SAP NetWeaver WebテンプレートでのEDSの使用

この記事は、SAP NetWeaverで動作するSAP Webテンプレート（ビジネスエクスプローラーWebアプリケーション）に電子デジタル署名を統合するために完了したかなり重要なタスクに専念しています。
記事が用語や論理に誤りを犯した場合、事前に謝罪します。

デジタル署名に関する一般情報は、 電子署名ウィキペディアで入手できます。

タスクは何でしたか

データウェアハウスビジネスウェアハウスの役割にはSAP NetWeaverがあります。
すべてのデータはキューブに保存されます。 キューブでは、ドキュメントが保存されます。 実際、ドキュメントは、同じ属性（ドキュメント番号）を持つ一連のキューブラインです。 データの操作は、Web Explorer Business Explorer Webアプリケーションテンプレートに基づいています。 ドキュメントの内容は、コンポーネントanalisysアイテムに表示されます。

Bex Webに不慣れな人のためのいくつかの言葉。 Webテンプレート（Webフォーム）の技術は、本質的にASP.NETに似ています。 デザイナーで、ASP（dataGrid、ボタンなど）に類似したコンポーネントを使用してフォームのレイアウトを作成します。 ウィザードを使用してイベントハンドラーをアタッチします（これらは特定のコマンドまたは任意のABAPコードにすることができます）。 Webフォームを実行すると、サーバーで処理され、クライアントにはJS付きのHTMLページが与えられます。 ユーザーアクションへの応答-ページが更新されたときにサーバー側で実行されます。 Webテンプレートコードでは、通常、PHPのようにHTMLを生成する必要はありません。

Webフォームでは、ユーザーはanalisysアイテムが提供するテーブルにデータを入力します。 入力したデータはキューブに保存されます。 データを入力した後、ユーザーはステータスを変更する必要があります（たとえば、「新規」ステータスから「処理済み」に：データステータスを格納する属性の値に従って再投稿機能を使用してステータスが転送されます。この属性も同じキューブにあります）。
そのため、データを入力/保存した後、ユーザーがこのデータを「新規」ステータスから「処理済み」に転送する前に、入力したデータにデジタル署名で署名する必要があります（データを入力したユーザーは署名する必要があります）。

ネットワーク検索により、EDSの使用は私たちが望むほど簡単ではないことが示されました。 ほとんどの国では、暗号保護の使用を規制する独自の法律があります。 2002年1月10日のロシア連邦連邦法N1-「電子デジタル署名について」
特に、暗号化および署名生成で使用されるアルゴリズムが確立されます。 たとえば、電子デジタル署名を生成および検証するためのアルゴリズムGOST R 34.10-2001

もちろん、これらのアルゴリズムを自分で実装しようとすることは意味がないため、市場で提供されているものを検討します。
たとえば、LISSIの決定
http://www.lissi.ru/solution/

彼らはSAPの白い馬の救世主としての地位を確立しており、それらからのソフトウェアコンプレックスは300,000ルーブル以上かかります。 このソフトウェアは、ABAPを介してアクセスできるSAP製品のAPIです。
問題は、これらの製品がABAPコードを使用してデータに署名することを伴うことです。 クライアントには、JSを含むWebページのみがあります。 ABAPコードは、たとえばAJAX要求を使用して、サーバー上でのみ実行できます。 しかし、問題があります-ユーザーの秘密鍵はクライアントでのみ利用可能です。 サーバーに転送しないでください。 LISSIソリューションは、ABAPを実行できる、シンではなく完全なSAPクライアントとしてクライアントマシンで作業することを意味します。
したがって、既製のソリューションを拒否し、CAPICOM CAPICOMを介してEDSを実装しました

EDSの実装

EDSの実装方法について説明します。

1 EDSを適用する手順

1）セキュリティ管理者は、証明書を証明書データベースに登録します。 証明書は、本物の認証機関から取得する必要があります。

2）ユーザーはシステムで作業し、ドキュメントを作成し、外部メディア上の秘密キーを使用して署名します。 この場合：
a）ドキュメントの「キャスト」が作成されます（すべてのコンテンツが選択されます）。
b）コンテンツに対して暗号署名操作が実行され、その結果、署名が取得されます。
c）指紋は署名者の証明書から抽出され、このユーザーに登録されている指紋と比較されます。 一致した場合、署名はデータベースに保存されます。それ以外の場合、署名はキャンセルされます。

3）ドキュメントの以降のスキャンでは、ドキュメントを開くときに署名が検証されます。 署名はデータベースから抽出されます。 署名の検証の暗号操作は、署名とドキュメントのコンテンツに対して実行されます。

4）セキュリティ管理者は、証明書データベースにユーザー証明書を追加し、一時的または永久的に操作を一時停止できます。

2データストレージの実装

署名はフラットテーブル「署名」に保存されます。



証明書ベース-2つのフラットテーブルのセット：



キーは証明書そのものです。 テーブルには、キーに接続されているユーザー、キーの開始日と終了日、キー自体、ステータス（ブロックされているかどうか）、説明が保存されます。

一時停止-キーの一時停止のセット。 開始日、終了日、および停止の説明を保存します。 中断されたキーのIDも保存します。

3デジタル署名システムアーキテクチャ

デジタル署名メカニズムは、次のコンポーネントに基づいています。
1）暗号化APIにアクセスするためのActiveXコンポーネント。 （CAPICOM）
2）JSを使用して、ドキュメントのコンテンツを取得します
3）ActiveXコンポーネントのメソッドを呼び出してデータに署名する。
4）署名データベースに署名するために、署名をサーバー（ABAPクラス）に送信します。



CAPICOMは、暗号化プロバイダーへのインターフェイスを提供するMSのライブラリです。
1-JSコードを使用して、CAPICOMライブラリーの呼び出しが行われます
2-Webテンプレートは署名用のデータを生成します（DataProviderを記述するXML）。
3-受信した署名はAJAXを介してABAPクラスに転送され、ABAPクラスは署名をフラットテーブルに保存します。
4-暗号プロバイダーとeTokenの相互作用は自動的に発生します。

4 APIの実装

署名者クラス-カスタムメソッドを実装します-
署名、署名の確認、最新の署名の取得
CryptoProviderクラスはCapicomのラッパーです。
ZCL_AJAX_DIG_SIGN-Ajaxを介したインターフェースメソッドの実装。
Z_DIGITAL_SIGNER-署名を保存および検索するためのメソッド、公開鍵の有効性を鍵データベースに対して検証するためのメソッドの実装。

5オプションの口頭説明

文書に署名/チェックする手順を検討してください。

ユーザーがフォーム上で「ドキュメントの承認（保存）」ボタンを押します。 JSは、以前にアップロードされたドキュメントコンテンツをhtmlテンプレートコードで収集します。 CAPICOMに移ります。CAPICOMは、正しい証明書を選択するように人に求めます。 システム-CAPICOMでの作業専用にcryptoPro用に作成された証明書を選択する場合は、CryptoProプロバイダーに連絡してください。同じプロバイダーが秘密鍵付きのトークンを要求します。 トークンが挿入されると、ドキュメントのコンテンツが署名されます。 AJAX署名はBSPアプリケーションにスローされ、署名をインターフェイスクラスZ_DIGITAL_SIGNERに渡します。 クラスは、署名から証明書を検証します。このような証明書は、このログインユーザーに関連付けられているという事実です。 検証が成功すると、署名データベースに署名が記録されます。 フォームで変更が発生します。成功した署名に関するマークが表示されます。

別のユーザーがドキュメントを開くと、署名ステータスが表示されます。 これは次のように発生します。 AJAXのJSは、ドキュメントの署名を要求し、署名を受け取ります（事前に-適切な人によって作成され、署名は許可された証明書のデータベースからの証明書によって作成されます）。 次に、jsはCAPICOMをヤンクします。これは、「署名」および「ドキュメントコンテンツ」パラメーターを使用した「署名検証」メソッドです。 すべてがドキュメントと署名の順である場合-メソッドはtrueを返すため、ドキュメントは署名されており、正しいです。
セキュリティ管理者向けのGUIもあります-アクティブな証明書のデータベースを維持します。

EDSをWebテンプレートに接続する

1）たとえば、XHTML WebテンプレートActiveXのCAPICOMコンポーネントを接続する

<object id="CapicomObj" codebase="bwmimerep:///sap/bw/mime/Customer/JS/bin/capicom.cab" classid="clsid:A996E48C-D3DC-4244-89F7-AFA33EC60679" VIEWASTEXT="" /> 

2）メインクエリと同じクエリで新しいデータプロバイダを作成します。 つまり、プロバイダーのコピーを作成します。 したがって、ダウンロードしたドキュメントをHTMLで取得し、署名します。 ユーザーのテーブルにドキュメントを表示するプロバイダーに署名することはできません。なぜなら、テーブルを並べ替えたりフィルターしたりすると、プロバイダーのデータが変更され、初期フォームのドキュメントが必要になるためです。

3）「データプロバイダー情報」コンポーネントをフォームに配置します。
DATA_PROVIDER_TO_SIGNと呼びましょう。

青色のものは「データプロバイダー情報」コンポーネント、赤色のものはコンポーネントパレットにあり、黄色のものはドキュメントコンテンツを配信するデータプロバイダーです。

4）設定でDATA_PROVIDER_TO_SIGNを示します：
データプロバイダー：手順2で作成したプロバイダーのコピーを指定します。
ナビゲーションステータス-出力：オフ
レポートデータ：出力：オン

5）フォームにコードを配置します
それはすべてあなたの想像力にかかっています。 AJAX、ABAP、JavaScriptを含むすべてのコードを投稿するわけではありません。MicrosoftWebサイトの例に基づいて作成したCAPICOMの単純なラッパーのみを残します。

ペーストビンコード

そして、その使用例
署名

 SignerProv = new CryptoProvider(this.CapicomObj); if (SignerProv.IsCAPICOMInstalled()) { SignerProv.Init(); Sign = SignerProv.SignedData(DataToSign); } 

署名検証

 SignerProv = new CryptoProvider(this.CapicomObj); SignerProv.VerifySert = true;//false –         if (SignerProv.IsCAPICOMInstalled()) { var SRes = SignerProv.VerifySig(ContentToVerif, SignToVerify); }