構成ファイルを準備する
AppScan 360° 環境の設定後でインストールの前に、構成ファイル singular-singular.clusterKit.properties または singular-singular.clusterKit.yaml を準備します。このファイルは、インストール時に AppScan 360° セントラルプラットフォーム、AppScan 修復アドバイザリー、およびソフトウェアコンポジション分析 (SCA) インストールファイルが参照します。
構成ファイルを準備するには、次の手順を実行します。
- テキスト・エディターで新しいファイルを作成します。
- 次の表の説明に従って、ファイルに適切なパラメーターを入力します。注: カスタマイズ・ファイルの一部としてサーバー証明書を指定すると、サービス・エントリー・ポイント・イングレス証明書として使用することができます。使用する場合は、次のように PEM 形式の証明書として指定します。
*.crtまたは*.cerファイル内の公開鍵*.keyファイル内の秘密鍵
- インストール方法に応じて、ファイル名を
singular-singular.clusterKit.propertiesまたはsingular-singular.clusterKit.yamlとし、インストール・キットを保存したフォルダーまたは保存する予定のフォルダーに保存します。注: 自己解凍型インストール・ファイルは、インストール・プロセス中にこのファイルを見つけることができる必要があります。 - 必要に応じて、自己署名証明書を構成します。
構成に関する注意
カスタマイズ・ファイルの一部としてサーバー証明書を指定すると、サービス・エントリー・ポイント・イングレス証明書として使用することができます。使用する場合は、次のように PEM 形式の証明書として指定します。
*.crtまたは*.cerファイル内の公開鍵*.keyファイル内の秘密鍵
構成パラメーター
注: すべてのパラメーター値を引用符で囲みます。
ヒント: このページの右上にある右矢印 (>) をクリックして、テーブルの内容を展開します。
| パラメーター | 説明 | 値の例 |
|---|---|---|
CK_DOCKER_REGISTRY_ADDRESS |
Docker イメージ・レジストリーアドレス (FQDN)。コロンで区切られていて、ポートがある場合もあります。 | pi-dpr-lin.appscan.com |
CK_DOCKER_REGISTRY_USERNAME |
Docker イメージ・レジストリーユーザー名。 | |
CK_DOCKER_REGISTRY_PASSWORD |
Docker イメージ・レジストリーパスワード。 | |
CK_DOCKER_REGISTRY_CONTEXT |
Docker レジストリー接続。ルートにプッシュするには空の文字列に設定し、適用できない場合は削除します。 | |
CK_DOCKER_REGISTRY_CONTEXT_4_ADDONS |
アドオンの Docker レジストリーコンテキスト。ルートにプッシュするには空の文字列に設定し、適用できない場合は削除します。一貫性のために、CK_DOCKER_REGISTRY_CONTEXT と同じように設定することができます。 |
|
CK_HELM_REPOSITORY_CONTEXT |
Helm リポジトリーコンテキスト。ルートにプッシュするには空の文字列に設定し、適用できない場合は削除します。 | |
CK_HELM_REPOSITORY_CONTEXT_4_ADDONS |
アドオン用の Helm リポジトリーコンテキスト。ルートにプッシュするには空の文字列に設定し、適用できない場合は削除します。一貫性のために、CK_HELM_REPOSITORY_CONTEXT と同じように設定することができます。 |
|
CK_CNI_NETWORK_DOMAIN_SUFFIX |
指定されたドメイン・サービス名 | appscan.com |
CK_CSI_STORAGE_CLASS_NAME |
Kubernetes ストレージ・ドライバー・クラス名 | longhorn |
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_VOLUME_NAME |
共有ファイル・システム用に自動生成された PVC (Persistent Volume Claim) で使用される Kubernetes 事前定義 PV (Persistent Volume)。 注:
|
|
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY |
Kubernetes 共有ストレージ指定サイズ。インストール前に計算されます。 | 100Gi |
CK_K8S_ASCP_NAMESPACE |
オプション。プラットフォームコンポーネントの名前空間。 | |
CK_K8S_ASRA_NAMESPACE |
オプション。ASRA コンポーネントの名前空間。 | |
NAMESPACE |
SCA のインストール用の一般的な名前空間オーバーライド。 | |
CK_INGRESS_CONTROLLER_CAPABILITIES_IS_HTTPS_BACKEND_PROTOCOL_SUPPORTED |
ingress コントローラーが NGINX であるか、または SSL オンロード (HTTPS バックエンド・プロトコル) がingress コントローラーでサポートされているか (アノテーションによってではなく、コントローラー自体によって) を示します。 | false |
CK_INGRESS_INTERNAL_CLASS |
Kubernetes クラスターに ingress をデプロイするときに使用される ingress クラス名。 | nginx |
CK_INGRESS_INTERNAL_HOST_DOMAIN |
ホスト名を構築するために Kubernetes クラスターに ingress をデプロイするときに使用されるドメイン。 注: 空白のままにしておくと、
CK_CNI_NETWORK_DOMAIN_SUFFIX から取得されます。 |
appscan.com |
CK_INGRESS_INTERNAL_HOST_SUBDOMAIN |
ホスト名を構築するために Kubernetes クラスターに ingress をデプロイするときに使用されるサブドメイン。 | expo.ascp |
CK_CUSTOMER_INGRESS_CERTIFICATE_ENABLED |
所定の証明書を、該当する外部 (クラスター外) マイクロサービス入力証明書として使用するかどうかを示します。 注: 次に示すように、サーバー証明書を、サービス・エントリー・ポイント入力証明書として使用するカスタマイズ・ファイルの一部として提供するか、PEM 形式の証明書として提供します。
|
false |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_CA_CRT_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された認証局 (CA) 署名証明書。 | <BASE64_ENCODED_VALUE> |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_CRT_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された公開鍵。 | <BASE64_ENCODED_VALUE> |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_KEY_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された秘密鍵。 | <BASE64_ENCODED_VALUE> |
CK_CONFIGURATION_DISCLOSED_SITE_URL |
AppScan 360° フロントエンド URL。 注: URL のディレクトリーの末尾にスラッシュ (/) を付けないでください。 |
https://expo.ascp.appscan.com |
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE |
新規ユーザーをオンボーディングする方法を定義します。
|
AutoOnboard |
CK_CONFIGURATION_DISCLOSED_LDAP_DOMAIN |
LDAP サーバー/サービス・ドメイン 重要: AppScan 360° バージョン 1.1.0 以前からアップグレードする場合、LDAP の構成をそのまま再利用はできません。インストールの前に、すべての LDAP パラメーターが現在/更新済み AppScan 360° の要件を満たしていることを確認する必要があります。 |
appscan.il |
CK_CONFIGURATION_DISCLOSED_LDAP_USERNAME |
接続を確立するための LDAP サーバー/サービス・ユーザー名。 注: CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「ManualOnboard」が選択されているときに該当します。 |
<LDAP_USERNAME> |
CK_CONFIGURATION_DISCLOSED_LDAP_AUTHORIZED_GROUPS |
アクセスを許可されている LDAP グループの顧客リスト (コンマ区切り) AppScan 360° 注:
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「GroupsAccess」が指定されているときに該当します。 |
|
CK_CONFIGURATION_DISCLOSED_LDAP_SSL |
LDAP サーバー/サービスに対してセキュリティー保護された接続 (SSL/TLS 経由で) が確立されるかどうかを示します。 | false |
CK_CONFIGURATION_DISCLOSED_LDAP_TARGET_OU |
LDAP クエリー用の AD (Active Directory) 内のユーザーの指定された場所。AppScan 360° へのログイン時に AD ユーザーを認証するために使用されます。 | Users,DC=appscan,DC=com |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_HOST |
SMTP メール・サーバー/サービス・ホスト名。 | wfilsus.israel.ottawa.watchfire.com |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_PORT |
SMTP メール・サーバー/サービス・ポート。 | 25 |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_USERNAME |
接続を確立するための SMTP メール・サーバー/サービス・ユーザー名。 | <SMTP_USERNAME> |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_ENABLE_SSL |
SMTP メール・サーバー/サービスに対してセキュリティー保護された接続 (SSL/TLS 経由で) が確立されるかどうかを示します。 | false |
|
|
オプション。専用アップストリーム・プロキシーのホスト名。 |
10.255.255.255 |
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PORT |
オプション。専用アップストリーム・プロキシーのポート。 | 3762 |
CK_CONFIGURATION_CONFIDENTIAL_UPSTREAM_PROXY_USERNAME |
オプション。専用アップストリーム・プロキシーのユーザー名。 | ProxyUserName |
CK_CONFIGURATION_CONFIDENTIAL_DEFAULT_CONNECTION |
データベースとの接続を確立するために使用される MSSQL データ・ストア (データベース) 接続文字列。 | <DB_CONNECT_STRING> |
CK_CONFIGURATION_CONFIDENTIAL_LDAP_PASSWORD |
接続を確立するための LDAP サーバー/サービス・パスワード。 注:
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「ManualOnboard」が指定されている場合に該当します。 |
<LDAP_PASSWORD> |
CK_CONFIGURATION_CONFIDENTIAL_MAIL_SMTP_PASSWORD |
接続を確立するための SMTP メール・サーバー/サービス・パスワード。 | <SMTP_PASSWORD> |
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PASSWORD |
オプション。専用アップストリーム・プロキシーのパスワード。 | <PROXY_PASSWORD> |
CK_CONFIGURATION_DISCLOSED_OIDC_CLIENT_ID |
オプション。OIDC サーバーとの接続を確立するために使用される OpenIdConnect (OIDC) クライアント ID。
|
|
CK_CONFIGURATION_DISCLOSED_OIDC_AUTHORITY |
オプション。OpenIdConnect (OIDC) コールを発信するときに使用する OIDC 権限ベース URL。
|
|
CK_CONFIGURATION_CONFIDENTIAL_OIDC_CLIENT_SECRET |
OIDC サーバーとの接続を確立するために使用される OpenIdConnect (OIDC) クライアントシークレット。 | |
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_OIDCS_AS_BASE64 |
OIDC を構成するための Base64エンコード証明書。 | |
CK_CONFIGURATION_DISCLOSED_EXTERNAL_DOMAINS |
OIDC に使用されるドメイン。 | |
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_SMTPS_AS_BASE64 |
SMTP に関連付けられた証明書。 | |
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_LDAPS_AS_BASE64 |
LDAP に関連付けられた証明書。 | |
CK_CUSTOMER_CA_CERTIFICATES_ENABLED |
証明書パラメーターで指定された証明書のカスタマイズを有効にします。 | true |
SCA_CSI_STORAGE_CLASS_NAME |
K8S ストレージドライバーのクラス名 | |
SCA_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY |
K8S 共有ストレージ指定サイズ。インストール前に計算されます | |
SCA_CSI_STORAGE_ACCESS_MODE |
K8S ストレージドライバーのアクセスモード | |
SCA_CSI_STORAGE_VOLUME_NAME |
オプション。K8S では、PVC で使用する固定ボリュームがあらかじめ定義されています。空の場合は、自動的に生成されます。 | |
SCA_CONNECTIONSTRINGSSCAENGINEDATABASE |
SCA エンジンデータベース接続文字列。 注: Microsoft SQL Server がインストールされている必要があります。 必要に応じて、バックスラッシュ (\) を使用してコンマをエスケープします。 |
|
SCA_CONNECTIONSTRINGSSCAAGGREGATIONDB |
集約データベース接続文字列。 | |
SCA_AUTOUPDATER_REGISTRY_ADDRESS |
オプション。この変数は、HCL AutoUpdater レジストリー以外の唯一のレジストリーが存在する場合に必要となります。 |
hclcr.io |
SCA_AUTOUPDATER_REGISTRY_PATH |
オプション。この変数は、レジストリーとパスがデフォルトと異なる場合にのみ必要です。 | |
SCA_AUTOUPDATER_HELM_PATH |
オプション。この変数が必要になるのは、Helm repo パスがデフォルトと異なる場合だけです。 | |
SCA_AUTOUPDATER_REGISTRY_USERNAME |
オプション。SCA AutoUpdater で使用されるレジストリーのユーザ名。 | |
SCA_AUTOUPDATER_REGISTRY_PASSWORD |
オプション。SCA AutoUpdater で使用されるレジストリーのパスワード。 |
自己署名証明書の構成
環境で SSO (Okta や Keycloak などを使用) または LDAP (Active Directory や Domino LDAP などを使用) 用のカスタム自己署名証明書を使用する場合は、インストール時にこれらの証明書を構成する必要があります。信頼できるプライマリー証明書を使用している場合は、これらの手順を実行する必要はありません。
分散インストール用に自己署名証明書を構成するには、次の手順を実行します。
- インストールプロパティー・ファイル (
singular-singular.clusterKit.properties) で、証明書をbase64-valueに指定します。- SSO 認証の場合:
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_OIDCS_AS_BASE64=<base64-value> CK_CUSTOMER_CA_CERTIFICATES_ENABLED='true' - LDAP 認証の場合:
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_LDAPS_AS_BASE64=<base64-value> CK_CUSTOMER_CA_CERTIFICATES_ENABLED='true'
- SSO 認証の場合:
- SSO を構成する場合は、Okta または Keycloak テナントへ AppScan 360° が接続できるように外部ドメインを指定します。例:
CK_CONFIGURATION_DISCLOSED_EXTERNAL_DOMAINS='xxxxx.demo.com,XXXXX.abc.com'
Helm インストール用に自己署名証明書を構成するには、次の手順を実行します。
- プロパティーファイル (
singular-singular.clusterKit.yaml) をカスタマー CA 証明書設定で更新します。# # Settings that need to be customized by the customer are marked with 'CUSTOMIZE_ME' comments # global: customer: certificate: ca: # CUSTOMIZE_ME: # Indication whether to use customer given CA certificates, or not enabled: true secret: data: # CUSTOMIZE_ME: # The customer's supplied CA certificate used for signing LDAPs based service(s) caCrtForLDAPsAsBase64: ' ' # CUSTOMIZE_ME: # The customer's supplied CA certificate used for signing SMTPs based service(s) caCrtForSMTPsAsBase64: ' ' # CUSTOMIZE_ME: # The customer's supplied CA certificate used for signing OIDCs based service(s) caCrtForOIDCsAsBase64: ' ' - プロパティーファイルで証明書を指定します。
enabledをtrueに設定する。- SSO の場合は、
caCrtForOIDCsAsBase64で証明書を指定します。 - LDAP の場合は、
caCrtForLDAPsAsBase64で証明書を指定します。
シングル VM インストール用に自己署名証明書を構成するには、次の手順を実行します。
- 自己署名証明書を証明書フォルダー (必要に応じて SSO または LDAP) に配置します。
- カスタムシングル VM インストール手順の手順 8f で、外部ドメインを指定して AppScan 360° が SSO または LDAP プロバイダーに接続できるようにします。
例singular-singular.clusterKit.properties
#
## Docker Registry info
#
CK_DOCKER_REGISTRY_ADDRESS='pi-dpr-lin.appscan.com'
CK_DOCKER_REGISTRY_USERNAME='user'
CK_DOCKER_REGISTRY_PASSWORD='password'
#
## Network info
#
CK_CNI_NETWORK_DOMAIN_SUFFIX='appscan.com'
#
## Storage info
#
CK_CSI_STORAGE_CLASS_NAME='longhorn'
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_VOLUME_NAME=''
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY='100Gi'
#
## Ingress info
#
CK_INGRESS_CONTROLLER_CAPABILITIES_IS_HTTPS_BACKEND_PROTOCOL_SUPPORTED='false'
CK_INGRESS_INTERNAL_CLASS='nginx'
CK_INGRESS_INTERNAL_HOST_DOMAIN='appscan.com'
CK_INGRESS_INTERNAL_HOST_SUBDOMAIN='expo.ascp'
#
## Customer certificate info
#
CK_CUSTOMER_INGRESS_CERTIFICATE_ENABLED='false'
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_CA_CRT_AS_BASE64=' '
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_CRT_AS_BASE64=' '
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_KEY_AS_BASE64=' '
#
## Configuration/Disclosed info
#
CK_CONFIGURATION_DISCLOSED_SITE_URL='https://expo.ascp.appscan.com'
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_HOST=''
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PORT=''
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_USERNAME=''
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE='AutoOnboard'
CK_CONFIGURATION_DISCLOSED_LDAP_DOMAIN='appscan.com'
CK_CONFIGURATION_DISCLOSED_LDAP_USERNAME='labmgr'
CK_CONFIGURATION_DISCLOSED_LDAP_AUTHORIZED_GROUPS=''
CK_CONFIGURATION_DISCLOSED_LDAP_SSL='false'
CK_CONFIGURATION_DISCLOSED_LDAP_TARGET_OU='CN=Users,DC=appscan,DC=com'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_HOST='wfilsus.israel.ottawa.watchfire.com'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_PORT='25'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_USERNAME='admin@abcd'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_ENABLE_SSL='false'
#
## Configuration/Confidential info
#
CK_CONFIGURATION_CONFIDENTIAL_DEFAULT_CONNECTION='Data Source=mssql-service.expo.ascp.appscan.com;Initial Catalog=AppScanCloudDB;User ID=ABC;Password=1234;MultipleActiveResultSets=True;TrustServerCertificate=True'
CK_CONFIGURATION_CONFIDENTIAL_LDAP_PASSWORD='12345678Abcdefg'
CK_CONFIGURATION_CONFIDENTIAL_MAIL_SMTP_PASSWORD='ABC!@#123'
CK_CONFIGURATION_CONFIDENTIAL_UPSTREAM_PROXY_PASSWORD=''
#
## OIDC Configuration and Certificates
#
CK_CONFIGURATION_DISCLOSED_OIDC_CLIENT_ID=''
CK_CONFIGURATION_DISCLOSED_OIDC_AUTHORITY=''
CK_CONFIGURATION_CONFIDENTIAL_OIDC_CLIENT_SECRET=''
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_OIDCS_AS_BASE64=''
CK_CONFIGURATION_DISCLOSED_EXTERNAL_DOMAINS=''
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_SMTPS_AS_BASE64=''
CK_CUSTOMER_CA_CERTIFICATE_SECRET_DATA_FOR_LDAPS_AS_BASE64=''
CK_CUSTOMER_CA_CERTIFICATES_ENABLED=''
#
## SCA Configuration
#
SCA_CSI_STORAGE_CLASS_NAME=''
SCA_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY=''
SCA_CSI_STORAGE_ACCESS_MODE=''
SCA_CSI_STORAGE_VOLUME_NAME=''
SCA_CONNECTIONSTRINGSSCAENGINEDATABASE=''
SCA_CONNECTIONSTRINGSSCAAGGREGATIONDB=''
#
## SCA Auto Updater Configuration
#
SCA_AUTOUPDATER_REGISTRY_ADDRESS=''
SCA_AUTOUPDATER_REGISTRY_PATH=''
SCA_AUTOUPDATER_HELM_PATH=''
SCA_AUTOUPDATER_REGISTRY_USERNAME=''
SCA_AUTOUPDATER_REGISTRY_PASSWORD=''
#
## Registry Contexts Customization
#
CK_DOCKER_REGISTRY_CONTEXT=''
CK_HELM_REPOSITORY_CONTEXT=''
CK_DOCKER_REGISTRY_CONTEXT_4_ADDONS=''
CK_HELM_REPOSITORY_CONTEXT_4_ADDONS=''
#
## Namespace Customization
#
CK_K8S_ASCP_NAMESPACE=''
CK_K8S_ASRA_NAMESPACE=''
NAMESPACE=''
例singular-singular.clusterKit.yaml
# Default values for ascp-dart-prime.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.
#
# Settings that need to be customized by the customer are marked with 'CUSTOMIZE_ME' comments
#
global:
customer:
certificate:
ca:
# CUSTOMIZE_ME:
# Indication whether to use customer given CA certificates, or not
enabled: false
secret:
data:
# CUSTOMIZE_ME:
# The customer's supplied CA certificate used for signing LDAPs based service(s)
caCrtForLDAPsAsBase64: ''
# CUSTOMIZE_ME:
# The customer's supplied CA certificate used for signing SMTPs based service(s)
caCrtForSMTPsAsBase64: ''
# CUSTOMIZE_ME:
# The customer's supplied CA certificate used for signing OIDCs based service(s)
caCrtForOIDCsAsBase64: ''
ingress:
# CUSTOMIZE_ME:
# Indication whether to use a customer given certificate as the applicable external (out-of-cluster) micro services ingresses certificates, or not
enabled: false
secret:
data:
# CUSTOMIZE_ME:
# The customer's supplied certificate authority (CA) signing certificate of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
caCrtAsBase64: ''
# CUSTOMIZE_ME:
# The customer's supplied public key of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
tlsCrtAsBase64: ''
# CUSTOMIZE_ME:
# The customer's supplied private key of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
tlsKeyAsBase64: ''
storage:
pvc:
linux:
enabled: true
# The customer's K8S storage driver access mode
# NOTE: Set on 'ReadWriteMany' and should not be changed
accessMode: ReadWriteMany
# CUSTOMIZE_ME:
# The customer's K8S storage driver class name
# NOTE: The CSI driver must support 'ReadWriteMany' access mode
# storageClassName: freenas-nfs-csi
storageClassName: longhorn
# CUSTOMIZE_ME:
# The customer's K8S predefined PV (Persistent Volume), to be used with the auto-generated PVC (Persistent Volume Claim) for the shared file system
# NOTES:
# 1. This field is optional, if left empty, the designated PV will be generated automatically by the PVC
# 2. This ability is generally used in case migrating from the Windows VM based version of AppScan 360°, and there is a need to keep the existing (shared) data
# 3. Note: In case the PV is NOT intended to be associated with any storage class, do the following:
# 3.1 The storage class name parameter (CK_CSI_STORAGE_CLASS_NAME) should be set to a pseudo one (e.g., 'manual')
# 3.2 The PV should be set in the same way (regarding its storage-class parameter) as the PVC
volumeName: null
# CUSTOMIZE_ME:
# The customer's K8S shared storage designated size, to be calculated before installation, following the calculation logic outlined in the formal documentation
requestedCapacity: 50Gi
accessMode: ReadWriteMany # SCA
requestedCapacity: 10Gi # SCA
storageClassName: manual # SCA
volumeName: ‘’ # SCA
ca:
seed:
enabled: true
issuer:
name: appscan-seed-ca-clusterissuer
kind: ClusterIssuer
root:
secret:
data:
# Auto generated root CA certificate
tlsCrtAsBase64: null
# Auto generated root CA private key
tlsKeyAsBase64: null
certificate:
name: appscan-root-ca-cert
duration: 26280h0m0s # 3 years
renewBefore: 8760h0m0s # 1 year
ingress:
controller:
capabilities:
# CUSTOMIZE_ME:
# Indicates whether the Ingress Controller is based on NGINX, or the SSL onload (HTTPS backend protocol) is supported by the ingress controller (not via an annotation, but by the controller itself!), or not
isHttpsBackendProtocolSupported: true
internal:
# CUSTOMIZE_ME:
# The ingress class name to be used when deploying ingresses into the customer's K8S cluster
class: nginx
host:
# CUSTOMIZE_ME:
# The (main) domain to be used when deploying ingresses into the customer's K8S cluster (for building the host name)
# NOTE: If left empty, it will be taken from the 'global.network.domainSuffix' field
domain: appscan.com
# CUSTOMIZE_ME:
# The sub domain to be used when deploying ingresses into the customer's K8S cluster (for building the host name)
subDomain: as360
network:
# CUSTOMIZE_ME:
# The customer's designated (main) domain name
domainSuffix: appscan.com
configuration:
disclosed:
# CUSTOMIZE_ME:
# AS360 frontend URL (of the UI)
# NOTE: The URL must NOT have a trailing '/' at the end of the URL (A valid example: 'https://mydomain.server.com', an invalid example: 'https://mydomain.server.com/')
siteUrl: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service domain
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. This is a key setting, IFF set, it will override the UI related settings (alongside with all the other LDAP related settings below)
ldapDomain: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service user name (for establishing connection)
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. Relevant IFF 'ManualOnboard' is selected for the 'global.configuration.externalIDPMode' parameter
ldapUsername: ''
# CUSTOMIZE_ME:
# The customer's list of LDAP groups (comma-separated) that are authorized to access the AppScan 360°
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. Relevant IFF 'GroupsAccess' is selected for the 'global.configuration.externalIDPMode' parameter
ldapAuthorizedGroups: ''
# CUSTOMIZE_ME:
# Indicates whether to establish a secured (over SSL/TLS) connection towards the customer's LDAP server/service, or not
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. Valid values are 'True' or 'False'
ldapSsl: ''
# CUSTOMIZE_ME:
# The customer's designated location of the users in the its AD (Active Directory) for LDAP queries, it is used to authenticate AD users during login to AppScan 360°
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
ldapTargetOU: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service host name
mailSmtpHost: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service port
mailSmtpPort: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service user name (for establishing connection)
mailSmtpUserName: ''
# CUSTOMIZE_ME:
# Indicates whether to establish a secured (over SSL/TLS) connection towards the customer's SMTP mail server/service, or not
# NOTE: Valid values are 'True' or 'False'
mailSmtpEnableSsl: ''
# CUSTOMIZE_ME:
# Define your method for onboarding new users:
# AutoOnboard: Any user with access to the server can log in to AppScan 360°.
# GroupsAccess: Any user in an authorized group (defined below) can log in to AppScan 360°.
# ManualOnboard: Users must be invited using the Add Users button on the Access management > Users page.
externalIDPMode: 'AutoOnboard'
# CUSTOMIZE_ME:
# The customer's comma delimited external domains to allow access to, particularly crucial for establishing communication with OpenID Connect (OIDC) servers
externalDomains: ''
# CUSTOMIZE_ME:
# Optional set of parameters, to be used IFF the customer has a dedicated upstream proxy (used to enable Internet access from within the customer's network),
# holding the customer's upstream proxy settings (for establishing connection), if applicable.
# NOTE: Currently there is NO support using a script to configure the upstream proxy settings
# The customer's upstream proxy host (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyHost: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy port (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyPort: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy username (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyUsername: ''
# CUSTOMIZE_ME:
# The customer's designated K8S ASRA namespace to be used for AS360 installation
# NOTE: This field is optional, If left empty, a factory default will be used
k8sAsraNamespace: 'hcl-appscan-asra'
# CUSTOMIZE_ME:
# The customer's OpenIdConnect (OIDC) client ID (used to establish a connection with the OIDC server)
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. IFF set, ALL other OIDC related parameters must be set as well in order to actually override the UI related settings
oidcClientId: ''
# CUSTOMIZE_ME:
# The customer's OIDC authority base URL to use when making OpenIdConnect (OIDC) calls
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. IFF set, ALL other OIDC related parameters must be set as well in order to actually override the UI related settings
oidcAuthority: ''
confidential:
# CUSTOMIZE_ME:
# The customer's MSSQL data store (database) connection string (used to established a connection with the database)
defaultConnection: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service password (for establishing connection)
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. Relevant IFF 'ManualOnboard' is selected for the 'global.configuration.externalIDPMode' parameter
ldapPassword: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service password (for establishing connection)
mailSmtpPassword: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy password (for establishing connection), an optional parameter, to be used IFF the customer has a dedicated upstream proxy
upstreamProxyPassword: ''
# CUSTOMIZE_ME:
# The customer's OpenIdConnect (OIDC) client secret (used to establish a connection with the OIDC server)
# NOTES:
# 1. This setting should be configured through the UI, it is exposed here only to allow troubleshooting misconfigured settings that were set through the UI, and caused account lockout
# 2. Once set, it has precedence over the UI settings
# 3. IFF set, ALL other OIDC related parameters must be set as well in order to actually override the UI related settings
oidcClientSecret: ''
#
# Below entries are not required for ASOP/AS360
#
opsConsoleDPKey: ''
licenseApiKey: ''
githubClientSecret: ''
common:
ingress:
enabled: false
service:
enabled: false
helmHooks:
rbacBaseName: helm-hooks-rbac
ascp-user-portal-ui:
enabled: true
ascp-domain-challenger:
enabled: true
ascp-egress-gatekeeper:
enabled: true
ascp-mr-tasks-manager:
enabled: true
ascp-mr-user-api:
enabled: true
ascp-mr-scanners-api:
enabled: true
ascp-mr-presence-api:
enabled: true
ascp-mr-iast-api:
enabled: true
scaenginefetchcve:
common:
# CUSTOMIZE_ME:
# The customer's MSSQL data store (database) connection string (used to established a connection with the database)
# If the connection string contains a comma, escape it with a backslash (\,)
scaservicesecrets:
ConnectionStrings__ScaAggregationDB: ''
scaenginescanmonitorapi:
common:
scaservicesecrets:
# CUSTOMIZE_ME:
# The customer's MSSQL data store (database) connection string (used to established a connection with the database)
# If the connection string contains a comma, escape it with a backslash (\,).
ConnectionStrings__ScaEngineDatabase: ''