[修正パッケージ 5.0.1 以降]共通セキュア・インターオペラビリティー・アウトバウンド認証設定

このページを使用して、サーバーが、別のダウンストリーム・サーバーに対してクライアントとして動作するときに サポートする機能を指定します。

この管理コンソール・ページを表示するには、「 セキュリティー」>「認証プロトコル」>「CSI アウトバウンド認証」をクリックします。

認証フィーチャーには、以下のような、3 つの認証の層が含まれていますが、これらは同時に使用することができます。

トランスポート層
トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
メッセージ層
メッセージ層には、ユーザー ID とパスワード、 または認証済みトークンが含まれている場合があります。
属性層
属性層には、アップストリーム・サーバーからの識別情報で、すでに認証済みの識別トークンが含まれている 場合があります。 優先順位は属性層が最も高く、次にメッセージ層、トランスポート層の順になります。このサーバーが 3 層すべてを送信する場合、ダウンストリーム・サーバーが使用するのは属性層のみです。SSL クライアント証明書は、それがアウトバウンド要求中に提示された唯一の情報である場合にのみ、 識別情報として使用されます。

「構成」タブ

基本認証
ユーザー ID およびパスワードを、認証のためにクライアントからサーバーに送信するかどうかを指定します。

このタイプの認証は、メッセージ層上で行われます。 基本認証には、信任状タイプが転送可能である場合 (例えば、Lightweight Third Party Authentication (LTPA)) に、 すでに認証された信任状からの信任状トークンの代行も含まれます。 基本認証は、メッセージ層上の認証のことであり、ユーザー ID とパスワードの認証、およびトークン・ベースの認証のことを 指します。

基本認証の選択では、それを必須とするのか、またはサポートするのかを決定します。「必須」を選択することは、 サーバーがダウンストリーム・サーバーにアウトバウンドのアクセスをするときに、その接続のためにダウンストリーム・サーバーが 基本認証をサポートしなければならないことを示します。「サポート」を選択することは、 このサーバーがダウンストリーム・サーバーに対して基本認証を実行することもしないこともあり、 他の方法で認証が行われることもある (構成されている場合) ことを示します。 他の認証方法を使用する場合があります (構成されている場合)。「常になし」を選択することは、このサーバーが、 決してメッセージ層トークンをダウンストリーム・サーバーにアウトバウンドに送信しないことを示します。 ダウンストリーム・サーバーで基本認証が必要な場合は、接続が試行されることはありません。

データ型: ストリング
クライアント証明書認証
サーバーとダウンストリーム・サーバー間で SSL 接続を行う場合に、 このサーバーに対する認証を、構成されている鍵ストア・ファイルにあるクライアント証明書を使用して 行うかどうかを指定します (ダウンストリーム・サーバーがクライアント証明書認証をサポートする場合)。

通常、クライアント証明書認証はメッセージ層認証よりもパフォーマンスの面で優れていますが、 追加の設定をいくつか行う必要があります。この追加ステップには、このサーバーが個人証明書を保有すること、およびダウンストリーム・サーバーがこのサーバーの署名者証明書を保有することについての検証も含まれます。

クライアント証明書認証を選択する場合は、それが「必須」と「サポート」のいずれであるかを決定します。「必須」を選択することは、このサーバーが、構成済みのクライアント証明書認証を使用した場合にのみ、 ダウンストリーム・サーバーに接続できることを示します。 「サポート」を選択することは、このサーバーが、 ダウンストリーム・サーバーに対してクライアント証明書認証を実行するが、 ダウンストリーム・サーバーがクライアント証明書認証をサポートするかどうかによってこれを使用 しないことがあることを示します。「常になし」を選択することは、 このクライアントが、いかなるダウンストリーム・サーバーに対してもクライアント証明書認証を実行しないことを示します。 この制限では、クライアント証明書認証を必要とするダウンストリーム・サーバーへの接続は行われません。

データ型: ストリング
識別表明
ダウンストリーム Enterprise Bean の起動中に、 サーバーから別のサーバーへの識別表明を行うかどうかを指定します。

表明される識別は、Enterprise Bean の RunAs モードで決定される呼び出し信任状です。 RunAs モードが「クライアント」の場合、この識別はクライアント識別です。 RunAs モードが「System」の場合、この識別はサーバー識別です。 RunAs モードが「指定」の場合、この識別は指定された識別です。 受信サーバーは、識別トークン内の識別を受信するとともに、 クライアント認証トークン内の送信サーバー識別も受信します。 受信サーバーは、送信サーバーの識別を検証して、信頼できる識別であることを確認します。

CSIv2 Authentication Outbound」パネルで識別表明を指定する場合、「 CSIv2 Authentication Outbound」パネルで基本認証も「サポート」あるいは「必須」と選択する必要があります。 これにより、サーバーは識別トークンと共にサーバー ID をサブミットするので、 受信サーバーは送信サーバーを信頼 できるようになります。基本認証をサポートまたは必要とすると指定し ないと、信頼は確立されず、識別表明は失敗します。

データ型: ストリング
ステートフル・セッション
認証中にセキュリティー情報を再利用するかどうかを指定します。 このオプションは、通常パフォーマンスを高めるために使用されます。

クライアントとサーバーが最初に接続するときには、認証を完全に実行する必要があります。 しかし、それ以後のすべての接続では、セッションが引き続き有効である間は、セキュリティー情報を再利用します。 クライアントはコンテキスト ID をサーバーに渡し、その ID を使用してセッションが検索されます。 コンテキスト ID の有効範囲は各接続であり、これにより一意性が保証されます。 認証の再試行が使用可能になっている場合 (デフォルト)、 クライアント・サイドのセキュリティー・インターセプターは、セキュリティー・セッションが無効になるごとに 、クライアント・サイドのセッションを無効にし、透過的に要求を再度実行依頼します。 例えば、セッションがサーバー上にない (サーバーが失敗しオペレーションを再開した) 場合に起こることがあります。

この値が使用不可の場合、すべてのメソッド起動を再認証する必要があります。

データ型: ストリング

関連情報

管理コンソールのボタン
管理コンソール・ページのフィーチャー
管理コンソールの有効範囲設定
管理コンソールのフィルター設定
管理コンソールの設定の変更