Paramètres d'authentification des communications sortantes CSI
(Common Secure Interoperability)Cette page permet de définir les fonctionnalités prises en charge par un serveur lorsque ce dernier est client d'un autre serveur en aval.
Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Protocole d'authentification > Authentification des communications sortantes CSI.
Les fonctions d'authentification incluent trois couches d'authentification qui peuvent être utilisées simultanément :
Onglet Configuration
Ce type d'authentification se produit sur la couche messages. L'authentification de base requiert également la délégation d'un jeton d'un justificatif déjà authentifié, à condition que ce justificatif soit acheminable, ce qui est par exemple le cas des justificatifs LTPA (Lightweight Third Party Authentication). L'authentification de base fait référence à toute authentification effectuée sur la couche messages et indique l'authentification par ID utilisateur et mot de passe ainsi que l'authentification par jeton.
La sélection de l'option Authentification de base permet de déterminer si l'authentification est requise ou prise en charge. Si vous sélectionnez Requise, lorsque le serveur communique avec les serveurs en aval, ces derniers doivent prendre en charge l'authentification de base pour que la connexion puisse être établie. Lorsque vous sélectionnez Prise en charge, ce serveur peut ou ne pas effectuer l'authentification de base sur un serveur en aval. D'autres méthodes d'authentification peuvent être utilisées si elles sont configurées. Si vous choisissez Jamais, ce serveur n'envoie jamais de jeton de couche messages à un serveur en aval. Si le serveur en aval requiert une authentification de base, la connexion n'est pas établie.
| Type de données : | Chaîne |
En général l'authentification par certificat client permet d'obtenir de meilleures performances que l'authentification par couche messages, mais elle requiert des étapes de configuration supplémentaires. Ces étapes supplémentaires permettent notamment de vérifier que ce serveur dispose d'un certificat personnel et que le serveur en amont possède le certificat signataire de ce serveur.
Si vous sélectionnez l'authentification par certificat client, choisissez si elle est requise ou prise en charge. Si vous choisissez Requise, ce serveur ne peut se connecter qu'aux serveurs en aval pour lesquels l'authentification par certificat client est également configurée. Si vous choisissez Prise en charge, ce serveur procède à l'authentification par certificat client pour tous les serveurs en aval, mais il peut ne pas l'utiliser si le serveur en aval ne la prend pas en charge. Si vous choisissezJamais, ce client ne procède pas à l'authentification par certificat client pour les serveurs en aval. Cette restriction permet d'interdire l'accès aux serveurs en aval qui requièrent une authentification par certificat client.
| Type de données : | Chaîne |
L'identité vérifiée constitue le justificatif d'appel déterminé par le mode d'exécution pour le bean enterprise. Si le mode d'exécution est Client, l'identité correspond à l'identité du client. Si le mode d'exécution est Système, l'identité correspond à l'identité du serveur. Si le mode d'exécution est Spécifié, l'identité correspond à l'identité indiquée. Le serveur récepteur reçoit l'identité dans un jeton d'identité, ainsi que celle du serveur émetteur dans un jeton d'authentification client. Le serveur récepteur valide l'identité du serveur émetteur afin de garantir une identité digne de confiance.
Lorsque vous spécifiez la vérification d'identité dans le volet Authentification sortante CSIv2, vous devez également sélectionnez l'authentification élémentaire telle que gérée ou exigée par ce volet. Cette opération permet de soumettre l'identité du serveur, ainsi que le jeton d'identité,de sorte que le serveur récepteur puisse se fier au serveur émetteur. Sans spécifier l'authentification élémentaire telle que gérée ou exigée, la confiance n'est pas établie, et la vérification d'identité échoue.
| Type de données : | Chaîne |
Le premier contact entre un client et un serveur doit être totalement authentifié. Toutefois, tous les contacts suivants avec des sessions valides réutilisent les informations de sécurité. Le client transmet un ID de contexte au serveur, cet ID permet de rechercher la session. L'ID de contexte est sectorisé à la connexion, garantissant son unicité. Chaque fois que la session de sécurité n'est pas valide, si les nouvelles tentatives d'authentification sont autorisées (cette option est activée par défaut), l'intercepteur côté client annule la session côté client et soumet à nouveau la demande automatiquement. Par exemple, si la session n'existe pas sur le serveur, ce dernier échoue et reprend son activité.
Lorsque cette valeur est désactivée, tous les appels de méthode doivent être à nouveau authentifiés.
| Type de données : | Chaîne |