PI API 2016 for Windows Integrated Security (WIS) install kit

https://techsupport.osisoft.com/Downloads/File/cc9f18b1-c32a-464a-93b9-419ab10c7d47

がリリースされています。

 

今までOSIsoftのインターフェースはPI APIという言語で通信をしているためPI Trustを設定してあげることが必須でした。

これはPI APIの言語がWindows Userの情報を渡すことができなかったためです。

今回、PI API 2016がリリースされたことで、PI APIにおいてもPI TrustやExplicit loginではなくMappingが使えるようになりました。

 

PI Data ArchiveはIP, マシン名などを指定するTrustとWindowsユーザーを使用するMappingという2つの認証方法があり、

Windowsユーザーを使用した認証の方がよりセキュリティが高いです。

 

このPI API 2016を使用するための必要条件は以下です。

https://techsupport.osisoft.com/Products/Other-Products/PI-API/System-Requirements

Windows Mapping機能をサポートするPI Data Archive 3.4.380以降のバージョンが必要です。

 

PI API 2016へのバージョンアップ後はTrust, Explicit Loginは使用せず、Mappingを使用するようになるため、

それぞれのインターフェースマシンで準備が必要です。

 

0 PI Data Archive上にてPI Identityの用意

PI Data Archive上で PI SMT > Security > Identities, Users, & Groups > PI Identities タブ

すでにインターフェース、PI Buffer Subsystemが使用する PI Identitieがある場合、この項目は飛ばします。

これから構成する場合、新たにIdentityを作成します。より安全にご使用いただくためには、インターフェースに対し2つのIdentityを用意します。

・インターフェースが使用するIdentity - タグのPoint Securityの読み込み権限が必要です。

・PI Buffer Subsystemが使用するIdentity - タグのData Securityの書き込み権限が必要です。

細かな話ですが、PI ICUでサービスを作る場合、MDBなどへの変更権限も必要なので、

アドミンのユーザーが別ユーザーでインターフェースノードにログインし、別のIdentityで認証されるようにするのがよいでしょう。

 

1 サービスの起動ユーザーの変更

各インターフェースのサービス、PI Buffer Subsystemの起動ユーザーを変更する必要があります。

Local Systemではなく、専用のドメインユーザーを作成するのが良いです。

ユーザー変更を適用するにはサービスの再起動が必要です。

BufferingのユーザーはインターフェースマシンのローカルグループPI Buffering Administratorsに登録します。

 

2 マッピングの作成

PI Data Archive上で PI SMT > Security > Mappings & Trusts > Mappingsタブ

上記のインターフェース、PI Buffer Subsystemで使用するドメインユーザーに対してマッピングを作成します。

上記で準備完了です。

さて、インストーラーを起動すると、以下が表示されます。

このPI API 2016をインストールすると、PI TrustとExplicit login (PIユーザーの直指定での接続)ができなくなることが書かれています。

マッピングの用意、インターフェースサービス、PI Buffer Subsystemのログオンユーザーの変更が終わっていればインストールを勧めます。

インストール後、サービスを起動するとMappingを使用し、インターフェースが接続するようになります。

PI Data ArchiveのPI SMT > Operation > Network Manager Statisticsにて確認します。

PI API 2016 アップグレード前 (Trustが使用されています)

PI API 2016へアップグレード後 (Mappingが使用されています)

PI API 2016を使用することで、Trustを全部削除し、

PI SMT > Security > Security Settingsも一番上まで上げていただくことができます。

よりセキュリティを高くPI Data Archiveをご使用いただけます。

 

なお、インターフェースマシンがDomainに参加しておらず、WorkGroupのためWindowsUserが使用できないケースがあります。

その場合以下KBを参照してください。(リンク先は英語となります。)

KB01457 - Using Windows Credential Manager with PI applications

https://techsupport.osisoft.com/Troubleshooting/KB/KB01457

ポイントはWork Groupのマシンで該当ユーザーでコマンドプロンプトを起動し、以下コマンドを実行します。

CMDKEY /add:PIDataArchiveName /user:PIDomain\Username /pass:password

を実行します。

こちらを実行するとインターフェースマシンからPI DAに対して指定したWindows Domain Userで接続しに行きます。

よってWorkGroupのインターフェースマシンでもマッピングが可能になります。

詳細はKB1457をご確認ください。

 

このPI API 2016についてはUCでも発表されています。(英語)

http://www.osisoft.com/Presentations/OSIsoft--What-s-New-in-PI-Security-/

また、以下も参考になります。(英語)

http://www.osisoft.com/Presentations/OSIsoft--Cyber-Security/