-
Notifications
You must be signed in to change notification settings - Fork 7
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Charimenti interoperabilità e linee guida sicurezza #45
Comments
In merito ai quesiti posti di seguito le risposte agli stessi:
|
Grazie mille delle risposte.
Fino a qui tutto bene. Però un messaggio potrebbe avere altre anomalie, come un campo obbligatorio non specificato o non valido. |
Buongiorno, Nei successivi aggiornamenti dell'allegato in oggetto è possibile prevedere un raffinamento dell'elenco degli errori specializzati capitalizzando l'esperienza maturata dall'utilizzo dei servizi. |
Quel valore lo trovo solo per l'enum "AnomalieAnnullamentoEnum" e non per "AnomalieInoltroEnum". |
Nell'analisi realizzata, considerato l'utilizzo di un MEP asincrono e che il riscontro di non applicazione dei datatype esula dagli errori applicativi, si è ritenuto opportuno per il msg ResponseMessaggioInoltroType di non prevedere 000_Irricevibilita Si precisa che gli enum degli errori previsti sono solo relativi agli errori applicativi gestibili nella comunicazione mittente/destinatario, il ben formato dei msg è gestito a livello di protocollo SOAP e quindi della corretta applicazione del WSDL presente nell'allegato in oggetto |
Si è sicuramente vero: se un messaggio non è ben formato, non "passa" neanche e quindi quei casi sono gestiti a livello di SOAP. |
Salve, come già indicato da @vintra73 il pattern di interazione per lo scambio di un messaggio (MessaggioInoltro) e l'eventuale conferma(ConfermaMessaggioInoltro) è di tipo asincrono. Le anomalie (es. AnomalieInoltroType) che possono essere ritornate al mittente sono legate alla verifiche automatiche che possono essere realizzate prima di rispondere in maniera sincrona con una response soap (es. ResponseMessageInoltro) ad una specificia request soap (es. RequestMessageInoltro). Inoltre queste (es. 001_ValidazioneFirma e 002_AnomaliaImpronte) riguardano il controllo di aspetti di sicurezza relativi alla segnatura, non aspetti di validazione inerenti il contenuto del messaggio. |
Mi è chiara l'impostazione che è stata data e mi è chiaro che le anomalie sono state pensate per essere legate a verifiche automatiche che possono essere effettuate subito, prima di rispondere in modo sincrono al mittente. |
Salve,
avrei bisogno di chiarimenti in merito alla gestione della sicurezza nello scambio di messaggi SOAP.
La parte relativa a TLS, versione minima, etc è chiara.
Se ho capito bene per lo scambio dei messaggi SOAP è necessario attenersi al profilo [INTEGRITY_SOAP_01] che prevede, tra le altre cose, l'inclusione/riferimento
del certificato X.509 e la firma del payload. E' corretto?
Il certificato da utilizzare dovrà essere qualificato in modo da includere gli OID (2.5.4.97 e l'OID 2.5.4.11) definiti nelle linee guida. A questo scopo è possibile
utilizzare il medesimo sigillo informatico utilizzato per la firma della segnatura?
Chi riceve il messaggio SOAP dovrà identificare il "mittente" tramite il certificato e tramite la verifica sull'IPA. E' corretto? Nel caso in cui cui la verifica
non sia possibile per mancanza di tali informazioni nel certificato, il messaggio deve ritenersi non valido?
Se invece tali informazioni ci sono, ma per problemi tecnici non sia possibile verificare lato IPA, il messaggio è sempre da scartare?
The text was updated successfully, but these errors were encountered: