AGIP
Buenos Aires Ciudad

Web Services SOAP

El contenido de este micrositio técnico es de utilidad para los programadores de aplicaciones clientes que van a consumir los Web Services SOAP disponibles de la AGIP.


Arquitectura General

El intercambio de información entre AGIP y los Entes Externos (EE) se implementa a través de Web Services SOAP sobre transporte HTTPS.

Todos estos web services de negocio (WSN) están directamente accesibles a través de Internet, no se requiere el establecimiento de canales especiales de comunicaciones ni VPNs. El acceso a los WSN está regulado por otro WS llamado LoginWS, el cual autentica a las aplicaciones clientes y les concede permiso de acceso a cada WSN mediante el otorgamiento de un Ticket de Acceso (TA). Cada TA es válido para un WSN en particular y tiene una validez limitada en el tiempo (actualmente, doce horas). La aplicación cliente será responsable de presentar al WSN el TA otorgado por el LoginWS, de lo contrario el WSN rechazará su solicitud de acceso.

Autenticación y Autorización

El diagrama muestra el flujo entre los servicios, tanto en el Entorno de Testing como en el de Producción:

La autenticación del cliente se realiza utilizando criptografía de clave pública basada en certificados digitales X.509.

Una vez obtenido el certificado digital el EE llevará a cabo los trámites requeridos en cada caso para obtener la autorización inicial para acceder a un WSN y lo relacionará con un certificado digital.

El cliente solicitará al LoginWS que le conceda un TA para un WSN en particular mediante el envío de una estructura CMS (ver PKCS#7, S/MIME) conteniendo la solicitud propiamente dicha (ver TRA en Manual para el desarrollador del LoginWS) más su firma digital separada más su certificado X.509. Basado en el análisis de estos datos, el LoginWS autenticará al cliente mediante la verificación de su firma digital y la comprobación en su base de datos de que el EE haya completado los trámites de autorización inicial para acceder al WSN para el cual solicita permiso en el TRA; si estos controles son superados, entonces el LoginWS contestará devolviendo un TA, de lo contrario, devolverá un mensaje de error explicativo.

El cliente del WSN extraerá del TA dos componentes, Token y Sign, y los enviará junto con los datos de negocio en cada solicitud que le envíe al WSN.

Circuito de Uso del Certificado

Generación:

  • genera CSR
  • sube CSR, mediante el "Administrador de Certificados"
  • descarga X509
  • genera un TRA(Ticket de Requerimiento de Acceso) con el servicio y fechas requeridas
  • genera un CMS c/X509 + firma privada con el TRA
  • la respuesta del paso anterior es un TA (Ticket de Acceso)
  • con este TA debe generar un CMS, que se deberá usar para acceder al WS (4) del gráfico anterior