Services Web CICS. Régis DAVID Expert CICS IBM IBM Corporation

Transcription

1 Services Web CICS Régis DAVID Expert CICS IBM 2009 IBM Corporation

2 Agenda Première partie: Services Web et CICS Rappels mais c est très simple! Retour d expériences 2007 Où l on veille au grain La case de l oncle MTOM Services Web et après? Deuxième partie: CICS et approche SOA Cycle de vie et gouvernance CICS prend le bus CICS et Datapower CICS et WSRR Troisième partie: Autour d un POT! 2 IBM Systems

3 CICS: Services Web, facile le fournisseur! WSDL Consommateur de Service Application Cliente 0. Configuration TCPIPSERVICE ou WebSphere MQ QLOCAL PIPELINE HTTP ou WebSphere MQ Transport 1. Choix de l Interface Descriptions code source (Bottom Up) ou WSDL (Top Down) 2. Génération BATCH ou RDz DFHLS2WS ou DFHWS2LS XML 3. Déploiement PIPELINE SCAN 4. Exécution Fournisseur de Service CWXN HTTP listener WebSphere MQ trigger monitor URIMAP CICS TS V3 WEBSERVICE Installation Automatique CPIH Programme existant Application Serveuse COMMAREA/CHANNEL Handler chain zfs Config Pipeline WSDL WSBind PIPELINE SOAP body XML Data Mapping LINK Bô Language SOURCE structure PIC X(). PIC (). CSD PIPELINE TCPIPSERVICE 3 IBM Systems

4 CICS: Services Web, facile le consommateur! Application Cliente EXEC CICS INVOKE WEBSERVICE PIPELINE Handler chain Service Requester HTTP WebSphere MQ HTTP ou WebSphere MQ Transport XML Service Provider Application Serveuse Language structure SOAP body XML Data Mapping URIMAP WEBSERVICE CICS TS V3 0. Configuration PIPELINE 1. Interface Installation automatique WSDL zfs Pipeline config WSDL CSD PIPELINE 2. Génération DFHWS2LS 3. Déploiement PIPELINE SCAN 4. Exécution WSBind 4 IBM Systems

5 Profitons de l expérience 1/2 Exposition de COMMAREA CICS sous forme de service Joie et l allégresse Appel de service à partir de CICS Avec plus de peine (c est la faute au partenaire ) Schéma XML, syndrome du click <compétence>, mise en œuvre non standard Interopérabilité des messages échangés Schéma XML interopérable = restriction sur les types = pas de surprise minoccurs/maxoccurs, mininclusive/maxinclusive maxlength, whitespace preserve/collapse Messages de longueur variable Types abstraits Interopérabilité SOAP SOAPAction (ex..net, IIS) document/literal, document/literal wrapped et RPC/literal RPC/Encoded n est pas conforme à WS-I (n est ce pas outils Java?) SOAP Fault A statuer, devraient toujours être pris en compte, ne serait ce que pour le logger 5 IBM Systems

6 Profitons de l expérience 2/2 Cas des types non supportés par les assistants CICS Merci Rational Developer for system z (RDz) Sécurité HTTP Basic Authentication et modification de mot de passe Est-ce souhaitable WS-Security Ca marche Validation XML Nécessite la mise en œuvre de Java dans CICS PIPELINE handlers (quelle souplesse!) Gestion d entêtes SOAP privées possible SNIFFER du redbook SG ( COMMAREA: sujets de réflexions, pistes d améliorations Le filler COBOL a-t-il un sens? OCCURS COBOL, balises vides Appel par CALL Pensée service web, vraiment? Commune aux messages entrée et sortie? Granularité du service web? Bonne à tout faire? Couches sédimentaires? Pattern wrapper 6 IBM Systems

7 Le pattern wrapper: meet in the middle Permet d adapter ou de moderniser ou d optimiser une interface existante Code généré par RDz! Composant CICS versus programme? Enchaînements (ex. 3270)? Transport Transport XML XML Belle interface structurée Interface existante optimisée pas structurée moderne pas optimisée pas moderne PIPELINE PIPELINE CICS TS V3 CICS TS V3 CHANNEL Q R wrapper GET CONTAINER MOVE MOVE LINK PUT CONTAINER COBOL, PL/I C/C++ Interface existante pas structurée pas Interface optimisée existante pas pas moderne structurée pas optimisée pas moderne LINK ou CALL COMMAREA COMMAREA Q Q R R Programme existant Programme existant COBOL, PL/I C/C++ COBOL, (assembleur) PL/I C/C++ 7 IBM Systems

8 Service Flow, plus qu un simple wrapper Service Flow wizards CICS TS 3.x Server CICS run time Service Flow Runtime Aussi ECI, EXCI, LINK, MQ Service Interface Flow Transport 3270 COMMAREA XML Link3270 bridge FEPI Déploiement Automatisé zfs Config CSD PIPELINE Applications WSDL WSBind TCPIPSERVICE PROCESSTYPE Rational Developer for System z HATS (hors COMMAREA) HATS Server run time Flow Service Interface 8 IBM Systems

9 Support des standards par CICS XML Extensible Markup Language 1.0 XML Encryption Syntax and Processing XML-Signature Syntax and Processing XML-binary Optimized Packaging (XOP) en V3.2 SOAP SOAP 1.1 et 1.2 Parlez vous MTOM/XOP? SOAP 1.1 Binding for MTOM 1.0 (V3.2) SOAP Message Transmission Optimization Mechanism (MTOM) (V3.2) Web Services Security: SOAP Message Security Profiles WS-I Simple SOAP Binding Profile 1.0 (V3.2) WS-I Basic Profile 1.1 (V3.2) SupportPac CICS CA1N Support de WebSphere Service Registry and Repository (WSRR) Web services Web Services Atomic Transaction Version 1.0 Web Services Coordination Version 1.0 Web Services Trust (V3.2) WSDL 1.1 WSDL 1.1 Binding Extension for SOAP 1.2 WSDL Version 2.0 (V3.2) In-Only, In-Out, In-Optional-Out, Robust in-only WS-Addressing (V4.1) 9 IBM Systems

10 Support de MTOM/XOP 1/2 Le problème posé par les flux binaires Encodage base64binary requis dans le Body SOAP Gloutonnement Temps de réponse CPU SOAP Envelope SOAP Header Header Header Block Block SOAP Body Body sub-element Objet binaire gloutonné en base64binary Objet binaire Ex: image Ex: zoomée image133% Body sub-element 10 IBM Systems

11 Support de MTOM/XOP 2/2 La soluce Gros objets binaires séparés du message SOAP sous forme d attachement Réduction de la taille du message Pas besoin de base64binary Réductions de la latence réseau Message plus petit Optimisation du parsing Hors périmètre du parser SOAP Envelope SOAP Header Header Block Header Block SOAP Body Body sub-element Body sub-element Body sub-element Transport XML CICS TS 3.2 PIPELINE 11 IBM Systems

12 Support de WS-Security ou CICS Support CICS V3 Appel entrant Signature RSA-SHA1 et DSA-SHA1 Tout un tas d algorithmes d encryption Appel sortant Signature RSA-SHA1 Le même tas d algorithmes que le précédent, mais pour le Body SOAP entier Tout un tas de mécanismes permettant de dériver un USERID pour les appels entrants Configuration par le fichier associé au PIPELINE Kerberos, SAML, etc? créances fiables? 12 IBM Systems

13 Support de WS-Trust Ex: TIVOLI Federated Identity Manager (TFIM) STS (Issue/Validate Security Tokens) SAML assertion SOAP Envelope SOAP Header Header Block Header Block SOAP Body Body sub-element Body sub-element Body sub-element Pipeline CICS V3.2 (Trust Handler) RACF userid token SOAP Envelope SOAP Header Header Block Header Block SOAP Body Body sub-element Body sub-element Body sub-element WS-Trust Validation/substitution de créances par un tiers de confiance (Security Token Service ou STS) CICS V3.2 Evite les appels RACF en cas d activation de XUSER (classe SURROGAT) 13 IBM Systems

14 Sécurisation des services web CICS: résumé La mise en œuvre CICS permet d adresser 3 demandes classiques: Identification (qui t es toi?) Couche transport URIMAP WS-Security WS-Trust SOAP Header handler privé Confidentialité Couche transport WS-Security (encryption) Intégrité (mais non, non, non, tu n as pas changé) Couche transport??? WS-Security (signature digitale) Couche transport TCPIPSERVICE pour le fournisseur CLIENTAUTH et CIPHER possibles Indication de https dans l URL pour le consommateur En V3.2 un URIMAP peut cibler un certificat particulier, CIPHER dédié est alors possible MQSeries Peut être suffisant HTTP Basic Authentication Pas vraiment dans le périmètre des services web, à éviter Et qui paye les consommations? 14 IBM Systems

15 Performance: suivez la tendance, pas les chiffres cp ms per service CPU per msg MTOM/XOP Security impact on CPU cost No WS-Security WS-Security ID Assertion WS-Security ID Binary element size in K Assertion & CTS31 CTS32 CTS32 MTOM/XOP Authorization CPU millisecs per msg SOAP +SSL +Auth +Auth+SSL CTS31 CTS32 Parsing de la réponse! Moins de balises CICS as service provider CICS as service requester cp ms per service RequestComplex cp ms per service RequestComplex RequestDataBlock Number of elements Number of elements Element RequestComplex =10 sous éléments 15 IBM Systems

16 Mi-temps! Qu avons-nous vu? L utilisation CICS s intègre de très technologies facilement, et standards de manière très ne fait complète, pas nécessairement dans une une architecture basée cohérente, sur l utilisation élevons des services le sujet webà un niveau plus global! Une approche simple de type presse bouton est possible Une approche experte de type j optimise/maîtrise tout est possible Une approche adulte mâtinée de culture z est possible Pragmatique Cher CICS Sur tes bases solides Il est temps de construire Un excitant avenir SOA qu on débride Tu tiendras tes promesses Mise en œuvre adaptée au cahier des charges Simplicité ou optimisation en rapport avec les besoins et en connaissance de cause 16 IBM Systems

17 Quelle architecture pour Sécuriser «Firewall XML» «Anti intrusion XML» Le contrôle «QOS» Réduire les coûts CICS TS V3 Service Provider CICS Application COMMAREA Web Services Runtime Handler chain Administrer Vos WS SOAP Body Data Mapping Accélér les traitements XML Conf ig Language structure «Logger» 17 IBM Systems

18 Exemple : Type de protection des malveillances requise pour le Mainframe Analyse automatique de tous les appels SOAP aux Web Services pour détecter les malveillances introduites dans les messages et protéger ainsi le Mainframe XML Entity Expansion and Recursion Attacks XML Document Size Attacks XML Document Width Attacks Data Tampering Message Snooping XPath Injection SQL injection XML Document Depth Attacks WSDL Enumeration XML Wellformedness-based Parser Attacks Routing Detour Jumbo Payloads Recursive Elements MegaTags aka Jumbo Tag Names Public Key DoS XML Flood Resource Hijack Dictionary Attack Schema Poisoning Malicious Morphing Malicious Include also called XML External Entity (XXE) Attack Memory Space Breach XML Encapsulation XML Virus Falsified Message Message Tampering Replay Attack others 18 IBM Systems

19 Exemple : Authentifier et Contrôler les accès AAA Chiffrement des communications Architecture d authentification et d autorisation modulaire. Politiques de controle d accès internes ou externes Internes: certs, XML file Externes: external access control servers Authentification / Identification multiples WS-Security user/pass token SSL client certificate SAML assertion HTTP basic-auth Proprietary SSO cookie/token Resource examples: URL ou SOAP method Support des Standards LDAP (for CRL, authentication, authorization) RADIUS (authentication) XKMS (for CRL, authentication) SAML (consume, authentication, authorization, produce) WS-Security, WS-Trust, WS-* Outbound SOAP ou HTTP call 19 IBM Systems

20 Une solution Boîtier SOA - Entre le Réseau & le Logiciel d Application Un boîtier SOA doit apporter Une facilité de gestion Un haut niveau de sécurits curité Plus extensibilité Une rapidité de déploiementd Service Provider CICS TS V3 CICS Application Handler chain Web Services Runtime COMMAREA SOA Body P Data Mapping Language structure Co nfig 20 IBM Systems

21 Comment? Boitier SOA : Opérations XML Centralisées Route, transforme et sécurise des applications sans changement de code Architecture simple et donc peut onéreuse Permet de nouveaux échanges avec des performances inégalables Sans le Boitier SOA Avec le Boitier SOA Traitement sécuriss curisé Routage Transformation Nouveaux standards XML Contrôle d accd accès Mise à jour de chaque serveur d applicationsd Changement de schéma Sécurise, route, transforme toutes les applications instantanément Pas de changement des applications 21 IBM Systems

22 Définition des boîtiers SOA, vue par DataPower Les boîtiers SOA DataPower sont Des boîtiers de sécurité durcis Ayant subi des tests d intrusion Des systèmes embarqués spécialisés Optimisés pour le traitement SOA Grandement configurables Pour une architecture SOA simplifiée Capables de traiter tout type de données (XML et autres) Basés sur les standards Pour fonctionner avec l infrastructure existante Les boîtiers SOA DataPower ne sont pas Des serveurs à utilisation générique avec un logiciel pré-installé Des équipements avec un système d exploitation standard Des boîtiers réseau travaillant sur les paquets (sous la couche OSI 7) Basés sur un socle Java 22 IBM Systems

23 Role du Boîtier Datapower Service Requester Exported WSDL SP Target SRService WSDL Service Provider CICS TS V3 Service Provider CICS Application COMMAREA Centralisation des accès Requester (.Net,External Service) aux Services Web CICS et vice-versa. interception routage virtualisation Handler Web Services Runtime SO Bo c h a i n A P d y Fonction Authentication, identity mapping Audit C o nf ig Data M a p p i n g Language structur e Transformation des messages XML complexes 23 IBM Systems

24 Exemple de Scénario : WS-Security complexe (DP à CICS) Configure DP XSLT for identity assertion WS-Security <UsernameToken> containing RACF id flows in SOAP header across trusted connection Requests Request from.net or from 3rd party SP Datapower Processing Datapower SR SOAP/ HTTPS (with clientauth) Service Provider CICS TS V3 CICS Application Handler chain Web Services Runtime COMMAREA SOAP Authenticate or identity service requester LDAP Con fig Body Data Mapping RACF Language structure Map external identity to internal identity Assign CICS user ID in Pipeline 24 IBM Systems

25 Intégration du boîtier DataPower avec CICS Web Service Annuaire LDAP Authentification Contrôle d accès Accélération XML Contrôle QOS Service Provider CICS TS V3 CICS Application COMMAREA WebSphere Datapower Web Services Runtime WebSphere Datapower SOAP sur HTTP(S) SOAP sur HTTP(S) Handler chain SOAP sur HTTP(S) SOAP Body Firewall XML Anti intrusion XML Administration WEB ou ITCAM SE Logs Data Mapping Language structure Config 25 IBM Systems

26 Example XML Transformation CPU savings from using Datapower CICS as service requester cp ms per service RequestComplex RequestDataBlock Number of elements CPU savings can be made by transforming messages in Datapower However this saving has to be offset against the additional effort of developing XSLT transformations 26 IBM Systems

27 Cycle de vie et gouvernance de vos services web CICS 27 IBM Systems

28 Questions posées à propos de la gouvernance SOA Comment éliminer les redondances et contrôler mes services SOA? Comment assurer la gouvernance de mes services comme partie intégrante de mon architecture SOA? Comment gérer le cycle de vie de mes services? Comment assurer la réutilisation des services? Comment assurer la prise en compte de mes règles de gestion à travers les services externes et internes? Comment assurer un bon contexte d exécution pour mon ESB? Comment assurer que mes services interagissent avec efficacité et dynamisme? Comment optimiser les interactions entre les services et les aligner avec les process business? 28 IBM Systems

29 C est quoi un registry un repository? Registry? Contient des informations sur les services Service interfaces Descriptions Parametres Repository? Stocke des informations sur la nature et l usage des services Nécessité d une solution intégrée Registry / Repository pour tirer le maximum dans la gouvernance et la gestion des assets SOA Business process vitality New value through reuse of assets Improved connectivity Closer alignment of IT to business Business Flexibility 29 IBM Systems

30 Solution IBM : WebSphere Service Registry & Repository Maximize Business Value of your SOA Réutilisation Eliminate Redundancy Business and IT Alignment Change Management Connectivité (Externally) Expose Services IT Flexibility Version Management Policy Management Governance Service Reconciliation Service Lifecycle Management 30 IBM Systems

31 Composants de WebSphere Service Registry & Repository Service Description Entities Service Description Metadata Physical Documents WSDL XSD SCDL WS-Policy XML User-defined Documents Binary Documents Properties name namespace version description modifieddate Relationships imports includes predecessor User-defined Classifications User-defined States Created Approved Published Operational Logical derivations Interface Operation Message Type Policy.. Concepts Service Binding Endpoint Policy Attachment User-defined by classification Business Application Business Process Governed Collection External reference Metadata appliquées aux entities name namespace User-defined metrics User-defined owner externalurl derivedfrom operations messages User-defined User-defined dependantservices serviceinterface governedentities policies.. User-defined Environments Development Test Approval Production User-defined Concepts Application Process Capability Standard Ontologies NAICS UNSPSC ISO IBM Systems

32 WebSphere Service Registry and Repository Architecture User Interface Web Eclipse Plugin Extensions & Integrations Programming Interfaces Java SOAP UDDI Integration Exploitation de zaap capabilities, z/os security facilities Governance Transition Validate Notify Impact Analysis Audit Admin JMX Import / Export Configure Registry & Repository Create Retrieve Update Delete Query IBM UDDI Registry UDDI APIs Lifecycle Access Control Validation Validators Classifications Notification DB2 WebSphere Application Server 32 IBM Systems

33 Cas d utilisation et d interaction avec WSRR Exemple avec Rational Developer for System z Génération du WSDL à partir d un language de haut niveau et sa publication dans WSRR Mise à jour / Enrichissement du service web CICS dans WSRR avec les meta-data pour faciliter les recherches (Ex: critères de selection et runtime) Accès au WSDL dans WSRR et génération d un code structuré (high level) d invocation du service web CICS 33 IBM Systems

34 Integration de WSRR et CICS Transaction Server V3 CICS Supportpac (CA1N) 1.Batch utility Publish to WSRR during CICS service creation 2.Batch utility Get from WSRR to enable service creation 3.Management transaction A CICS transaction to publish a WSDL document to WSRR for each CICS program that is a Web service providers Browse CICS service directory Update WSRR as required To get at this address : 34 IBM Systems

35 Utilitaire Batch z/os de publication de WSDL dans WSRR 35 IBM Systems

36 Utilitaire Batch z/os de publication de WSDL dans WSRR WSDL à publier Paramètres d enrichissement Location du WSRR 36 IBM Systems

37 Utilitaire Batch z/os de publication de WSDL dans WSRR Résultat dans WSRR 37 IBM Systems

38 Utilitaire Transaction CICS de publication de WSDL dans WSRR CICS TS V3 DESC=A description for all the webservices being published VERSION=1 HOSTPORT= USERNAME=wsrrusername PASSWORD=wsrrpassword ENCODING=UTF-8 Host=IBM CICS Transaction Server 38 IBM Systems

39 Utilitaire Batch z/os d accès aux WSDLs stockés dans WSRR 39 IBM Systems

40 RDz comme environnement d interaction avec WSRR RDz 40 IBM Systems

41 RDz comme environnement d interaction avec WSRR 41 IBM Systems

42 + d infos? SG SupportPac : CA1N 42 IBM Systems

43 Récapitulatif d une architecture d intégration WebSphere Service Registry and Repository ll Resolve Services and Enforce Policy Annuaire LDAP Authentification Contrôle d accès Accélération XML Contrôle QOS CICS TS V3 SOAP sur HTTP(S) WebSphere Datapower SOAP sur HTTP(S) Service Provider CICS Application Web Services Runtime COMMAREA SOAP sur HTTP(S) WebSphere Datapower Handler chain Firewall XML Anti intrusion XML Administration WEB ou ITCAM SE Logs SOAP Body Data Mapping Language structure Config 43 IBM Systems

44 Récapitulatif d une architecture d intégration CICS TS V3 Serveur d exécution de vos Services Web Datapower pour : Le routage, La sécurité complexe, AAA, La supervision centralisée Transformation XML Web Service Repository & Registry Publication Enrichissement localisation Gouvernance Les «assets» Web Services CICS et SOA 44 IBM Systems

45 Un «Proof of Technology- PoT» pour aller plus loin L'objectif de ce séminaire est d'explorer l intégration de CICS dans une architecture SOA, à savoir : - la transformation d une interface CICS/COBOL en fournisseur de service web - l accès à un service web à partir d un programme CICS - la sécurisation des échanges - l administration des services CICS - des considérations de performance - l utilisation d un référentiel de services On étendra le périmètre du séminaire aux sujets suivants : les apports de la version V4 de CICS, la démarche de qualité des applications aide à la migration des versions de CICS Powered by ztec Type Présentation Exercice Titre SOA sur System z Rappels sur le support des services web par CICS Transformation d une transaction CICS en fournisseur de service web «provider» à partir de RDz Exercice Développement d une transaction CICS comme consommateur de service web «Requester» à partir de RDz Présentation -Cycle de vie et gouvernance de vos services web CICS -Performance et sécurité : Intégration avec un ESB de type DataPower Exercice Intégration des Web Services CICS avec un ESB de type DataPower Présentation Exercice Discussion - Les apports de la version V4 de CICS - Démarche et outils d aide à la migration Le nouveau visage de CICS : Utiliser CICS Explorer avec les plug-ins (CICS PA, CM & IA) Discussion de groupe Synthèse 45 IBM Systems

46 Merci Thank You Russian Traditional Chinese Gracias Spanish Thai English Arabic French Obrigado Brazilian Portuguese Grazie Italian Simplified Chinese Danke German Japanese IBM Systems