Sicherheit konfigurieren

Mit dem API Connection Manager können Sie die Sicherheit von XML und Web Services (WS) konfigurieren. Auf diese Weise können Sie verschiedene Elemente erzeugen, um Ihre Verbindungen zu sichern.

So können Sie beispielsweise ein Adresselement erzeugen, das einen bestimmten Empfänger für Ihre Nachrichten und eine Signatur, die dieses Element signiert, angibt.

Führen Sie hierzu die folgenden Schritte aus:

  1. Öffnen Sie den API Connection Manager und wählen Sie die Verbindung aus, die Sie bearbeiten möchten.

  2. Klappen Sie den Abschnitt Edit auf und springen Sie zu XML & WS Security.

  3. Wählen Sie aus, welche Elemente Sie erzeugen möchten. Aktivieren Sie dazu das Kontrollkästchen neben einem oder mehreren Elementen im Aufklappmenü Elements to Generate:

    • All: alle nachfolgend beschriebenen Elemente erzeugen.

    • Action : Simple Object Access Protocol (SOAP) Aktionselement erzeugen.

    • To: Adresselement erzeugen.

    • Timestamp: Zeitstempel-Element erzeugen.

    • Signature: Signatur erzeugen.

    • Username: Token-Element für den Benutzernamen erzeugen.

Aktionselement konfigurieren

Sie können ein Aktionselement für den SOAPAction-Header erzeugen. Standardmäßig verwendet das System den vorhandenen SOAPAction-Header der Nachricht.

Sie können die Standardeinstellung deaktivieren und eine andere Aktion angeben. In diesem Fall überschreibt der API Connection Manager den Standardwert aus dem SOAP Action-Header der Nachricht.

Um ein Aktionselement anzugeben, führen Sie die folgenden Schritte aus:

  1. Deaktivieren Sie das Kontrollkästchen neben Use default value for <Action/>.

  2. Geben Sie eine URL in das Feld Action Address ein, z. B. http://CalculatorService/ICalculator/Add.

Aktion konfigurieren

Adresselement konfigurieren

Das Adresselement ermöglicht es Ihnen, einen bestimmten Empfänger für Ihre Nachrichten anzugeben. Standardmäßig verwendet das System die in der Verbindung angegebene URL und den Ressourcenbezeichner für diese URL aus der Nachricht.

Wenn Sie eine andere Adresse angeben möchten, führen Sie die folgenden Schritte aus:

  1. Deaktivieren Sie das Kontrollkästchen neben Use default value for <To/>.

  2. Geben Sie im Feld To Address eine URL ein, z. B. https://webservice.toscacloud.com/signature.svc.

Adresse konfigurieren

Sie können nun eine Signatur konfigurieren, die das Adresselement signiert.

Zeitstempel-Element konfigurieren

Das Zeitstempel-Element ermöglicht es Ihnen, einen Zeitraum festzulegen, in dem die Nachricht empfangen werden muss. Nach Ablauf dieser Zeitspanne verfällt die Sicherheit und die Nachricht ist nicht mehr gültig.

Geben Sie dazu die Time to live in Seconds an, z. B. 60.

Zeitstempel konfigurieren

Sie können nun eine Signatur konfigurieren, die das Zeitstempel-Element signiert.

Signatur konfigurieren

Um eine Signatur zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Wählen Sie die gewünschte Art der Signatur aus dem Aufklappmenü Type of Signature:

    • Signature in Security Header (SOAP Standard): XML-Signatur, die eine SOAP-Nachricht signiert.

    • Enveloped Signature: Signatur, die Teil der Nachricht ist und ein bestimmtes Element der Nachricht signiert.

  2. Geben Sie das Element der Nachricht an, das von der Signatur signiert wird. Wählen Sie dazu beliebige Elemente aus dem Aufklappmenü Element to Sign aus:

    • Body: Die Signatur signiert den Nachrichtenkörper.

    • Timestamp: Die Signatur signiert den Zeitstempel der Nachricht.

    • To: Die Signatur signiert die Adresse des Empfängers.

    • Custom element: Die Signatur signiert ein von Ihnen angegebenes Nachrichtenelement. Um das Element anzugeben, geben Sie die Element-ID in das Feld Custom Element Id ein, z. B. id-123.

    • All: Alle Optionen auswählen.

  3. Wählen Sie einen Canonicalization Algorithm aus dem Aufklappmenü.

    Die Kanonisierung stellt sicher, dass logisch äquivalente XML-Dokumente identische Signaturen bereitstellen, auch wenn sie unterschiedlich dargestellt werden.

    Für Einzelheiten zu den verfügbaren Kanonisierungsalgorithmen siehe W3C XML Signature Syntax and Processing Version 2.0 - Canonicalization Algorithms.

  4. Wählen Sie einen Digest Algorithm aus dem Aufklappmenü.

    Der Digest-Algorithmus berechnet einen Hashwert für die Eingabenachricht. Dieser Wert wird verwendet, um die Sicherheitssignatur zu erstellen und zu überprüfen.

    Für Einzelheiten zu den verfügbaren Digest-Algorithmen siehe W3C XML Signature Syntax and Processing Version 2.0 - Message Digests.

  5. Wählen Sie eine Signature Method aus dem Aufklappmenü:

    Für nähere Informationen zu den verfügbaren Signatur-Algorithmen siehe W3C XML Signature Syntax and Processing Version 2.0 - Signature Algorithms.

  6. Die Signaturprüfung setzt einen öffentlichen Schlüssel voraus, der es anderen Personen ermöglicht, Ihre Signatur zu überprüfen. Zu diesem Zweck können Sie Informationen über den öffentlichen Schlüssel hinzufügen.

    Wählen Sie dazu einen Typ aus dem Aufklappmenü Key Identifier Type aus:

    • Do not Include: Informationen über den öffentlichen Schlüssel ausschließen.

    • RSA or DSA key value: Schlüsselwert Rivest-Shamir-Adleman (RSA) oder Digital Signature Algorithm (DSA) einschließen.

    • Issuer and Serial Number: Ausgabe und Seriennummer des öffentlichen Schlüssels einschließen. In diesem Fall muss das Zertifikat, das die Schlüsseldaten bereitstellt, auf dem Sende- und Empfangsgerät verfügbar sein.

    • X509v3 Certificate Data: Daten des öffentlichen Schlüsselzertifikats im X509v3-Format einschließen.

    • Binary Security Token: In Base64 codierten öffentlichen Schlüssel einschließen.

  7. Eine Sicherheitssignatur erfordert ein Zertifikat, das einen privaten Schlüssel enthält und Daten für den öffentlichen Schlüssel bereitstellt. Sie können für Ihr Zertifikat eine PFX-Datei oder einen Java Keystore verwenden.

    Um das Zertifikat anzugeben, wählen Sie den gewünschten Typ aus dem Aufklappmenü Certificate:

    • Wählen Sie Certificate File, wenn sich Ihr Zertifikat in einer PFX-Datei befindet.

      Klicken Sie dann auf das Symbol im Feld Certificate Path. Wählen Sie im Folgedialog die Zertifikatsdatei aus und klicken Sie auf Open. Geben Sie bei Bedarf Ihr Certificate Password ein.

    • Wählen Sie die Option Certificate from Java Keystore, wenn Ihr Zertifikat in einem Java Keystore gespeichert ist.

      Klicken Sie dann auf das Symbol im Feld Keystore Path. Wählen Sie im Folgedialog die Keystore-Datei aus und klicken Sie auf Open. Geben Sie bei Bedarf Ihr Keystore Password ein.

      Wählen Sie aus dem Aufklappmenü einen Certificate Alias aus und geben Sie bei Bedarf Ihr Certificate Password ein.

Signatur konfigurieren

Token für den Benutzernamen konfigurieren

Die API Engine 3.0 kann ein Token für den Benutzernamen im Header-Abschnitt der Nachricht erstellen. Dieses Token enthält Informationen zur WS-Sicherheit.

Um das Token für den Benutzernamen anzugeben, führen Sie die folgenden Schritte aus:

  1. Geben Sie den Benutzernamen in das Feld Username ein.

  2. Geben Sie das Passwort in das Feld Password ein.

  3. Wählen Sie den Password type aus:

    • Plain text: Das Passwort wird im Klartextformat im Header-Abschnitt der XML-Nachricht gesendet.

    • Digest: Das Passwort wird im Digest-Format im Header-Abschnitt der XML-Nachricht gesendet.

  4. Wählen Sie optional Add Nonce, um ein Nonce-Element hinzuzufügen.

  5. Wählen Sie optional Add Created, um ein Created-Element hinzuzufügen.

Token-Element für den Benutzernamen konfigurieren