Utilisation de Windchill Integration for Software Build Tools avec l'authentification basée sur des certificats
Vous pouvez configurer le service Web afin que les outils de build de logiciel fonctionnent avec l'authentification basée sur des certificats. Cette configuration permet d'accéder au service Web via un échange de certificats. Toutefois, cette configuration implique que vous teniez compte des aspects liés à la sécurité, dans la mesure où l'accès n'est pas limité. Après avoir configuré le service Web, vous pouvez l'activer en utilisant un nom d'utilisateur Windchill. Vous pouvez ainsi utiliser n'importe quel nom d'utilisateur valide pour l'authentification sans fournir de mot de passe. Le certificat remplace le mot de passe. Cette configuration implique donc que vous teniez compte des aspects liés à la sécurité, dans la mesure où l'accès n'est limité à aucun utilisateur spécifique.
Configuration de l'authentification basée sur des certificats
Un administrateur peut configurer le service Web pour les outils de build de logiciel à l'aide de la politique de sécurité SAML en utilisant la procédure suivante :
1. Créez les fichiers keystore et truststore à l'aide des instructions fournies dans la section "Truststores et Keystores" de la rubrique d'aide "Comprendre les exigences de sécurité" du Centre d'aide Windchill.
|
|
Le script de compilation jws-stores.xml peut générer des paires de keystores et truststores client ou serveur destinées à être utilisées par le service Web Info*Engine. Vous pouvez utiliser le script de compilation jws-stores.xml comme exemple pour générer des truststores et des keystores pour vos services Web et clients avec vos propres certificats.
|
2. Redéployez le service Web sur le serveur Windchill, comme suit :
◦ cd <your local view root>\Rialto\modules\RBMWebServiceCore\src
◦ ant -f %WT_HOME%/bin/adminTools/WebServices/build.xml -Dservlet.name=RBMWSCoreService -Dtype.id=com.ptc.rialto.RBMWSCoreService -Dsecurity.policy=samlsv generate
|
|
SAML n'est pas une politique de sécurité appropriée si vous avez installé le client des outils de build de logiciel sur votre bureau.
|
Pour une configuration valide, vous avez besoin d'un fichier security.properties pour le serveur. Le fichier par défaut réside généralement sous %WT_HOME%\Windchill\bin\adminTools\WebServices. Pour utiliser un autre fichier, remplacez-le en ajoutant -Dsecurity.properties.file= à la commande ant.
|
|
• Spécifiez le chemin absolu pour %WT_HOME%.
• Le fichier security.properties réside sous %WT_HOME%\Windchill\bin\adminTools\WebServices uniquement si vous l'avez créé en utilisant le script jws-stores.xml.
|
Le fichier security.properties doit contenir les chemins vers les fichiers keystore et truststore du serveur, un mot de passe et le nom de certificat. Par ailleurs, la ligne handler.config du fichier doit indiquer le gestionnaire SAML.
3. Désactivez la protection par authentification pour le serveur Web basique en supprimant les entrées spécifiques à RBM des fichiers de configuration Apache. Pour ce faire, modifiez les fichiers app-Windchill-Auth.conf et app-Windchill-AuthRes.xml sous ${APACHE_HOME}/conf/extra.
4. Démarrez le serveur Windchill et reconfigurez le fichier JAR client pour utiliser la politique de sécurité SAML comme suit :
◦ cd %WT_HOME%\Windchill\codebase\client\jws
◦ java -jar webservices-support.jar -clientJar %WT_HOME%\Windchill\codebase\client\jws\RBMWebServiceCore.jar -securityProperties <path to> security.properties
5. Activez le service Web pour les outils de build de logiciel en fournissant un nom d'utilisateur Windchill standard et les paramètres de commande réguliers.
Pour plus d'informations sur la configuration de la politique de sécurité, consultez la documentation correspondante du Centre d'aide Windchill.
Exemple de fichier security.properties
com.ptc.jws.client.keystore.file=%WT_HOME%/Windchill/prog_examples/jws/stores/client-keystore.jks
com.ptc.jws.client.keystore.password=changeit
com.ptc.jws.client.keystore.alias=ws-client
com.ptc.jws.client.truststore.file=%WT_HOME%/Windchill/prog_examples/jws/stores/client-truststore.jks
com.ptc.jws.client.truststore.password=changeit
com.ptc.jws.client.truststore.peeralias=<host name, if the jws-stores.xml was used to create the keystore>
handler.config=samlHandler:com.ptc.jws.client.handler.SamlCallbackHandler
