Informations techniques

Sécurité - Tester avec PICT

L'ONSS met le service de tests PlatformIntegrationConsumerTest (PICT) à disposition pour tester la connexion à la plateforme SOA. Ce service comporte tous les scénarios de sécurité requis pour utiliser tous les webservices. La documentation se trouve dans le catalogue de services.

Pour information: Nous vous recommandons d'utiliser ce service avant d'intégrer votre logiciel client avec le service business. Ce service est destiné uniquement à des tests d'intégration et ne peut être utilisé à d'autres fins.

checkConnection

La méthode checkConnection n'est pas sécurisée au niveau du message. Vous pouvez l’utiliser pour tester la connexion via une liaison SSL à la plateforme SOA.

Le test donne une réponse aux questions suivantes :

• Le pare-feu autorise-t-il la connexion ?
• N'y a-t-il pas de problème pour accepter le certificat de serveur SSL ?
• Est-ce que le logiciel client choisi peut communiquer via SOAP request/response ?

checkAccessControl

La méthode checkAccessControl ajoute l'authentification directe au moyen d'un certificat X.509. Vous l’utilisez pour tester la politique de sécurité X.509 au niveau du message.

Le test donne une réponse aux questions suivantes :

• Le logiciel client est-il en mesure d'implémenter correctement la politique X.509 ?
• Le certificat client est-il accepté et lu correctement par la plateforme SOA ?

checkBrokeredAccessControl

La dernière méthode, checkBrokeredAccessControl, requiert la politique SAML holder-of-key. Avant de pouvoir invoquer cette méthode, le service consumer doit recevoir un token SAML correct du SecurityTokenService (STS).

Le test donne une réponse aux questions suivantes :

• Le logiciel client est-il en mesure d'implémenter correctement la politique SAML holder-of-key ?
• Le token SAML est-il une copie exacte de la réponse du STS ?
• Le token SAML est-il accepté et lu correctement par la plateforme SOA ?