Erweiterte Konfiguration

Die folgenden Konfigurationseinstellungen sind optional und müssen für die Basisanwendung des Dashboards nicht verändert werden. Sie erlauben eine weitergehende Anpassung des Dashboards für fortgeschrittene Benutzer oder die spezielle Handhabung der Netzwerkkonfiguration Ihrer Anlage.

Zertifikate

Nachdem Sie den Dashboard-Server eingerichtet haben, wird empfohlen, dass Sie die HTTP-Server-Zertifikate in Ihrem Browser oder im Zertifikatspeicher des Client-Betriebssystems installieren, um sicherzustellen, dass eine sichere Verbindung hergestellt werden kann.

Wichtig: Wenn die Zertifikate nicht ordnungsgemäß auf Ihrem Client installiert sind, ist eine Verbindung zum Dashboard dennoch möglich, aber einige Features können möglicherweise nicht verwendet werden, da eine sichere Verbindung erforderlich ist, z. B. Shared Worker.
VORSICHT: Bitte beachten Sie, dass Standardzertifikate eines Legacy-Standardprojekt nicht in einer produktiven Umgebung verwendet werden dürfen!
Anmerkung: In Firefox und Edge ist es erforderlich, dass die Ausnahme für selbstsignierte Zertifikate zweimal akzeptiert werden muss. Einmal für die Verbindung zum HTTP-Server (URL: https://<Server Host Name>:<HTTPS Port>) und einmal für die Verbindung zum WebSocket-Server (URL: https://<Server Host Name>:<WebSocket Port>).

Dashboard-Benutzerberechtigungen

Abhängig vom Einsatzgebiet muss der Benutzer spezifische Berechtigungen haben. Folgende Berechtigungen werden für die Dashboard-Benutzer für das Anzeigen, Bearbeiten oder Veröffentlichen von Dashboards benötigt:

  • Benutzer, welche keine Berechtigungsbits gesetzt haben, dürfen Dashboards nur sehen, jedoch nicht bearbeiten oder veröffentlichen.
  • Benutzer mit dem Berechtigungsbit 3 können Dashboards bearbeiten.
    Anmerkung: Das erforderliche Berechtigungsbit kann über den Config-Eintrag [wssServer] canEditPermissionBit angepasst werden.
  • Benutzer mit dem Berechtigungsbit 4 können Dashboards veröffentlichen.
    Anmerkung: Das erforderliche Berechtigungsbit kann über den Config-Eintrag [wssServer] canPublishPermissionBit angepasst werden.
Einschränkung: Der Benutzer root ist nicht berechtigt, sich innerhalb des Dashboards einzuloggen.
Wichtig: Jeder Dashboard-Benutzer muss ein Passwort gesetzt haben.

Webserver-Port

Standardmäßig verwendet der Webserver die Ports 443 (Windows) oder 8443 (Linux). Dies kann über den Config-Eintrag [webClient] httpsPort angepasst werden.

WebSocket-Port

Zusätzlich zu dem HTTP Server Port, der zur Verbindung mit dem Dashboard verwendet wird, ist ein weiterer Port für die WebSocket-Verbindung in Verwendung. Standardmäßig ist dieser Port 8448, er kann über den Config Eintrag [wssServer] httpsPort verändert werden.

Wichtig: Es muss sichergestellt werden, dass beide in Betrieb befindlichen Dashboard-Ports (HTTP Server und WebSocket) innerhalb ihres Netzwerks und der Firewall-Konfiguration erreichbar sind.

Webserver-Redirect

Um innerhalb Ihres Webservers eine Weiterleitung auf die Dashboard-Instanz einzurichten, aktualisieren Sie die Config-Datei durch Einfügen oder Ändern des Config-Eintrages [httpServer] indexPage auf:

indexPage = "data/dashboard/index.html"

Dadurch können Sie das Dashboard nun über die nachfolgende URL direkt aufrufen:

https://localhost
Anmerkung: Bitte beachten Sie, dass für diese URL nicht, wie bei der URL des Dashboards, eine Ausnahme für die HTTP-Server Authentifizierung hinterlegt wurde, d.h. es ist erforderlich, sich vor dem Login bereits mit dem WinCC OA-Benutzer für den HTTP-Server zu authentifizieren. Um diese zusätzliche Authentifizierung zu deaktivieren, siehe HTTP-Server Authentifizierung.
Abbildung 1. HTTP-Server Authentifizierungsdialog (Chrome)
Tipp: Für einen Linux Server muss der HTTPS-Port manuell an die URL angefügt werden, da ein automatischer Redirect auf den Standard-Linux-Port 8443 nicht verfügbar ist.
Achtung: Mit dieser Änderung ändern Sie die Download-URL des Desktop UIs von https://<Your Server Host Name> auf https://<Your Server Hostname>/download, da der automatische Redirect des Hauptservers nun für das Dashboard-Feature verwendet wird.

HTTP-Server Authentifizierung

Standardmäßig benötigt der WinCC OA HTTP Server eine Authentifizierung bevor eine Verbindung hergestellt wird. Dieses Verhalten kann durch Setzen des Config-Eintrags [webClient] clientSideAuthauf 1 deaktiviert werden.

[webClient]
clientSideAuth = 1

Authentifizierungs-Token

Als Alternative zum Login mit Benutzerdaten kann auch ein Login mittels eines temporären Authentifizierungs-Tokens durchgeführt werden. Eine Anleitung zum Erstellen des Tokens finden sie in Anmeldung mittels Authentifizierungs-Token.

  • Die Benutzungsdauer des Authentifizierungs-Tokens kann mit dem Config-Eintrag [wssServer] tokenExpire konfiguriert werden. Standardmäßig ist ein Token für 10 Minuten valide.
  • Für zusätzliche Sicherheit kann das Token so konfiguriert werden, dass es nach einer bestimmten Zeit vom Server widerrufen wird, auch wenn die Verbindung noch besteht. Dieses Verhalten ist standardmäßig deaktiviert, kann aber durch Setzen des Zeitlimits mit dem Config-Eintrag [wssServer] tokenExpireWarning aktiviert werden, nach welchem die Verbindung zwangsweise beendet wird. Der Benutzer erhält eine Warnung im Dashboard, bevor das Zeitlimit abgelaufen ist.
    Abbildung 2. Warnung zum Ablauf der Session

Verbindungs-Heartbeat

Das Dashboard verwendet einen Heartbeat, um die Aufrechterhaltung der Verbindung zwischen Server und Client zu überprüfen.

Um eine stabilere Verbindung in langsameren oder instabilen Netzwerkumgebungen zu garantieren, kann das Intervall zwischen den gesendeten Heartbeats verändert werden.

Die Länge des Intervalls kann durch Setzen des Config-Eintrags [wssServer] heartbeatSeconds konfiguriert werden.

Shared Worker

Datenaktualisierungen im Dashboard werden über eine WebSocket-Verbindung an das WinCC OA-Backend gesendet. In der Standardeinstellung verbindet sich jeder Browser-Tab und jedes Fenster einzeln mit dem WinCC OA-Backend und benötigt daher jeweils eine eigene Dashboard-Lizenz, solange die Verbindung besteht.

Wenn der Config-Eintrag [wssServer]useSharedWorker auf "1" gesetzt wird, werden alle verbundenen Browser-Tabs Updates über eine einzige Socket-Verbindung abrufen. Dadurch werden die erforderlichen Dashboard-Lizenzen auf eine Lizenz pro Browser reduziert. Allerdings ist es in diesem Fall nicht mehr möglich, mit verschiedenen Benutzern gleichzeitig im selben Browserkontext angemeldet zu sein.

Wichtig: Die Verwendung des Shared Workers benötigt ein sicheres Zertifikat, welches durch den Webbrowser akzeptiert wird.
Abbildung 3. Nicht sichere Verbindung (Chrome)
Abbildung 4. Sichere Verbindung (Chrome)

Projekt ohne Webserver

Sollte Ihr Projekt noch keinen Webserver beinhalten, so muss dieser manuell zu Ihrem Projekt hinzugefügt werden. Hierfür fügen Sie einen zweiten CTRL-Manager mit folgendem Parameter hinzu:

webclient_http.ctl