Polycom 3725-49106-001 Rev A User Manual

 

Polycom, Inc. 

19 

The XML API provides you with flexibility in developing applications on Polycom phones while you 
securely integrate 

into the phone’s capabilities and functions. The XML API features are supported by the 

microbrowser and browser, except where noted. 

This chapter covers the following topics: 



 



 



 



 

 

The following should be noted about the XML API security: 



  Authenticating remote control and monitoring  The execution of each HTTP GET/POST 

request requires an MD5 digest authentication. The execution of each HTTP PUSH request 
supports MD5 digest authentication as well as TLS and HTTPS. All pushed URLs are 
relative URLs with the root specified in the applications.cfg configuration file. 



  Achieving confidentiality of executed content 

The phone’s HTTP client supports 

Transport Layer Security (TLS), so any data retrieved from the URL can be protected. Make 
sure of the confidentiality of all traffic past the initial push request by specifying a root URL 
that uses HTTPS. 



  Event reporting  You can protect the confidentiality of all events reported by the phone with 

TLS similar to push content. 



  Direct data push  When direct data push is enabled

—disabled by default— small amounts 

of content (1KB) can be sent directly to the phone by the application server. The request will 
still be authenticated through HTTP digest, but all content will be in clear text on the network. 
Polycom recommends that you only use unencrypted data push for broadcast type alerts that 
do not pose any confidentiality risks. 

Both apps.push.username and apps.push.password must be set for data push to be 
enabled. 

 

Internal Uniform Resource Identifiers (URIs) allow the interface to execute a set of predefined actions on 
the phone. These actions are similar to the manual execution of key presses on the phone.