Windchill Integration für Software Build Tools mit zertifikatbasierter Authentifizierung verwenden
Sie können den Webdienst so konfigurieren, dass Software Build Tools mit zertifikatbasierter Authentifizierung ausgeführt werden kann. Diese Konfiguration erlaubt den Zugriff auf den Webdienst durch einen Zertifikataustausch. Allerdings sind bei dieser Konfiguration besondere Sicherheitsvorkehrungen erforderlich, da keine Zugriffsbeschränkungen bestehen. Nach der Konfiguration des Webdienstes kann dieser mit einem Windchill Benutzernamen aktiviert werden. Das heißt, jeder gültiger Benutzername kann zur Authentifizierung verwendet werden, ohne ein Passwort anzugeben. Das Zertifikat ersetzt das Passwort. Daher müssen bei dieser Konfiguration höchste Sicherheitsvorkehrungen getroffen werden, da der Zugriff nicht auf bestimmte Benutzer beschränkt ist.
Zertifikatbasierte Authentifizierung konfigurieren
Ein Administrator kann den Webdienst wie folgt mit der SAML-Sicherheitsrichtlinie für Software Build Tools konfigurieren:
1. Erstellen Sie die Schlüsselspeicher- und Truststore-Dateien gemäß den Anweisungen im Abschnitt zu Truststores und Schlüsselspeichern im Hilfethema mit Erläuterungen zu den Sicherheitsanforderungen des Windchill Hilfe-Centers.
|
Das Build-Skript jws-stores.xml kann Schlüsselspeicher/Truststore-Paare (Client oder Server) für den Info*Engine-Webdienst generieren. Sie können das Build-Skript jws-stores.xml als Beispiel verwenden, um Truststores und Schlüsselspeicher für Webdienste und Clients mit eigenen Zertifikaten zu generieren.
|
2. Stellen Sie den Webdienst wie folgt im Windchill Server erneut bereit:
◦ cd <your local view root>\Rialto\modules\RBMWebServiceCore\src
◦ ant -f %WT_HOME%/bin/adminTools/WebServices/build.xml -Dservlet.name=RBMWSCoreService -Dtype.id=com.ptc.rialto.RBMWSCoreService -Dsecurity.policy=samlsv generate
|
SAML ist nicht als Sicherheitsrichtlinie geeignet, falls der Software Build Tools Client auf dem Desktop installiert ist.
|
Eine gültige Konfiguration erfordert eine security.properties-Datei für den Server. Die Standarddatei befindet sich in der Regel im Pfad %WT_HOME%\Windchill\bin\adminTools\WebServices. Wenn Sie eine andere Datei verwenden möchten, überschreiben Sie die Standarddatei durch Hinzufügen von -Dsecurity.properties.file= zum Befehl ant.
|
• Geben Sie den absoluten Pfad für %WT_HOME% an.
• Die Datei "security.properties" befindet sich nur dann im Pfad %WT_HOME%\Windchill\bin\adminTools\WebServices, wenn Sie sie mit dem Skript jws-stores.xml erstellt haben.
|
Die Datei security.properties muss Pfade zu den Schlüsselspeicher- und Truststore-Dateien für den Server, ein Passwort und den Zertifikatnamen enthalten. Außerdem muss die Zeile handler.config in der Datei den SAML-Handler angeben.
3. Deaktivieren Sie den Authentifizierungsschutz für die Web-Server-Basis, indem Sie RBM-spezifische Einträge aus den Apache conf-Dateien entfernen. Bearbeiten Sie hierzu die Dateien app-Windchill-Auth.conf und app-Windchill-AuthRes.xml in ${APACHE_HOME}/conf/extra.
4. Starten Sie den Windchill Server, und konfigurieren Sie die Client-JAR-Datei wie folgt zur Verwendung der SAML-Sicherheitsrichtlinie neu:
◦ cd %WT_HOME%\Windchill\codebase\client\jws
◦ java -jar webservices-support.jar -clientJar %WT_HOME%\Windchill\codebase\client\jws\RBMWebServiceCore.jar -securityProperties <path to> security.properties
5. Aktivieren Sie den Webdienst für Software Build Tools, indem Sie einen standardmäßigen Windchill Benutzernamen und die regulären Befehlsparameter bereitstellen.
Weitere Informationen zum Einrichten der Sicherheitsrichtlinie finden Sie in der zugehörigen Dokumentation im Windchill Hilfe-Center.
Beispiel für eine security.properties-Datei
com.ptc.jws.client.keystore.file=%WT_HOME%/Windchill/prog_examples/jws/stores/client-keystore.jks
com.ptc.jws.client.keystore.password=changeit
com.ptc.jws.client.keystore.alias=ws-client
com.ptc.jws.client.truststore.file=%WT_HOME%/Windchill/prog_examples/jws/stores/client-truststore.jks
com.ptc.jws.client.truststore.password=changeit
com.ptc.jws.client.truststore.peeralias=<host name, if the jws-stores.xml was used to create the keystore>
handler.config=samlHandler:com.ptc.jws.client.handler.SamlCallbackHandler