Zum Hauptinhalt springen
Sie können den ABBYY FlexiCapture Application Server mit einer Dateifreigabe in Microsoft Azure verbinden.
Es wird vorausgesetzt, dass in Microsoft Azure Files bereits ein Speicherkonto erstellt wurde und ABBYY FlexiCapture zur Verfügung steht.
  1. Gehen Sie im Azure portal zu Ihrem Speicherkonto (abbyystorage in diesem Beispiel) und klicken Sie im Speicherkonto-Bereich auf Files.
Screenshot des Microsoft Azure portal mit dem Speicherkonto-Bereich von abbyystorage, in dem der Service Files hervorgehoben ist.
  1. Erstellen Sie in Ihrem Speicherkonto eine neue Dateifreigabe, indem Sie den Namen (fcstorage in diesem Beispiel) und bei Bedarf ein Speicherplatzkontingent angeben.
Screenshot des Microsoft Azure portal, in dem eine neue Dateifreigabe namens fcstorage mit angegebenem Namen und Kontingent erstellt wird.
  1. Öffnen Sie die erstellte Dateifreigabe und klicken Sie auf Connect.
Screenshot des Microsoft Azure portal mit der geöffneten erstellten Dateifreigabe und ausgewählter Option Connect.
  1. Kopieren Sie den Befehl cmdkey in die Zwischenablage.
Screenshot des Bereichs Connect im Microsoft Azure portal, in dem der Befehl cmdkey in die Zwischenablage kopiert wird.
  1. Melden Sie sich auf der virtuellen Maschine mit dem FlexiCapture Application Server als Systembenutzer an, der über Berechtigungen für den Zugriff auf die FlexiCapture-Services verfügt (fcuser in diesem Beispiel), öffnen Sie die Eingabeaufforderung, und fügen Sie den Befehl cmdkey aus der Zwischenablage ein und führen Sie ihn aus. Dadurch werden die Anmeldeinformationen der Dateifreigabe zum Windows Credential Manager hinzugefügt.
Screenshot der Windows-Eingabeaufforderung, in die der Befehl cmdkey eingefügt und ausgeführt wird, um die Anmeldeinformationen der Dateifreigabe zum Windows Credential Manager hinzuzufügen.
  1. Öffnen Sie den Windows-Explorer und vergewissern Sie sich, dass der Benutzer auf die Dateifreigabe zugreifen kann.
Screenshot des Windows-Explorers, der bestätigt, dass der Benutzer auf die verbundene Azure-Dateifreigabe zugreifen kann.
  1. Öffnen Sie den Internet Information Services (IIS) Manager, wählen Sie den FlexiCapture-Anwendungspool aus, und klicken Sie auf Advanced Settings.
Screenshot des IIS Manager mit ausgewähltem FlexiCapture-Anwendungspool und hervorgehobener Option Advanced Settings.
  1. Ändern Sie die Poolidentität in das FlexiCapture-Benutzerkonto mit den erforderlichen Berechtigungen, setzen Sie Load User Profile auf True, bestätigen Sie die Änderungen mit OK, und recyceln Sie den Anwendungspool.
Screenshot des Dialogfelds IIS Advanced Settings, in dem die Anwendungspool-Identität auf das FlexiCapture-Benutzerkonto gesetzt und Load User Profile auf True eingestellt ist.
  1. Wählen Sie in der Administration and Monitoring Console die Option Use external file storage aus und geben Sie den Pfad zur Dateifreigabe in Microsoft Azure an.
Screenshot der Administration and Monitoring Console mit ausgewählter Option Use external file storage und angegebenem Pfad zur Microsoft Azure-Dateifreigabe.

Verwenden Sie Azure Key Vault, um eine Verbindung mit Microsoft Azure Files herzustellen

Azure Key Vault ist ein Clouddienst zur sicheren Speicherung von Secrets wie API-Schlüsseln, Kennwörtern und Zertifikaten. Mit diesem Service können Azure-Abonnenten sensible Daten schützen, die von Cloudanwendungen und -Services verwendet werden. Sie können Key Vaults über das Azure portal erstellen und verwalten (ausführliche Informationen finden Sie in der Microsoft-Dokumentation). So richten Sie eine Verbindung zu Azure Files ein:

Im Azure portal

  1. Richten Sie virtuelle Maschinen für Ihre ABBYY FlexiCapture Application Server ein. Wichtig! Ihre virtuellen Maschinen, auf denen der Application Server installiert ist, müssen in Azure Active Directory registriert sein. Ausführliche Anweisungen zum Erstellen und Einrichten virtueller Maschinen finden Sie in der Microsoft-Dokumentation.
Screenshot des Azure portal, der eine für den ABBYY FlexiCapture Application Server in Azure Active Directory registrierte virtuelle Maschine zeigt.
  1. Erstellen Sie einen neuen Key Vault. Unter Permission model wählen Sie Azure role-based access control aus.
Screenshot der Seite Create a key vault im Azure portal, auf der unter Permission model die Option Azure role-based access control ausgewählt ist.
  1. Damit Sie Secrets speichern und anzeigen können, weisen Sie Ihrem Konto die Rolle Key Vault Secrets Officer und den Objekten der virtuellen Maschinen die Rolle Key Vault Secrets User zu. Ausführliche Anweisungen zum Erteilen von Berechtigungen für virtuelle Maschinen finden Sie in der Microsoft-Dokumentation.
  2. Fügen Sie Ihr Secret (d. h. Ihren Zugriffsschlüssel) für Ihr Azure-Speicherkonto dem Key Vault hinzu. Ausführliche Anweisungen zum Hinzufügen eines Secrets zu einem Key Vault finden Sie in der Microsoft-Dokumentation. Wichtig! Um eine Verbindung mit Azure Files herzustellen, muss der Name Ihres Secrets mit dem Namen Ihres Speicherkontos übereinstimmen.
Screenshot des Azure portal, in dem dem Key Vault ein Secret hinzugefügt wird, dessen Name mit dem Namen des Azure-Speicherkontos übereinstimmt.
Screenshot der Seite Access keys des Azure-Speicherkontos im Azure portal, auf der der als Key Vault-Secret verwendete Zugriffsschlüssel kopiert wird.

Auf jedem Application Server

Konfigurieren Sie Ihr Systemkonto so, dass es auf Azure Files zugreifen kann. Gehen Sie dazu wie folgt vor:
  1. Speichern Sie das folgende PowerShell-Skript auf jeder virtuellen Maschine, auf der der Application Server installiert ist:
Param(
    [Parameter(Mandatory=$true)][Alias("Share")][ValidateNotNullOrEmpty()][String]$ShareRoot,
    [Parameter(Mandatory=$true)][Alias("Uri")][ValidateNotNullOrEmpty()][String]$VaultUri
)

$StorageAccount = $ShareRoot | Select-String -pattern "(?<=\\)(.*?)(?=(\\|[.]))" | Select-Object -ExpandProperty Matches | Select-Object -ExpandProperty Value
$ShareUser = "Azure\" + $StorageAccount

# Parameter aus Azure Key Vault abrufen
$Response = Invoke-RestMethod -UseBasicParsing -Uri 'https://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -Method GET -Headers @{Metadata="true"}
$BearerToken = $Response.access_token

# SharePass
$Uri = ($VaultUri).TrimEnd('/') + "/secrets/" + $StorageAccount + "?api-version=2016-10-01"
$Response = Invoke-RestMethod -UseBasicParsing -Uri $Uri -Method GET -Headers @{Authorization="Bearer $BearerToken"}
$SharePass = $Response.value
$ShareCredential = New-Object PSCredential($ShareUser, (ConvertTo-SecureString -AsPlainText -Force -String $SharePass))

New-PSDrive -Name "Flexicapture" -PSProvider FileSystem -Root $ShareRoot -Credential $ShareCredential -Scope Global
Das Skript akzeptiert die folgenden zwei Parameter als Eingabe:
  • Den Pfad zum Stammverzeichnis des Azure-Netzwerkordners, zum Beispiel: \\<name of Azure Storage account>.file.core.windows.net\<name of network folder>.
  • Die URI des Key Vault, in dem der Zugriffsschlüssel für Ihr Azure-Speicherkonto gespeichert ist. Sie können die URI aus dem Feld Vault URI auf der Registerkarte Übersicht im Azure portal kopieren.
Screenshot der Registerkarte „Übersicht“ des Key Vault im Azure portal, in dem das Feld „Vault URI“ hervorgehoben ist.
Beispielbefehl zum Ausführen des Skripts: 
powershell.exe <path to file with script> -share \\<name of Azure Storage account>.file.core.windows.net\<name of network folder> -uri https://<name of Azure key vault>.vault.azure.net/
  1. Um das Skript auszuführen, erstellen Sie in Task Scheduler eine Aufgabe, die durch ein Systemstart-Ereignis ausgelöst wird. Die Aufgabe muss unter dem Benutzerkonto „System“, „Network Service“ oder „Local Service“ ausgeführt werden. Dasselbe Konto muss auch zum Ausführen des IIS-Anwendungspools verwendet werden.
Screenshot von Task Scheduler mit einer neuen Aufgabe, die durch ein Systemstart-Ereignis ausgelöst wird.
Screenshot der in Task Scheduler konfigurierten Aufgabe, die unter dem Konto „System“ ausgeführt wird, unter dem auch der IIS-Anwendungspool läuft.
  1. Konfigurieren Sie den IIS-Service so, dass er erst gestartet wird, nachdem das Verbindungsskript ausgeführt wurde. Öffnen Sie dazu das Dialogfeld World Wide Web Publishing Service Properties und wählen Sie auf der Registerkarte General in der Startup type-Dropdown-Liste Automatic (Delayed Start) aus.
Screenshot des Dialogfelds „World Wide Web Publishing Service Properties“ mit **Startup type** auf **Automatic (Delayed Start)**.
  1. Starten Sie den Application Server neu.