API Gateway - Automate_Evolve - Automate_Studio_Manager - 20.3

Guide d'utilisation d'Automate Evolve
Product type
Logiciels
Portfolio
Integrate
Product family
Automate
Product
Automate > Automate Evolve
Version
20.3
Language
Français
Product name
Automate Evolve
Title
Guide d'utilisation d'Automate Evolve
Topic type
Aperçu
Référence
Administration
First publish date
2018

L'API Gateway constitue la couche intermédiaire entre les systèmes externes et l'application Evolve. Elle gère la sécurité des API exposées et accessibles par des systèmes tiers. Par exemple, un système tiers peut lancer un processus de formulaire en appelant l'API Process Extension. Pour que cet appel réussisse, le système tiers doit satisfaire les exigences de sécurité de l'API Gateway.

Détails de sécurité de l'API Gateway

L'API Gateway fournit des options pour enregistrer un client tiers dans l'application. Il est possible d'enregistrer un nouveau client depuis le site d'Administration en naviguant dans Paramètres → Authentification → Clients tiers→ Enregistrer le client. L'API Gateway prend en charge trois options de sécurité, Code secret client, Sécuriser le jeton et Certificat.

Remarque :

 Winshuttle recommande l'option de sécurité Jeton sécurisé comme option préférée à utiliser par n système tiers.

Code secret client

Il s'agit de l'option de sécurité d'en-tête http. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Code secret client depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client et un Code secret client. Pour copier le code secret client, sélectionnez un client quelconque, puis cliquez sur Afficher→ Afficher le secret. Les applications tierces doivent envoyer l'ID client enregistré et le code secret client dans l'en-tête de requête HTTP, comme suit :

  • Le nom d'en-tête de la requête : ”c1” doit contenir un ID client enregistré valide.

  • Nom d'en-tête de la requête : "ck" doit conteni le code secret client.

Sécuriser le jeton

Il s'agit de l'option de sécurité Jeton JWT. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Sécuriser le jeton depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client et un Code secret client. Pour copier le code secret client, secret.sélectionnez un client, puis cliquez sur Afficher→ Afficher le secret. Le client tiers doit créer un jeton JWT et le signer avec le code secret. Ce jeton JWT signé doit être envoyé à la requête d'API. L"API doit comporter les en-têtes de requête suivants :

  • En-tête de la requête : le nom ”c1” doit contenir un ID client enregistré valide.

  • En-tête de la requête : le nom "ck" doit contenir le jeton JWT.

Le jeton JWT doit présenter les détails suivants :

  1. Le jeton doit avoir un ID client de réclamation et un ID client enregistré (l'ID client est affiché au cours de l'enregistrement du client). Il doit être identique à la valeur de l'en-tête de requête "c1".

  2. Le jeton doit avoir un ID client de réclamation et un Nom de client enregistré (le Nom de client qui est spécifié au cours de l'enregistrement du client).

  3. L'heure d'expiration par défaut du jeton ne doit pas être ultérieure de plus de 5 minutes à l'heure de création du jeton. Si l'utilisateur veut prolonger le délai, il peut ajouter une clé à Système→ Infrastructure → Paramètres avancés avec Catégorie : Système, Clé de configuration :ExtAPITokenExpiryMinutes et la valeur doit être l'heure exprimée en minutes.

Certificat

Il s'agit de la sécurité à base de certificat dans laquelle l'application tiers et le serveur Evolve partagent tous deux un certificat ; celui-ci étant utilisé pour authentifier l'appel. Cette option de sécurité s'appelle également authentification par certificat mutuel et n'est prise en charge que lorsque Evolve est configuré sur HTTPS. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Certificat depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client. L'ID client ainsi généré, ainsi que le certificat client sont utilisés pour effectuer un appel d'API. L’application Evolve doit être configurée pour activer l'authentification à base de certificat, conformément aux détails ci-dessous :

  • Elle nécessite un certificat Root CA et des certificats client. Les certificats clients doivent être générés par le certificat Root CA.

  • Installez le certificat Root à l'emplacement Trusted Root Certification Authorities sur la machine locale du serveur Evolve.

  • Installez le certificat client sur la machine cliente et envoyez-le en cours d'appel pour traiter l'API Extension.

L'utilisateur peut activer/désactiver l'option Validez le nom de la machine cliente, si l'option est activée le nom du certificat doit être identique à celui de la machine cliente.

Pour résoudre une erreur "RequestEntityTooLarge" avec une API externe en cours de démarrage avec l'authentification par certificat :

  1. Sélectionnez le site sous Site Web par défaut.

  2. Sélectionnez l'éditeur de configuration.

  3. Dans le menu déroulant Section, sélectionnez "system.webServer/serverRuntime".

  4. Saisissez une valeur élevée pour "uploadReadAheadSize" telle que 1048576 octets. La valeur par défaut est 49152 octets.

API d'application sécurisées avec l'API Gateway

API Digital Access : l'API Digital Access permet l'intégration des systèmes tiers au système de workflow Evolve. Ces API sont sécurisées par l'application API Gateway. Voir API Digital Access pour en savoir plus.

API SAP Data : l'API SAP Data permet de télécharger des données vers et depuis SAP. Cette API est sécurisée par l'application API Gateway. Voir API SAP Data pour en savoir plus.

Les API ci-dessous sont sécurisées par l'API Gateway et son mécanisme d'authentification pris en charge.

Pour trois options de sécurité sous l'API Gateway, les préfixes de routage suivants doivent être utilisés pour accéder à l'API :

Code secret client : “<Evolve URL>/svr”

Jeton de sécurité : “<Evolve URL>/svr”

Certificat : “<Evolve URL>/svrc”

Nom de l'API  Méthode HTTP Acheminer Description
Données de référence GET

<Route Prefix>/api/v1/ReferenceData?AppName=<AppName>&LibraryName=<LibraryName>&SolutionName=<RefSolutionName>

Cette API permet d'accéder aux données de référence des Solutions de données de référence.

Cette API prend également en charge le filtre OData limité.
Données de solution GET <Route Prefix>/api/v1/SolutionDataSet?AppName=<AppName>&SolutionDataName=<SolutionName>

Cette API permet d'accéder aux données de Solutions.

Cette API prend également en charge le filtre OData limité.
Monitoring (Alertes système) GET <Route Prefix>/api/v1/Monitoring/SystemAlerts/?NotificationId=<Notification Id> Cette API retourne les alertes système d'Evolve, le cas échéant, telles qu'affichées dans la section Alertes système du tableau de bord d'administration.
Monitoring (fermeture des alertes système) POST <Route Prefix>/api/v1/Monitoring/SystemAlerts/Dismiss?NotificationId=<Notification Id> Cette API permet de fermer/supprimer la notification correspondant à un ID de notification donné.