Configuración de Seguridad para Habilitar Acceso Autenticado a los Web Services
CONFIGURACIÓN PREVIA NECESARIA
SOLO APLICA PARA CLIENTES QUE TENGA SIFCO WEB HOSPEDADO EN UN SERVIDOR PROPIO (CLIENTES On Premise)
Handlers: para poder tener acceso al API de GAM la cual permite gestionar el acceso a los servicios mediante un token de acceso, el archivo web.config debe contener en la sección de handlers el elemento:
<add name="GeneXus.Http.GXOAuthAccessToken" verb="*" path="GXOAuthAccessToken.aspx" type="GeneXus.Http.GXOAuthAccessToken,GxClasses" />SOLO APLICA PARA CLIENTES QUE TENGA SIFCO WEB HOSPEDADO EN UN SERVIDOR PROPIO (CLIENTES On Premise)
Se debe verificar el tipo de acceso de seguridad a configurar en su servidor IIS, a nivel del protocolo HTTP, y validar que sea el mismo configurado en el archivo web.config, en la etiqueta XML security mode, la cual debe tener asignado el valor “Transport” en el caso de https:// y “None”, en el caso de http://. La cual esta presente en la estructura de configuración de WebHttpBinding y BasicHttpBinding.
<system.webServer>
<bindings>
<webHttpBinding>
<binding name="CustomBinding" maxReceivedMessageSize="10485760">
<security mode="Transport">
<transport clientCredentialType="None" />
</security>
<readerQuotas maxStringContentLength="10485760" />
</binding>
</webHttpBinding>
<basicHttpBinding>
<binding name="CustomBinding" maxReceivedMessageSize="10485760">
<security mode="Transport">
<transport clientCredentialType="None" />
</security>
<readerQuotas maxStringContentLength="10485760" />
</binding>
</basicHttpBinding>
</bindings>
</system.serviceModel>CREACIÓN Y ASIGNACIÓN DE ROLES Y PERMISOS A USUARIO PARA ACCESO A LOS WEB SERVICE
Para esto es recomendable crear un usuario en el GeneXus Access Manager (GAM) para permitir el acceso exclusivo a los Web Services, a través de dicho usuario, adicional es necesario que este tenga los Roles y Permisos necesarios para acceder a las transacciones que hemos decidido exponer para que sea consumidas vía Web Services por aplicaciones de terceros (Clientes, Proveedores, Contratistas, etc).
Para ello primero validamos que con una cuenta administradora en el GeneXus Access Manager (GAM),a través del GAM Web Backend (o GAM Web Backoffice) (Existen varias interfaz para ello pero se considera esta la mas practica), que el usuario existe o si debemos crear uno para el uso de los Web Services, tal como se indico en el párrafo anterior, se recomienda crear uno exclusivo para ello.
Luego se debe asignar o validar que el Rol al que se le asignaran los permiso de acceso sea el Rol principal (En caso de NO ser el principal aparecerá en la Columna Main la opción “Set Main”).
Luego se verifique, en la opción de edición de Roles del GAM Web Backend (o GAM Web Backoffice), que la aplicación en la cual se asignaran los Roles y Permisos sea nuestra instancia principal de la Aplicación SIFCO WEB.
SIFCO WEB a través de GAM, genera un conjunto de permisos automáticos de las diferentes transacciones habilitadas en nuestra Aplicación SIFCO WEB, solo debemos escoger cuales serán expuestas o consumidas a través de Web Services por este usuario y a través de cuales métodos. Los mismos están descritos bajo la siguiente nomenclatura, y donde el Prefijo depende de la Transacción (Business Component o componente de negocio), y el sufijo del método RESTful que se va a utilizar.
[Tansacciones]_Services_[Tipo de Permiso = {execute, insert, delete, update, FullControl}]Luego se asignan los Tipos de Permisos de Acceso que tendrá este Rol a cada transacción.
Por ultimo se valida que este Rol, sea el Rol principal del usuario creado o asignado para el acceso a las transacciones vía sistema RESTful.
INFORMACIÓN ADICIONAL
Entre los tipos de permisos asociados a la transacciones y método a utilizar tenemos:
Execute
Permite operaciones GETInsert
Permite operaciones POSTDelete
Permite operaciones DELETEUpdate
Permite operaciones PUTFullControl
Permite realizar GET, POST, PUT y DELETE sobre el Web Service.
Adicionalmente los tipos de permisos de acceso a nivel de Rol de usuario son:
Allow:
Un usuario que tiene un rol con un permiso de Tipo de acceso = Allow (Permitir) tendrá este permiso a menos que se le haya otorgado este permiso con Tipo de acceso = Deny (Denegar), o tenga otro rol donde se niegue el mismo permiso.Deny:
Un usuario que tiene un rol con un permiso de Tipo de acceso = Deny (Denegar) no tendrá este permiso independientemente de si el permiso está permitido a nivel de aplicación (por defecto) o si tiene otro rol donde el permiso está permitido. La única forma en que el usuario puede obtener este permiso es con Tipo de acceso = Allow (Permitir).Restricted
Si un permiso está restringido a la función de un usuario, él no tiene este permiso a menos que el usuario tenga este permiso con Tipo de acceso = Allow (Permitir) o tenga otra función donde se permita el mismo permiso.
VERIFICACIÓN DE SISTEMA RESTful ESTA HABILITADO
(SOLO APLICA PARA CLIENTES QUE TENGA SIFCO WEB HOSPEDADO EN UN SERVIDOR PROPIO (CLIENTES On Premise))
El Manejador GeneXus integrado a la Aplicación SIFCO WEB, tiene la capacidad de crear automáticamente servicios web RESTful a partir de transacciones que son componentes comerciales (Business Component), objetos y procedimientos del proveedor de datos de la Aplicación SIFCO. Permitiendo que los mismos sean expuestos como recursos con una dirección única (URI), logrando que el desarrollo y/o consumo de dicho servicio RESTful sea una tarea fácil.
Sin embargo en caso de que dicho sistema RESTful no este habilitado o presente problemas, se puede realizar los procedimientos descritos en el siguiente link, para verificar su operatividad o reinstalar dicho subcomponente (si fuera necesario) en en el Servidor donde tiene funcionando su Aplicación SIFCO WEB.
Artículos Relacionados | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Artículos Actualizados Recientemente | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(c) 2020 por SIFC.O, S.A.