Plateforme Services Web Etnic - Spécifications techniques
Contents
1. docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 1 0 xsd gt lt wst RequestSecurityTokenResponse xmlns wsc http schemas xmlsoap org ws 2005 02 sc xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd xmlns wst http schemas xmlsoap org ws 2005 02 trust xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 1 0 xsd gt lt wust RequestedSecurityToken gt lt wsc SecurityContextToken gt lt wsc Identifier gt http www layer7tech com uuid 5449793febfbbec46c5644fa0b05702f2be8cc9b lt wsc I dentifier gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 11 13 Sp cifications techniques et N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030 Bruxelles lt wsc SecurityContextToken gt lt wst RequestedSecurityToken gt lt wst RequestedProofToken gt lt wst BinarySecret Type http schemas xmlsoap org ws 2005 02 trust SymmetricKey gt gBndC3Zqhu6NiDBtM849Y7F4b89PnD 302MKwO9EYXZ1 lt wst BinarySecret gt lt wst RequestedProofToken gt lt wst Lifetime gt lt wsu Expires gt 2014 02 19T12 09 43 113Z lt wsu Expires gt lt wst Lifetime gt lt wst RequestSecurityTokenResponse gt lt soap Body gt lt soap Envelope gt 4 WSSC SCT Ws SecureConversation Security Context Token Les changes a2. j etn C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030 Bruxelles Produit Plateforme Services Web ETNIC Type de document Manuel d utilisation R vision du document 1 0 Date du document 22 04 2014 Historique Version Description Ecrit par Date 1 0 Version initiale Anne Noseda 22 04 2014 Xavier Martin Objectifs du document Ce document est destin aux partenaires d sireux d int grer leurs applications celles de la F d ration Wallonie Bruxelles en utilisant la plateforme de Services Web mise disposition par ETNIC La plateforme est d abord pr sent e de mani re conceptuelle et puis d finie techniquement domaine par domaine Public cible Ce document s adresse principalement aux architectes analystes et d veloppeurs Contacts Pour toute question ou demande d assistance technique veuillez contacter le helpdesk de l ETNIC Support g n ral Email support etnic be T l 02 800 10 10 Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 1 13 Sp cifications techniques etnic B timent Le Z nith Boulevard du Roi Albert Il 37 1030 Bruxelles Table des mati res Plateforme Services Web ETNIC Sp cifications techniques 1 1 1 CADRE 1 2 CARACTERISTIQUES 1 3 ACCES 2 COMMUNICATION ASYNCHRONE 2 1 ARCHITECTURE
3. 2 2 ROUTAGE DES REQUETES 2 3 SERVICE POLLING 3 1 CONNEXION SECURISEE TLS 3 2 SECURISATION DES MESSAGES SOAP 3 2 1 WSS x509TokenProfile 2 4 EXEMPLE DE MESSAGES DE COMMUNICATION ASYNCHRONE 3 SECURITE 3 2 2 WS Secure Conversation Token Plateforme Services Web ETNIC Sp cifications techniques copyright ETNIC dit le 28 04 2014 Page 2 13 V ef N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert Il 37 1030 Bruxelles 1 PRESENTATION DE LA PLATEFORME SERVICES WEB DE L ETNIC 1 1 CADRE L ETNIC expose des Services Web sur Internet destination de ses partenaires informatiques d sireux d int grer leurs applications avec les services de la F d ration Wallonie Bruxelles L ensemble des Services Web sont expos s travers une plateforme technique r pondant diverses sp cifications portant entre autre sur le protocole de communication et la s curit 1 2 CARACTERISTIQUES La communication se fait de mani re asynchrone travers un canal s curis par TLS Les Services Web dialoguent avec des messages SOAP s curis s selon la sp cification WS Security et sign s avec un certificat num rique Selon le type de certificat utilis les sp cifications WSS x509TokenPro ile WS SecureConversation et WS Trust sont utilis es Les sections suivantes de ce document d crivent en profondeur
4. Bruxelles lt ds KeyInfo gt lt ds Signature gt lt wsse Security gt lt soapenv Header gt lt soapenv Body xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity ELEVEUR lt soapenv Body gt lt soapenv Envelope gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 13 13 Sp cifications techniques
5. ns1 Identifiant gt lt ns1 0Organisation gt lt nsl Dmad FICHE lt nsl Dma lt ns1 FaseRequete gt lt soapenv Body gt lt soapenv Envelope gt R ponse contenant l ID de correlation lt soapenv Envelope xmlns soapenv http schemas xmlsoap org soap envelope gt lt soapenv Header gt lt To gt http etnic be soapui lt To gt lt MessageIlD gt 0000013d4924e5d07 1247 lt MessageID gt lt RelatesTo gt uuid 81788842 deaf 4470 be48 4bd2e5ad453c lt RelatesTo gt lt From xmlns http www w3 org 2005 08 addressing gt lt Address gt http www etnic be janus fase lt Address gt lt From gt lt wsa Action soapenv mustUnderstand 1 xmins wsa http www w3 0org 2005 08 addressing gt janus fase mode async lt wsa Action gt lt soapenv Header gt lt soapenv Body gt lt StatutMsg xmlns http www etnic be janus ow gt lt message gt lt ID gt 0000013d4924e5d07 1247 lt ID gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 6 13 Sp cifications techniques et N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030 Bruxelles lt message gt lt StatutMsg gt lt soapenv Body gt lt soapenv Envelope gt Requ te de polling lt soapenv Envelope xmlns fase http www etnic be janus fase xmilns soapenv http schemas xmlsoap org soap envelope gt lt soapenv Header xmlns ws
6. 7589981128 gt lt as R5S09Data gt lt ds X509IssuerSerial gt lt ds X509IssuerName gt CN WSJanusTEST_BULL0O01 lt ds X509IssuerName gt lt ds X509SerialNumber gt 1243600900 lt ds X509SerialNumber gt lt ds X509IssuerSerial gt lt ds X509Data gt lt wsse SecurityTokenReference gt lt ds KeyInfo gt lt ds Signature gt lt wsse Security gt lt soapenv Header gt lt soapenv Body wsu Ild id 751 xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 EE EEN lt soapenv Body gt lt soapenv Envelope gt 3 2 2 WS Secure Conversation Token Dans le cadre de l utilisation du certificat de la carte d identit lectronique belge il n est pas envisageable de signer avec celui ci car il impose de demander son code PIN l utilisateur pour chaque requ te signer avant envoi C est pourquoi un syst me de Security Token Service STS a t mis en place Celui ci peut tre appel via le standard WS Trust afin de r cup rer un jeton token C est ce jeton qui servira signer les requ tes suivantes jusqu son expiration Voici le sch ma de ce principe 2 Authenticate STS Awer 1 WST RSTR SCT 4 WSSC SCT Requestor Secured Service Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 9 13 Sp cifications techniques TAIC B timent Le Z nith Boulevard du Roi Albert Il 37 1030 Bruxelles Plateforme Services Web ETNI
7. C Sp cifications techniques 1 WST RST WS Trust Request Security Token Le client envoie une requ te de demande de token au serveur STS Exemple de requ te lt soapenv Envelope xmlns soapenv http schemas xmlsoap org soap envelope gt lt soapenv Body xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity Eeler EH N lt wst RequestSecurityToken xmlns wst http schemas xmlsoap org ws 2005 02 trust gt lt wst RequestType gt http schemas xmlsoap org ws 2005 02 trust Issue lt wst RequestType gt lt wst TokenType gt http schemas xmlsoap org ws 2005 02 sc sct lt wst TokenType gt lt wst RequestSecurityToken gt lt soapenv Body gt lt soapenv Envelope gt 2 Authenticate L authentification aupr s du STS se fait via Mutual SSL dont le fonctionnement est d crit ci dessous Les 5 Check certificate valid trusted CA check own certificate list e g LOAP Server integrity Login with CrypToken 1 vHellox Message 2 sHellox Message X 509 3 Check certificate ji valid 4 Client authentication Seet integrity domain name Ki client certificate key for symmetric encryption e g AES encrypted with server public key 6 Data transmission encrypted Access granted Le certificat de la carte d identit enregistr ETNIC est ici utilis et valid par le serveur STS pour authentifier le demandeur avant de lui remett
8. Page 3 13 Sp cifications techniques V ef N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert Il 37 1030 Bruxelles crans ou bien un certificat acquis aupr s d un organisme de certification reconnu tel que GlobalSign ou Certipost Dans ce dernier cas vous devrez le communiquer par une autre voie d finir avec l ETNIC 2 COMMUNICATION ASYNCHRONE 2 1 ARCHITECTURE La communication avec la plateforme Services Web de l ETNIC se fait de mani re asynchrone C est dire que les r ponses aux requ tes envoy es par le client sont r cup r es de mani re diff r es sur un service Polling Ce dernier fournit les r ponses dans l ordre des requ tes re ues Ci dessous est illustr e l architecture globale de la plateforme en prenant comme exemple le service SIEL Inscription Le cheminement des messages y est d crit SIEL Inscriptior service back end Pollir g etnic 1 Le client envoie une requ te fonctionnelle 2 L ETNIC stocke sa demande pour traitement ult rieur 8 L ETNIC lui renvoie un ID de corr lation disponible 2 endroits dans le message SOAP de retour L application cliente doit stocker cet ID Co o soap Envelope soap Body ow StatutMsg ow message ow 1ID Co o soap Envelope soap Header wsa MessagelD 4 Lorsque le back end du service SIEL est disponible
9. TEZNTUWN1OXDTIZMDMXxNzEZzNTUwWNloOwIZzEhMB8GA1I UEAxMYc2VydmljZXMtd2ViLnRxLmVObmljLmJlMIIBI ANBgkqhkiG9wOBAQEFAAOCAQO8AMIIBCIKCAQEAOKScCKxupNt8 6x2auAK0bAoty0wK5xWee9fPHORJAuiwdauo s0OPMDcD2rcWDTSG2QNHvmk gzzyEu6aMaxxKEZUhtwruM5SPKgqNXMH dH X6JUKbglgYlvvatAO3GEUOUGnLr0OV u9cvmGzMU aRMgUX8CtAsgmD0OOurEiVcyW rr84wX7os1Wx10VOHRL4edd6rT AA JugoKLxc wkR5CoOtUR5THkW3bhi6E RkFVTIMk3KFOZtE 1i8mW5CdM 1caHq W9igZKOGHChUDcu57fma l1J4pb5EnaGOdI VA3UvdaBo Yz5Vr d9GlsSgYsRtcI2X 6YPJObTH S aqpdXwIDAQABOOIwWQDAdBINVHQOAEFIQUaA iGpCArMV BIKCnmADi TarXuxMwHwYDVRO jBBgwFoAUaAiGpCdrMV BIKCnmADiT4rXuxMwDOYJKoZIhveNAQEMBOAD9gEBAJ LE 2KqgACqgYk3X vOhdiNmc0q9joEnIkE8PlcH 7ZdWibwOwog9rf17yCI0EXR5G2 kYPocy4iL VED6x6i99AvhANASHTAjDOtCNMGEvIWPSk B8huJdsuBLXnP1XDWz XcyF j1 kGb8MEXpIOgmXDsv98bMYL6u qFKehtUAhdZgPVaQVp4nCLlKJ6NGUHiXwjhZiWk2Hk2e NgXX CiG900cfLDUGpxkKN1hKaiOrYCmEMHxIPsxYf5ROD YYAcZMOrO500 0JM iWOboEUDOyErdrpPUeEb4VRIiFx72TF udDScJqaNnwJCZn0cLcPkmJ PHIWI Bh 76tWLcluUvs lt wsse BinarySecurityToken gt lt ds Signature xmlns ds http www w3 0org 2000 09 xmlasig gt lt ds SignedInfo gt lt ds CanonicalizationMethod Algorithm http www w3 org 2001 10 xml exc cl4n gt lt ds SignatureMethod Algorithm http www w3 org 2000 09 xmlasig rsa shal gt lt ds Reference URI id 1 254d82d466e9957c180e856d1bf0109f6 gt lt ds Transforms gt lt ds Transform Algorithm http www w3 org 2001 10 xml exc cl n gt lt ds Transforms gt lt ds DigestMethod Algorith
10. a http www w3 org 2005 08 addressing gt lt wsa Action gt janus polling mode sync lt wsa Action gt lt wsa From gt lt wsa Address gt http etnic be soapui lt wsa Address gt lt wsa From gt lt wsa MessagelD gt uuid 28158767 4bb7 4b06 b7fe a6d0b35ae884 lt wsa MessagelD gt lt wsa To gt http www etnic be janus polling lt wsa To gt lt soapenv Header gt lt soapenv Body gt lt GetMessage gt lt soapenv Body gt lt soapenv Envelope gt R ponse fonctionnelle lt soapenv Envelope xmlns soapenv http schemas xmlsoap org soap envelope xmilns soapenvi2 http www w3 0org 2003 05 soap envelope xmins wsa http www w3 0org 2005 08 addressing gt lt soapenv Header gt lt wsa To gt http etnic be soapui lt wsa To gt lt wsa MessagelD gt uuid 28158767 4bb7 4b06 b7fe a6d0b35ae884 lt wsa MessagelD gt lt wsa RelatesTo gt 00000145279160df 246 lt wsa RelatesTo gt lt wsa From gt lt wsa Address gt http www etnic be janus polling lt wsa Address gt lt wsa From gt lt wsa Action soapenv mustUnderstand 1 gt janus polling mode sync lt wsa Action gt lt soapenv Header gt lt soapenv Body gt lt pollingReponse xmlns http www etnic be janus polling xmins soapenv http www w3 0org 2003 05 soap envelope gt lt message gt lt ID gt 00000145279160df 246 lt ID gt lt Suivants gt 0 lt Suivants gt lt Contenu gt lt dedale DedaleResponse xmlns dedale http www cfwb be dedale xmlns soa
11. avait pas encore t r cup r e l instar d une file FIFO first in first out La r ponse contient le champ l ID de corr lation par rapport sa requ te dans le champ wsa RelatesTo pr sent dans l ent te du message L application appelante doit donc faire correspondre cet ID avec les IDs qu elle a stock s de son cot pour faire correspondre la r ponse avec la bonne requ te voir sch ma d architecture au point 2 1 Le contrat WSDL du service Polling se trouve en t l chargement sur la page d di e du service dans le catalogue de services SOA de l ETNIC 2 4 EXEMPLE DE MESSAGES DE COMMUNICATION ASYNCHRONE Les en t tes relatifs la s curit ont t omis de l exemple pour des raisons de lisibilit Requ te fonctionelle lt soapenv Envelope xmlns siel http www etnic be janus siel xmlns soapenv http schemas xmlsoap org soap envelope gt lt soapenv Header xmlns wsa http www w3 org 2005 08 addressing gt lt wsa Action gt janus fase mode async lt wsa Action gt lt wsa From gt lt wsa Address gt http etnic be soapui lt wsa Address gt lt wsa From gt lt wsa MessagelD gt uuid 81788842 deaf 4470 be48 4bd2e5ad453c lt wsa MessagelD gt lt wsa To gt http www etnic be janus fase lt wsa To gt lt soapenv Header gt lt soapenv Body gt lt nsl FaseRequete xmlns nsi http www etnic be janus fase gt lt ns l Organisation lt ns1 Type gt PO lt ns1 Type gt lt ns1 Identifiant gt 763 lt
12. c http www w3 org 2001 10 xml exc cl n gt lt ds CanonicalizationMethod gt lt ds SignatureMethod Algorithm http www w3 org 2000 09 xmldsig rsa shal gt lt ds Reference URI id 751 gt lt ds Transforms gt lt ds Transform Algorithm http www w3 org 2001 10 xml exc cl4n gt lt ec InclusiveNamespaces PrefixList siel xmlns ec http www w3 org 2001 10 xml exc cl4n gt lt ds Transform gt lt ds Transforms gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 8 13 Sp cifications techniques et N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030 Bruxelles lt ds DigestMethod Algorithm http www w3 org 2000 09 xmlasig shal gt lt ds DigestValue gt xC53nZkcNvpFd8vtucnvUwKPbsA lt ds DigestValue gt lt ds Reference gt lt ds SignedInfo gt lt ds SignatureValue gt hzm9 is5071503EZKkVI2 jnbZiRSFSbFB10Y1W45mBqV2 8YRFHCILVaafX 7YLdVXTXrdlmWotle 9 v31AiP3m5iy2 0Cw7YhbxvCCCCOpbbfl bpaeE FE2f0smANZWsArpz1iSEmd DzpaiGxoMPWGxc sefTSWHiCluORHy4HGERFBrHFDqDd2DMZHiugROVxPz5QAacKeBnn68fZTK03211 eOkyPaceuYH YEDUED jAFfhrlchcOwKzfZzuxtOdn6pBdhlU499nxX2x7z4dGE37fFHAOVENRZLg U5 b Knkkx E0e 9OJRSsS CKAONMFFcuZJnpZ 1bJoXTIUIKIjJdUA lt ds SignatureValue gt lt ds KeyInfo Id KI EAF95CB2EABEB3293D13643957589981127 gt lt wsse SecurityTokenReference wsu 1ld STR EAF95CB2EABEB3293D1364395
13. e est SIEL et la fonctionnalit inscription L action pour l adresser sera donc siel inscription mode async Les valeurs pour les champs wsa To et wsa Action utiliser sont d crites dans les manuels d utilisation sp cifiques aux diff rents services disponibles dans le catalogue de services SOA sur le site Internet de l ETNIC e un champ wsa From qui permet d indiquer l identit du demandeur afin de faire de l audit du tra age et des statistiques e un champ wsa MessagelID qui permet de faire du tra age de message et de reconstituer un flux de messages Attention dans le cas de la requ te il ne contient pas l ID de corr lation d crit pr c demment 2 3 SERVICE POLLING Le service Polling permet de r cup rer les r ponses fonctionnelles aux requ tes de mani re diff r e Pour l invoquer les valeurs sp cifiques des champs WS Addressing sont les suivantes Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 5 13 Sp cifications techniques V ef N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030 Bruxelles e wsa To http www etnic be janus polling e waar Action janus polling mode sync L unique op ration est getMessage et ne prend pas d argument La r ponse renvoy e correspond la plus vieille requ te de l appelant pour laquelle la r ponse n
14. il traite la demande 5 La r ponse est stock e dans une DB c t ETNIC Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 4 13 Sp cifications techniques V ef N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert Il 37 1030 Bruxelles 6 Le client envoie une requ te de polling au service d di 7 L ETNIC lui renvoie une r ponse fonctionnelle ou une SOAP Fault avec l ID de corr lation disponible 2 endroits dans le message O soap Envelope soap Body poll pollingReponse poll message poll ID O soap Envelope soap Header wsa RelatesTo Le service Polling renvoie toujours la r ponse la plus ancienne qui n a pas encore t r cup r e destination du demandeur 2 2 ROUTAGE DES REQUETES Comme l URL d acc s est unique quel que soir le service qui est appel la sp cification WS Addressing doit tre utilis e pour adresser correctement le service demand Il s agit de remplir diff rentes informations dans la partie Header de l enveloppe SOAP e Un champ wsa To qui permet d indiquer le service cible que l on d sire appeler e Un champ wsa Action qui d finit la fonctionnalit que l on d sire appeler L ETNIC a adopt le standard suivant pour d finir les actions domaine fonctionnalit mode sync asynce Par exemple pour le service SIEL Inscription le domain
15. les sp cifications techniques satisfaire pour pouvoir dialoguer avec la plateforme 1 3 ACCES Actuellement seuls des services du domaine de l enseignement sont expos s Pour ceux ci quel que soit le service adress le point d acc s la plateforme est unique Les URLS pour les diff rents environnements sont les suivantes e Test amp Qualification https services web tq etnic be ecole e Production https services web etnic be ecole Avant de pouvoir acc der la plateforme vous devez dans un premier temps cr er un compte Cerb re aupr s de l ETNIC Le certificat de votre carte d identit lectronique est n cessaire pour cet enregistrement et donc un lecteur de carte Les URLs pour s enregistrer dans les deux environnements sont les suivantes e Test amp Qualification https www users acceptance cfwb be IDMProv portal cn GuestContainerPage SelfRegisterlD population EDU amp eid tru e amp aff VDB2WndibDNvLzlOdHVIQnpTbW4xVGgyZVh4SXhIJNXQNCg e Production https www users cfwb be IDMProv portal cn GuestContainerPage SelfRegisterlD population EDU amp e id true amp aff Wi92ZklvaVMvQVYrSk9TVURwWUo5Vid2eCt6Q31HaFkNCg Vous devrez alors fournir le certificat que vous utiliserez pour vous connecter aux Services Web de l ETNIC Vous pouvez utiliser le certificat de votre carte d identit l enregistrement se fait alors via les Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014
16. m http www w3 0org 2000 09 xmldsig sha1l gt lt ds DigestValue gt D6F imMesLRFAAjilmaq3vYoJouA lt ds DigestValue gt lt ds Reference gt lt ds Reference URI id 2 d8b6db1a929f7c149819ec183c1548el gt lt ds Transforms gt lt ds Transform Algorithm http www w3 org 2001 10 xml exc cl n gt lt ds Transforms gt lt ds DigestMethod Algorithm http www w3 0org 2000 09 xmldsig shal gt lt ds DigestValue gt gw 8vOiLAmKyo10z1ShX1arhPRE lt ds DigestValue gt lt ds Reference gt lt ds SignedInfo gt lt ds SignatureValue gt blqcN4cWaPd 7mPDnFUUXTbZgFoXEREj6F ja80VOPPSh1DZEtKOf59IV1jczMvzZH3Jdglv6bWEWdO KuBtsSniZO4FyS403x4900GU14AOr5y0OkKRoGyiDZRxMjaQzH mYOJ H55c9ZbtHtg2pIKxkuXHxj 0S31RL6Y6s 12SB2q ErNIWVD2eJSVWok5DSSoCMmPRAQTYe8Jaq83BcIAMMPbLFICoibmemiCsn3kpUWMmGQcElaE890CRWrRGXLD95r nE4ujNBb dHt7h1bcSMxiu8EFEmgt4DdvFB6IF6vKf7 MI1Ls 4qPCI5Z31YHs2MxrNw5HnkM dj 7puFXZh8C6sQ lt ds Signatur eValue gt lt ds KeyInfo gt lt wsse SecurityTokenReference xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd gt lt wsse Reference URI id 0 b6b68eb710c70f895b1d2541064060c5 ValueType http docs oasis open org wss 2004 01 oasis 200401 wss x509 token profile 1 0 X509v3 gt lt wsse SecurityTokenReference gt lt ds KeyInfo gt lt ds Signature gt lt wsse Security gt lt soap Header gt lt soap Body wsu Ild id 1 254482d466e9957c180e856d1bf0109f6 xmlns wsu http
17. okenProfile de WS Security est utilis e e Le certificat de la carte d identit lectronique de l utilisateur Dans ce cas ci ce certificat n est pas utilis directement pour signer les messages mais est utilis pour obtenir un token de contexte de s curit C est ce dernier qui est utilis pour signer Ce m canisme est bas sur les sp cifications WS SecureConversation et WS Trust 3 2 1 WSS x509TokenProfile La sp cification WSS x509TokenProfile pr voit plusieurs possibilit s pour r f rencer le certificat utilis pour la signature La m thode support e par l ETNIC consiste r f rencer l Issuer et le Serial Number Seul l l ment Body de l enveloppe SOAP doit tre sign Exemple d un message sign par un certificat X509 lt soapenv Envelope xmlns siel http www etnic be janus siel xmilns soapenv http schemas xmlsoap org soap envelope gt lt soapenv Header xmlns wsa http www w3 org 2005 08 addressing gt lt wsse Security soapenv mustUnderstand 1 xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 1 0 xsd gt lt ds Signature Id SIG 752 xmlns ds http www w3 org 2000 09 xmladsig gt lt ds SignedInfo gt lt ds CanonicalizationMethod Algorithm http www w3 org 2001 10 xml exc clan gt lt ec InclusiveNamespaces PrefixList wsa siel soapenv xmlns e
18. penv http schemas xmlsoap org soap envelope gt lt dedale Adresses gt lt dedale Adresse gt lt dedale Rue gt Ruelle de Reuchamp lt dedale Rue gt lt dedale Numero gt lt dedale BtePostale gt lt dedale CodePostal gt 1340 lt dedale CodePostal gt lt dedale Localite gt OTTIGNIES LOUVAIN LA NEUVE lt dedale Localite gt lt dedale Adresse gt lt dedale Adresses gt lt dedale DedaleResponse gt lt Contenu gt lt message gt lt pollingReponse gt lt soapenv Body gt lt soapenv Envelope gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 7 13 Sp cifications techniques V ef N C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert Il 37 1030 Bruxelles 3 SECURITE 3 1 CONNEXION SECURISEE TLS Les messages transitent travers un canal HTTPS supportant le protocole TLS 1 0 Le chiffrement support est ECDHE RSA AES256 SH Les certificats de ETNIC pour les environnements TQ et PROD sont disponibles dans un fichier zip dans le catalogue de services SOA du site Internet de l ETNIC 3 2 SECURISATION DES MESSAGES SOAP Les messages SOAP transit s sont s curis s sign s selon la sp cification WS Security en conjonction avec soit e Un certificat obtenu aupr s d un organisme de certification reconnu tel que GlobalSign ou Certipost Dans ce cas la sp cification WSS x509T
19. re un token 3 WST RSTR SCT WS Trust Request Security Token Response Security Context Token Le STS renvoie le token X 509 qui servira signer au client Exemple de r ponse lt soap Envelope xmlns soap http schemas xmlsoap org soap envelope gt lt soap Header gt lt wsse Security soap actor secure_span soap mustUnderstand 1 xmlns wsse http docs oasis open org wss 2004 01 0oasis 200401 wss wssecurity secext 1 0 xsqd Plateforme Services Web ETNIC Sp cifications techniques copyright ETNIC dit le 28 04 2014 Page 10 13 etn C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert Il 37 1030 Bruxelles xmins wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 0 5 lt wsu Timestamp wsu ld id 2 d8b6db1a929f7c149819ec183c1548el gt lt wsu Created gt 2014 02 19T10 09 43 1147469927 lt wsu Created gt lt wsu Expires gt 2014 02 19T10 14 43 1147 lt wsu Expires gt lt wsu Timestamp gt lt wsse BinarySecurityToken EncodingType http docs oasis open org wss 2004 01 oasis 200401 wss soap message security 1 0 Base64Binary ValueType http docs oasis open org wss 2004 01 oasis 200401 wss x509 token profile 1 0 X509v3 wsu Ild ida 0 b6b68eb710c70Ff895b142541064060c5 gt MIIDC CCAfFKIAWIBAIIIQOMDAvAVFOKgIwDOYJKOZIhveNAQOEMBQAwWIzZEhMB8G AIUEAxMYc2VydmljZXMtd2ViLnRxLmVObmljLmJ1MB4XDTEZMDMxO
20. ture xmlns ds http www w3 org 2000 09 xmldsig Id Signature 2 gt lt ds SignedInfo gt lt ds CanonicalizationMethod Algorithm http www w3 org 2001 10 xml exc cl4n gt lt ds SignatureMethod Algorithm http www w3 org 2000 09 xmldsig hmac shal gt lt ds Reference URI id 3 gt lt ds Transforms gt lt ds Transform Algorithm http www w3 org 2001 10 xml exc cl n gt lt ds Transforms gt lt ds DigestMethod Algorithm http www w3 org 2000 09 xmlasig shal gt lt ds DigestValue gt 6w9ZxOHZRgU21eZs1YRbOINZTAM lt ds DigestValue gt lt ds Reference gt lt ds SignedInfo gt lt ds SignatureValue gt PAAK5SJUh2kt dPs pgwmYYezogg lt ds SignatureValue gt lt ds KeyInfo Id Keyld 3DF323081E1D4D392B13928045869761 gt lt wsse SecurityTokenReference xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 1 0 xsd wsu Id STRId 3DF323081E1D4D392B13928045869762 xmlins wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext ire sa lt wsse Reference URI derivedKeyld 1 xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd gt lt wsse SecurityTokenReference gt Plateforme Services Web ETNIC copyright ETNIC dit le 28 04 2014 Page 12 13 Sp cifications techniques etn C Plateforme Services Web ETNIC B timent Le Z nith Sp cifications techniques Boulevard du Roi Albert 37 1030
21. vec le service sont maintenant s curis s car sign s par le token X 509 obtenu du serveur STS Exemple de requ te envoy e avec le SCT lt xml version 1 0 encoding UTEr 8 gt lt soapenv Envelope xmlns soapenv http www w3 0org 2003 05 soap envelope xmins wsa http www w3 0org 2005 08 addressing gt lt soapenv Header gt lt wsse Security xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd soapenv mustUnderstand true gt lt wsc SecurityContextToken xmlns wsc http schemas xmlsoap org ws 2005 02 sc gt lt wsc Identifier gt http www layer7tech com uuid 5449793febfbbec46c5644fa0b05702f2be8cc9b lt wsc I dentifier gt lt wsc SecurityContextToken gt lt wsc DerivedKeyToken xmlns wsc http schemas xmlsoap org ws 2005 02 sc xmlns wsu http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity utility 1 0 xsd wsu ld derivedKeyId 1 gt lt wsse SecurityTokenReference xmlns wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext 1 0 xsd gt lt wWsse Reference URI http www layer7tech com uuid 5449793febfbbec46c5644fa0b05702f2be8cc9b xmlins wsse http docs oasis open org wss 2004 01 oasis 200401 wss wssecurity secext E Le lt wsse SecurityTokenReference gt lt wsc 0ffset gt 0 lt wsc Offset gt lt wsc Length gt 20 lt wsc Length gt lt wsc Nonce gt avVNfpeBDmnPscPZ9Mu6ww lt wsc Nonce gt lt wsc DerivedKeyToken gt lt ds Signa
Download Pdf Manuals
Related Search