L'API Gateway constitue la couche intermédiaire entre les systèmes externes et l'application Evolve. Elle gère la sécurité des API exposées et accessibles par des systèmes tiers. Par exemple, un système tiers peut lancer un processus de formulaire en appelant l'API Process Extension. Pour que cet appel réussisse, le système tiers doit satisfaire les exigences de sécurité de l'API Gateway.
Détails de sécurité de l'API Gateway
L'API Gateway fournit des options pour enregistrer un client tiers dans l'application. Il est possible d'enregistrer un nouveau client depuis le site d'Administration en naviguant dans Paramètres → Authentification → Clients tiers→ Enregistrer le client. L'API Gateway prend en charge trois options de sécurité, Code secret client, Sécuriser le jeton et Certificat.
Winshuttle recommande l'option de sécurité Jeton sécurisé comme option préférée à utiliser par n système tiers.
Code secret client
Il s'agit de l'option de sécurité d'en-tête http. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Code secret client depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client et un Code secret client. Pour copier le code secret client, sélectionnez un client quelconque, puis cliquez sur Afficher→ Afficher le secret. Les applications tierces doivent envoyer l'ID client enregistré et le code secret client dans l'en-tête de requête HTTP, comme suit :
-
Le nom d'en-tête de la requête : ”c1” doit contenir un ID client enregistré valide.
-
Nom d'en-tête de la requête : "ck" doit conteni le code secret client.
Sécuriser le jeton
Il s'agit de l'option de sécurité Jeton JWT. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Sécuriser le jeton depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client et un Code secret client. Pour copier le code secret client, secret.sélectionnez un client, puis cliquez sur Afficher→ Afficher le secret. Le client tiers doit créer un jeton JWT et le signer avec le code secret. Ce jeton JWT signé doit être envoyé à la requête d'API. L"API doit comporter les en-têtes de requête suivants :
-
En-tête de la requête : le nom ”c1” doit contenir un ID client enregistré valide.
-
En-tête de la requête : le nom "ck" doit contenir le jeton JWT.
Le jeton JWT doit présenter les détails suivants :
-
Le jeton doit avoir un ID client de réclamation et un ID client enregistré (l'ID client est affiché au cours de l'enregistrement du client). Il doit être identique à la valeur de l'en-tête de requête "c1".
-
Le jeton doit avoir un ID client de réclamation et un Nom de client enregistré (le Nom de client qui est spécifié au cours de l'enregistrement du client).
-
L'heure d'expiration par défaut du jeton ne doit pas être ultérieure de plus de 5 minutes à l'heure de création du jeton. Si l'utilisateur veut prolonger le délai, il peut ajouter une clé à Système→ Infrastructure → Paramètres avancés avec Catégorie : Système, Clé de configuration :ExtAPITokenExpiryMinutes et la valeur doit être l'heure exprimée en minutes.
Certificat
Il s'agit de la sécurité à base de certificat dans laquelle l'application tiers et le serveur Evolve partagent tous deux un certificat ; celui-ci étant utilisé pour authentifier l'appel. Cette option de sécurité s'appelle également authentification par certificat mutuel et n'est prise en charge que lorsque Evolve est configuré sur HTTPS. Pour enregistrer un nouveau client, l'utilisateur doit cliquer sur Enregistrer le client, spécifier un Nom de client et sélectionner Certificat depuis le menu déroulant Type de sécurité. Lors de l'enregistrement d'un nouveau client, l'application génère un ID client. L'ID client ainsi généré, ainsi que le certificat client sont utilisés pour effectuer un appel d'API. L’application Evolve doit être configurée pour activer l'authentification à base de certificat, conformément aux détails ci-dessous :
-
Elle nécessite un certificat Root CA et des certificats client. Les certificats clients doivent être générés par le certificat Root CA.
-
Installez le certificat Root à l'emplacement Trusted Root Certification Authorities sur la machine locale du serveur Evolve.
-
Installez le certificat client sur la machine cliente et envoyez-le en cours d'appel pour traiter l'API Extension.
L'utilisateur peut activer/désactiver l'option Validez le nom de la machine cliente, si l'option est activée le nom du certificat doit être identique à celui de la machine cliente.
Pour résoudre une erreur "RequestEntityTooLarge" avec une API externe en cours de démarrage avec l'authentification par certificat :
-
Sélectionnez le site sous Site Web par défaut.
-
Sélectionnez l'éditeur de configuration.
-
Dans le menu déroulant Section, sélectionnez "system.webServer/serverRuntime".
-
Saisissez une valeur élevée pour "uploadReadAheadSize" telle que 1048576 octets. La valeur par défaut est 49152 octets.