- 1. Paigaldamise eeldused
- 2. eIDAS-Client'i Seadistamine
- 3. SAML võtmete genereerimine
- 4. Logimine
- 5. Monitoorimine
- 6. Hazelcast ja mitmes eksemplaris paigaldamine
eIDAS-Clienti paigaldamiseks on minimaalselt vajalik:
- JRE 8+
- Java rakendusserver (soovituslik Tomcat 8.x või uuem)
NB! Lisaks on nõutav ka ligipääs eIDAS Node rakendusele
Rakenduse seadistamine toimib läbi keskse Spring boot konfiguratsioonifaili - application.properties - mille asukoht tuleb rakendusele käivitamisel kaasa anda.
Juhul kui konfiguratsioonifaili asukohta ei täpsustata või fail pole ligipääsetav, rakenduvad vaikeseadistused. Vaikeseadistust on võimalik muuta, andes käivitamisel kaasa oma konfiguratisoonifaili koos soovitud parameetritega.
eIDAS-Client rakendus vajab oma tööks konfiguratsioonifaili, mis sätestab kasutatavate SAML võtmete asukoha, kliendi nime ja olulised URLid, mis on vajalikud SAML päringute moodustamiseks ja töötluseks. Detailne konfiguratsiooniparameetrite kirjeldus on toodud alajaotuses Seadistamine)
Järgnev on näidis minimaalsest vajaminevast konfiguratsioonifailist (viidetega eelnevas punktis genereeritud võtmetele):
# Keystore
eidas.client.keystore = file:/opt/tomcat/samlKeystore-test.jks
eidas.client.keystore-pass = ...
# Key used for signing the SAML metadata
eidas.client.metadata-signing-key-id = metadatasigning
eidas.client.metadata-signing-key-pass = ...
eidas.client.metadata-signature-algorithm = http://www.w3.org/2007/05/xmldsig-more#sha256-rsa-MGF1
# Key used for signing the SAML AuthnRequest
eidas.client.request-signing-key-id = requestsigning
eidas.client.request-signing-key-pass = ...
eidas.client.request-signature-algorithm = http://www.w3.org/2007/05/xmldsig-more#sha256-rsa-MGF1
# Key used to decrypt the SAML Assertion in response
eidas.client.response-decryption-key-id = responseencryption
eidas.client.response-decryption-key-pass = ...
# IDP metadata location
eidas.client.idp-metadata-url = http://eidas-node.dev:8080/EidasNode/ConnectorResponderMetadata
eidas.client.provider-name = EIDAS KLIENT DEMO
eidas.client.sp-entity-id = http://eidas-client.dev:8080/metadata
eidas.client.callback-url = https://eidas-client.dev/returnUrl
eidas.client.available-countries = EE,CA,CD
- Järgi juhiseid ning ehita kokku eIDAS-Client
warfail koos näidis konfiguratsioonifailiga. - Paigalda war fail rakendusserverisse.
NB! Soovituslik on paigaldada eIDAS-Client ainsa rakendusena rakendusserverisse (Tomcat puhulROOTrakendusena) - Anna rakendusserverile ette eIDAS-Client konfiguratsioonifaili asukoht. Selleks lisa
tomcat/binkaustasetenv.shfail, milles viidatud Spring boot konfiguratsioonifaili asukoht:export SPRING_CONFIG_ADDITIONAL_LOCATION=/etc/eidas-client/application.properties
Tabel 2.3.1 - Teenusepakkuja metateabe seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
eidas.client.hsm.enabled |
Ei | Füüsilise turvamooduli (Hardware Security Module) aktiveermise seadistus. Vaikimisi false |
eidas.client.hsm.pin |
Jah1 | Füüsilise turvamooduli ligipääsu parool. |
eidas.client.hsm.library |
Jah 1 | Liidestava füüsilise turvamooduli juhtprogrammi asukoht. Näidisväärtus /usr/lib/softhsm/libsofthsm2.so kui testida SoftHSM või HSM tootja spetsiifiline teek |
eidas.client.hsm.slot |
Jah 1,2 | Füüsilise turvamooduli slotti identifikaator. Näidisväärtus 0 |
eidas.client.hsm.slot-list-index |
Jah 1,2 | Füüsilise turvamooduli slotti järjekorra indeks. Näidisväärtus 0 |
eidas.client.hsm.certificates-from-hsm |
Ei 3 | Märgib kas sertifikaadid on lisaks võtmetele leitavad füüsiliselt turvamoodulilt. Vaikimisi false |
eidas.client.keystore |
Jah | Võtmehoidla asukoha kirjeldus. Näide: classpath:samlKeystore.jks, kui fail loetakse classpathi kaudu või file:/etc/eidas-client/samlKeystore.jks kui loetakse otse failisüsteemist. Võtmehoidla peab olema JKS tüüpi. |
eidas.client.keystore-pass |
Jah | SAML võtmehoidla parool. |
eidas.client.metadata-signing-key-id |
Jah 5 | SAML metateabe allkirjastamisvõtme alias. |
eidas.client.metadata-signing-key-pass |
Jah4 | SAML metateabe allkirjastamisvõtme parool. |
eidas.client.metadata-signature-algorithm |
Ei | Metateabe allkirja algoritm. Lubatud väärtused vastavalt. Vaikimisi http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha512 |
eidas.client.response-decryption-key-id |
Jah 5 | SAML autentimisvastuse dekrepteerimisvõtme alias. |
eidas.client.response-decryption-key-pass |
Jah 4 | SAML autentimisvastuse dekrüpteerimisvõtme parool. |
eidas.client.sp-entity-id |
Jah | URL, mis viitab teenusepakkuja metateabele. /md:EntityDescriptor/@entityID väärtus metateabes. Näiteks: https://hostname:8889/metadata |
eidas.client.callback-url |
Jah | URL, mis viitab teenusepakkuja SAML/md:EntityDescriptor/md:SPSSODescriptor/md:AssertionConsumerService/@Location väärtus metateabes. |
1 Kohustuslik juhul kui eidas.client.hsm.enabled=true
2 Juhul kui eidas.client.hsm.slot on määratud, siis eidas.client.hsm.slot-list-index väärtust ignoreeritakse ja selle märkimine ei ole kohtustuslik.
3 Juhul kui eidas.client.hsm.certificates-from-hsm=false, siis peavad sertifikaadid olema leitavad sama aliase järgi tarkvaralisest võtmehoidjast eidas.client.keystore
4 Juhul kui eidas.client.hsm.enabled=true, siis antud seadistust ignoreeritakse.
5 Kehtib nii tarkvaralise kui riistvaralise võtmehoidla puhul.
Tabel 2.3.2 - Konnektorteenuse metateabe küsimise seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
eidas.client.idp-metadata-url |
Jah | URL. Konnektorteenuse metateabe asukoht. https://eidastest.eesti.ee/EidasNode/ConnectorResponderMetadata |
eidas.client.idp-metadata-signing-certificate-key-id |
Ei | Konnektorteeenuse metateabe allkirjastamiseks kasutatud sertifikaadi alias võtmehoidlas. Vaikimisi alias: metadata. |
Tabel 2.3.3 - Saadetava AuthnRequesti ja SAML vastuse seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
eidas.client.provider-name |
Jah | Teenusepakkuja lühinimetus. /saml2p:AuthnRequest/@ProviderName väärtus. |
eidas.client.request-signing-key-id |
Jah 2 | SAML autentimispäringu allkirjastamisvõtme alias. |
eidas.client.request-signing-key-pass |
Jah 1 | SAML autentimispäringu allkirjastamisvõtme parool. |
eidas.client.accepted-clock-skew |
Ei | IDP ja SP süsteemide vaheline maksimaalselt aktsepteeritav kellaaegade erinevus sekundites. Vaikimisi 2. |
eidas.client.maximum-authentication-lifetime |
Ei | Autentimispäringu eluiga sekundites. Vaikimisi 900. |
eidas.client.response-message-lifetime |
Ei | SAML vastuse eluiga sekundites. Vaikimisi 900. |
eidas.client.request-signature-algorithm |
Ei | Autentimispäringu allkirja algoritm. Vaikimisi http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha512 |
eidas.client.available-countries |
Ei | Lubatud riigikoodid. |
eidas.client.default-loa |
Ei | EIDAS tagatistase juhul kui kasutaja tagatistaseme ise määramata. Lubatud väärtused: 'LOW', 'SUBSTANTIAL', 'HIGH'. Vaikimisi 'SUBSTANTIAL'. |
eidas.client.allowed-eidas-attributes |
Ei | Komaga eraldatud lubatud EidasAttribute väärtuste nimekiri. Vaikimisi väärtus on nimekiri kõigist võimalikest EidasAttribute enum väärtustest. |
1 Juhul kui eidas.client.hsm.enabled=true, siis antud seadistust ignoreeritakse.
2 Kehtib nii tarkvaralise kui riistvaralise võtmehoidla puhul.
Tabel 2.3.4 - turvaseadistused
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
security.allowed-authentication-port |
Ei | Olemasolu korral piirab ligipääsu autentimisotspunktidele (/login ja /returnUrl) vaid määratud pordi kaudu, misjuhul nimetatud otspunktide poole pöördumisel muude portide kaudu tagastatakse 403 Forbidden ja veakirjeldus JSON objektina. Lubatud väärtused: täisarv vahemikus 1 - 65535. |
security.disabled-http-methods |
Ei | Komaga eraldatud nimekiri HTTP meetoditest. Olemasolu korral piirab ligipääsu HTTP meetoditele (nimekirjas toodud meetodi kasutuse korral tagastatakse HTTP 405). Kui määramata, siis vaikimisi keelatud HTTP meetodite nimekirja kuuluvad: HEAD, PUT, PATCH, DELETE, OPTIONS, TRACE. Lubatud väärtused: GET, POST, HEAD, PUT, PATCH, DELETE, OPTIONS, TRACE |
Tabel 2.3.5 - heartbeat otspunkti seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
management.endpoint.heartbeat.timeout |
Ei | Sõltuvate süsteemide kontrollimisel tehtava päringu puhul maksimaalne vastuse ooteag sekundites. Vaikimisi 3 sekundit. |
management.endpoint.heartbeat.credentials.test-interval |
Ei1 | Metateabe allkirjastamisel kasutatavate võtmete korrasoleku testimise intervall, juhul kui füüsiline turvamoodul on seadistatud.2 Vaikimisi 60 sekundit. |
1 Kehtib ainult siis, kui eidas.client.hsm.enabled=true
2 Füüsilise turvamooduli võtmeid testitakse ainult juhul kui kutsutakse välja heartbeat otspunkti. Et vähendada füüsilise turvamooduli koormust on võimalik seadistada intervall management.endpoint.heartbeat.credentials.test-interval, mis määrab minimaalse aja kui testi saab käivitada. Kui intevall ei ole väljakutsumise hetkel möödas, tagastatakse eelmise testi tulemus väljaarvatud juhul, kui vahepeal on tekkinud viga võtmete kasutuses rakenduse poolt. Kui rakenduse töö käigus tekib viga võtmete kasutusel, siis igal pöördumisel heartbeat otspunktile testitakse võtmete korrasolekut olenemata, kas minimaalne testimise intervall on möödas või mitte. Kui võtmete korrasolek taastub jätkatakse kontrolli intervalli järgi.
Tabel 2.3.6 - Hazelcast seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
eidas.client.hazelcast-enabled |
Ei | Hazelcasti toe aktiveerimine. |
eidas.client.hazelcast-config |
Ei 1 | Viide Hazelcasti seadistusfailile. Näide: |
eidas.client.hazelcast-signing-key |
Ei 1 | HMAC võti base64 kodeeritud kujul (räsitabeli sisu allkirjastamiseks). Võtme pikkus sõltub allkirjastamise algoritmi valikust. Vaikimisi kasutatava HMAC512 puhul peab kasutama 512 bitist juhuarvu. NB! Näide 512 bitise võtme genereerimisest openssl'ga: |
eidas.client.hazelcast-signing-algorithm |
Ei | Allkirjastamisalgoritm (HS512, HS384, HS256). Vaikimisi HS512. |
eidas.client.hazelcast-encryption-key |
Ei 1 | Krüpteerimisvõti base64 kodeeritud kujul (räsitabeli sisu krüpteerimisel kasutatav sümmeetriline võti). Vaikimisi kasutatava Näide 128 bitise võtme genereerimisest openssl'ga |
eidas.client.hazelcast-encryption-alg |
Ei | Krüpteerimisalgoritm vastavalt standardsele Java Krüptograafiliste Algoritmide nimistule. Vaikimisi AES. |
1 Kohustuslik juhul kui eidas.client.hazelcast-enabled on määratud.
Näide konfiguratsioonist:
eidas.client.hazelcast-enabled = true
eidas.client.hazelcast-config = file:/etc/eidas-client/hazelcast.xml
eidas.client.hazelcast-signing-key=JgeUmXWHRs1FClKuStKRNWvfNWfFHWGSR8jgN8_xEoBSGnkiHHgEEHMttYmMtzy88rnlO6yfmQpSAJ0yNA9NWw
eidas.client.hazelcast-signing-algorithm=HS512
eidas.client.hazelcast-encryption-key=K7KVMOrgRj7Pw5GDHdXjKQ==
eidas.client.hazelcast-encryption-alg=AES
Tabel 2.3.7 - Hazelcast kasutusstatistika otspunkt
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
management.endpoint.hazelcast.enabled |
Ei | Võimalikud väärtused: true, false. Lülitab sisse /hazelcast otspunkti. Vaikimisi false. |
Tabel 2.3.8 - Mitteteavitatud tagatistasemete seadistus
| Parameeter | Kohustuslik | Kirjeldus, näide |
|---|---|---|
eidas.client.non-notified-assurance-levels[0].country |
Ei | Riik mille korral mitteteavitatud tagatistase kehtib. Iga riigi kohta on lubatud ainult 1 seadistus. |
eidas.client.non-notified-assurance-levels[0].non-notified-level |
Ei | Mitteteavitatud tagatistase. Näide: http://eidas.europa.eu/NonNotified/LoA/low |
eidas.client.non-notified-assurance-levels[0].notified-level |
Ei | Kui küsitud tagatistase on võrdne või madalam siin defineeritud teavitatud tagatistasemest, siis rakendub mitteteavitatud tagatistase. Näide: http://eidas.europa.eu/LoA/substantial |
Veebirakendus vajab oma tööks mitut komplekti avaliku- ja privaatvõtme paari ja lisaks ka konnektorteenuse metateabe avaliku võtit ehk nö usaldusankrut. Võtmepaare hoitakse samas jks võtmehoidlas (vaikimisi failinimi on samlKeystore.jks, kui pole konfiguratsioonifailis sätestatud teisiti). Võtmepaarile viitakse konfiguratsioonis läbi määratud aliase.
Näide vajalike võtmete genererimisest Java keytool abil:
1. Võtmehoidla loomine ja usaldusankru võtmepaar (eIDAS-Client metateabe allkirjastamiseks)
keytool -genkeypair -keyalg EC -keystore $keystoreFileName -keysize 384 -alias metadata -dname "CN=SP-metada-signing, OU=test, O=test, C=EE" -validity 730 -storepass $password -keypass $pass
2. Autentimispäringu allkirjastamise võtmepaar
keytool -genkeypair -keyalg EC -keystore $keystoreFileName -keysize 384 -alias requestsigning -dname "CN=SP-auth-request-signing, OU=test, O=test, C=EE" -validity 730 -storepass $password -keypass $password
3. Autentimisvastuse krüpteerimise võtmepaar
keytool -genkeypair -keyalg RSA -keystore $keystoreFileName -keysize 4096 -alias responseencryption -dname "CN=SP-response-encryption, OU=test, O=test, C=EE" -validity 730 -storepass $password -keypass $password
4. Konnektorteenuse usaldusankru import
keytool -importcert -keystore $keystoreFileName -storepass $password -file scripts/ee_eidasnode.pem -alias idpmetadata -noprompt
Logimiseks kasutatakse Log4j2 raamistikku, mida on võimalik seadistada läbi XML konfiguratsioonifaili (log4j2.xml).
Rakenduses on kaasas vaikeseadistusega konfiguratsioonifail, mis logib kohaliku failisüsteemi /var/log/eidas kausta failid mustriga eIDAS-Client-%d{yyyy-MM-dd}, näiteks /var/log/eidas/eIDAS-Client-2019-08-06.log. Rakendus hoiab viimase 7 päeva logisid pakkimata kujul. eIDAS-kliendi pakettides aset leidvate sündmuste logimise tasemeks INFO, kõik muud sündmused logitakse tasemel WARN.
Vaikeseadistuses väljastatakse logikirjed JSON kujul, iga logikirje lõpetab reavahetuse sümbol \n.
Tabel 4.1.1 - Logikirje struktuur
| Väli | Kirjeldus | Alati olemas |
|---|---|---|
| date | Sündmuse kuupäev ja kellaaeg ISO-8601 formaadis. Näide: 2018-09-13T10:06:50,682+0000 |
Jah |
| level | Logisündmuse tase. Võimalikud väärtused (vähim tõsisest kõige tõsisemani): TRACE, DEBUG, INFO, WARN, ERROR, FATAL |
Jah |
| request | Päringu meetod ja URL. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. Näide: GET http://eidas-client.arendus.kit:8080/login |
Ei |
| requestId | Päringu X-Request-ID päise väärtus, selle puudumisel päringut identifitseeriv juhugenereeritud 16 sümboliline tähtede-numbrite kombinatsioon. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. |
Ei |
| sessionId | Päringu X-Correlation-ID päise väärtus, selle puudumisel sessiooni ID-st genereeritud sha256 räsi base64 kujul. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. |
Ei |
| logger | Logija nimi. | Jah |
| thread | Lõime nimi. | Jah |
| message | Logisõnum varjestatuna JSON-escaping'uga. | Jah |
| throwable | Vea stack trace varjestatuna JSON-escaping'uga. | Ei |
Näide:
{"date":"2018-09-13T10:06:50,682+0000", "level":"INFO", "request":"GET http://eidas-client.arendus.kit:8080/login", "requestId":"0VVIBKN0GMZAKCVP", "sessionId":"LgoVYrdPv4PiHkRFGLfMD9h08dqpOC9NiVAQDL0hpGw=", "logger":"ee.ria.eidas.client.AuthInitiationService", "thread":"http-nio-8080-exec-1", "message":"SAML request ID: _8d4900cb8ae92034fa2cd89e6d8e8d89"}
Vaikeseadistuses on võimalik juhtida logimise väljundit ning eIDAS-kliendi-spetsiifiliste logisündmuste logimise taset.
Tabel 4.2.1 - Vaikekonfiguratsioonifaili seadistatavad parameetrid
| Parameeter | Kirjeldus | Vaikeväärtus |
|---|---|---|
eidas.client.log.pattern |
Logisündmuse muster. | {"date":"%d{yyyy-MM-dd'T'HH:mm:ss,SSSZ}", "level":"%level"%notEmpty{, "request":"%X{request}"}%notEmpty{, "requestId":"%X{requestId}"}%notEmpty{, "sessionId":"%X{sessionId}"}, "logger":"%logger", "thread":"%thread", "message":"%enc{%msg}{JSON}"notEmpty{, "throwable":"%enc{%throwable}{JSON}"}}%n |
eidas.client.log.level |
eIDAS-kliendi-spetsiifiliste sündmuste logimise tase. Üks järgnevatest väärtustest: ERROR, WARN, INFO, DEBUG, TRACE |
info |
Nende parameetrite vaikeväärtusi on võimalik muuta rakenduse käivitamisel etteantavate süsteemiparameetrite abil (vt. Paigaldamine punkt 3), näiteks:
export JAVA_OPTS="-Deidas.client.log.pattern=%m%n -Deidas.client.log.level=debug"
Tabel 4.2.2 - Logimisel saadaolevad MDC (Mapped Diagnostic Context) atribuudid
| Atribuut | Kirjeldus |
|---|---|
request |
Päringu meetod ja URL. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. Näide: GET http://eidas-client.arendus.kit:8080/login |
requestId |
Päringu X-Request-ID päise väärtus, selle puudumisel päringut identifitseeriv juhugenereeritud 16 sümboliline tähtede-numbrite kombinatsioon. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. |
sessionId |
Päringu X-Correlation-ID päise väärtus, selle puudumisel sessiooni ID-st genereeritud sha256 räsi base64 kujul. Väärtustamata, kui logisündmus ei ole väljastatud päringu käigus. |
Vajadusel on võimalik vaikekonfiguratsioonifaili asemel oma konfiguratsioonifaili kasutada. Selleks tuleb uue faili asukoht anda rakendusele käivitamisel süsteemiparameetrite abil (vt. Paigaldamine punkt 3), näiteks:
export JAVA_OPTS="-Dlogging.config=/etc/eidas-client/log4j2.xml"
Rakenduse oleku info on kättesaadav otspunktilt /heartbeat.
Rakenduse oleku info kuvamiseks kasutatakse Spring Boot Actuator raamistikku. Vaikeseadistuses on kõik otspunktid, välja arvatud /heartbeat otspunkt, välja lülitatud.
Lisaotspunkte on võimalik vajadusel seadistada vastavalt juhendile: https://docs.spring.io/spring-boot/docs/2.2.1.RELEASE/reference/htmlsingle/#production-ready-endpoints-enabling-endpoints (NB! rakendust war failina eraldiseisvasse Tomcat rakendusserverisse paigaldades on otspunktide seadistus piiratud lisa otspunktide sisse- ja väljalülitamisega).
eIDAS-Client peab SAML vastuse korrektsuse väljaselgitamiseks pidama arvet väljasaadetud SAML päringute kohta. Vaikimisi hoitakse väljastatud ja vastuseta päringute infot serveri mälus, mis tähendab, et klasterdamisel peab vastus tulema alati samasse õlga, kus päring väljastati. Alternatiiv on kasutada Hazelcasti klastris olevat räsitabelit päringuinfo jagamiseks eIDAS-Clienti eksemplaride vahel.
Hazelcast käivitatakse koos eIDAS-Client rakenduse osana. Hazelcast käivitakse vaid juhul kui seadistusfailis on toodud Hazelcasti xml seadistusfaili asukoht (vt. seadistusparaameetreid).
Hazelcast seadistatakse deklaratiivselt, kasutades xml seadistusfaili. Loe Hazelcasti seadistamise detailide kohta rohkem siit.
Näide minimaalsest konfiguratsioonist, mis kasutab TCP-IP tuvastamismehanismi:
<?xml version="1.0" encoding="UTF-8"?>
<hazelcast xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://www.hazelcast.com/schema/config"
xsi:schemaLocation="http://www.hazelcast.com/schema/config
https://hazelcast.com/schema/config/hazelcast-config-3.7.xsd">
<group>
<name>eidas-client-cluster</name>
</group>
<network>
<port auto-increment="false">5702</port>
<join>
<multicast enabled="false"></multicast>
<tcp-ip enabled="true">
<member>xxx.xxx.xxx.xxx:5702</member>
<member>yyy.yyy.yyy.yyy:5702</member>
<member>zzz.zzz.zzz.zzz:5702</member>
</tcp-ip>
</join>
</network>
</hazelcast>eIDAS-Client krüpteerib sümmeetrilise võtmega (vaikimisi AES algoritmiga) ja allkirjastab andmed (vaikimisi HMAC512 algoritmiga) enne jagatud räsitabelisse salvestamist. Andmete küsimisel Hazelcastist verifitseeritakse allkiri ning alles seejärel dekrüpteeritakse.
Algoritmide seadistamise osas vt. seadistusparaameetreid.
Hazelcasti monitooringuks on võimalik kasutada Hazelcasti enda health otspunkti (vaikimisi väljalülitatud).
Lisaks on võimalik detailsemat infot saada diagnostika logist ja kontrollida klastrit detailsemalt, kui sisse lülitada JMX pordi kasutus.
eIDAS-Client'i pakub ka /hazelcast otspunkti (vaikimisi välja lülitatud) minimaalse kasutusstatistikaga.