Skip to content

Latest commit

 

History

History
84 lines (68 loc) · 3.69 KB

admin_guide.md

File metadata and controls

84 lines (68 loc) · 3.69 KB

Themis Admin Tools – Admin-Guide

Stand: 5. Dezember 2025
Version: 1.0.0
Kategorie: Admin Tools

Dieser Guide richtet sich an Administratoren und beschreibt Bereitstellung, Konfiguration, Betrieb und Troubleshooting der Themis Admin-Tools (Audit, SAGA, Keys, Classification, Reports, Retention, PII).

Architektur-Überblick

  • Frontend: WPF-Tools mit einheitlichem Themis-Layout
  • Backend: Themis-Server (Boost.Beast HTTP), Standard-Port: 8765
  • Kommunikation: REST-APIs gemäß docs/openapi.yaml und ergänzende SSE-Streams

Build & Deployment

Self-contained Publish (Win-x64)

  • Skript: publish-all.ps1
  • Ausgabe: dist/<ProjektName>/
  • Beispiel:
    • Release-Build aller Tools veröffentlichen
    • Artefakte in gemeinsamen dist-Ordner ablegen

Verteilung

  • Kopieren Sie die jeweiligen Tool-Ordner aus dist/<ProjektName>/ auf Zielsysteme
  • Optional: Code Signing der EXEs (Empfehlung für produktive Nutzung)

Update-Prozess

  • Erneut publish-all.ps1 ausführen (Release)
  • Verteilte Ordner ersetzen (Downtime beachten, wenn Tools geöffnet sind)

Konfiguration

  • Standard-Server-URL: http://localhost:8765
  • WICHTIG: Aktuell erwarten die Admin-Tools-HTTP-Clients teils einen /api-Prefix (z. B. /api/keys). Der Themis-Server stellt die Endpunkte ohne Prefix bereit (z. B. /keys). Empfohlene Optionen:
    • Reverse-Proxy (empfohlen): Leiten Sie /api/* auf den Server-Root / um (Rewrite). Beispiel: Nginx location /api/ { proxy_pass http://localhost:8765/; rewrite ^/api/(.*)$ /$1 break; }
    • Alternativ (Folgearbeit): Die Tools auf prefix-freie Routen umstellen.
  • Netzwerk: Firewalls/Proxies so konfigurieren, dass der Server erreichbar ist
  • Konfigurationsdatei: Basis-URL der Tools zentral konfigurierbar halten (BaseUrl, Timeout)

Relevante Admin-APIs (für Keys/Classification/Reports)

  • Keys Management
    • GET /keys → Liste gemanagter Schlüssel
    • POST /keys/rotate → Rotation eines Schlüssels; Parameter key_id im Body (JSON) oder als Query (?key_id=...)
  • Classification
    • GET /classification/rules → Liste aktiver Klassifizierungsregeln
    • POST /classification/test → Testen mit Body { "text": "...", "metadata": { ... } }
  • Compliance Reports
    • GET /reports/compliance?type=overview|dsgvo|sox|hipaa|iso27001|pci

Hinweis: Die genauen Schemas und Fehlercodes sind in docs/openapi.yaml beschrieben. Der SSE-Changefeed ist separat dokumentiert (docs/apis/openapi.md#sse-streaming-changefeed).

Betrieb & Monitoring

  • Server-Logs prüfen (server.err)
  • Health-Check: GET /health → 200 OK bei funktionsfähigem Server
  • Metriken: GET /metrics (Prometheus-Format)
  • Tool-Start per Doppelklick aus dist/...
  • Performance: Self-contained reduziert Abhängigkeiten; ggf. R2R/Trim anpassen

Sicherheit (Kurzüberblick)

  • Code-Signierung der Binaries
  • Least-Privilege für Service-Accounts
  • TLS-Termination/Reverse-Proxy vor Themis-Server
  • Regelmäßige Dependency-Scans (Server/Clients)
  • Schlüsselverwaltung: Nur autorisierte Nutzer dürfen /keys/rotate verwenden (Absicherung via Reverse-Proxy/Firewall/RBAC)

Troubleshooting

  • Tools zeigen keine Daten
    • Läuft der Server? Hört er auf Port 8765?
    • API-Routen mit Browser/HTTP-Client testen
    • Stimmt das Routing /api/*/ (Reverse-Proxy)?
    • Filter zurücksetzen, Logs prüfen
  • Export schlägt fehl
    • Schreibrechte im Zielverzeichnis
    • Ggf. Admin-Konsole verwenden
  • UI wirkt „leer“
    • Server offline / Endpoints liefern 204/404
    • Prüfen, ob Demo-Daten-Backend aktiv ist

Anhang

  • OpenAPI: docs/openapi.yaml
  • Architekturdokumentation: docs/architecture.md, docs/content_architecture.md
  • Admin-Tools Benutzerhandbuch: docs/admin_tools_user_guide.md