Consumo de los servicios de Platino 2.0 en Pre-Explotación

Transcripción

1 Interoperabilidad de los servicios telemáticos de la Administración Pública de la CAC Página 1 de 33 Consumo de los servicios de Platino 2.0 en Pre-Explotación Rev. Fecha Descripción 0 25/01/2013 Redacción Inicial 1 27/02/2013 Se añaden los nuevos servicios desplegados en la plataforma Documento PLA-DOC-FIN Consumo de los servicios Ubicación en ecarpeta Oficina Técnica Platino > Seguimiento del proyecto > Actas e informes Preparado por Revisado por Aprobado por D. Gral. de Telecomunicaciones y Nuevas Tecnologías D. Gral. de Telecomunicaciones y Nuevas Tecnologías Oficina Técnica de Platino Oficina Técnica de Platino DGTNT Fecha:27/02/2013 Fecha:27/02/2013 Fecha:

2 Página 2 de 33 ÍNDICE 1 INTRODUCCIÓN REQUISITOS ACCESO A LOS SERVICIOS Servicio Base de Datos de Organización Servicio Base de Datos de Procedimientos Servicio Envio de mensajes y s Servicio Formularios PDF Servicio Firma y Sellado de Tiempo Registro Electrónico de Entrada y Salida Gestión de Repositorio de Documentos Electrónicos Servicio Portafirmas Servicio Pasarela de pagos Servicio Soporte a la tramitación telemática Servicio Tablón de anuncios Servicio Verificación de datos de identidad Servicio Verificación de datos de residencia Servicio Base de Datos de Terceros CREACIÓN Y/O REGENERACIÓN DE CLIENTES CON JAVA Prerequisitos Windows Linux/Mac Os X Configuración Adicional Funcionamiento Básico de Maven Generar el cliente usando Maven y Apache CXF Consumir el web service generado Seguridad en PLATINO Formato de los parámetros adicionales de la cabecera Ejemplo de petición sin cabeceras Ejemplo de petición con cabeceras de seguridad habilitadas:...14

3 Página 3 de Añadiendo cabeceras de seguridad a las peticiones Uso de la librería Fichero client_sign.properties Secuencia de pasos CONSUMO DE PLATINO CON SOAPUI Configuración de SoapUI Creación del proyecto Creación de las interfaces Configuración del proyecto Configuración de la interfaz Configuración de soapui ANEXOS Consulta del alias del certificado almacenado en un PFX...23

4 Página 4 de 33 1 INTRODUCCIÓN El presente documento pretende exponer todos aquellos elementos técnicos necesarios para acceder a los servicios migrados en el nuevo entorno de pre-explotación. El documento se estructura de la siguiente forma: Inicialmente se definen los requisitos técnicos necesarios para consumir dichos servicios. En el siguiente punto se detallan los conectores WSDL para acceder a dichos servicios en el entorno específico. Posteriormente se detalla, con un ejemplo concreto, el consumo de dichos servicios a través de Java. En el siguiente punto se explica los cambios necesarios para consumir los servicios de la nueva plataforma a través de SOAUI. En el último apartado se recogen los anexos, los cuales son procedimientos de ayudas para realizar operaciones concretas. Actualmente sólo contiene la forma de consultar el alias del certificado que se usa para el consumo de la plataforma.

5 Página 5 de 33 2 REQUISITOS Para poder utilizar el entorno de pre-explotación es necesario contar con acceso a los servidores de Platino, ya sea directamente a través de la red corporativa del Gobierno de Canarias, o mediante una conexión VPN con los permisos adecuados. En la siguiente página web se detalla el proceso para solicitar acceso a la plataforma: 1 Se recuerda que para solicitar un acceso por VPN se deberá dirigir la petición a platino@gobiernodecanarias.org 2 indicando que se solicita Acceso a Platino PRE. El consumidor de Platino también debe poseer un certificado electrónico emitido por Cibercentro que permita el acceso seguro a la plataforma Platino. Este certificado será proporcionado por la Oficina Técnica de Platino (OTP) como parte del procedimiento de integración con Platino mailto:platino@gobiernodecanarias.org

6 Página 6 de 33 3 ACCESO A LOS SERVICIOS A continuación se detallan los datos técnicos para cada uno de los servicios. En cada apartado se recoge la URL de consumo del servicio y los cambios que se producen en la interfaz. 3.1 Servicio Base de Datos de Organización La URL de consumo es la siguiente: 3 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.2 Servicio Base de Datos de Procedimientos La URL de consumo es la siguiente: 4 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. El service name en la plataforma actual es DBProcedimientosService, en la nueva plataforma este service name ha cambiado a DBProcedimientosServiceBeanService. El port name en la plataforma actual es DBProcedimientosService, en la nueva plataforma este port name ha cambiado a DBProcedimientosServiceBeanPort 3.3 Servicio Envio de mensajes y s Las URL de consumo son las siguientes: 5, 6,

7 Página 7 de 33 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.4 Servicio Formularios PDF La URL de consumo es la siguiente: 8 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.5 Servicio Firma y Sellado de Tiempo La URL de consumo es la siguiente: 9 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.6 Registro Electrónico de Entrada y Salida La URL de consumo es la siguiente: 10 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. Se han añadido las siguientes excepciones 3.7 Gestión de Repositorio de Documentos Electrónicos La URL de consumo es la siguiente:

8 Página 8 de apartado 12 correspondiente. Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.8 Servicio Portafirmas Las URLs de consumo son las siguientes: Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 3.9 Servicio Pasarela de pagos La URL de consumo es la siguiente: 15 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento Servicio Soporte a la tramitación telemática La URL de consumo es la siguiente: 16 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento

9 Página 9 de Servicio Tablón de anuncios. Las URLs de consumo son las siguientes: Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento Servicio Verificación de datos de identidad La URL de consumo es la siguiente: 20 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. El service name en la plataforma actual es IdentidadImplServiceConsumer, en la nueva plataforma este service name ha cambiado a IdentidadImplService. El port name en la plataforma actual es IdentidadImplServiceConsumer, en la nueva plataforma este port name ha cambiado a IdentidadImplPort 3.13 Servicio Verificación de datos de residencia La URL de consumo es la siguiente: 21 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. El service name en la plataforma actual es ResidenciaImplServiceConsumer, en la nueva plataforma este service name ha cambiado a ResidenciaImplService. El port name en la plataforma actual es ResidenciaImplServiceConsumer, en la nueva

10 Página 10 de 33 plataforma este port name ha cambiado a ResidenciaImplService 3.14 Servicio Base de Datos de Terceros La URL de consumo es la siguiente: 22 Adaptación al cambio: No se requiere ningún cambio adicional, a excepción de la regeneración del cliente. Consultar el apartado 4 del presente documento. 22

11 Página 11 de 33 4 CREACIÓN Y/O REGENERACIÓN DE CLIENTES CON JAVA Para la creación de los clientes que consuman los servicios web de PLATINO, utilizaremos una herramienta que es capaz de generar automáticamente las clases Java necesarias para invocar estos servicios. Una herramienta recomendada es Maven apoyada en CXF, ya que la generación de clientes es simple y declarativa. 4.1 Prerequisitos Debemos ir al sitio web de Maven 23 y descargar los binarios para su instalación. Se recomienda la instalación de la versión 3.X. IMP: Antes de realizar los siguientes pasos de la instalación, asumimos que ya de antemano existe la variable JAVA_HOME apuntando a la ruta donde tenemos instalado nuestra versión de Java y que a su vez los binarios de Java ya han sido añadidos al PATH del sistema Windows Una vez descargado el software, descomprimirlo en la carpeta de deseemos, por ejemplo para usuarios windows podria ser la ruta C:\Archivos de programa\apache-maven. Creamos las variables de entorno en panel de control->sistema->opciones avanzadas- >variables de entorno. Alli crearemos 2 nuevas variables del sistema. La primera será M2_HOME su valor será la ruta (path) donde hallamos instalado maven p.e. C:\Archivos de programa\apache-maven\apache-maven La segunda variable será M2 y su valor será %M2_HOME%\bin.Editamos la variable del sistema PATH, y agregamos al final del contenido del valor de la variable PATH, el valor de la variable M2, de la siguiente manera:valor_variable_path;%m2%.probamos que los pasos anteriores se han efectuado correctamente. En linea de comandos (inicio->ejecutar: cmd.exe) tecleamos mvn -version y deberá aparecer la información de maven, junto con la versión java, la ruta de instalación, etc Linux/Mac Os X Una vez descargado maven, lo extraemos en el lugar que deseemos, pero podriamos utilizar la ruta /usr/local/apache-maven.en el terminal por linea de comando, exportamos la variable M2_HOME con el valor de la ruta donde hemos instalado maven por ejemplo, export M2_HOME = /usr/local/apache-maven/apache-maven De igual manera hacemos con la variable M2, de la siguiente manera, export M2=$M2_HOME/bin.Agregamos al PATH la variable M2, de la siguiente manera, export 23

12 Página 12 de 33 PATH=$M2:$PATH.Probamos que los pasos anteriores se han efectuado correctamente tecleando en un terminal el comando mvn -version y deberá aparecer la información de maven, información de java, la ruta de instalación, etc Configuración Adicional Si entramos en la ruta donde hemos instalado maven encontraremos el fichero settings.xml dentro de la carpeta conf. Este fichero nos permite configurar aspectos adicionales, como pueden ser modificar la ruta por defecto donde se aloja nuestro repositorio local o indicar una conexón proxy, entre otras cosas. <localrepository>c:\rutadenuestrorepositoriolocal</localrepository> Funcionamiento Básico de Maven Maven funciona en fases, y una fase no es más que un paso dentro del ciclo de vida de construcción de un proyecto. Es importante tener en cuenta que para llegar a una fase es necesario haber pasado previamente por las fases que le preceden. Las fases por defecto más comunes de un proyecto son las siguientes: validate: Valida que el proyecto esta correcto y dispone de la información necesaria. compile: Compila el código fuente del proyecto. test: Prueba el código fuente compilado haciendo uso de frameworks para pruebas unitarias (JUnit). package: Empaqueta el código fuente compilado (por ejemplo creando un jar o war). integration-test: Procesa y despliega el paquete dentro de un entorno de test de integración. verify: Ejecuta los controles necesarios para verificar si el paquete es válido y cumple con los criterios de calidad. install: Instala el paquete dentro del repositorio local, para poder usarlo como dependencia en otro proyecto. deploy: Copia el paquete final al repositorio remoto para compartir con otros desarrolladores y proyectos. 4.2 Generar el cliente usando Maven y Apache CXF Vamos a crear un proyecto sencillo para la generación de un cliente de PLATINO utilizando maven y CXF, generando las clases java necesarias para consumir un web service. Los pasos serán los siguientes:

13 Página 13 de Crear un proyecto maven a través de un IDE (Eclipse,...) o con la siguiente sentencia: mvn archetype:create -DgroupId=es.gobcan.servicios.clientes -DartifactId=platino-serviciosclientes-X 2. Esto nos creará un directorio platino-servicios-clientes-x y dentro de él la estructura de directorios y ficheros de nuestro proyecto java/maven. 3. Editando el fichero pom.xml obtendremos un resultado similar al siguiente: <project xmlns=" xmlns:xsi=" xsi:schemalocation=" xsd"> <modelversion>4.0.0</modelversion> <groupid>es.gobcan.platino.servicios.clientes</groupid> <artifactid>platino-servicios-clientes-x</artifactid> <version>1.0</version> <packaging>bundle</packaging> <name>cliente de Servicio de X de Platino</name> 4. Ahora modificaremos el pom.xml para poner las dependencias y la llamada al plugin wsdl2java de cxf que será el encargado de generar las clases java. En el pom.xml tenemos que poner algo como esto: <properties> <wsdl> <maven-bundle-plugin>2.3.7</maven-bundle-plugin> <cxf.codegen>2.4.3-fuse-01-02</cxf.codegen> <java.version>1.6</java.version> </properties> <build> <defaultgoal>clean install</defaultgoal> <pluginmanagement> <plugins> <plugin> <groupid>org.eclipse.m2e</groupid> <artifactid>lifecycle-mapping</artifactid> <version>1.0.0</version> <configuration> <lifecyclemappingmetadata> <pluginexecutions> <pluginexecution> <pluginexecutionfilter> <groupid>org.apache.cxf</groupid> <artifactid>cxfcodegen-plugin</artifactid> <versionrange>[0.0.0,)</versionrange> <goals> <goal>wsdl2java</goal> </goals> </pluginexecutionfilter> <action> <execute /> </action> </pluginexecution> </pluginexecutions> </lifecyclemappingmetadata> </configuration> </plugin>

14 Página 14 de 33 </plugins> </pluginmanagement> <plugins> <plugin> <groupid>org.apache.cxf</groupid> <artifactid>cxf-codegen-plugin</artifactid> <version>${cxf.codegen}</version> <executions> <execution> <id>generate-sources</id> <phase>generate-sources</phase> <configuration> <sourceroot>$ {basedir}/src/main/java</sourceroot> <wsdloptions> <wsdloption> <wsdl>${wsdl}</wsdl> </wsdloption> </wsdloptions> </configuration> <goals> <goal>wsdl2java</goal> </goals> </execution> </executions> </plugin> <plugin> <groupid>org.apache.maven.plugins</groupid> <artifactid>maven-compiler-plugin</artifactid> <configuration> <source>${java.version}</source> <target>${java.version}</target> </configuration> </plugin> SymbolicName> <plugin> <groupid>org.apache.felix</groupid> <artifactid>maven-bundle-plugin</artifactid> <version>${maven-bundle-plugin}</version> <extensions>true</extensions> <configuration> <instructions> <Bundle-SymbolicName>${project.artifactId}</Bundle- <Bundle-Version>${project.version}</Bundle-Version> <Require-Bundle>org.apache.cxf.bundle</Require-Bundle> <Export-Package> es.gobcan.platino.servicios.x </Export-Package> </instructions> </configuration> </plugin> </plugins> </build> 4.3 Consumir el web service generado Una vez tengamos las clases generadas, podremos consumir el servicio de Platino. En las

15 Página 15 de 33 clases generadas, habrá una que coincida con el service name del WSDL que hemos usado. Esta clase extiende la clase Service. Accediendo a la ruta del wdsl podremos visualizar algo similar a esto: <wsdl:porttype name="platinosignatureserverbean"></wsdl:porttype> <wsdl:binding name="firmaservicesoapbinding" type="tns:platinosignatureserverbean"> </wsdl:binding> <wsdl:service name="firmaservice"> <wsdl:port binding="tns:firmaservicesoapbinding" name="firmaservice"> <soap:address location=" </wsdl:port> </wsdl:service> Podremos instanciar esta clase y de ella obtener el Port que nos permita invocar los métodos del servicio web: 4.4 Seguridad en PLATINO La seguridad en Platino se basa en la especificación de Web Service Security (WSS), que propone un conjunto estándar de extensiones que pueden ser usadas para construir Web Services Seguros y para garantizar la integridad del contenido del mensaje.platino requiere que la cabecera WSS del mensaje SOAP utilizado para la invocación de cualquier servicio, contenga la siguiente información: El actor que debe aparecer en la cabecera de seguridad es: 24 La cabecera WSS debe contener el elemento wsse:usernametoken, cuyo hijo wsse:username dependerá del origen de la petición a PLATINO: Si la petición a PLATINO se está realizando en nombre de un tercero que se ha autenticado previamente en el backoffice, deberá pasarse la URI del tercero obtenida del servicio de terceros de PLATINO Si la petición a PLATINO se está realizando en nombre de un empleado público que se ha autenticado previamente en el backoffice, debería pasarse la URI del empleado público obtenida del servicio de BD de Organización. Si la petición a PLATINO se está realizando en nombre del propio backoffice, deberá pasarse la URI que ha sido asignada a ese backoffice en la generación del certificado correspondiente. En el campo wsse:password del elemento wsse:usernametoken debe indicarse PLATINO. IMP.- Este campo cambia respecto a la versión anterior ya que se ha actualizado la 24

16 Página 16 de 33 librería WSS4J a la versión 1.6 y corrige un bug detectado en la versión anterior. El elemento wsse:usernametoken también debe incluir el campo wsse:nonce La cabecera WSS debe contener el elemento wsse:binarysecuritytoken que contenga la parte pública del certificado con el que se realiza la firma de la petición. La cabecera debe contener un elemento que agrupe ciertos parámetros adicionales, que se utilizarán en el ámbito de la autorización de determinadas operaciones sobre ciertos servicios. La definición de este elemento se comenta en el siguiente apartado. La cabecera WSS debe contener el elemento wsse:signature donde se refleje que, con el certificado del punto anterior, se ha realizado la firma XML Signature de los elementos wsse:usernametoken,soap:body y platino:platinoheaders. 4.5 Formato de los parámetros adicionales de la cabecera En ciertas ocasiones, es posible que PLATINO requiera que se le proporcionen ciertos parámetros adicionales para poder llevar a cabo la autorización. Estos parámetros se enviarán en la cabecera siguiente la siguiente estructura: <platino:platinoheaders xmlns:platino=" <platino:parameter name= nombre1 >valor1</platino:parameter> <platino:parameter name= nombre2 >valor2</platino:parameter> <platino:parameter name= nombren >valorn</platino:parameter> </platino:platinoheaders> A continuación se mostrarán diferentes peticiones a PLATINO. 4.6 Ejemplo de petición sin cabeceras <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:getversion/> </soapenv:body> </soapenv:envelope> 4.7 Ejemplo de petición con cabeceras de seguridad habilitadas: <soap:envelope xmlns:soap=" <soap:header> <wsse:security xmlns:wsse=" 1.0.xsd" soap:actor=" soap:mustunderstand="1"> <wsse:binarysecuritytoken

17 Página 17 de 33 xmlns:wsu=" EncodingType=" security- 1.0#Base64Binary" ValueType=" profile-1.0#x509v3" wsu:id="certid " xmlns:wsse=" secext-1.0.xsd"> MIIEOTCCA+OgAwIBAgIKPcglswACAAAPTjANBgkqhkiG9w0BAQUFADCBlzExMC8GCSqGSIb3DQEJARYiY2l izxjjzw50cm9az29iawvybm9kzwnhbmfyawfzlm9yzzelmakga1uebhmcrvmxetapbgnvbagtcenhbmfyawfzmr0wgwydvq QKExRHb2JpZXJubyBkZSBDYW5hcmlhczENMAsGA1UECxMEREdUSTEUMBIGA1UEAxMLY2liZXJjZW50cm8wHhcNMDgwNzE0M Dg1NjM4WhcNMDkwNzE0MDkwNjM4WjCBjTEnMCUGCSqGSIb3DQEJARYYanBhZHJvbkBvcGVuY2FuYXJpYXMuY29tMQswCQYD VQQGEwJFUzERMA8GA1UECBMIQ2FuYXJpYXMxHTAbBgNVBAoTFEdvYmllcm5vIGRlIENhbmFyaWFzMQ0wCwYDVQQLEwRER1R JMRQwEgYDVQQDEwtleHQtanBhZGxvcjCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAs7JV6F4GzdLXjZWcYyYSHSltco VVLm1dkYm7cv8QAXtRZh/Bi1MTmCioI8hrIvAqvdlFD+YT7pqb47EiW7s3KNcBM31BB29q+wL5hcZz6KhGbGD/QIkT5Q5EU YAA060mMztMZyEERP/rs3snn71Uv4Mx5DR3isHlML7rIv3afZ0CAwEAAaOCAdMwggHPMA4GA1UdDwEB/wQEAwIE8DATBgNV HSUEDDAKBggrBgEFBQcDAjAdBgNVHQ4EFgQUOrYuuCWlHMs0UMlg+ +wzehxatfowgdmga1udiwsbyzcbyiauco0krlnbkrzd4aibefxwoix1nxkhgz2kgzowgzcxmtavbgkqhkig9w0bcqewimnp YmVyY2VudHJvQGdvYmllcm5vZGVjYW5hcmlhcy5vcmcxCzAJBgNVBAYTAkVTMREwDwYDVQQIEwhDYW5hcmlhczEdMBsGA1U EChMUR29iaWVybm8gZGUgQ2FuYXJpYXMxDTALBgNVBAsTBERHVEkxFDASBgNVBAMTC2NpYmVyY2VudHJvghAZZsd2bMJlrk CEiAcS60oDMFMGA1UdHwRMMEowSKBGoESGQmh0dHA6Ly9jb2dzd29ydGguZ29iaWVybm9kZWNhbmFyaWFzLm9yZy9jZXJ0Z W5yb2xsL2NpYmVyY2VudHJvLmNybDBeBggrBgEFBQcBAQRSMFAwTgYIKwYBBQUHMAKGQmh0dHA6Ly9jb2dzd29ydGguZ29i awvybm9kzwnhbmfyawfzlm9yzy9jzxj0zw5yb2xsl2npymvyy2vudhjvlmnyddanbgkqhkig9w0baqufaanbajl8dk7f0oi c6aeqbdfejyux2xmhl2rve73rdxft+jobj4bq2mnerrhwu3ec75a/wud5brkh+ypzrlee+72dk3m= </wsse:binarysecuritytoken> <ds:signaturexmlns:ds=" Id="Signature-39600"> <ds:signedinfo xmlns:ds=" <ds:canonicalizationmethod Algorithm=" xmlns:ds=" /> <ds:signaturemethod Algorithm=" xmlns:ds=" /> <ds:reference URI="#UsernameToken " xmlns:ds=" <ds:transforms xmlns:ds=" <ds:transform Algorithm=" xmlns:ds=" /> </ds:transforms> <ds:digestmethod Algorithm=" xmlns:ds=" /> <ds:digestvalue xmlns:ds=" 4VWfEIjnBSCdrbmrGnorh4J5DmM= </ds:digestvalue> </ds:reference> <ds:reference URI="#id " xmlns:ds=" <ds:transforms xmlns:ds=" <ds:transform Algorithm=" xmlns:ds=" /> </ds:transforms> <ds:digestmethod Algorithm=" xmlns:ds=" /> <ds:digestvalue xmlns:ds=" talpi3yyj/tsfncevwewib1usfi= </ds:digestvalue> </ds:reference> <ds:reference URI="#id " xmlns:ds=" <ds:transforms xmlns:ds=" <ds:transform Algorithm=" xmlns:ds=" /> </ds:transforms> <ds:digestmethod Algorithm=" xmlns:ds=" /> <ds:digestvalue xmlns:ds=" ozhm1zd5zkvivbwj782nqm8i+ao= </ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue xmlns:ds=" QzbMKnhAD2sRe5eannzrtK8dSZzs/tbA18/9irOnrhp6f+U0Dru6Ulsbp94q+J4VcRV2FLmETIIK 16UIJv/98r046r5Y4fXrnGSXNawqFDKfbeftBaXfxN/PwscRIT4JOIjM10Kvc4KMLbhKPybECpQa ovbkfo5fxy+rjqik/ze= </ds:signaturevalue> <ds:keyinfo Id="KeyId " xmlns:ds=" <wsse:securitytokenreference xmlns:wsu=" wssecurity-utility-1.0.xsd" wsu:id="strid " xmlns:wsse=" wssecurity-secext-1.0.xsd">

18 Página 18 de 33 <wsse:reference URI="#CertId " ValueType=" token-profile-1.0#x509v3" xmlns:wsse=" wssecurity-secext-1.0.xsd" /> </wsse:securitytokenreference> </ds:keyinfo> </ds:signature> <wsse:usernametoken xmlns:wsu=" utility-1.0.xsd" wsu:id="usernametoken " xmlns:wsse=" secext-1.0.xsd"> <wsse:username xmlns:wsse=" secext-1.0.xsd"> platino://gobcan.es/servicios/terceros/tercero/4525e5da-526f-42d4-bf9b- 64bb02b98399 </wsse:username> <wsse:password Type=" profile-1.0#passwordtext" xmlns:wsse=" secext-1.0.xsd"> </wsse:password> <wsse:nonce xmlns:wsse=" secext-1.0.xsd"> Ip81f+qT96Uan0rISx/GKw== </wsse:nonce> </wsse:usernametoken> </wsse:security> <platino:platinoheaders xmlns:platino=" xmlns:wsu=" open.org/wss/2004/01/oasis wss-wssecurity-utility- 1.0.xsd" wsu:id="id " /> </soap:header> <soap:body xmlns:wsu=" 1.0.xsd" wsu:id="id "> <ns2:getversion xmlns:ns2=" /> </soap:body> </soap:envelope> 4.8 Añadiendo cabeceras de seguridad a las peticiones Para añadir las cabeceras de seguridad necesarias para Platino, se ha desarrollado una librería que facilita mucho esta tarea si se ha utilizado CXF como generador de clientes.esta librería podrá descargarse desde la sección "Formación" en el portal WEB deplatino ( 25 ) Requisitos de la seguridad Debemos incorporar al classpath de nuestra aplicación (consumidora de servicios de Platino) la librería platinowssinterceptor.jar. Es necesario estar en posesión del certificado emitido por Cibercentro para el acceso a Platino. Este certificado debe contener la clave privada para poder realizar la firma. En el raíz del classpath del cliente debe existir un fichero denominado client_sign.properties que será utilizado para definir las propiedades de acceso al contenedor del certificado con el que realizar la firma de los mensajes. 25

19 Página 19 de Uso de la librería El método que permite añadir las cabeceras tiene la siguiente interfaz: 1. addsoapwssheader.- Añade la cabecera Web Service Security. Los parámetros son los siguientes: 1. service(object).- PortType al que se le va a añadir la cabecera de seguridad. 2. soapversion(string).- Indica la versión soap del endpoint al que vamos a conectarnos. Por defecto, todos los servicios de Platino utilizan la versión Soap 1.1. Los posibles valores para este parámetro son: 1. PlatinoCXFSecurityHeaders.SOAP_11 2. PlatinoCXFSecurityHeaders.SOAP_12 2. username(string).- Valor que se asignará al elemento UsernameToken de la cabecera WSS.Hay tres posibles situaciones: 1. Cuando el backoffice esté realizando una petición a Platino en nombre de un tercero, este parámetro contendrá la URI del tercero en Platino, obtenida a través del servicio de base de datos de terceros. 2. Cuando el backoffice esté realizando una petición a Platino en nombre de un empleado público, este parámetro contendrá la URI del empleado público en Platino, extraída a través del servicio de base de datos de organización. 3. Cuando el backoffice esté realizando una petición a Platino en su propio nombre, este parámetro contendrá la URI del backoffice asignada mediante el proceso de integración con Platino. 3. alias(string).- Alias del certificado con el que recuperaremos del almacén de certificados el que se utilizará para realizar la firma del mensaje SOAP. 4. keystorecallbackhandler(string).- Nombre de la clase que implementa el CallbackHandler que proporcionará el password del almacén de certificados. a) ej. Para una clase llamada KeyStoreCallbackHandler que implemente la interfaz CallbackHandler, la forma de obtener el valor para este parámetro será: KeyStoreCallbackHandler.class.getName() 5. headers(map<string, String>).- Mapa que almacena las cabeceras adicionales que serán añadidas al mensaje SOAP. A continuación se muestra un ejemplo de invocación a un servicio de Platino, donde se añaden las cabeceras de seguridad: FirmaService firmaservice = new FirmaService();

20 Página 20 de 33 PlatinoSignatureServerBean service = firmaservice.getfirmaservice(); PlatinoCXFSecurityHeaders.addSoapWSSHeader(service, PlatinoCXFSecurityHeaders.SOAP_11, "platino://gobcan.es/servicios/terceros/t ercero/4525e5da-526f-42d4-bf9b-64bb02b98399", "cert-alias" KeyStoreCallbackHandler.class.getName(), null); String version = service.getversion(); Si además fuese necesario inyectar algún parámetro adicional en la cabecera del mensaje, debemos hacer algo equivalente al siguiente ejemplo de código: FirmaService firmaservice = new FirmaService(); PlatinoSignatureServerBean service = firmaservice.getfirmaservice(); Map<String,String> headers = new HashMap<String,String>(); headers.put("cabecera1", "valor1"); headers.put("cabecera2", "valor2"); PlatinoCXFSecurityHeaders.addSoapWSSHeader( service, PlatinoCXFSecurityHeaders.SOAP_11, "platino://gobcan.es/servicios/terceros/t ercero/4525e5da-526f-42d4-bf9b-64bb02b98399", "cert-alias" KeyStoreCallbackHandler.class.getName(), headers); String version = service.getversion(); Fichero client_sign.properties El fichero contiene las siguientes propiedades: org.apache.ws.security.crypto.provider.- Proveedor criptográfico org.apache.ws.security.crypto.merlin.keystore.type.- Formato del almacén de certificados org.apache.ws.security.crypto.merlin.keystore.password.- Password del almacén de certificados org.apache.ws.security.crypto.merlin.file.- Ubicación del almacén de certificados Un ejemplo de la implementación de este fichero es la siguiente: org.apache.ws.security.crypto.provider=org.apache.ws.security.components.cry pto.merlin org.apache.ws.security.crypto.merlin.keystore.type=jks org.apache.ws.security.crypto.merlin.keystore.password=password org.apache.ws.security.crypto.merlin.file=keystore.jks Secuencia de pasos La secuencia de pasos que sigue una petición con esta nueva filosofía es la siguiente: 1. Se obtiene el objeto de servicio del cliente CXF: FirmaService firmaservice = new FirmaService(); PlatinoSignatureServerBean service = firmaservice.getfirmasecservice(); 2. Se solicita la adición de las cabeceras de seguridad de Platino: PlatinoCXFSecurityHeaders.addSoapWSSHeader( service, PlatinoCXFSecurityHeaders.SOAP_11,"platino://gobcan.es/servicios/terceros/tercer o/4525e5da-526f- 42d4-bf9b-64bb02b98399", "cert-alias", ClientPasswordHandler.class.getName(), null); 3. Se realiza la invocación:

21 Página 21 de 33 String version = service.getversion(); 4. Automáticamente se ejecutan los Interceptors que añaden las cabeceras de seguridad: 1. Se crea el elemento wsse:usernametoken 2. Se accede al certificado y se genera el wsse:binarysecuritytoken 3. Se crea el elemento platino:platinoheaders con las cabeceras proporcionadas. 4. Se firma el elemento wsse:usernametoken, platino:platinoheaders y soap:body 5. La petición llega a Platino 6. Proceso de autenticación y autorización: 1. Se comprueba la validez de la firma 2. Se comprueba que el certificado con el que se ha firmado pertenece a un consumidor registrado de PLATINO 3. La petición está autenticada 4. Se ejecutan las reglas de autorización para comprobar que tiene permisos para realizar la petición 5. La petición está autorizada Si el proceso fallase en el punto 6.1, 6.2 o 6.4, el proceso de autorización devolverá un error indicando que la petición ha sido rechazada.

22 Página 22 de 33 5 CONSUMO DE PLATINO CON SOAPUI Antes de empezar a configurar la herramienta soapui debemos disponer de los siguientes elementos: Aplicación SoapUI: Para el presente documento hemos utilizado la versión 4.X o superior. Esta aplicación se puede obtener de forma gratuita en Cumplir las indicaciones que se especifican en el punto Requisitos. 5.1 Configuración de SoapUI Para configurar correctamente la aplicación soapui debemos realizar los siguientes pasos: Creación del proyecto: Permite definir un proyecto junto a las interfaces de los servicios de Platino. que contendrá las interfaces de los diferentes web services de Platino y sobre el que se aplica la configuración de seguridad Configuración del proyecto: Permite establecer la configuración para las cabeceras de seguridad que se incluyen en las peticiones a Platino Configuración de la interfaz: Indica como aplicar la configuración de seguridad a la interfaz de cada servicio Configuración de soapui: Datos de configuración de la herramienta Prueba de funcionamiento: Realización de una prueba para comprobar el correcto funcionamiento de la configuración utilizada.

23 Página 23 de Creación del proyecto El primer paso consiste en la creación de un proyecto que contendrá todas las interfaces (wsdl) correspondientes a los servicios de Platino que deseemos consumir. Para ello realizamos los siguientes pasos: 1. Pulsar botón derecho del ratón sobre Projects y seleccionar New soapui Project / Ctrl-N: 2. Se muestra una ventana en la se debe introducir un nombre para el proyecto. En este caso le daremos el nombre PLATINO PRE:

24 Página 24 de 33 Se puede incluir el wsdl de alguno de los servicios. Como en este caso Platino dispone de varios wsdl, se muestra a continuación como incluirlos. 5.3 Creación de las interfaces Para añadir el wsdl de cada servicio de Platino debemos seguir los siguientes pasos: 1. Pulsar botón derecho del ratón sobre el proyecto y seleccionar Add WSDL / Ctrl-U.

25 Página 25 de En la ventana que se muestra a continuación se debe introducir la localización del wsdl del servicio a incluir, que puede estar en un archivo o mediante url: En este ejemplo introducimos la url del wsdl del Servicio de Firma y Sellado de Tiempo: El resultado se muestra en la ventana del proyecto mostrando todos los métodos disponibles en la interfaz: 26

26 Página 26 de 33 Para poder realizar esta operación es necesario establecer una conexión a la red de Gobierno mediante la vpn. En el documento Acceso a los servicios en Pre-explotación, disponible en la web de Platino ( 27 ) se describen los wsdl de todos los servicios que ofrece Platino. Se podrán incluir los wsdl de todos los servicios repitiendo este proceso para cada uno de ellos. Nota.-: En caso de obtener las url de dicho documento, mediante la técnica de copiarpegar, es conveniente revisar que no se introduzcan espacios en blanco al pegar el texto. 5.4 Configuración del proyecto 1. Acceder a los certificados del proyecto: Para ello hacemos doble Click en el nombre del proyecto (PLATINO-PRE) y seleccionamos la pestaña Security Configurations y a continuación keystores. 27

27 Página 27 de Añadir el certificado: Al pulsar [+] se abre una ventana de diálogo que permite seleccionar el certificado de acceso a Platino. Una vez seleccionado pedirá la clave para poder acceder al mismo. El resultado se muestra de la siguiente manera: 3. Añadir configuración: La pestaña Outgoing WS-Security Configurations permite establecer la configuración para los mensajes enviados al invocar unservicio. Para ello definimos una nueva configuración pulsando el botón [+].Se le asigna un nombre a la configuración y se cumplimentan los campos de lasiguiente manera: Name.- Nombre asignado al crearlo. En este ejemplo miconexion. Default Username/Alias*.- Alias del certificado (ej: pre_platino) Esta información

28 Página 28 de 33 se obtiene del certificado. Actor Must Understand.- VERDADERO. *Si no se conoce el alias del certificado, el apartado ANEXOS. El resultado se muestra de la siguiente manera: 4. Añadir cabeceras: Seleccionamos la nueva configuración y en la parte inferior de la pantalla añadimos nuevas WSS Entry mediante el botón [+]. En este casovamos a añadir una entrada Username y otra Signature. IMPORTANTE: Platino es sensible al orden en el que se colocan las cabeceras. Por tanto, esta configuración se debe realizar en el orden correcto, es decir, primero se añade la cabecera Username y a continuación la cabecera Signature. Si se altera el orden no funcionarán las peticiones. 1. Configuración de Username: Permite identificar al responsable de la petición. 28

29 Página 29 de 33 A continuación se muestran los valores de los campos: 1. Username.- Identifica al peticionario. Los valores deben ser: El tercero que utiliza el BackOffice La URI del servicio (para las consultas entre servicios) La URI del BackOffice 2. Password.- Este valor es importante y cambia respecto a la versión anterior, se debe de indicar PLATINO. 3. Add Nonce.- Verdadero. 4. Add Created.- Verdadero. 5. Password Type.- PasswordText. El resultado se muestra de la siguiente manera:

30 Página 30 de Signature: Permite la firma de la petición soap. A continuación se muestran los valores de los campos:

31 Página 31 de 33 Keystore.- Menú de selección con el nombre del certificado configurado anteriormente. Alias.- Menú de selección con el alias del certificado Password.- Se debe introducir el password del certificado Key Identifier Type.- Binary Security Token Signature Algorithm Signature Canonicalization.- DEfault Digest Algorithm Use single certificate.- VERDADERO El resultado se muestra de la siguiente manera: 5.5 Configuración de la interfaz Una vez establecida la configuración de seguridad para el proyecto, se debe aplicar a las diferentes interfaces. Para ello se deben realizar los siguientes pasos: 1. Hacemos doble Click en el nombre de la interfaz (Ej: FirmaServiceSoapBinding) y seleccionamos la pestaña Service Endpoints

32 Página 32 de En la columna Outgoing WSS seleccionamos la configuración establecida en el paso anterior (Ej: miconexion) Aunque con esta configuración es suficiente, es conveniente asegurarse que la nueva configuración se aplica a las peticiones realizadas al servicio. Para ello se selecciona el Endpoint y tras pulsar el botón [Assign] se muestra una ventana donde se debe seleccionar - All Request -. Tras aceptar, se aplicará la nueva configuración a todas las llamadas al servicio. 5.6 Configuración de soapui Dentro de las opciones de configuración de soapui (Ctrl-Alt-P) se deben comprobarlos siguientes valores: 1. Http Version:

33 Página 33 de 33 6 ANEXOS 6.1 Consulta del alias del certificado almacenado en un PFX Java proporciona una utilidad llamada keytool que se encuentra en $JAVA_HOME/bin/keytool que permite, entre otras muchas cosas, listar el contenido de un PFX. Para ello debemos invocar la herramienta con los siguientes parámetros: keytool -list -v -keystore <fichero.pfx> -storetype PKCS12 A continuación nos solicitará el password del certificado, y nos mostrará una pantalla como la siguiente: El nombre del alias que debemos usar para pasárselo a la petición sería en este ejemplo el valor: ad9a0c6f8127a027e1f977ea1b7d3d43_7f64a b918-6e8f5ffd2290