公共安全互操作性入站认证设置

使用此页面指定服务器支持客户机访问其资源的功能部件。

要查看此管理控制台页面,单击安全性 > 认证协议 > CSI 入站认证

CSI 入站认证设置是用于配置包含在进入请求或传输中的认证信息类型。

认证功能部件包含您可同步使用的三层认证:

“配置”选项卡

基本认证
指定发生在消息层上的基本认证。

在消息层中,发生了执行了基本认证(用户标识和密码)。此类型的认证通常涉及从客户机发送用户标识和密码到服务器以进行认证。这也涉及委托提供凭证类型的已认证凭证的凭证令牌是可转发的(例如,轻量级第三方认证(LTPA))。如果为服务器选择基本认证,那么指定用户标识和密码认证以及基于令牌的认证。

当选择基本认证时,您需要确定这是必需的还是支持的。选择必需的,表明仅通过消息层配置给此服务器以进行认证的客户机才允许调用服务器上的请求。选择“支持的”,表明此服务器接受基本认证。然而,可以发生其它认证方法(如果已配置的话)并接受匿名请求。选择从不,表明服务器将配置为不接受来自任何客户机的消息层认证。

数据类型: String
客户机证书认证
指定方法请求期间的客户机和服务器之间进行初始连接时发生的认证。

在传输层中发生安全套接字层(SSL)客户机证书认证。在消息层中,执行基本认证(用户标识和密码)。客户机证书认证通常比消息层认证执行得好些,但它需要一些附加的设置步骤。这些附加的步骤涉及确保服务器具有每台与它连接的客户机的签署者证书。如果客户机使用认证中心(CA)创建它的个人证书,则您仅需要 SSL 信任文件的服务器签署者部分中的 CA 根证书。当认证证书到轻量级目录访问协议(LDAP)用户注册表时,基于配置 LDAP 时指定的过滤器映射专有名称(DN)。当认证证书到本地 OS 用户注册表时,证书中的 DN 第一个属性(通常是公共名)映射到注册表中的用户标识。 仅当不提供其它的认证层给服务器时才使用客户机证书的身份。

当选择客户机证书认证时,您需要确定这是必需的还是支持的。当选择必需的时,仅通过 SSL 客户机证书配置给此服务器以进行认证的客户机才可调用服务器上的请求。当选择支持的时,此服务器接受 SSL 客户机证书认证,然而,可以发生其它认证方法(如果配置了的话)并接受匿名请求。当选择从不时,此服务器将配置为不接受来自客户机的客户机证书认证。

数据类型 String
身份声明
指定身份声明是确定从一台服务器到另一个服务器(在下行 EJB 调用期间)的身份的方法。

身份声明在属性层中执行,并且仅应用于服务器上。服务器上确定的主体基于优先权规则。如果执行了身份声明,身份总是从此属性派生出来。如果执行了不带身份声明的基本认证,则身份总是从管理层派生出来。最终,如果不使用基本认证或身份声明执行 SSL 客户机证书认证,则身份从传输层派生出来。

声明的身份是由企业 bean 的 RunAs 方式确定的调用凭证。如果 RunAs 方式是客户机,则身份是客户机身份。如果 RunAs 方式是系统,则身份是服务器身份。如果 RunAs 方式是指定的,则身份是指定的身份。接收服务器接收身份令牌中的身份,同时也接收客户机认证令牌中发送的服务器身份。接收服务器验证发送服务器身份是通过可信的服务器标识输入框作为可信的身份。输入以逗号分隔的主体名称列表,例如,serverid1, serverid2, serverid3

当认证到 LocalOS 用户注册表时,所有身份令牌类型映射到活动用户注册表的用户标识字段。对于 ITTPrincipal 身份令牌,使用用户标识字段一对一进行映射。对于 ITTDistinguishedName 身份令牌,第一个等号的值映射到用户标识字段。对于 ITTCertChain 身份令牌,专有名称的第一个等号的值映射到用户标识字段。

当认证到 LDAP 用户注册表时,LDAP 过滤器确定类型 ITTCertChainITTDistinguishedName 的身份如何映射到注册表。如果令牌类型为 ITTPrincipal,则主体映射到 LDAP 注册表中的 UID 字段。

数据类型: String
可信的服务器用户标识
指定以逗号分隔的服务器用户标识列表,信任这些用户标识以执行到此服务器的身份声明。

使用此列表快速确定服务器是否是可信的。即使服务器在列表中,发送服务器仍必须为接受发送服务器的身份令牌认证接收服务器。

数据类型 String
有状态的会话
指定有状态的会话,主要用于性能改进。

客户机和服务器之间的第一次联系必须完全认证。然而,带有有效会话的所有后继联系重用安全性信息。客户机向服务器传递上下文标识,且标识用于查找会话。上下文标识作用于保证唯一性的连接。只要安全性会话是无效的,而且启用了认证重试(缺省情况下),则客户机端安全性拦截器都会使客户机端会话失效,并且在不通知您的情况下重新提交。如果在服务器上不存在会话(服务器失败并已恢复操作),那么可能会发生这种情况。当禁用此值时,每个方法调用必须重新认证。

数据类型 String

相关信息

管理控制台按钮
管理控制台页面功能
管理控制台作用域设置
管理控制台过滤器设置
管理控制台首选项设置