[mbf2] webinar api crédit agricole store #2
TRANSCRIPT
1
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
1
PARTENAIRESECURITE
Webinar #2
2015 V1.0
2
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
2Outils développeurs : Comment soumettre mon application ?
Création d’un jeton de production
Réception du mail de validation- L’application a été validée par CA Store- Elle est maintenant référencée sur le portail CA Store et fonctionnelle pour les clients- A noter : l’application ne fonctionne plus avec les comptes développeurs
- Délai de validation par CA Store (quelques jours, durée dépendante de la complexité de l’application)
Packaging et livraison sur le(s) store(s)- Le développeur insère le jeton de production dans son code à la place du jeton de dév.
- L’application doit ensuite être déployée dans les stores
Demande de publication- Cette demande signale à CA Store que l’application est prête à être ouverte au client
- CA Store peut alors déclencher le processus de contrôle (sécurité / conformité)
- Délai de validation par APPLE si application iOS (penser à fournir des comptes de tests à APPLE (i.e. compte développeur quelconque))
3
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
3
Démo
Outils développeurs : Comment soumettre mon application ?
https://www.youtube.com/watch?v=8c1BsL-YiYQ
4
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
4Customisation des Web View (1/2)
Possibilité d’injecter un CSS pour personnaliser le graphisme et les textes des Web View
Web View d’origine Exemple de customisation
Powered by CA Store
5
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
5Customisation des Web View (2/2)
Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store
A NOTER - 1 seul fichier CSS pour customiser l’ensemble des WebView (authentification, virement, etc.)
- 1 fichier CSS par application (i.e. : un upload CSS pour l’application de développement + 1 upload de CSS pour l’application de production)
- La customisation CSS s’applique immédiatement pour une application en cours de développement, mais reste soumise à validation pour une application de production
- Obligation de conserver, a minima, le label (powered by CA Store)- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication
Upload du fichier CSS
Filtrage des Caisses RégionalesPermet de lister les caisses disponibles lorsque l’utilisateur s’inscrit au travers de votre application
6
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
6Fonctionnalités complémentaires : virement bancaire (1/3)
Page dédiée dans la documentation :https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html
1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application
- Appelle d’une page hébergée par le serveur, via un objet Web View dans l’application
- Le client y invité à se ré-authentifié
- Etape à la charge de l’application
- Vise à récupérer l’ensemble des pré-requis fonctionnel (choix des comptes) et technique (demande d’un nouveau jeton OAuth)
- Mécanisme de redirection disponible (url de retour à indiquer lors de l’appelle à la Web View)
7
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
7Fonctionnalités complémentaires : virement bancaire (2/3)
Page dédiée dans la documentation :https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html
1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application
- Mécanisme de redirection disponible (url de retour à indiquer lors de l’appelle à la Web View)
https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesEmetteurs
https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesDestinataires
https://www.creditagricolestore.fr/castore‐data‐provider/authentification/virement?identifiantCompteBAM=17477696224051299&identifiantCompteEmetteur=17477695929326256&identifiantCompteBeneficiaire=17477696151769798&montant=500&libelleVirement=Test virement&refOperation=Operationtest&redirectPage=http://mycallback&oauth_token=https://www.creditagricolestore.fr/castore‐oauth/resources/1/oauth/rtoken/b2975e228eef4d8b92c5436552d56588
8
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
8Fonctionnalités complémentaires : virement bancaire (3/3)
Astuce complémentaire : Forcer le rafraichissement des données après un virement
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET
Après un virement réussi, le solde d’un ou plusieurs comptes a pu évolué.Le système de cache CA-Store peut potentiellement masquer cette information dans la session en cours.Afin de forcer le rafraîchissement des données, l’application peut avoir recours ponctuellement au header Cache-Control pour forcer le rafraîchissement des données.
Header Cache-Control : no-cache
A NOTER - Cette fonctionnalité ne doit être utilisée qu’après un virement- Tout abus de cette fonctionnalités (ex. : usage systématique du header Cache-Control) pourra aboutir à une non
validation de l’application- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication
9
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
9
Exemple de code
Fonctionnalités complémentaires : virement bancaire (3/3)
https://github.com/CA-Store-MBF2/CA-Store-Android-sample
10
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
10Fonctionnalités complémentaires : ordre d’affichage des comptes bancaires
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET
Résultat :
Index : Ordre d’affichage conseillé par défaut dans l’application
Groupe : regroupement des comptes par type d’appartenance au client (titulaire, co-titulaire, mandataire)
- Le premier groupe est nommé « Titulaire » : ce sont les comptes qui appartiennent au client
- Les autres groupes auront des noms types « Groupe 1 », « Groupe 2 »
- Il n’est pas possible d’identifier le type des autres groupes
11
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
11
Questions ?
12
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
12
Harmonie Technologie Cabinet de conseil et d’expertise technique
Spécialiste de la sécurité du système d’information
60 rue la Boétie75 008 Paris
Nous contacter 01 73 54 30 00 / [email protected]