OTN Appreciation Day: OWSM y WS-Security. Autenticación por Username Token para SOAP y REST en OSB 12c.

Hola!

Este post es especial y está enfocado a expresar de alguna manera nuestro agradecimiento a OTN por el arduo trabajo de difusión en la comunidad de Oracle a nivel global. La idea, salida de la imaginación de Tim Hall (un personaje ampliamente reconocido en el ámbito de bases de datos y que recientemente nos acompañó en el OTN Tour Latinoamerica 2016), es crear un artículo mencionando alguna característica que nos agrade de las herramientas y tecnologías con las que trabajamos constantemente y así continuar con esta labor de colaboración. Por mi parte, mencionaré un ejemplo para usar policies de autenticación para los servicios web en OSB 12.2.1,  misma que representa una característica que me ha gustado bastante ultimamente, espero les sea de utilidad.

WS-Security es una especificación publicada por OASIS, está dirigida a Servicios Web de tipo SOAP, y en ella se contempla una serie de mecanismos para reforzar la integridad y confidencialidad de los mensajes que se intercambian entre estos servicios, tal es el caso de la encripción de datos, tokens de seguridad, validación de usuario y password, mensajes firmados, etc.
Por otro lado, Oracle Web Service Manager (OWSM) es un componente de la Suite de SOA de Oracle que provee un framework de centralización de políticas de administración y seguridad de los Servicios Web. OWSM está basado en el estándar WS-Policy y puede ser usado en tiempo de desarrollo, o bien, desde la consola de administración. 

En OWSM intervienen los siguientes elementos principales:
  • Policy Manager: Lee y escribe las políticas, ya sean predefinidas o personalizadas, de y hacia el repositorio.
  • Agent: Ejecuta las políticas y recopila estadísticas de ejecución. Mantiene un caché de memoria para las políticas. Se compone de un Policy Access Point (PAP)  y un Policy Interceptor, el primero se comunica con el Policy Manager usando invocaciones EJB, mientras que el segundo se genera cuando un Servicio Web se despliega y se activa, o cuando se relaciona una política a un Servicio Web, y su función es interceptar las peticiones hacia el Servicio Web y ejecutar las políticas asociadas a éste.
  • OWSM Repository: Lugar donde se almacenan las políticas, típicamente es una base de datos.
  • Enterprise Manager: Aplicación, donde además de la gestión de diversos elementos, se lleva a cabo la configuración de OWSM, métricas, etc.
En este artículo encontrarás la forma de configurar, en tiempo de desarrollo, una política de autenticación basada en usuario y password para un Servicio Web SOAP y uno de tipo REST, usando OWSM y OSB 12.2.1, basado en la especificación WS-Security. El usuario y password viajarán embebidos en el elemento UsernameToken dentro del Header del mensaje SOAP Envelope y para el caso del servicio REST, viajará en el Header de transporte HTTP. Además, podrás ver la forma de probarlo usando SOAPUI y POSTMAN.

El primer paso es construir y desplegar un servicio Proxy SOAP en OSB, en este ejemplo no lo vamos a desarrollar, puesto que no es el foco del artículo, en lugar de eso usaremos uno ya existente llamado PersonaSOAP.proxy. Al acceder al url del WSDL podemos ver la definición del servicio, el cual tiene una sola operación y un header de request y uno de response.


Debido a que es un mock, siempre regresará una respuesta exitosa, para fines de esta prueba. Al ejecutar el servicio en SOAPUI vemos el mensaje de request y de response.


Para comenzar a asignar la política de seguridad, en JDeveloper editar el servicio proxy, en la pestaña Policies inicialmente no tiene configurada ninguna política.


Seleccionar el radio botón From OWSM Policy Store. Luego, cuando se despliegue la sección inferior, clic en el símbolo azul + en la parte correspondiente a Security.


Seleccionar oracle/wss_username_token_service_policy de la lista de políticas predefinidas. OK para continuar.


Así es como debe quedar la configuración.


Guardar y redesplegar el proyecto en OSB. Una vez desplegado, volver a verificar el url del WSDL, esta vez notarás que se agregaron algunas definiciones de la política de seguridad.

Para poder ejecutar el servicio, es necesario asegurarte de tener instalado y en ejecución el OWSM. Puedes verificarlo en la consola de administración del Weblogic, en la sección Environment, Servers. Aquí se despliega la lista de servidores del dominio, asegúrate que él o los nodos del WSM estén en ejecución, de lo contrario no podrás realizar la configuración de la política.

Una vez que estés listo para probar el servicio, lo puedes hacer con el cliente que desees, en este caso usaremos SOAPUI, y para llevarlo a cabo es necesario configurar las opciones para agregar el header donde estará el token de usuario y password. En la sección inferior del request, clic en Auth y seleccionar Add New Authorization del combo.

Seleccionar Basic y clic en OK.

Introducir las credenciales de un usuario válido y previamente creado en Weblogic.

Si probamos el servicio en este punto, el resultado será un error de autorización, debido a que no hemos agregado el encabezado con el token de usuario y password.

Para agregar el token a la petición, clic derecho en el mensaje de request, Add WSS Username Token.

Seleccionar PasswordText y clic en Aceptar.

Se agregará el encabezado Security dentro del elemento Header del mensaje Envelope.

Si volvemos a ejecutar el servicio, la autenticación se realizará y el mensaje podrá llegar a su destino en el OSB.

Así de sencillo concluye la configuración de la política de autenticación en el mensaje SOAP. Si deseas que el usuario y password no viajen en el elemento Header del Envelope, pero sí en el Header del transporte HTTP, puedes usar la política wss_http_token_service_policy. 
 
Por ejemplo, en el caso de un Proxy de tipo REST, donde no existe el mensaje Envelope, puedes configurar esta política para enviar peticiones con usuario y password en el Header HTTP. La configuración queda como se muestra a continuación:

Después de desplegar el servicio, puedes probarlo con el cliente REST que prefieras, en este ejemplo usaremos POTSMAN. La petición sin headers de autorización regresa un error:

Para agregar los headers ir a la pestaña Authorization y seleccionar Basic Auth.

Introducir usuario y password y clic en Update Request.

Notarás que en la pestaña Headers se agregó un elemento Authorization con un valor encriptado.

Al enviar una nueva petición, verás que la política de seguridad se ha aplicado correctamente y la respuesta es exitosa.

Ahora ya sabes cómo agregar validación de usuario y password en ambos tipos de servicios, SOAP y REST publicados en OSB, usando las políticas por defecto del OWSM.

Nos leemos pronto!
 






















Comentarios

Publicar un comentario

Entradas más populares de este blog

Conceptos básicos de Servicios Web SOAP, WSDL y XSD

Imagen
¡Hola nuevamente! El post de hoy es referente a los conceptos que debemos comprender sobre Servicios Web de tipo SOAP. Ya sea que estemos involucrados en el desarrollo de aplicaciones SOA o no, es bueno conocer de qué se trata todo esto, y si lo estamos, con mucha más razón puesto que es totalmente necesario. Incontables veces he tenido que explicar estos conceptos a personas con perfiles no técnicos y otras tantas a quienes deberían conocerlos, desafortunadamente no es tan fácil de entender sin un contexto más gráfico. Es por eso que decidí escribir sobre esto y espero lograr el objetivo. Comencemos pues con lo importante. Un Servicio Web es un servicio de negocio programado en algún lenguaje, que envuelve cierta funcionalidad y la expone en una red de manera estandarizada, para que cualquiera conectado a esta misma red, que además soporte dichos estándares, pueda acceder a ella. Veámoslo con un ejemplo muy sencillo que ya he usado en otros post, supongamos que tenemos
Leer más

OWSM and WS-Security: Username Token Authentication for SOAP and REST Services in OSB 12c.

Imagen
This is the first time i write an English entry here in my blog, since it has been focused on a Spanish speaking audience, but this is an special occasion, yesterday I wrote a Spanish blog post in order to colaborate with OTN Appreciation Day, then a couple of friends ask me to translate and share it with them, so here we go now. I must apologize in advance with all of you for the Spanish images, i had no time to start all over again in English, I really hope you can guess the meaning of them, otherwise please contact me for the translation. WS-Security is a specification published by OASIS, it is mainly aimed for SOAP Web Services. It encompasses a number of mechanisms to strengthen the integrity and confidentiality of the messages exchanged between these type of services such as data encryption, security tokens, username and password validation, signed messages, etc. On the other hand, Oracle Web Service Manager (OWSM) is a component of Oracle SOA Suite that provides a framework
Leer más

Conversión de servicios SOAP a REST/JSON usando OSB 11g

Imagen
Hola a todos, esta vez la entrada está enfocada al uso de la herramienta Oracle Service Bus 11g para realizar la transformación de mensajes en formato XML hacia servicios SOAP, a formato JSON y exponerlo como servicios REST. La creciente tendencia de las aplicaciones móviles o de las aplicaciones ligeras, es usar Servicios Web de tipo REST. Si consideramos, a manera de ejemplo, que nuestro Cliente que ya expone sus Servicios Web SOAP, desea consumirlos también en una aplicación móvil usando REST, existe la necesidad de realizar este paso de alguna manera, como desarrolladores y arquitectos tenemos la responsabilidad de poner en práctica uno de los principios básicos de SOA, la reutilización. La idea es usar los servicios existentes sin duplicarlos, simplemente explotar la funcionalidad que provee el OSB para realizar dicha transformación. Este tema viene a flote, debido a que hace unos días, el viernes 26 de Julio de 2013 para ser exactos, tuvo lugar el primer evento del OTN Tour e
Leer más