CPF merge(合并)

Automating Configuration of InterSystems IRIS with Configuration Merge

CPF merge通过合并一个人工编辑的merge file, 自动的配置新创建的iris instance， 或者修改已有的iris instance。适用于：

• 修改iris的系统配置(cpf文件中的内容)，比如系统参数，创建或者配置用户，角色，权限， 创建或者配置命名空间，数据库； 配置mirror, ECP连接等等。
• 操作不在cpf文件中的内容，比如 CreateApplication, CreateSSLConfig 等等， 一般是在 [Action]部分实现

Caché 和早期的IRIS版本提供了manifest功能，用来做IRIS实例的配置。 Manifest很繁琐，而且各个版本的配置中有细微的区别，非常难以管理。 如今有了CPF merge, maifest的所有功能都可以在CPF merge实现， 因此manifest在新版IRIS中也就完全被替代了。

执行merge

执行merge可以在操作系统命令行下执行， 如下面的例子

# 第2个参数可选，如果为空，自动使用系统当前的iris.cpf
$ iris merge iris /external/irismerge.

使用iris-main

iris-main是IRIS镜像的的ENTRYPOINT程序。 在Container中，ENTRYPOINT 指令允许你指定一个可执行程序或者脚本，作为容器启动后运行的主程序。这个程序会在容器启动时自动执行。

执行docker ps 命令可以看到当前container的ENTRYPOINT是什么：

hma@CNMBP23HMA demo % docker ps
CONTAINER ID   IMAGE                         COMMAND                 CREATED      STATUS      PORTS                                                               NAMES
8f31a857dc90   ./irishealth:2024.2   "/tini -- /iris-main"   3 days ago   Up 3 days   2188/tcp, 52773/tcp, 53773/tcp, 54773/tcp, 0.0.

把CSP.conf保存在container之外

在创建webgateway的container时，可以使用ISC_DATA_DIRECTORY=参数， 选择把CSP文保存在主机而不仅仅是container内部。如下面的例子: 使用volumnes映射了主机的./dur-wg-a目录到container的/dur目录， 而command中的ISC_DATA_DIRECTORY=/dur会讲webgateway的配置文件， log文件等保存在主机。

webgateway-apache:
        image: containers.intersystems.com/intersystems/webgateway-arm64:2024.1
        container_name: wg-tls
        hostname: wg-tls
        ports:
            - "8080:80"
            - "4433:443"
        volumes:
            - ./webgateway/csp:/external
            - .

上一篇文章使用人工配置的方法简单的配置了webgateway container. 接下来来介绍如何在docker-compose里做自动化部署。

先总结我们要做的事情：

1. 配置到IRIS的连接。定义连接的iris的IP地址或者DNS, 以及连接的用户名密码 以及其他的对默认值的修改。
2. 配置apache2的配置文件，保证到IRIS的HTTP请求能发送给CSP Webgateway。
3. 很多时候，用户会希望使用HTTPS访问IRIS，因此需要在apache2上支持TLS。

这些是最基本的功能。除此之外， 用户还可能会要求建立WebGateway到IRIS的TLS连接，或者在Apache2部署自己的网页等等。后面的文章会一一介绍。

配置CSP.ini

上一篇文章中，我通过Webgateway管理页面定义了Webgateway到IRIS的连接，其实是定义了webgateway的配置文件CSP.ini。 无论WebServer是什么类型，IIS，Apache, Nginx, CSP.ini的都是一样的。在Linux中， CSP.ini位于/opt/webgateway/bin目录。

InterSystems提供了一个工具叫 CSP merge。 简单的说，就是可以定义一个被合并的文件, webgateway运行时会不停的扫描这个文件，发现有内容的修改，就把修改后的配置项合并到工作中的CSP.

IRIS image下载

参考：下载Images的在线文档

在网站上获得可以下载的InterSystems的各种docker镜像。如果只是安装Community版本， 不需要注册。如果是下载安装正式的版本，需要在网站注册，然后获得Login Token登陆。

#；这一部有可能需要科学上网,否则无法正常登陆

hma@CNMBP23HMA ~ % docker login -u="hma" -p="k8zIqpoafIUaViP2BA4gCZdcC4EeKyb0svSjnyVtcWMb" containers.intersystems.com
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Login Succeeded

# pull iris image，webgateway，Passhash, arbiter, etc.
hma@CNMBP23HMA ~ % docker pull containers.intersystems.com/intersystems/healthconnect-arm64:latest-cd
hma@CNMBP23HMA ~ % docker pull containers.intersystems.

我在3年前写过同样内容的文章。随着IRIS版本的更新，安装的细节有了些变化，而且，尤其是2024年以后的版本不再使用PWS(Private Web Server), 安装最新版本的IRIS通常同时要安装一个外部的Web服务器，Apache或者nginx。 另外， 大家对自动部署的需要越来越多，因此我也会在下面的内容里面包括自动部署，配置iris, 安装软件等等内容。希望给各位一个基本完整的介绍。

内容列表如下：

基础篇

• IRIS images的下载和docker run
• apache-webgateway container到iris的连接
• nginx-webgateway container到iris的连接
• iris-main和在container外保存iris数据
• 配置iris的新方法：CPF merge ...

随时更新

第三章 I O 输入输出简介 - Use 命令

Use 命令

此命令使指定设备成为当前设备，并将特殊变量$IO设置为该设备。要使用主设备以外的设备，必须首先对其发出OPEN命令；否则，将收到错误。参数的含义与OPEN命令中的相同。

语法

USE device:(args):"mnespace"

device

所需的设备名称、ID 号或别名。设备的最大长度为 256 个字符。

args

可选— 某些设备所需的附加信息。管道（进程间通信） 、文件和终端 I/O的可用参数不同。

mnespace

可选— IRIS 例程的名称，包含控制助记符的定义，当将 I/O 定向到该设备时，可以与WRITE /mnemonic 命令一起使用。

Windows 上的使用示例

此 Windows 示例显示了用于通过 TCP 连接到远程主机larry上的时钟服务器的命令。它使用服务名称daytime ，本地系统将其解析为端口号。

第二章 I O 输入输出简介 - Open 命令

Open 命令

OPEN建立指定设备的所有权并打开指定设备的 I/O 通道。此所有权将持续存在，直到发出CLOSE命令、进程终止或某些物理操作关闭设备。对于物理 I/O 设备或进程间通信（例如 TCP 连接），此所有权会阻止所有其他进程访问该设备。对于逻辑 I/O 设备（例如顺序文件），此所有权可能允许其他进程以某种形式共享访问该文件。打开同一顺序文件的多个进程的处理高度依赖于平台。强烈建议使用LOCK命令来限制对顺序文件的访问。

语法

OPEN device{:{(parameters)}{:{timeout}{:"mnespace"}}}

device

所需的设备名称、ID 号或助记符。设备的最大长度为 256 个字符。

parameters

可选— 一个或多个参数，指定某些设备所需的附加信息。该参数列表用括号括起来，列表中的参数之间用冒号分隔。管道（进程间通信） 、文件和终端 I/O的可用参数不同。

timeout

可选— 等待请求成功的秒数。前面的冒号是必需的。超时必须指定为整数值或表达式。如果超时设置为零 (0)， OPEN将尝试打开文件一次。如果尝试失败， OPEN会立即失败。如果尝试成功，则成功打开文件。如果未设置超时 IRIS 将继续尝试打开设备，直到打开成功或手动终止该过程。

第一章 I/O 输入/输出简介

本页概括地描述了如何在 IRIS 数据平台应用程序中以及在 IRIS 提示符下使用 I/O 设备。

介绍

IRIS 数据平台为多种不同类型的逻辑和物理设备提供支持。支持的逻辑设备包括：

• 主要装置
• 文件
• 管道
• TCP连接
• 作业间通信 (IJC) 设备用于在 IRIS 进程之间进行通信
• 假脱机程序

支持的物理设备包括

• 终端
• 打印机

I/O 命令概述

I/O 命令允许拥有、使用、读取、写入和关闭设备。要将 I/O 操作定向到设备，请首先发出以下命令：

• 发出OPEN命令来建立所有权，除非该设备是主要设备。
• 发出USE命令使该设备成为当前设备。
• 随后的READ和WRITE命令将从该设备读取或写入该设备。
• CLOSE命令释放设备的所有权，以便其他进程可以使用该设备。

以下通用语法适用于支持 ObjectScript 中 I/O 命令关键字的 I/O 命令：

OPEN device:paramlist:timeout:"mnespace"
USE device:paramlist:"mnespace"
CLOSE device:paramlist

其中paramlist可以是单个参数，也可以是括在括号中并用冒号分隔的参数列表：

 parameter  (parameter:parameter[:.

InterSystems FAQ 

一个实例上的最大命名空间数量是 2047. 但是，要使用这么大量的命名空间，你需要相应地配置好内存。

一个实例里可以创建的数据库的最大数量（包括远程数据库） 15998. 根据授权的类型，可能会有所限制。具体细节请参考以下文档。
Database Configuration [IRIS]
Database Configuration
 

第五十五章 安全元素的详细信息 - 详情

本节讨论在消息头中用作 子元素的 元素。当以这种方式使用 时，可以在签名之前执行加密。以下显示了此元素的一个示例：

<ReferenceList xmlns="http://www.w3.org/2001/04/xmlenc#">
   <DataReference URI="#Enc-358FB189-81B3-465D-AFEC-BC28A92B179C"></DataReference>
   <DataReference URI="#Enc-9EF5CCE4-CF43-407F-921D-931B5159672D"></DataReference>
</ReferenceList>

详情

在每个 元素中，URI 属性指向消息中其他位置的 元素的 Id 属性。

第五十四章 安全元素的详细信息 - 详情

的目的是携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的相关部分进行加密、解密、签名和签名验证。

以下显示了部分示例：

<DerivedKeyToken xmlns="[parts omitted]ws-secureconversation/200512" 
                 xmlns:wsc="[parts omitted]ws-secureconversation/200512" 
                 wsu:Id="Enc-943C6673-E3F3-48E4-AA24-A7F82CCF6511">
   <SecurityTokenReference xmlns="[parts omitted]oasis-200401-wss-wssecurity-secext-1.0.

如何启用SSL协议，并能够在使用DBeaver连接时捕获SSL协议交互流量?

如果方便的话，能否提供一个假数据的ssl包?

非常感谢

第五十三章 安全元素的详细信息 - 详情

的目的是携带可由消息接收者验证的数字签名。可以使用数字签名来检测消息更改，或者只是验证消息的某个部分是否确实由列出的实体生成。与传统的手写签名一样，数字签名是对文档的附加，只能由文档的创建者创建，并且不易伪造。

以下显示了部分示例：

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
   <SignedInfo>
      <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
      </CanonicalizationMethod>
      <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha256"></SignatureMethod>
      <Reference URI="#Timestamp-48CEE53E-E6C3-456C-9214-B7D533B2663F">
         <Transforms>
            <Transform Algorithm="http://www.w3.

第五十二章 安全元素的详细信息 - 详情

的作用是携带加密数据，部分示例如下：

<EncryptedData xmlns="http://www.w3.org/2001/04/xmlenc#" 
               Id="Enc-143BBBAA-B75D-49EB-86AC-B414D818109F" 
               Type="http://www.w3.org/2001/04/xmlenc#Content">
   <EncryptionMethod Algorithm="[parts omitted]#aes128-cbc"></EncryptionMethod>
   <CipherData>
      <CipherValue>MLwR6hvKE0gon[parts omitted]8njiQ==</CipherValue>
   </CipherData>
</EncryptedData>

详情

该元素的各部分如下：

• Id 是元素的唯一标识符。 IRIS 会自动生成此标识符。
• 表示用于加密该数据的算法。
• 携带加密数据，作为 元素中的值。在此示例中，值 MLwR6hvKE0gon[parts divided]8njiQ== 为加密数据。
• （未包含在示例中 标识对称密钥。

第五十一章 安全元素的详细信息 - 详情

详情

该元素的各部分如下：

• 表示用于加密对称密钥的算法。

在 IRIS 中，可以指定密钥传输算法（由 的 Algorithm 属性显示）。请参阅指定密钥传输算法。

• 标识用于加密此对称密钥的密钥。在 IRIS 中， 包含 ，其具有以下形式之一：
  • 对 WS-Security 标头中较早位置的 的引用，如前面的示例所示。
  • 用于唯一标识证书的信息，该证书可能是邮件收件人所拥有的。例如， 可以包含证书的 SHA1 指纹，如下所示：

<SecurityTokenReference xmlns="[parts omitted]oasis-200401-wss-wssecurity-secext-1.0.xsd">
   <KeyIdentifier EncodingType="[parts omitted]#Base64Binary" 
                  ValueType="[parts omitted]#ThumbprintSHA1">
      maedm8CNoh4zH8SMoF+3xV1MYtc=
   </KeyIdentifier>
</SecurityTokenReference>

在这两种情况下，相应的公钥都用于加密此 元素中携带的对称密钥。

如果加密使用顶级 元素，则省略此元素；请参阅 。

第五十章 安全元素的详细信息

本主题讨论 SOAP 消息中较常见的安全元素，特别是 IRIS Web 服务和客户端可以发送的变体。此信息旨在帮助那些不经常使用 SOAP 的人重温记忆。此处的详细信息也可能有助于故障排除。

的目的是携带消息中其他元素使用的安全凭证，供消息接收者使用。安全凭证以序列化、编码的形式携带。以下显示了部分示例：

<BinarySecurityToken wsu:Id="SecurityToken-4EC1997A-AD6B-48E3-9E91-8D50C8EA3B53" 
                     EncodingType="[parts omitted]#Base64Binary" 
                     ValueType="[parts omitted]#X509v3">
             MIICnDCCAYQ[parts omitted]ngHKNhh
</BinarySecurityToken>

详细

该元素的各部分如下：

• Id 是此令牌的唯一标识符，包含该标识符以便此消息中的其他元素可以引用此令牌。如有必要， IRIS 会自动生成此标识符。
• EncodingType 表示用于生成 <`BinarySecurityToken>中的值的编码类型。在 IRIS 中，中使用的唯一编码是base-64` 编码。

第四十九章 解决安全问题 - 可能出现的错误

可能出现的错误

本节讨论 IRIS Web 服务和 Web 客户端中可能出现的与安全相关的错误：

• 如果刚刚生成了 IRIS Web 服务或客户端，则可能尚未配置为识别 WS-Security 标头。在这种情况下，当您尝试执行 Web 方法时，会收到如下一般错误：

<ZSOAP>zInvokeClient+269^%SOAP.WebClient.1

将以下内容添加到Web服务或客户端并重新编译：

Parameter SECURITYIN="REQUIRE";

这种一般错误也可能是由于错误地调用 Web 方法（例如，在 Web 方法没有返回值时引用返回值）造成的。

如果使用 WS-Policy，则此项不适用。

• 在其他情况下，当您尝试执行 Web 方法时，可能会收到以下安全错误：

ERROR #6454: No supported policy alternative in configuration 
Policy.Client.Demo1SoapConfig:service

• 入站消息可能未通过验证。如果是这样，SOAP 日志会指出这一点。例如：

08/05/2011 14:40:11 *********************
Input to Web client with SOAP action = http://www.myapp.

第四十八章 解决安全问题

本主题提供信息来帮助识别 IRIS 中 SOAP 安全问题的原因。

有关与安全无关的问题的信息，请参阅 IRIS 中的 SOAP 问题故障排除。

故障排除所需的信息

要解决 SOAP 问题，通常需要以下信息：

• WSDL 及其引用的所有外部文档。
• （在出现与消息相关的问题的情况下）某种形式的消息记录或跟踪。有以下选择：

发生安全错误时要检查的项目

这 IRIS 中的 SOAP 问题故障排除中进行了讨论。

• 在极少数情况下， SOAP 客户端会使用 `HTTP 身份验证，请注意，可以启用身份验证的日志记录；请参阅提供登录凭据。

正确处理故障也非常有用，这样就可以收到最好的信息。

第四十七章 创建和添加 SAML 令牌 - 与

与

要添加带有 （其中包含 元素）的 ，请执行以下操作：

1. 按照以编程方式检索凭证集中所述，创建 %SYS.X509Credentials 的实例。

或者使用与签署断言时使用的相同凭证集。

2. 设置 SAML 断言对象的 Subject 属性的 NameID 属性。
3. 调用 SAML 断言对象的 Subject 属性的 AddEncryptedKeyConfirmation() 方法。

method AddEncryptedKeyConfirmation(credentials As %X509.Credentials) as %Status

对于参数，请使用之前创建的 %SYS.X509Credentials实例。

以 BinarySecret 作为密钥持有者

要添加以 BinarySecret 作为 Holder-of-key 的 ，请执行以下操作：

1. 签署 SAML 断言时，请按如下方式创建签名：

set sig=##class(%XML.Security.Signature).Create(assertion,$$$SOAPWSIncludeNone,$$$SOAPWSSAML)

其中断言是 SAML 断言。请注意，在此场景中使用 Create() 方法。$$$SOAPWSSAML 引用选项创建对 SAML 断言的引用。

开发者社区的成员，大家好！

我们都喜欢编码，但我们应该时不时地放下代码去锻炼身体！ InterSystems 步行挑战将帮助您恢复精力、增强体质。 历史悠久的 Salt Road 在几个世纪以前连接起欧洲，沿着这条传奇的贸易路线，踏上从吕贝克到吕讷堡的虚拟赛道。

赢取跑步机、智能手表和奖牌等精美礼品。

👟🚶🧑‍🦼系紧鞋带，放下工作，更好地编码！ 🔋💻💪

📅日期：9 月 23 日 - 10 月 20 日（可能有变动）

想加入吗？ 详细信息如下。

第四十六章 创建和添加 SAML 令牌 - 使用方法 Holder-of-key

添加元素

要将 元素添加到 %SAML.Assertion 实例，执行以下操作：

1. 创建 %SAML.Subject 的新实例。
2. 根据需要设置主题的属性。
3. 将断言对象的 Subject 属性设置为等于此实例。

添加 元素

要将 元素添加到的 %SAML.Assertion 实例，请使用以下某个小节中的步骤。

使用方法 Holder-of-key

要使用 Holder-of-key 方法添加 ，请执行以下操作：

1. 按照以编程方式检索凭证集中所述，创建 %SYS.X509Credentials 的实例。

或者使用与签署断言时使用的相同凭证集。

2. 可以选择创建并添加包含与给定凭据集关联的证书的二进制安全令牌。

要创建令牌，调用 %SOAP.Security.BinarySecurityToken 的 CreateX509Token() 类方法。例如：

 set bst=##class(%SOAP.Security.BinarySecurityToken).CreateX509Token(credset)

其中 credset 是在上一步中创建的凭证集。

第四十五章 创建和添加 SAML 令牌 - 变体：不使用

变体：不使用

包含序列化、base-64 编码格式的证书。可以忽略此令牌，而改用标识证书的信息；接收方使用此信息从相应位置检索证书。为此，请使用上述步骤，并进行以下更改：

• 跳过步骤 2 和 3。也就是说，不要创建和添加 .。
• 在步骤 4 中，使用凭证集（而不是二进制安全令牌）作为 CreateX509() 的第一个参数。例如：

 set assertion=##class(%SAML.Assertion).CreateX509(credset,referenceOption)

对于 referenceOption，可选择指定一个值，如 X.509 凭证的参考选项中所述。可以使用除 $$$SOAPWSReferenceDirect 之外的任意值。

如果指定凭证集作为第一个参数（正如我们在这个变体中所做的那样），则默认引用选项是证书的指纹。

变体：创建未签名的 SAML 断言

要创建未签名的 SAML 断言，请使用上述步骤，并进行以下更改：

• 跳过步骤 1、2 和 3。也就是说，不要创建和添加 .。
• 对于步骤 4，请使用 Create() 方法而不是 CreateX509()。此方法不带参数。例如：

 set assertion=##class(%SAML.Assertion).Create()

此方法返回

各位社区成员，大家好

Global Masters 已开启！
使用 InterSystems SSO 登录
使用 >> [此链接] << 访问平台，并使用您的 InterSystems SSO 登录。
请注意，在最近的测试中，我们发现一些用户在尝试通过这种方式登录时会遇到错误。 我们目前正在与供应商共同调查问题原因。 如果您遇到此类错误，请通过私信联系我，我将向您发送手动邀请！
测试版免责声明

第四十四章 创建和添加 SAML 令牌

本主题描述如何将SAML 令牌添加到 WS-Security 标头元素。

另请参阅 %SAML.Assertion 的类参考和相关类。

未实现完整的 SAML 支持。 IRIS 中的 SAML 支持仅指 IRIS 中的 WS-Security 支持中列出的详细信息。

概述

借助 IRIS SOAP 支持，可以将 SAML 令牌添加到 WS-Security 标头元素。

可以选择将此 SAML 令牌用作签名或加密的密钥材料。如果这样做， IRIS 将遵循 WS-Security SAML 令牌配置文件规范。密钥材料来自 SAML 断言的 <SubjectConfirmation> 元素（带有 Holder-of-key (HOK) 方法）和 <SubjectConfirmationData> 或 <KeyInfoConfirmationData>（带有 <KeyInfo> 子元素）。

或者，可以使用 Sender-vouches (SV) 方法添加 <SubjectConfirmation>；在这种情况下，主题不包含密钥。为了保护这种情况下断言，建议您添加从消息签名到 SAML 令牌的安全令牌引用。

基本步骤

要创建 SAML 令牌并将其添加到出站 SOAP 消息，可以使用此处的基本过程或小节中描述的变体。

1. 可选择包含 %soap.

本演示程序用于展示如何采用自定义FHIR profile来验证数据合规性。自定义FHIR实施指南基于FHIR R4版本开发，在本例中实现了对Organization资源的扩展并用于验证数据的合规性。

安装

1. 通过Git clone下载本项目。
2. 执行docker-compose up -d构建并启动容器，初次执行时需执行需10～15分钟（视配置变化）。将构建InterSystems IRIS for Health镜像，安装FHIR服务器，导入自定义FHIR规范，使自定义FHIR 规范可用于验证数据。
3. 在Postman中导入TestCases中的测试用例文件，查看各类FHIR约束的测试效果
4. 容器启动后可查看自定义IG内容

项目代码结构

FHIRValidation
├─ ExampleIG                        
│  ├─ ig.ini
│  ├─ input
│  │  ├─ fsh
│  │  │  ├─ alias.fsh
│  │  │  ├─ codesystems.fsh
│  │  │  ├─ organization.fsh
│  │  │  └─ valuesets.fsh
│  │  └─ pagecontent
│  │     └─ index.md
│  └─ sushi-config.yaml
├─ README.

第四十三章 使用 WS-ReliableMessaging - 对 WS-ReliableMessaging 标头进行签名

对 WS-ReliableMessaging 标头进行签名

可以通过以下任一方式签署 WS-ReliableMessaging 标头。

使用 SecurityContextToken 对标头进行签名

如果还使用 WS-SecureConversation，则 Web 客户端的 SecurityContextToken 属性包含一个对称密钥，可以使用该密钥对 WS-ReliableMessaging 标头元素进行签名。为此，请在调用 %SOAP.RM.CreateSequence实例的 AddSTR() 方法，并将 SecurityContextToken 属性作为参数传递：

 do createsequence.AddSTR(client.SecurityContextToken)

在调用 %StartRMSession() 之前执行此操作。

签署消息时签署标头

还可以使用与签署消息其余部分相同的方式签署 WS-ReliableMessaging 标头。为此，在调用 %XML.Signature 的 Create() 或 CreateX509() 方法时，将值 $$$SOAPWSIncludeRMHeaders 添加到 signatureOptions 参数。

各位社区成员，大家好！

我们想念 Global Masters，相信你们也是！

🚀 Global Masters 将于 2024 年 10 月 3 日再次启动！