.png)
InterSystems IRIS for Health™ 是全球第一个也是唯一一个专门为医疗应用程序的快速开发而设计的数据平台,用于管理全世界最重要的数据。它包括强大的开箱即用的功能:事务处理和分析、可扩展的医疗保健数据模型、基于 FHIR 的解决方案开发、对医疗保健互操作性标准的支持等等。所有这些将使开发者能够快速实现价值并构建具有突破性的应用程序。了解更多信息。
该元素的各部分如下:
<EncryptionMethod> 表示用于加密对称密钥的算法。在 IRIS 中,可以指定密钥传输算法(由 <EncryptionMethod> 的 Algorithm 属性显示)。请参阅指定密钥传输算法。
<KeyInfo> 标识用于加密此对称密钥的密钥。在 IRIS 中,<KeyInfo> 包含 <SecurityTokenReference>,其具有以下形式之一:
WS-Security 标头中较早位置的 <BinarySecurityToken> 的引用,如前面的示例所示。<SecurityTokenReference> 可以包含证书的 SHA1 指纹,如下所示:<SecurityTokenReference xmlns="[parts omitted]oasis-200401-wss-wssecurity-secext-1.0.本主题讨论 SOAP 消息中较常见的安全元素,特别是 IRIS Web 服务和客户端可以发送的变体。此信息旨在帮助那些不经常使用 SOAP 的人重温记忆。此处的详细信息也可能有助于故障排除。
<BinarySecurityToken><BinarySecurityToken> 的目的是携带消息中其他元素使用的安全凭证,供消息接收者使用。安全凭证以序列化、编码的形式携带。以下显示了部分示例:
<BinarySecurityToken wsu:Id="SecurityToken-4EC1997A-AD6B-48E3-9E91-8D50C8EA3B53"
EncodingType="[parts omitted]#Base64Binary"
ValueType="[parts omitted]#X509v3">
MIICnDCCAYQ[parts omitted]ngHKNhh
</BinarySecurityToken>
该元素的各部分如下:
Id 是此令牌的唯一标识符,包含该标识符以便此消息中的其他元素可以引用此令牌。如有必要, IRIS 会自动生成此标识符。本节讨论 IRIS Web 服务和 Web 客户端中可能出现的与安全相关的错误:
IRIS Web 服务或客户端,则可能尚未配置为识别 WS-Security 标头。在这种情况下,当您尝试执行 Web 方法时,会收到如下一般错误:<ZSOAP>zInvokeClient+269^%SOAP.WebClient.1
将以下内容添加到Web服务或客户端并重新编译:
Parameter SECURITYIN="REQUIRE";
这种一般错误也可能是由于错误地调用 Web 方法(例如,在 Web 方法没有返回值时引用返回值)造成的。
如果使用 WS-Policy,则此项不适用。
Web 方法时,可能会收到以下安全错误:ERROR #6454: No supported policy alternative in configuration
Policy.Client.Demo1SoapConfig:service
SOAP 日志会指出这一点。例如:08/05/2011 14:40:11 *********************
Input to Web client with SOAP action = http://www.myapp.本主题提供信息来帮助识别 IRIS 中 SOAP 安全问题的原因。
有关与安全无关的问题的信息,请参阅 IRIS 中的 SOAP 问题故障排除。
要解决 SOAP 问题,通常需要以下信息:
WSDL 及其引用的所有外部文档。| Option | Usable with SSL/TLS? | Shows HTTP headers? | Comments |
|---|---|---|---|
| IRIS SOAP log | Yes | No | 对于安全错误,此日志显示的详细信息比 SOAP 故障中包含的更多。 |
| Web Gateway trace | Yes | Yes | 对于使用 MTOM(MIME 附件)的 SOAP 消息问题,查看 HTTP 标头至关重要。 |
| Third-party tracing tools | No | Depends on the tool | 一些跟踪工具还显示较低级别的详细信息,例如实际发送的数据包,这在进行故障排除时至关重要。 |
这 IRIS 中的 SOAP 问题故障排除中进行了讨论。
SOAP 客户端会使用 `HTTP 身份验证,请注意,可以启用身份验证的日志记录;请参阅提供登录凭据。正确处理故障也非常有用,这样就可以收到最好的信息。
<SubjectConfirmation>与 <EncryptedKey>要添加带有 <SubjectConfirmationData>(其中包含 <EncryptedKey> 元素)的 <SubjectConfirmation>,请执行以下操作:
%SYS.X509Credentials 的实例。或者使用与签署断言时使用的相同凭证集。
SAML 断言对象的 Subject 属性的 NameID 属性。SAML 断言对象的 Subject 属性的 AddEncryptedKeyConfirmation() 方法。method AddEncryptedKeyConfirmation(credentials As %X509.Credentials) as %Status
对于参数,请使用之前创建的 %SYS.X509Credentials实例。
<Subject>元素要将 <Subject> 元素添加到 %SAML.Assertion 实例,执行以下操作:
%SAML.Subject 的新实例。Subject 属性设置为等于此实例。<SubjectConfirmation> 元素要将 <SubjectConfirmation> 元素添加到的 %SAML.Assertion 实例,请使用以下某个小节中的步骤。
<SubjectConfirmation>使用方法 Holder-of-key要使用 Holder-of-key 方法添加 <SubjectConfirmation>,请执行以下操作:
%SYS.X509Credentials 的实例。或者使用与签署断言时使用的相同凭证集。
要创建令牌,调用 %SOAP.Security.BinarySecurityToken 的 CreateX509Token() 类方法。例如:
set bst=##class(%SOAP.Security.BinarySecurityToken).<BinarySecurityToken><BinarySecurityToken> 包含序列化、base-64 编码格式的证书。可以忽略此令牌,而改用标识证书的信息;接收方使用此信息从相应位置检索证书。为此,请使用上述步骤,并进行以下更改:
2 和 3。也就是说,不要创建和添加 <BinarySecurityToken>.。4 中,使用凭证集(而不是二进制安全令牌)作为 CreateX509() 的第一个参数。例如: set assertion=##class(%SAML.Assertion).CreateX509(credset,referenceOption)
对于 referenceOption,可选择指定一个值,如 X.509 凭证的参考选项中所述。可以使用除 $$$SOAPWSReferenceDirect 之外的任意值。
如果指定凭证集作为第一个参数(正如我们在这个变体中所做的那样),则默认引用选项是证书的指纹。
要创建未签名的 SAML 断言,请使用上述步骤,并进行以下更改:
1、2 和 3。也就是说,不要创建和添加 <BinarySecurityToken>本主题描述如何将SAML 令牌添加到 WS-Security 标头元素。
另请参阅 %SAML.Assertion 的类参考和相关类。
未实现完整的 SAML 支持。 IRIS 中的 SAML 支持仅指 IRIS 中的 WS-Security 支持中列出的详细信息。
借助 IRIS SOAP 支持,可以将 SAML 令牌添加到 WS-Security 标头元素。
可以选择将此 SAML 令牌用作签名或加密的密钥材料。如果这样做, IRIS 将遵循 WS-Security SAML 令牌配置文件规范。密钥材料来自 SAML 断言的 <SubjectConfirmation> 元素(带有 Holder-of-key (HOK) 方法)和 <SubjectConfirmationData> 或 <KeyInfoConfirmationData>(带有 <KeyInfo> 子元素)。
或者,可以使用 Sender-vouches (SV) 方法添加 <SubjectConfirmation>;在这种情况下,主题不包含密钥。为了保护这种情况下断言,建议您添加从消息签名到 SAML 令牌的安全令牌引用。
要创建 SAML 令牌并将其添加到出站 SOAP 消息,可以使用此处的基本过程或小节中描述的变体。
%soap.本演示程序用于展示如何采用自定义FHIR profile来验证数据合规性。自定义FHIR实施指南基于FHIR R4版本开发,在本例中实现了对Organization资源的扩展并用于验证数据的合规性。
FHIRValidation
├─ ExampleIG
│ ├─ ig.ini
│ ├─ input
│ │ ├─ fsh
│ │ │ ├─ alias.fsh
│ │ │ ├─ codesystems.fsh
│ │ │ ├─ organization.fsh
│ │ │ └─ valuesets.fsh
│ │ └─ pagecontent
│ │ └─ index.md
│ └─ sushi-config.yaml
├─ README.WS-ReliableMessaging 标头进行签名可以通过以下任一方式签署 WS-ReliableMessaging 标头。
SecurityContextToken 对标头进行签名如果还使用 WS-SecureConversation,则 Web 客户端的 SecurityContextToken 属性包含一个对称密钥,可以使用该密钥对 WS-ReliableMessaging 标头元素进行签名。为此,请在调用 %SOAP.RM.CreateSequence实例的 AddSTR() 方法,并将 SecurityContextToken 属性作为参数传递:
do createsequence.AddSTR(client.SecurityContextToken)
在调用 %StartRMSession() 之前执行此操作。
还可以使用与签署消息其余部分相同的方式签署 WS-ReliableMessaging 标头。为此,在调用 %XML.Signature 的 Create() 或 CreateX509() 方法时,将值 $$$SOAPWSIncludeRMHeaders 添加到 signatureOptions 参数。
Foreign Table 是 IRIS SQL 中一种特殊类型的表。它不代表 IRIS 本地全局管理的数据,而是投射出来的,由 “外部服务器 ”管理的外部数据。从 SQL 的角度来看,外部表与普通表一样,可以在查询中使用,没有任何特定限制。
在数据编织中可以帮助整合不同的来源的数据,以支持各种应用、分析并提供智能洞察力。
IRIS 支持 WS-ReliableMessaging 规范的部分内容,如简介中所述。此规范提供了一种按顺序可靠地传递一系列消息的机制。本页介绍如何手动使用可靠消息传递。
Web 客户端发送一系列消息要将一系列消息从 IRIS Web 客户端可靠地发送到支持 WS-ReliableMessaging 的 Web 服务,请执行以下操作:
Web 客户端的安全标头元素。如果正在使用 WS-SecureConversation,请启动安全对话。
%SOAP.RM.CreateSequence的 Create() 类方法。这将返回该类的一个实例。此方法具有以下签名:
classmethod Create(addressingNamespace As %String,
oneWay As %Boolean = 0,
retryInterval As %Float = 1.0,
maxRetryCount As %Integer = 8,
expires As %xsd.在使用FHIR进行开发的过程中,我们会面对海量的FHIR规范中定义的数据结构,具体来说在FHIR规范中定义了超过150个资源、700多个资源内元素。每个定义里都包括了对自身结构的描述以及数据约束、数据绑定值集等。对于一个开发人员要记住这些内容非常困难。
同时FHIR数据,特别是Json格式的FHIR数据是典型的“有向图”结构,它的资源中嵌套元素定义、集合以及复杂的资源间“关系”,在这些复杂结构的数据间导航并操作,非常困难。
.png)
在InterSystems IRIS for Health 2024.1之前,我们会将FHIR数据以Json文档的方式载入 %DynamicAbstractObject,例如下面的代码
set dynObject1 = ##class(%DynamicObject).%New()
set dynObject1.SomeNumber = 42
set dynObject1.SomeString = "a string"
set dynObject1.SomeArray = ##class(%DynamicArray).%New()
set dynObject1.SomeArray."0" = "an array element"
set dynObject1.SomeArray.我们最近在向量搜索抢险体验计划中提供了新版的 InterSystems IRIS,新版本采用了新的基于分层可导航小世界 (HNSW) 索引算法的近似最近邻索引。 这一新增功能可对大型向量数据集进行高效的近似最近邻搜索,从而显著提高查询性能和可扩缩性。
HNSW 算法旨在通过构建基于图形的结构来优化高维数据的向量搜索,从而更快地在大型向量集合中找到近似邻。 无论您使用的是推荐系统、自然语言处理,还是其他机器学习应用,HNSW 都能显著缩短搜索时间,同时允许您调整准确度水平,但准确度提高的代价是查询时间变慢。
HNSW 的主要优点包括:
• 即使数据集规模不断扩大,也能加快搜索速度
• 减少内存占用,同时保持高准确度
• 与现有的 IRIS 向量搜索功能无缝集成
最新版本现已通过向量搜索抢先体验计划提供。 要参与,请在此处注册,下载新版本并开始测试。 我们正在持续增强向量搜索的功能,因此您的反馈至关重要!
我们鼓励您探索性能改进方法,并与社区分享您的想法。 如果您在抢先体验阶段遇到任何问题或有任何反馈,请联系我。
祝您编码愉快!
在 Web 服务使用 <SecurityContextToken>, 做出响应后,客户端实例和服务实例可以访问相同的对称密钥。有关此密钥的信息包含在两个实例的 SecurityContextToken 属性中。建议的程序如下:
SecurityOut 属性设置为 null,以删除请求消息中使用的安全标头。在 Web 服务中不需要这样做,因为 Web 服务会在每次调用后自动清除安全标头。
<SecurityContextToken> 添加到 WS-Security 标头元素。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。例如: set SCT=..SecurityContextToken
do ..SecurityOut.AddSecurityElement(SCT)
如果在下一步创建派生密钥令牌时使用 $$$SOAPWSReferenceSCT 引用选项,则此步骤是必需的。否则,此步骤不是必需的。
<SecurityContextToken>创建一个新的 <DerivedKeyToken> 。为此,调用 %SOAP.IRIS Web 服务以支持 WS-SecureConversation当 Web 客户端向 Web 服务发送请求安全对话的消息时,安全对话就开始了。作为响应,Web 服务发送双方都可以使用的 <SecurityContextToken>。
要使 IRIS Web 服务能够使用此令牌进行响应,请重写 Web 服务的 OnStartSecureConversation() 方法。此方法具有以下签名:
Method OnStartSecureConversation(RST As %SOAP.WST.RequestSecurityToken) As
%SOAP.WST.RequestSecurityTokenResponseCollection
该方法应该执行以下操作:
SOAP 主体。OnStartSecureConversation() 发送的消息包含必须保护的信息;此信息在 SOAP 主体中携带。根据需要,可以选择采用其他方式保护消息安全。
%SOAP.WST.Entropy 的 CreateBinarySecret() 方法。此方法返回表示随机服务器熵的该类的实例。IRIS 支持安全对话,遵循 WS-SecureConversation 1.3 规范。本页介绍如何手动创建安全对话。
在安全对话中,Web 客户端向 Web 服务发出初始请求并接收包含 <SecurityContextToken> 的消息。此元素包含双方都可以使用的对称密钥的信息。此信息指的是只有双方知道的共享密钥。然后双方可以在后续交换中使用对称密钥,直到令牌过期或客户端取消令牌。
双方不应该直接使用 <SecurityContextToken> 执行这些任务(不推荐),而应该从中生成一个 <SecurityContextToken>,然后使用它进行加密、签名、解密和签名验证。
共享密钥可以通过以下任一方式指定:
Web 客户端启动安全对话。要在 IRIS 中执行此操作,请在 Web 客户端中执行以下操作:
SOAP 主体。客户端发送的请求包含必须保护的信息;此信息在 SOAP 主体中携带。根据需要,可以选择采用其他方式保护请求消息。
%SOAP.WST.Entropy的 CreateBinarySecret() 方法。此方法返回表示随机客户端熵的该类的实例。WS-Security了解 IRIS 网络服务有两个独立的机制在起作用是很有用的:IRIS 服务器和网络服务代码。
Web 应用程序指定允许的身份验证模式,从而控制对 %Service_WebGateway 服务的访问。(有关详细信息,请参阅时间戳和用户名令牌示例。有关更多背景信息,请参阅 Web 应用程序。)如果您选择密码选项,则 Web 应用程序可以接受 IRIS 用户名/密码对;这称为实例身份验证。Web 服务还可以要求 IRIS 用户名/密码对。这些机制协同工作如下:
Web 服务将检查是否存在名为 <Security> 的标头元素,而不会检查该元素的内容。<Security>标头元素并且 SECURITYIN 参数等于 REQUIRE,则 Web 服务将发出故障并退出。<Security> 标头元素包含<UsernameToken> 元素:Web 应用程序选择了密码选项,则 Web 服务将读取 <UsernameToken>元素,从中获取用户名和密码,并登录到 Web 应用程序。Web 服务对 SECURITYIN 参数的任何值(IGNOREALL 除外)都执行此操作。
本主题介绍如何验证 IRIS Web 服务或 Web 客户端收到的消息中的安全元素(并自动解密任何加密内容)。
IRIS 网络服务和网络客户端可以验证入站 SOAP 消息的 WS-Security 标头元素,以及自动解密入站消息。
IRIS Web 服务和 Web 客户端还可以处理已签名的 SAML 断言令牌并验证其签名。但是,验证 SAML 断言的详细信息是您的应用程序的责任。
如果使用安全策略,所有上述活动都是自动的。
在所有场景中,IRIS 都使用其根颁发机构证书集合;请参阅设置和其他常见活动。
WS-Security 标头要验证任何入站 SOAP 消息中包含的 WS-Security 标头元素,请执行以下操作:
Web 服务或 Web 客户端中,设置 SECURITYIN 参数。使用以下值之一:
REQUIRE — Web 服务或 Web 客户端验证 WS-Security 标头元素,如果不匹配或缺少此元素,则会发出错误。ALLOW — Web 服务或 Web 客户端验证 WS-Security 标头元素。签名然后加密(使用对称密钥时):
<DerivedKeyToken> 进行加密中的步骤进行操作。<DerivedKeyToken> 进行签名中的步骤进行操作。以下示例使用对称密钥进行签名和加密。它使用消息接收者的公钥创建一个 <EncryptedKey>元素,然后使用该元素生成两个 <DerivedKeyToken> 元素,一个用于签名,一个用于加密:
// create UsernameToken
set userToken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
//get credentials of message recipient
set x509alias = "servernopassword"
set cred = ##class(%SYS.X509Credentials).GetByAlias(x509alias)
//get EncryptedKey element
set enc=##class(%XML.Security.EncryptedKey).可以在同一条消息中加密和签名。在大多数情况下,只需组合前面主题中给出的方法即可。本主题讨论了多种场景。
要签名然后加密(使用非对称密钥时),请执行以下操作:
或者按照加密 SOAP 主体中的步骤进行操作。
要仅加密 SOAP 主体,然后添加数字签名(使用非对称密钥时),请执行以下操作:
要加密任何安全标头元素,然后添加数字签名(使用非对称密钥时),必须使用顶级 <ReferenceList> 元素(在文档的其他地方不需要)。在这种情况下,请执行以下操作:
1 — 4 进行操作。<EncryptedData> 元素。为此,请调用 %XML.Security.EncryptedData的 Create() 类方法。在此过程中,指定所有三个参数:a. 在前面的步骤中创建的加密密钥实例。
b. 要加密的安全标头元素。
c. $$$SOAPWSReferenceEncryptedKey,指定 <EncryptedData> 如何使用加密密钥实例。
要使用 <DerivedKeyToken>进行签名,请使用以下步骤:
<DerivedKeyToken> 并将其添加到 WS-Security 标头,如创建和添加 <DerivedKeyToken> 中所述。请注意,此步骤还会创建并添加 <DerivedKeyToken> 所基于的 <EncryptedKey> 元素。
<Signature> 元素。为此,请调用 %XML.Security.Signature的 Create() 类方法。例如: set dsig=##class(%XML.Security.Signature).Create(dkt)
此方法返回 %XML.Security.Signature 的实例,该实例表示 <Signature> 标头元素。签名值通过 HMAC-SHA1 摘要算法计算,使用 <DerivedKeyToken> 隐含的对称密钥。
<Signature> 元素适用于消息的一组默认部分;可以指定一组不同的部分。
WS-Security 标头元素。进行加密(一)
WS-Security 标头元素中。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。在这种情况下,需要两个参数:a. 安全标头元素(而不是从中生成的的 %XML.Security.EncryptedData)。
b. 引用列表实例。第二个参数指定将第一个参数指定的项目放在何处。如果参数是 A、B,则 IRIS 确保 A 在 B 之后。指定此项以便收件人首先处理引用列表,然后再处理依赖于它的加密安全标头元素。
do client.SecurityOut.AddSecurityElement(userToken,reflist)
如果仅加密了 SOAP 主体,系统会自动将 <EncryptedData> 元素作为 <Body>的子元素。
SOAP 消息。请参阅添加安全标头元素中的一般注释。例如,以下客户端代码对 SOAP 主体和 <UsernameToken>进行加密:
// Create UsernameToken
set userToken=##class(%SOAP.Security.UsernameToken).进行加密
要使用 <DerivedKeyToken> 进行加密,请使用以下步骤:
<DerivedKeyToken> 并将其添加到 WS-Security 标头,如创建和添加 <DerivedKeyToken> 中所述。请注意,此步骤还会创建并添加 <EncryptedKey> 所基于的 <EncryptedKey> 元素。
<EncryptedData> 元素。为此,请调用 %XML.Security.EncryptedData 的 Create() 类方法。在此过程中,请指定以下参数:a. 派生密钥令牌
b. 要加密的项目。省略此参数可加密正文。
c. 指定 <EncryptedData> 元素如何引用 <DerivedKeyToken> 的宏。在此场景中,当前唯一支持的值是 $$$SOAPWSReferenceDerivedKey。
例如,加密 <UsernameToken>:
set refopt=$$$SOAPWSReferenceDerivedKey
set encryptedData=##class(%XML.Security.HI 各位开发者们,
📅2024年9月23日🕑14:00-15:30🕞,InterSystems将举办线上研讨会,点击🔔此处🔔报名参会。
此次研讨会以“面向未来的数据平台——InterSystems IRIS五大亮点提速数据潜力挖掘与AI应用”为主题,帮助您了解InterSystems IRIS数据平台的五大亮点:
IRIS 支持 WS-SecureConversation 1.4 定义的 <DerivedKeyToken> 元素。可以创建并使用<DerivedKeyToken> 元素进行加密和签名,作为前三个主题中描述的方法的替代。
通常,会同时执行加密和签名。为简单起见,本主题分别介绍这些任务。有关结合加密和签名的信息,请参阅结合加密和签名。
<DerivedKeyToken> 元素旨在携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的指定部分进行加密、签名或同时执行这两种操作。
要生成和使用 <DerivedKeyToken>,请执行以下操作:
<EncryptedKey>元素。可以从该实体的请求消息中包含的 X.509 证书中获取公钥。或者可以提前获取它。
P_SHA1 算法从原始对称密钥计算出一个新的对称密钥。这将创建一个引用 <EncryptedKey> 元素的 <DerivedKeyToken> 元素。
对这些活动使用不同的对称密钥被认为是一种很好的做法,这样就可以减少用于分析的数据量。
<DerivedKeyToken>还可以创建隐式 <DerivedKeyToken>,这是引用 <DerivedKeyToken> 的快捷方法。在此方法中:
<DerivedKeyToken><DerivedKeyToken> 的元素中,<SecurityTokenReference> 元素指定 Nonce 属性,该属性包含用于 <DerivedKeyToken> 的 nonce 值。这向消息接收者表明派生密钥令牌是隐含的,并且是从引用的令牌派生的。要创建隐式 <DerivedKeyToken>,请使用前面描述的一般过程,但有两处更改:
Implied 属性设置为 1。 set dkt.Implied=1
<DerivedKeyToken> 元素添加到 WS-Security 标头元素。使用 <DerivedKeyToken> 的方式与将其包含在消息中的方式完全相同。
<EncryptedKey> 的 SHA1 哈希在此变体中(仅适用于 Web 服务),发送者不在消息中包含 <EncryptedKey> 元素,而是引用密钥的 SHA1 哈希。
使用向量搜索在 IRIS for Health 上运行的病人相似性比较演示。 使用向量搜索计算相似度,在向量基础上比较不同病人之间的个人属性,如姓名、出生日期、地址等。得分越高,被比较的病人越有可能是同一个人。 本演示程序使用 sentence-transformers model 将文本转换为向量,然后使用 IRIS 向量函数来存储、读取和比较向量。
默认情况下,签名的摘要值是通过 SHA-1 算法计算的,安全标头中的 <Signature> 元素包含如下内容:
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></DigestMethod>
<DigestValue>waSMFeYMruQn9XHx85HqunhMGIA=</DigestValue>
可以为签名指定不同的摘要方法。为此,调用 %XML.Security.Signature 实例的 SetDigestMethod() 方法。对于参数,请使用以下宏之一(包含在 %soap.inc 文件中):
$$$SOAPWSsha1 (the default)-$$$SOAPWSsha256
$$$SOAPWSsha384
$$$SOAPWSsha512
do sig.SetDigestMethod($$$SOAPWSsha256)
默认情况下,签名值是通过 RSA-SHA256 算法计算的,安全标头中的 <Signature> 元素包含如下内容:
<SignatureMethod Algorithm="http://www.w3.要添加在签名的 SAML 断言中使用证书的数字签名,请执行以下操作:
%soap.inc 包含文件,它定义了可能需要使用的宏。 set utoken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
Holder-of-key 方法的<SubjectConfirmation> 元素创建签名的 SAML 断言。请参阅创建和添加 SAML 令牌。<Signature> 元素。创建时,使用已签名的 SAML 断言作为 CreateX509() 类方法的第一个参数。例如: set signature=##class(%XML.Security.EncryptedKey).CreateX509(signedassertion)
WS-Security 标头元素。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。对于参数,请指定上一步中创建的签名对象。例如: do ..SecurityOut.AddSecurityElement(dsig)
SOAP 消息