[Fix Pack 5.0.1 and later]公共安全互操作性出站认证设置

使用此页面指定当作为客户机操作另一个下行服务器时,服务器支持的功能部件。

要查看此管理控制台页面,单击安全性 > 认证协议 > CSI 出站认证

认证功能部件包含您可同步使用的三层认证:

传输层
最底层的传输层可以包含作为身份的安全套接字层(SSL)客户机证书。
消息层
消息层可以包含用户标识和密码或认证令牌。
属性层
属性层可以包含身份令牌,它来自已认证的上行服务器。属性层根据消息层和随后的传输层具有最高优先级。如果此服务器发送全部三层,则下行服务器仅使用属性层。使用 SSL 客户机证书作为身份的唯一方法是如果出站请求期间才显示信息。

“配置”选项卡

基本认证
指定是否从客户机向服务器发送用户标识和密码以进行认证。

此认证类型发生在消息层上。“基本认证”也涉及委托提供凭证类型的已认证凭证的凭证令牌是可转发的(例如,轻量级第三方认证(LTPA))。“基本认证”引用任何一个消息层上的认证,并表明用户标识和密码以及基于令牌的认证。

选择基本认证确定它是必需的还是受支持的。选择必需的表明服务器何时出站到下行服务器,下行服务器必须支持此服务器连接的基本认证。选择支持的表明此服务器可以执行也可以不执行到下行服务器的基本认证。如果已配置,可发生其它认证方法。选择从不,表明此服务器从不会向下行服务器发送消息层令牌出站。如果下行服务器要求“基本认证”,则不尝试连接。

数据类型: String
客户机证书认证
指定当在此服务器和下行服务器之间进行 SSL 连接时(倘若下行服务器支持客户机证书认证的话),已配置密钥存储文件的客户机证书是否用于认证到服务器。

通常,客户机证书认证具有的性能比消息层认证高,但是需要一些附加的设置步骤。这些附加的步骤包含验证此服务器拥有个人证书,并且下行服务器拥有此服务器的签署者证书。

如果您选择客户机证书认证,确定它是必需的,还是支持的。选择必需的表明此服务器仅可以用也已配置的客户机证书认证连接到下行服务器。选择支持的表明此服务器用任何下行服务器执行“客户机证书认证”,但可以不使用“客户机证书认证”是取决于下行服务器是否支持该证书。选择从不表明此客户机不执行到任何下行服务器的“客户机证书认证”。该限制阻止所有到要求“客户机证书认证”的下行服务器的访问。

数据类型: String
身份声明
指定身份是否从一台服务器到声明另一台服务器(在下行企业 bean 调用期间)。

声明的身份是由企业 bean 的 RunAs 方式确定的调用凭证。如果 RunAs 方式是客户机,则身份是客户机身份。如果 RunAs 方式是系统,则身份是服务器身份。如果 RunAs 方式是指定的,则身份是指定的身份。接收服务器接收身份令牌中的身份,同时也接收客户机认证令牌中发送的服务器身份。接收服务器确认发送服务器的身份以确保可信的身份。

在“CSIv2 认证出站”面板上指定身份声明时,您还必须选择 CSIv2 认证出站面板上支持或需要的基本认证。此操作允许与身份令牌一起提交服务器身份,因此接收服务器可以信任发送服务器。在不指定支持或需要的基本认证的情况下,不建立信任并且身份声明失败。

数据类型: String
有状态的会话
指定是否在认证期间重用安全性信息。此选项通常用于增加性能。

客户机和服务器之间的第一次联系必须完全认证。然而,带有有效会话的所有后继联系重用安全性信息。客户机向服务器传递上下文标识,并且该标识用于查找会话。上下文标识作用于保证唯一性的连接。只要安全性会话无效,而且如果启用了安全性重试(缺省情况下为启用),则客户机端安全性拦截器使客户机端会话失效,并且透明地重新提交请求。例如,如果服务器上不存在会话;服务器失败并恢复操作。

当禁用此值时,每个方法调用必须重新认证。

数据类型: String

相关信息

管理控制台按钮
管理控制台页面功能
管理控制台作用域设置
管理控制台过滤器设置
管理控制台首选项设置