Administrations-Changelog

Die HTTP Proxy Konfigurationen überprüfen und ggfs. anpassen. Bisher wurde an die konfigurierte Verbindungs-URL immer ein '/' angehängt. Dies ist nun nicht mehr der Fall. Falls ihr HTTP Proxy Ziel dies benötigt und die URL derzeit ohne '/' am Ende konfiguriert ist, dann passen Sie dieses bitte an.

BPC unterstützt nun PKCE (Proof Key for Code Exchange) für OpenID-Connect und Keycloak Identity Provider um einen gehärteten Login-Flow zu ermöglichen. Um dies zu aktivieren, müssen Sie an der Identity-Provider Backend-Connection die PKCE-Methode einstellen und dies ggf. in Ihrem Keycloak-Client konfigurieren.

Beim Reindizieren wird der alte Index gelöscht, anstatt wie bisher geschlossen. Dem Nutzer wird angeboten, vor dem Reindizieren ein Backup zu erstellen.

Der über pax-jdbc-mssql bereitgestellt Treiber wird nicht mehr mit ausgeliefert.

Es ist darauf zu achten, dass der verwendete MSSQL Treiber mindestens folgende Version hat: 10.2.4, 11.2.4, 12.2.1, 12.6.5, 12.8.2, 12.10.2, 13.2.1

Falls ein älterer Treiber verwendet wird, dann sollte dieser ersetzt werden. Entfernen Sie den alten Treiber durch entfernen aus dem Deploy-Verzeichnis oder deinstallieren von pax-jdbc-mssql bzw. des Treibers. Anschließend einen aktuellen Treiber installieren (ohne das Feature pax-jdbc-mssql). Siehe dazu: Datenbanken

Die HTTP Proxy Konfigurationen überprüfen und ggfs. anpassen. Bisher wurde an die konfigurierte Verbindungs-URL immer ein '/' angehängt. Dies ist nun nicht mehr der Fall. Falls ihr HTTP Proxy Ziel dies benötigt und die URL derzeit ohne '/' am Ende konfiguriert ist, dann passen Sie dieses bitte an.

Tritt bei der Migration eines Index ein Fehler auf, so wird der für die Migration neu angelegte Index wieder entfernt, um Folgefehler zu vermeiden bzw. wieder auf einen stabilen Stand zurückzufallen.

Standardmäßig wird ab sofort die Erreichbarkeit des Karafs über SSH-Verbindungen auf den Host localhost eingeschränkt. Um eine Erreichbarkeit über externe Verbindungen zu ermöglichen, nutzen Sie die zentrale Konfigurationsdatei. Siehe Karaf SSH Zugriff.

Die Verbindungen zu OpenSearch werden nun ausschließlich über de.virtimo.bpc.core.opensearch.hosts konfiguriert. Bei einem Update von einer älteren Version müssen Sie in der Konfigurationsdatei karaf/etc/de.virtimo.bpc.core.cfg den Eintrag de.virtimo.bpc.core.opensearch.hosts ergänzen. Zusätzlich empfiehlt es sich, die zentrale Konfigurationsdatei mit den Zeilen

bzw.

zu ergänzen (hier am Beispiel https://localhost:9200) [https://localhost:9200)]. Sie können sich hier an den Dateien aus dem Download-File-Server orientieren.

Der Einsatz von Java 21 ist nun notwendig.

Diese Metriken wurden umbenannt:

INUBIT wird nicht mehr als Identity Provider unterstützt.

Bei den Identity Provider (Backend Connections) wurde bisher einer großer Teil über ein JSON Setting konfiguriert. Dieses wurde in einzelne Settings aufgesplittet. Bestehende Konfigurationen werden automatisch migriert. Kommen ältere Deployment Exporte von Identity Provider Komponenten zum Einsatz, dann sind diese am Besten neu zu erstellen.

Siehe auch: Identity Provider anlegen, konfigurieren und verwenden, Datenbank als Identity Provider, Keycloak als Identity Provider, Keycloak und dynamische Redirect URIs, Deployment Constraints

Der Endpunkt /cxf/bpc-core/status/server/{serverUUID} der Status-API, der den Status eines remote-BPCs abfragte, wurde entfernt.

Die Query String Parameter gridId, gridExtId, multiRecords, buttonId und der Form Parameter tablePrefix wurden aus den Prozess Aktion Anfragen entfernt. Um zusätzliche Kontext- oder Konfigurationsinformationen mitzusenden, kann "Prozessaktions-Metadaten" in den Monitor-Einstellungen konfiguriert werden.

In Prozess Startern wurde das mitgesendete XML durch JSON ersetzt. Dadurch wurden portletArchiveName, operation, mandant, gridID, key, bpcModule, bpcModuleInstanceId und custom entfernt. key wurde einheitlich zu id umbenannt. Zusätzliche Kontext- oder Konfigurationsinformationen können durch die "metadata" Konfiguration in der Prozesstarter-Konfiguration in den Monitor-Einstellungen zuverlässig mitgesendet werden. Die Prozessparameter sind gebündelt unter config.parameters im Request Payload zu finden. Fileuploads enthalten filename, type und data. Grids enthalten eine Liste mit ihren Records.

Bei Change State wurden tablePrefix, mandant und changeStatusBox_<Spaltenname> entfernt. command wurde einheitlich umbenannt zu type und erhält den Wert "statusChange". columnsstring wurde umbenannt zu column. newStatusCombo_<Spaltenname> wurde umbenannt zu newStatus. commentfield wurde umbenannt zu comment. childStatus wird nicht mehr per Default in der Change State Konfiguration auf "Info" gesetzt und wird, falls konfiguriert, nach metadata migriert. Im "metadata" Objekt in der Change State Konfiguration können zusätzliche Informationen übergeben werden.

Siehe auch Migration von BPC 4.* auf BPC 5.0 Konfiguration von Prozessaktionen Prozess Starter

Die ungenutzten Einstellungen inubit_aperakEndPoint, inubit_dbGridId und inubit_pmMandant wurden entfernt. Die Einstellungen inubit_actionEndpoint, inubit_changeStateEndpoint und inubit_VpsEndpoint wurden durch actionEndpointProcessor, changeStateEndpointProcessor und vpsEndpointProcessor ersetzt.

HTTP-Proxy Backend-Connections und Flow-Verbindungen filtern jetzt stets den Session-Cookie, damit ein Empfänger nicht im Kontext des Benutzers Aufrufe im BPC tätigen kann. Die Einstellung filterSessionCookie entfällt somit. Stattdessen gibt es mit der neuen Einstellung sendSessionId die Möglichkeit, die Session-ID des Benutzers mitzuschicken, welche am Endpunkt GET /cxf/bpc-core/authentication/session/{sessionid} überprüft werden kann. Bei aktivierter Einstellung injectUserSessionJWT wird nun nicht mehr ein selbst-erstellter JWT mitgeschickt, sondern der signierte ID-Token des OpenID Connect Providers gesendet. Genaueres können Sie in Backend Connections - HTTP-Proxy nachlesen.

Http-Calls über eine Http-Proxy oder Flow Verbindung filtern den BPC Api-Key-Header (X-APIKey) heraus. Achtung: Dies könnte Einfluss auf bestehende BPC Konfigurationen haben, wenn zum Beispiel ein INUBIT-Prozess angestoßen wird, der mit dem mitgesandten API-Key wiederum Aufrufe in der BPC-Api macht. (Hier wäre es besser, einen festen BPC-API-Key im INUBIT-Prozess zu hinterlegen.)

Benutzer der Log Service API müssen in ihren POST-Daten alle Vorkommen von childs durch children ersetzen. Innerhalb einer Übergangszeit kann childs eingehend noch verwendet werden. Diese Rückwärtskompatibilität wird in einem folgenden Release entfernt. Auch ist darauf zu achten, dass in den Rückantworten der Log Service Endpunkte nun children anstatt childs enthalten ist.

Das OpenSearch-Konfigurationsverzeichnis lässt sich über OPENSEARCH_PATH_CONF konfigurieren. Damit können Sie das Konfigurationsverzeichnis aus dem OpenSearch-Verzeichnis auslagern. Dadurch überschreiben Sie dieses nicht mehr bei einem OpenSearch-Update. Siehe auch OpenSearch-Konfiguration auslagern.

In der Bundle-Installationsdatei wird BPC jetzt mit einem nach INSTALLATIONSVERZEICHNIS/opensearch_config ausgelagertem Konfigurationsverzeichnis ausgeliefert.

Es wird empfohlen OPENSEARCH_PATH_CONF in der bpc.env zu setzen.

Es wurde ein neuer Aktions-Typ "bulkAction" hinzugefügt, um Aktionen für alle Datensätze ausführen zu können. Siehe Mehrfach-Aktionen

Wird IGUASU korrekt über das Flow-Modul angebunden, können verfügbare Prozessoren einfach über die Konfigurations-Oberfläche der Monitor Aktionen ausgewählt werden.

Es steht nun eine Konfigurationsoberfläche für Identity Provider zur Verfügung.

Mit diesem Update ist es erforderlich, den Karaf zu aktualisieren.

Das BPC stellt OpenApi-konforme Spezifikationsdateien für unsere APIs bereit. Diese befinden sich unter Downloads und können alternativ auch dynamisch über das BPC aufgerufen werden, sofern diese Option aktiviert ist. Mehr Informationen finden Sie im Abschnitt BPC-API.

Man kann sich über die Log Service API direkt in die Log Service Konfiguration oder zu angebundene Monitore weiterleiten zu lassen. Dazu gibt es gibt zwei neue LogService Endpunkte, welche den Benutzer beim Aufruf auf die entsprechenden BPC Seiten weiterleiten:

Siehe auch API Dokumentation: Log Service API

Es ist nun möglich beim Schreiben von Audit-Informationen Referenzen auf externe Ressourcen anzugeben. So kann zum Beispiel auf die IGUASU-Instanz verwiesen werden, die den Eintrag erzeugt hat.

Die Replikation unterstützt jetzt alternativ zu bestehenden Datenbank-Tabellen/Views auch die direkte Eingabe einer SQL-Query.

Siehe auch sourceCommonTableExpressionQuery in Replication

BPC-API-Anfragen, die durch einen Webbrowser stattfinden, leiten bei fehlender Authentifizierung nun auf den Keycloak (oder einen anderen OIDC UserFlowIdentityProvider) um. Nach dem Login findet eine Weiterleitung auf den Ursprünglichen API-Endpunkt statt.

Siehe System Monitoring (Metriken für Prometheus)

Unterschreitet der freie Plattenplatz definierte Schwellwerte, so werden Shards auf andere Knoten verteilt. Es kann auch vorkommen, dass Indices auf read-only gesetzt werden, um ein voll laufen der Platte zu vermeiden.

Der Wert von cluster.routing.allocation.disk.threshold_enabled ist nun true. Dies entspricht dem OpenSearch Standardwert.

Das OpenSearch-Konfigurationsverzeichnis lässt sich über OPENSEARCH_PATH_CONF konfigurieren. Damit können Sie das Konfigurationsverzeichnis aus dem OpenSearch-Verzeichnis auslagern. Dadurch überschreiben Sie dieses nicht mehr bei einem OpenSearch-Update. Siehe auch OpenSearch-Konfiguration auslagern.

In der Bundle-Installationsdatei wird BPC jetzt mit einem nach INSTALLATIONSVERZEICHNIS/opensearch_config ausgelagertem Konfigurationsverzeichnis ausgeliefert.

Es wird empfohlen OPENSEARCH_PATH_CONF in der bpc.env zu setzen.

Die Verbindungen zu OpenSearch werden nun ausschließlich über de.virtimo.bpc.core.opensearch.hosts konfiguriert. Bei einem Update von einer älteren Version müssen Sie in der Konfigurationsdatei karaf/etc/de.virtimo.bpc.core.cfg den Eintrag de.virtimo.bpc.core.opensearch.hosts ergänzen. Zusätzlich empfiehlt es sich, die zentrale Konfigurationsdatei mit den Zeilen

bzw.

zu ergänzen (hier am Beispiel https://localhost:9200) [https://localhost:9200)]. Sie können sich hier an den Dateien aus dem Download-File-Server orientieren.

Diese Metriken wurden umbenannt:

Bei den Identity Provider (Backend Connections) wurde bisher einer großer Teil über ein JSON Setting konfiguriert. Dieses wurde in einzelne Settings aufgesplittet. Bestehende Konfigurationen werden automatisch migriert. Kommen ältere Deployment Exporte von Identity Provider Komponenten zum Einsatz, dann sind diese am Besten neu zu erstellen.

Siehe auch: Identity Provider anlegen, konfigurieren und verwenden, Datenbank als Identity Provider, Keycloak als Identity Provider, Keycloak und dynamische Redirect URIs, Deployment Constraints

Der Endpunkt /cxf/bpc-core/status/server/{serverUUID} der Status-API, der den Status eines remote-BPCs abfragte, wurde entfernt.

Das Plugin kann nun einen Prozess konfigurieren, der beim Auslösen direkt angezeigt wird. Außerdem kann der Text und Icon nun frei konfiguriert werden. Siehe auch Prozess Starter Plugin

Die Option für die Gruppierung von Einstellungen ist nun initial aktiviert. Es wird empfohlen diese Ansicht zu verwenden, da die Einstellungen so in einem gemeinsamen Kontext angezeigt werden.

Die Query String Parameter gridId, gridExtId, multiRecords, buttonId und der Form Parameter tablePrefix wurden aus den Prozess Aktion Anfragen entfernt. Um zusätzliche Kontext- oder Konfigurationsinformationen mitzusenden, kann "Prozessaktions-Metadaten" in den Monitor-Einstellungen konfiguriert werden.

In Prozess Startern wurde das mitgesendete XML durch JSON ersetzt. Dadurch wurden portletArchiveName, operation, mandant, gridID, key, bpcModule, bpcModuleInstanceId und custom entfernt. key wurde einheitlich zu id umbenannt. Zusätzliche Kontext- oder Konfigurationsinformationen können durch die "metadata" Konfiguration in der Prozesstarter-Konfiguration in den Monitor-Einstellungen zuverlässig mitgesendet werden. Die Prozessparameter sind gebündelt unter config.parameters im Request Payload zu finden. Fileuploads enthalten filename, type und data. Grids enthalten eine Liste mit ihren Records.

Bei Change State wurden tablePrefix, mandant und changeStatusBox_<Spaltenname> entfernt. command wurde einheitlich umbenannt zu type und erhält den Wert "statusChange". columnsstring wurde umbenannt zu column. newStatusCombo_<Spaltenname> wurde umbenannt zu newStatus. commentfield wurde umbenannt zu comment. childStatus wird nicht mehr per Default in der Change State Konfiguration auf "Info" gesetzt und wird, falls konfiguriert, nach metadata migriert. Im "metadata" Objekt in der Change State Konfiguration können zusätzliche Informationen übergeben werden.

Siehe auch Migration von BPC 4.* auf BPC 5.0 Konfiguration von Prozessaktionen Prozess Starter

Die ungenutzten Einstellungen inubit_aperakEndPoint, inubit_dbGridId und inubit_pmMandant wurden entfernt. Die Einstellungen inubit_actionEndpoint, inubit_changeStateEndpoint und inubit_VpsEndpoint wurden durch actionEndpointProcessor, changeStateEndpointProcessor und vpsEndpointProcessor ersetzt.

Bei booleschen Werten in den Einstellungstabellen wird nun keine Combobox mehr angezeigt, sondern nur noch die Checkbox mit dem Wahrheitswert. Der Wert lässt sich per Klick, Leertaste oder Enter ändern.

Benutzer der Log Service API müssen in ihren POST-Daten alle Vorkommen von childs durch children ersetzen. Innerhalb einer Übergangszeit kann childs eingehend noch verwendet werden. Diese Rückwärtskompatibilität wird in einem folgenden Release entfernt. Auch ist darauf zu achten, dass in den Rückantworten der Log Service Endpunkte nun children anstatt childs enthalten ist.

Standardmäßig wird ab sofort die Erreichbarkeit des Karafs über SSH-Verbindungen auf den Host localhost eingeschränkt. Um eine Erreichbarkeit über externe Verbindungen zu ermöglichen, nutzen Sie die zentrale Konfigurationsdatei. Siehe Karaf SSH Zugriff.

Die Logging-Konfiguration wurde geändert, sodass Session-Tokens maskiert werden. Für neue Installationen des Karafs passiert das automatisch. Bei bestehenden Installationen passen Sie bitte die Konfigurationsdatei [KARAF]/etc/org.ops4j.pax.logging.cfg an. Ersetzen sie hier die alte Zeile

mit den Zeilen

Da bei Keycloak und OIDC die Session-Tokens UUIDs sind, die auch an anderen Stellen genutzt werden, loggen wir hier die ersten und letzten vier Zeichen.

HTTP-Proxy Backend-Connections und Flow-Verbindungen filtern jetzt stets den Session-Cookie, damit ein Empfänger nicht im Kontext des Benutzers Aufrufe im BPC tätigen kann. Die Einstellung filterSessionCookie entfällt somit. Stattdessen gibt es mit der neuen Einstellung sendSessionId die Möglichkeit, die Session-ID des Benutzers mitzuschicken, welche am Endpunkt GET /cxf/bpc-core/authentication/session/{sessionid} überprüft werden kann. Bei aktivierter Einstellung injectUserSessionJWT wird nun nicht mehr ein selbst-erstellter JWT mitgeschickt, sondern der signierte ID-Token des OpenID Connect Providers gesendet. Genaueres können Sie in Backend Connections - HTTP-Proxy nachlesen.

Http-Calls über eine Http-Proxy oder Flow Verbindung filtern den BPC Api-Key-Header (X-APIKey) heraus. Achtung: Dies könnte Einfluss auf bestehende BPC Konfigurationen haben, wenn zum Beispiel ein INUBIT-Prozess angestoßen wird, der mit dem mitgesandten API-Key wiederum Aufrufe in der BPC-Api macht. (Hier wäre es besser, einen festen BPC-API-Key im INUBIT-Prozess zu hinterlegen.)

Für neue Backend Connections des Typs HTTP-Proxy und Flow ist die Option BPC Session filtern standardmäßig aktiviert.

Der Einsatz von Java 21 ist nun notwendig.

Falls das BPC initial mit einer OpenSearch anstatt einer Elasticsearch Version installiert wurde, dann kann das [bpc]/opensearch_data Verzeichnis direkt übernommen werden.

Fall nicht, dann müssen zuerst Indices migriert werden.

Siehe dazu Migration von BPC 4.* auf BPC 5.0

Mit diesem Update wird die Karaf-Version auf 4.4.8 aktualisiert. Es ist erforderlich, die Module bpc-be-core, bpc-be-analysis, bpc-be-forms und bpc-be-monitor zu aktualisieren.

Für BPC Modul-Entwickler

Mit dem aktualisierten Karaf liefern wir CXF 3.6.8 statt 3.6.7 aus, welches Jackson in der Version 2.19.2 bereitstellt.

Bitte aktualisieren Sie die CXF-Version (3.6.8) und Jackson-Version (2.19.2) in Ihrer pom.xml. Prüfen Sie dazu, ob Sie eine Import-Package-Anweisung für diese Version haben. Diese muss hinzugefügt oder angepasst werden, wenn Sie Jackson-Funktionen wie die Klasse ObjectMapper verwenden.

INUBIT wird nicht mehr als Identity Provider unterstützt.