplate emailde avecrenommage laquelle seront envoyés les alertes mail hours-before-refresh-notif: 24des fichiers trash-keep-delay: -1 # Nombre d'heures entre deux relances utilisateur shareMode: 3 Délai de conservation dans la corbeille en jours (-1 non actif) disable-cert-storage: false # valeur# Activer/Désactiver la possibilité de 0stocker àdes 3 : 0 = relances désactivé, 1 = force le mode signature du délégué, 2 = force signature du mandant, 3 = choix du mode possible return-to-home-after-sign: falsecertificats utilisateurs nb-days-before-deleting: -1 # ForcerNombre lede retourjours àaprès laalerte pagepour d'accueilsuppression aprèsdes signature demandes en attente infinite-scrolling: true(-1 non actif) nb-days-before-warning: -1 # ActiverNombre l'infinitede scrollingjours suravant lealerte tableau de bord,suppression sinonpour basculeles surdemandes deen la pagination signed-suffix: "_signé"attente (-1 non actif) enable-captcha: false # suffixActiver/Désactiver ajoutéla audetection fichiersde signés robot à la naming-template: "[user.initials]-[title]"connexion ;-) max-upload-size: 52428800 # template Taille maximum des uploads de renommagefichiers desen fichiersbytes |
Pour la gestion des rôles voir : Documentation administrateur#Gestiondesr%C3%B4les
...
Ce paramètre permet de spécifier le port ajp dans le cas ou l'application est démarrée directement (en utilisant mvn lançant directement esup-signature.war ou en utilisant mvn springboot:run par exemple)
...
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
#tomcat: # ajp: # port: 6009 |
...
spring
datasource
session
À ne pas modifier. Permet l'activation de spring-session.Configuration de la base de donnée :
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
session: datasourcejdbc: driver-class-name: org.postgresql.Driverinitialize-schema: always save-mode: always |
data, datasource
Avtivation de ldapRepository et configuration de la base de donnée :
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
data: ldap: hikari: auto-commit: false password repositories: esup url enabled: jdbc:postgresql://localhost:5432/esupsignaturetrue datasource: username: esupsignature |
jpa
Il faut prêter une attention particulière au paramètre ddl-auto. Mode update permet la création et la mise à jour de la base de donnée lors du démarrage de l'application ou des tests. Ce mode peut éventuellement être utilisé lors des mises à jour de l'application. Le reste du temps (en production par exemple) ce paramètre peut être positionné sur validate qui ne fera qu’exécuter un contrôle de la base de données.
| Avertissement |
|---|
Attention au mode create qui, lui, détruit et re-crée la base complète au moment du démarrage de l'application |
driver-class-name: org.postgresql.Driver
url: jdbc:postgresql://localhost:5432/esupsignature
password: esup
username: esupsignature
jdbc-url: ${spring.datasource.url}
hikari:
auto-commit: false |
jpa
Il faut prêter une attention particulière au paramètre ddl-auto. Mode update permet la création et la mise à jour de la base de donnée lors du démarrage de l'application ou des tests. Ce mode peut éventuellement être utilisé lors des mises à jour de l'application. Le reste du temps (en production par exemple) ce paramètre peut être positionné sur validate qui ne fera qu’exécuter un contrôle de la base de données.
| Avertissement |
|---|
Attention au mode create qui, lui, détruit et re-crée la base complète au moment du démarrage de l'application |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
jpa:
hibernate:
ddl-auto: update
properties:
| ||||
| Bloc de code | ||||
| ||||
hibernate: ddl-auto: update properties: hibernate: dialect: org.hibernate.dialect.PostgreSQLDialect format_sql: true jdbc: lob: non_contextual_creation: true show-sql: false open-in-view: false |
ldap
Configuration de l'accès ldap pour spring (obligatoire si l'authentification CAS est activée)
...
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
mail:
host: smtp.univ-ville.fr |
ldap
servlet, thymeleaf, web, mvc
Ne pas modifier, concerne la configuration web de springLa configuration ldap hors spring est spécifique à votre établissement, elle précise les modalités de recherche de vos utilisateur dans l'annuaire
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
ldapservlet: search-basemultipart: ou=people # base de recherche (ou dans laquelle se trouve les comptes utilisateurs group-search-base: ou=groups # base des groupes user-id-search-filter: (uid={0}) # le champ dans lequel on trouve le login des utilisateurs group-search-filter: member={0} # filtre pour la recherche des groupes member-search-filter: (&(uid={0})({1})) # filtre pour contrôler l'appartenance à un groupe mapping-filters-groups: # liste d'attribution de groupe en fonction d'un filtre LDAP student : "(eduPersonAffiliation:=student)" enabled: true max-file-size: 1280KB max-request-size: 1280KB resolve-lazily: true thymeleaf: cache: false encoding: UTF-8 mode: HTML servlet: produce-partial-output-while-processing: false web: resources: cache: cachecontrol: staff : "(eduPersonAffiliation:=staff)" |
| Info |
|---|
On peut utiliser mapping-filters-groups pour attribuer des groupes à un utilisateur, par exemple : avec mes-users : "eduPersonAffiliation:=member", toutes les personnes issue de ce filtre se verront affectées au groupe "mes-users" Si dans mapping-groups-roles on a mes-users: ROLE_USER, l'utilisateur obtiendra le rôle ROLE_USER. |
| Avertissement |
|---|
Attention vos requetes LDAP doivent impérativement être mises entre parentheses. |
Pour la gestion des rôles voir : Documentation administrateur#Gestiondesr%C3%B4les
Dans la partie mail (hors spring) vous pouvez paramétrer l'adresse from pour l'envoi de mails
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
mail:
from: no-reply.esup-signature@univ-ville.fr |
sms
Cette partie permet de configurer un service d'envoi de sms pour l'utilisation de la fonction One Time Password à destination des personnes extérieures à l’établissement. Pour l'instant seule une implémentation pour SMSU est disponible
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
sms:
enable-sms : false
# service-name: SMSU
# url: https://smsu-api.univ-ville.fr/
# username: sms-account
# password: ******** |
...
tsp-server : adresse url du serveur de temps utilisé pour les horodatages des signatures électroniques
ks-filename : par défaut le chemin est relatif. Comme dans la configuration logback, si vous voulez spécifier un chemin absolu, le dossier doit avoir été créé avant le premier lancement.
trusted-certificat-url-list : ici vous pouvez ajouter des liens vers les url des certificats non présents dans le journal officiel mais valide dans votre établissent :
| Info |
|---|
Les autres paramètres n'ont pas besoin d'être modifiés |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
dss:
cache-data-source-driver-class-name: org.hsqldb.jdbc.JDBCDriver
cache-data-source-url: jdbc:hsqldb:mem:cachedb
cache-password:
cache-username: sa
default-validation-policy: policy/sign-constraint.xml
server-signing-keystore-filename: validate_service.p12
server-signing-keystore-password: password
server-signing-keystore-type: PKCS12
tsp-server: http://timestamp.sectigo.com
ks-filename: oj_keystore.p12
ks-password: dss-password
ks-type: PKCS12
lotl-country-code: EU
lotl-url: https://ec.europa.eu/tools/lotl/eu-lotl.xml
oj-url: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.C_.2019.276.01.0001.01.ENG
trusted-certificat-url-list:
|
fs (file system)
max-age: 1d
cache-public: true
static-locations: classpath:/static
mvc:
static-path-pattern: /** |
...
ldap
La configuration ldap hors spring est spécifique à votre établissement, elle précise les modalités de recherche de vos utilisateur dans l'annuaire
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
ldap:
search-base: ou=people # base de recherche (ou dans laquelle se trouve les comptes utilisateurs
group-search-base: ou=groups # base des groupes
user-id-search-filter: (uid={0}) # le champ dans lequel on trouve le login des utilisateurs
group-search-filter: member={0} # filtre pour la recherche des groupes
member-search-filter: (&(uid={0})({1})) # filtre pour contrôler l'appartenance à un groupe
mapping-filters-groups: # liste d'attribution de groupe en fonction d'un filtre LDAP
student : "(eduPersonAffiliation:=student)"
staff : "(eduPersonAffiliation:=staff)" |
| Info |
|---|
On peut utiliser mapping-filters-groups pour attribuer des groupes à un utilisateur, par exemple : avec mes-users : "eduPersonAffiliation:=member", toutes les personnes issue de ce filtre se verront affectées au groupe "mes-users" Si dans mapping-groups-roles on a mes-users: ROLE_USER, l'utilisateur obtiendra le rôle ROLE_USER. |
| Avertissement |
|---|
Attention vos requetes LDAP doivent impérativement être mises entre parentheses. |
Pour la gestion des rôles voir : Documentation administrateur#Gestiondesr%C3%B4les
...
Dans la partie mail (hors spring) vous pouvez paramétrer l'adresse from pour l'envoi de mails
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
mail:
from: no-reply.esup-signature@univ-ville.fr |
...
sms
Cette partie permet de configurer un service d'envoi de sms pour l'utilisation de la fonction One Time Password à destination des personnes extérieures à l’établissement. Pour l'instant seule une implémentation pour SMSU est disponibleLa partie file system (fs) permet de configurer une source principale de donnée pour chaque type de stockage (smb, cmis, vfs). esup-signature ne prend en charge qu'une seule source par type.
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
fssms: # smbenable-loginsms : esup-signaturefalse # smbservice-passwordname: ********SMSU # smb-uriurl: smbhttps://smbsmsu-api.univ-ville.fr/ # vfs-uriusername: /tmpsms-account # cmis-uri: https://esup-signature.univ-ville.fr/nuxeo # cmis-login: Administrator # cmis-password: Administrator # cmis-respository-id: default # cmis-root-path: /default-domain/workspaces |
Paramètres de traitement des PDF
password: ******** |
...
dss
tsp-server : adresse url du serveur de temps utilisé pour les horodatages des signatures électroniques
ks-filename : par défaut le chemin est relatif. Comme dans la configuration logback, si vous voulez spécifier un chemin absolu, le dossier doit avoir été créé avant le premier lancement.
trusted-certificat-url-list : ici vous pouvez ajouter des liens vers les url des certificats non présents dans le journal officiel mais valide dans votre établissent :
| Info |
|---|
Les autres paramètres n'ont pas besoin d'être modifiés |
| Bloc de code | ||||
|---|---|---|---|---|
| Bloc de code | ||||
| ||||
pdfdss: convert-to-pdf-a: truecache-data-source-driver-class-name: org.hsqldb.jdbc.JDBCDriver pathcache-todata-gsource-s: /usr/bin/gs pdf-a-level: 2 pdf-to-image-dpi: 72 |
security
La sécurité est gérée par Spring Security. Il est possible d'activé 3 mécanismes de sécurité : OAuth, Shibboleth et/ou CAS. Pour désactiver une ou l'autre de ces méthodes, il suffit de commenter les lignes qui s'y réfèrent.
| Avertissement |
|---|
Pour une explication détaillée du fonctionnement de la sécurité, voir : Configuration de la sécurité |
| Info | ||
|---|---|---|
| ||
Pour CAS : url : l'adresse de votre serveur CAS service : l'url de votre esup-signature + /login/cas |
| Remarque |
|---|
CAS nécessite la configuration d'un LDAP. C'est la solution idéale pour une utilisation interne |
| Info | ||
|---|---|---|
| ||
Pour Shibboleth : credentials-request-header : attribut dans lequel on trouve les groupes de l'utilisateur idp -url : adresse de votre IDP Shibboleth principal-request-header : attribut dans lequel on trouve l'identifiant de l'utilisateur |
url: jdbc:hsqldb:mem:cachedb
cache-password:
cache-username: sa
default-validation-policy: policy/sign-constraint.xml
server-signing-keystore-filename: validate_service.p12
server-signing-keystore-password: password
server-signing-keystore-type: PKCS12
tsp-server: http://timestamp.sectigo.com
ks-filename: oj_keystore.p12
ks-password: dss-password
ks-type: PKCS12
lotl-country-code: EU
lotl-url: https://ec.europa.eu/tools/lotl/eu-lotl.xml
oj-url: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.C_.2019.276.01.0001.01.ENG
trusted-certificat-url-list:
|
...
fs (file system)
La partie file system (fs) permet de configurer une source principale de donnée pour chaque type de stockage (smb, cmis, vfs). esup-signature ne prend en charge qu'une seule source par type.
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
fs:
# smb-login: esup-signature
# smb-password: ********
# smb-uri: smb://smb.univ-ville.fr
vfs-uri: /tmp
# cmis-uri: https://esup-signature.univ-ville.fr/nuxeo
# cmis-login: Administrator
# cmis-password: Administrator
# cmis-respository-id: default
# cmis-root-path: /default-domain/workspaces |
...
Paramètres de traitement des PDF
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
pdf:
convert-to-pdf-a: true
path-to-g-s: /usr/bin/gs
pdf-a-level: 2
pdf-to-image-dpi: 72 |
...
security
La sécurité est gérée par Spring Security. Il est possible d'activé 3 mécanismes de sécurité : OAuth, Shibboleth et/ou CAS. Pour désactiver une ou l'autre de ces méthodes, il suffit de commenter les lignes qui s'y réfèrent.
| Avertissement |
|---|
Pour une explication détaillée du fonctionnement de la sécurité, voir : Configuration de la sécurité |
| Info | ||
|---|---|---|
| ||
Pour CAS : url : l'adresse de votre serveur CAS service : l'url de votre esup-signature + /login/cas |
| Remarque |
|---|
CAS nécessite la configuration d'un LDAP. C'est la solution idéale pour une utilisation interne |
| Info | ||
|---|---|---|
| ||
Pour Shibboleth : credentials-request-header : attribut dans lequel on trouve les groupes de l'utilisateur idp -url : adresse de votre IDP Shibboleth principal-request-header : attribut dans lequel on trouve l'identifiant de l'utilisateur |
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
security:
cas:
service: https://esup-signature.univ-ville.fr/login/cas
title: Compte Université (CAS)
url: https://cas.univ-ville.fr
# shib:
# credentials-request-header: MEMBER
# idp-url: https://idp.univ-ville.fr
# principal-request-header: REMOTE_USER
# title: Compte d’un autre établissement (Shibboleth)
# domains-white-list-url: https://eduspot.renater.fr/eduspot/whitelist-eduspot.txt
web:
group-to-role-filter-pattern: <pattern groupe esup-signature>(\w*) #ici on configure un pattern permettant de retrouver (discerner) vos groupes dédiés à esup-signature
mapping-groups-roles:
<nom du groupe des administrateurs>: ROLE_ADMIN
<nom du groupe utilisateur autorisés à accéder à l'application>: ROLE_USER
ws-access-authorize-ips: 127.0.0.1
# group-mapping-spel:
# for.esup-signature.user: "true" |
| Info |
|---|
group-to-role-filter-pattern: Ce pattern permet de donner automatiquement les rôles correspondants à la partie (\w*) du pattern. Prenons le pattern for.esup-signature.role.(\w*), si l'utilisateur est dans le groupe for.esup-signature.role.bondecommande, il obtiendra automatiquement le role ROLE_BONDECOMMANDE utilisable par la suite pour donner des droits au niveau des formulaires et des circuits. mapping-groups-roles: Permet de définir des rôles en fonction des groupes de l'utilisateur. Le ROLE_USER est maintenant obligatoire pour accéder à l'application. Si constituer un groupe d'utilisateur est difficile, vous pouvez utiliser mapping-filters-groups dans la conf ldap pour constituer des groupes à l'aide de requêtes ldap. ws-access-authorize-ips : permet de configurer les adresses autorisées à accéder aux web services d' esup-signature group-mapping-spel: Sert à outre passer les groupes obtenus via ldap. Ceci est utiles si vous n'avez pas de configuration LDAP (shibboleth seul par exemple). On utilise alors la syntaxe SePL (Spring Expression Language), avec seulement l'attribut #eppn pris en compte ainsi que la possibilité de mettre la valeur "true". Ex: pour ajouter à tout le monde le groupe "for.esup-signature.user" on peut mettre for.esup-signature.user: "true". On peut aussi utiliser la syntaxe suivante pour saisir "en dure" des personnes : for.esup-signature.admin: "#eppn == 'toto@univ-ville.fr' or #eppn == 'titi@univ-ville.fr' " |
...
server
Paramètre du serveur tomcat embarqué dans spring-boot
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
server:
servlet:
session:
tracking-modes: COOKIE
error | ||||
| Bloc de code | ||||
| ||||
security: cas: service: https://esup-signature.univ-ville.fr/login/casinclude-stacktrace: always port: 8080 tomcat: titlembeanregistry: Compte Université (CAS) urlenabled: https://cas.univ-ville.fr #true shibremoteip: # credentialsremote-requestip-header: MEMBERX-Forwarded-For # idp-url: https://idp.univ-ville.fr # basedir: ./tem |
...
sign
Vous pouvez ajuster finement les paramètres de signature électronique en modifiant les lignes suivante:
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
sign: cades-digest-algorithm: SHA256 principalcades-requestsignature-headerlevel: REMOTECAdES_BASELINE_USERT # title: Compte d’un autre établissement (Shibboleth) # domains-white-list-url: https://eduspot.renater.fr/eduspot/whitelist-eduspot.txt web:container-type: ASiC_E default-signature-form: XAdES grouppades-digest-algorithm: SHA256 pades-signature-level: PAdES_BASELINE_T password-timeout: 60000 signature-packaging: ENVELOPED xades-digest-algorithm: SHA256 xades-signature-level: XAdES_BASELINE_T |
...
logging
Permet de spécifier l'emplacement pour le fichier de logs ainsi que l'usage (facultatif) d'un fichier de configuration logback (voir chapitre suivant)
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
logging: file: name: logs/esup-signature.log level: root: info org.esupportail.esupsignature: info to-role-filter-pattern: <pattern groupe esup-signature>(\w*) #ici on configure un pattern permettant de retrouver (discerner) vos groupes dédiés à esup-signature mapping-groups-roles: <nom du groupe des administrateurs>: ROLE_ADMIN <nom du groupe utilisateur autorisés à accéder à l'application>: ROLE_USER ws-access-authorize-ips: 127.0.0.1 # group-mapping-spel: # for.esup-signature.user: "true" |
| Info |
|---|
group-to-role-filter-pattern: Ce pattern permet de donner automatiquement les rôles correspondants à la partie (\w*) du pattern. Prenons le pattern for.esup-signature.role.(\w*), si l'utilisateur est dans le groupe for.esup-signature.role.bondecommande, il obtiendra automatiquement le role ROLE_BONDECOMMANDE utilisable par la suite pour donner des droits au niveau des formulaires et des circuits. mapping-groups-roles: Permet de définir des rôles en fonction des groupes de l'utilisateur. Le ROLE_USER est maintenant obligatoire pour accéder à l'application. Si constituer un groupe d'utilisateur est difficile, vous pouvez utiliser mapping-filters-groups dans la conf ldap pour constituer des groupes à l'aide de requêtes ldap. ws-access-authorize-ips : permet de configurer les adresses autorisées à accéder aux web services d' esup-signature group-mapping-spel: Sert à outre passer les groupes obtenus via ldap. Ceci est utiles si vous n'avez pas de configuration LDAP (shibboleth seul par exemple). On utilise alors la syntaxe SePL (Spring Expression Language), avec seulement l'attribut #eppn pris en compte ainsi que la possibilité de mettre la valeur "true". Ex: pour ajouter à tout le monde le groupe "for.esup-signature.user" on peut mettre for.esup-signature.user: "true". On peut aussi utiliser la syntaxe suivante pour saisir "en dure" des personnes : for.esup-signature.admin: "#eppn == 'toto@univ-ville.fr' or #eppn == 'titi@univ-ville.fr' " |
server
Paramètre du serveur lors d'un lancement hors tomcat
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
server:
error:
include-stacktrace: always
port: 8080
|
sign
Vous pouvez ajuster finement les paramètres de signature électronique en modifiant les lignes suivante:
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
sign:
cades-digest-algorithm: SHA256
cades-signature-level: CAdES_BASELINE_T
container-type: ASiC_E
default-signature-form: XAdES
pades-digest-algorithm: SHA256
pades-signature-level: PAdES_BASELINE_T
password-timeout: 60000
signature-packaging: ENVELOPED
xades-digest-algorithm: SHA256
xades-signature-level: XAdES_BASELINE_T |
org.verapdf: error
org.apache.pdfbox: error
eu.europa.esig.dss: error
org.springframework.web.filter.CommonsRequestLoggingFilter: error
# config: classpath:logback-prod.xml # permet de configurer logback via un fichier xml |
...
springdoc
Active l'api-doc. Pour permettre l'usage des web service directement depuis swagger, il faut modifier supported-submit-methods avec ["get", "post", "put"]
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
springdoc:
api-docs:
enabled: true
swagger-ui:
enabled: true
supported-submit-methods: []
packages-to-scan: org.esupportail.esupsignature.web.ws |
...
| Avertissement | |||||||
|---|---|---|---|---|---|---|---|
Lorsque votre configuration sera terminée, vous devez creer un commit git, ceci afin d'éviter tout problème lors d'une prochaine mise à jour. Les commandes git à lancer:
|
logback.xml
| Bloc de code | ||||
|---|---|---|---|---|
| ||||
<appender name="FILE" class="ch.qos.logback.core.FileAppender">
<file>logs/esup-signature.log</file>
<append>true</append>
<immediateFlush>true</immediateFlush>
<encoder>
<pattern>[%-5level] %date{dd/MM/yyyy HH:mm:ss} %logger{35} - %msg%n</pattern>
</encoder>
</appender>
| ||||
| Avertissement | ||||
Lorsque votre configuration sera terminée, vous devez creer un commit git, ceci afin d'éviter tout problème lors d'une prochaine mise à jour. Les commandes git à lancer: Bloc de code | | |||
|
| Astuce |
|---|
La suite ici : Compilation et déploiement |
...