Skip to content

GovWay v3.3.11
Compare
Choose a tag to compare
@andreapoli andreapoli released this 10 Mar 10:43
· 386 commits to master since this release
3.3.11
6f8b7d1

Miglioramenti al Profilo di Interoperabilità 'ModI'

Sono stati apportati i seguenti miglioramenti:

  • viene adesso supportato una nuova modalità di fruizione ModI in cui il keystore utilizzato per la firma viene associato direttamente alla fruizione, in alternativa alla modalità già esistente in cui il keystore viene associato all'applicativo mittente;

  • aggiunta la possibilità di definire una token policy di negoziazione in cui i dati relativi al keystore, al KID e al clientId possono essere configurati nelle fruizioni con connettore che utilizza token policy con tali caratteristiche;

  • rivista la label 'Contemporaneità Token Authorization e Agid-JWT-Signature' in 'Coesistenza Token Authorization e Agid-JWT-Signature';

  • aggiunta la possibilità di registrare nelle fruizioni proprietà relative ad uno specifico applicativo mittente. La funzionalità è utilizzabile per configurare in una fruizione purposeId differenti per ogni applicativo mittente. Analogamente è ora possibile registrare proprietà diverse per ogni applicativo rispetto all'api invocata.

Miglioramenti alla funzionalità di Negoziazione Token

In una token policy di negoziazione è adesso possibile personalizzare i seguenti parametri della chiamata verso l'authorization server:

  • metodo http;
  • eventuale content-type e payload;
  • aggiunta di header http;
  • definire credenziali http-basic, http-bearer e l'invio di un certificato tls client;
  • personalizzazione del parsing della risposta.

Inoltre anche nelle modalità di negoziazione standard già esistenti è stata aggiunta la possibilità di aggiungere header http personalizzati nella richiesta.

Infine è stato migliorato il tooltip visualizzato sul connettore di una erogazione in modo da visualizzare l'eventuale token policy associata.

Miglioramenti alla funzionalità di Tracciamento

La traccia prodotta da GovWay è stata arricchita:

  • delle date di acquisizione completata degli stream in ingresso e di completamento della spedizione dei messaggi in uscita;
  • del token ricevuto in caso di validazione fallita;
  • delle informazioni inviate e della risposta ricevuta in caso di negoziazione token fallita.

La diagnostica è stata arricchita al fine di individuare:

  • negoziazione di un token;
  • registrazione dei messaggi.

Le informazioni sui messaggi di richiesta e di risposta visualizzate nel dettaglio di una transazione, tramite la console 'govwayMonitor', sono state riorganizzate per una migliore comprensione.

La latenza totale di una transazione viene adesso calcolata in base al momento in cui la spedizione dei messaggi in uscita verso il client sia stata completata.

Il termine 'latenza servizio' è stato rinominato in 'tempo di risposta servizio' in tutti i report statistici.

Miglioramenti alla Console di Gestione

Sono stati apportati i seguenti miglioramenti alla console di gestione:

  • è adesso possibile effettuare ricerche di erogazioni e fruizioni rispetto allo stato della configurazione relativa alle seguenti funzionalità:

    • stato dell'API;
    • autenticazione token;
    • autenticazione trasporto;
    • rate limiting;
    • validazione;
    • response caching;
    • trasformazioni;
    • correlazione applicativa;
    • sicurezza messaggio;
    • gestione mtom;
    • registrazione dei messaggi;
    • gestione CORS;

  • per i soggetti e per gli applicativi è stata aggiunta la possibilità di effettuare ricerche rispetto all'Issuer del certificato associato;

  • aggiunta la possibilità di registrare le classi dei plugin che implementano funzionalità personalizzabili relative al parsing delle risposte in una Token Policy di validazione o negoziazione e in una Attribute Authority.

Bug Fix

Sono state risolte le seguenti vulnerabilità relative ai jar di terza parte:

  • CVE-2022-45688: aggiornata libreria 'org.json:json' alla versione 20230227;

  • CVE-2023-24998: aggiornata libreria 'commons-fileupload' alla versione 1.5 .

Sono stati risolti i seguenti bug:

  • l'autorizzazione puntuale in una erogazione con profilo di interoperabilità 'ModI' non veniva effettuata se la lista degli applicativi autorizzati veniva lasciata vuota;

  • le regole di autorizzazione definite nell'autorizzazione dei contenuti o nell'autorizzazione per token claims non venivano controllate nell'ordine in cui erano state configurate;

  • la validazione di un token che presentava date (exp,iat,nbf) serializzate in un formato numerico esponenziale falliva generando un errore simile al seguente: 'Token non valido: For input string: "1.67"'

Per la console di gestione sono stati risolti i seguenti bug:

  • il controllo dei certificati di una token policy di negoziazione andava in errore quando la modalità scelta era 'Definito nell'applicativo ModI';

  • non era più possibile creare una token policy in caso di servizi OCSP disabilitati (file ocsp.properties non presente o nessuna policy definita al suo interno);

  • sono stati corretti i seguenti problemi relativi alla configurazione dell'autorizzazione per contenuti:

    • se nelle regole erano presenti commenti (#) potevano presentarsi segnalazioni errate dovuti a 'commenti duplicati' quando la linea inserita era la stessa in due o più righe;

    • in alcuni casi l'ordine di inserimento delle regole non veniva preservato in fase di salvataggio;

    • non venivano gestite correttamente più entry con la stessa chiave (la stessa problematica è stata risolta anche nella configurazione dell'autorizzazione per token claims).

Per la console di monitoraggio sono stati risolti i seguenti bug:

  • risolta problematica che non consentiva di visualizzare la scheda dei messaggi duplicati nel dettaglio di una transazione.
Assets 4
Loading