Impostazioni di autenticazione in entrata di interoperabilità comune sicura (CSI, Common Secure Interoperability)

Utilizzare questa pagina per specificare le funzioni supportate da un server per un client che deve accedere alle relative risorse.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Protocollo di autenticazione > Autenticazione in entrata CSI.

Le impostazioni di autenticazione CSI in entrata servono a configurare il tipo di informazioni di autenticazione contenute in una richiesta o trasporto in entrata.

Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:

Scheda Configurazione

Autenticazione base
Specifica che l'autenticazione di base si verifica sul livello del messaggio.

Nel livello del messaggio viene eseguita l'autenticazione di base (ID utente e password). Questo tipo di autenticazione, generalmente, implica l'invio di un ID utente e della password dal client al server per l'autenticazione. Inoltre, ciò coinvolge la delega di un token della credenziale da una credenziale già autenticata, nel caso in cui tale tipo di credenziale sia inoltrabile (ad esempio, LTPA, Lightweight Third Party Authentication). Se l'Autenticazione base viene selezionata per il server, specificare l'autenticazione dell'ID utente e password e l'autenticazione basata sul token.

Quando viene selezionata Autenticazione base, è necessario decidere se è Obbligatoria o Supportata. La selezione di Obbligatoria, indica che solo i client, configurati per l'autenticazione su questo server tramite il livello di messaggio, potranno richiamare le richieste sul server. L'opzione Supportata indica che questo server accetta l'Autenticazione base. Tuttavia, possono verificarsi altri metodi di autenticazione, se configurati, e vengono accettate richieste anonime. La selezione di Mai indica che il server non è configurato per accettare l'autenticazione del livello del messaggio da nessun client.

Tipo dati: Stringa
Autenticazione certificato client
Indica che l'autenticazione si verifica quando la connessione iniziale viene effettuata tra il client e il server durante una richiesta di metodo.

Nel livello di trasporto si verifica l'autenticazione del certificato client SSL (Secure Sockets Layer). Nel livello del messaggio viene eseguita l'Autenticazione base (ID utente e password). L'autenticazione del certificato client, solitamente, funziona meglio dell'autenticazione del livello del messaggio, ma richiede delle fasi aggiuntive di impostazione. Queste fasi aggiuntive riguardano anche la verifica che il server possieda il certificato del firmatario di ciascun client al quale è connesso. Se il client utilizza un'autorità di certificazione (CA) per creare il certificato personale, sarà necessario solo il certificato root della CA, nella sezione firmatario del server del file sicuro SSL. Se il certificato viene autenticato su un registro utenti LDAP (Lightweight Directory Access Protocol), il DN (Distinguished Name) viene mappato in base al filtro specificato durante la configurazione LDAP. Se il certificato viene autenticato su un registro utenti OS locale, il primo attributo del DN nel certificato (normalmente CN, Common Name) viene mappato sull'ID utente nel registro. L'identità derivante dai certificati client viene utilizzata qualora non vi fossero altri livelli di autenticazione presenti sul server.

Quando viene selezionata Autenticazione certificato client, è necessario decidere se è Obbligatoria o Supportata. Quando viene selezionata Obbligatoria, solo i client configurati per l'autenticazione su questo server, tramite i certificati client SSL, possono richiamare le richieste sul server. Quando viene selezionata Supportata, questo server accetta l'autenticazione del certificato client SSL, tuttavia, possono verificarsi altri metodi di autenticazione (se configurati) e vengono accettate richieste anonime. Quando viene selezionato Mai, questo server non viene configurato per accettare l'autenticazione del certificato client dai client.

Tipo dati Stringa
Asserzione d'identità
Specifica che l'Asserzione di identità è un modo per asserire le identità da un server ad un altro durante un richiamo EJB downstream.

L'asserzione di identità viene eseguita al livello di attributo ed è applicabile solo ai server. Il principal determinato sul server si basa su regole di precedenza. Se viene eseguita l'asserzione di identità, l'identità deriva sempre dall'attributo. Se l'autenticazione base viene eseguita senza l'asserzione di identità, l'identità deriva sempre dal livello del messaggio. Infine, se l'autenticazione del certificato client SSL viene eseguita senza l'autenticazione di base o l'asserzione di identità, l'identità deriva dal livello di trasporto.

L'identità asserita è la credenziale di richiamo, determinata dalla modalità RunAs per il bean enterprise. Se la modalità RunAs è Client, l'identità è quella del client. Se la modalità RunAs è Sistema, l'identità è quella del server. Se la modalità RunAs è Specificata, l'identità è quella indicata. Il server ricevente riceve l'identità in un token di identità e anche l'identità del server trasmittente in un token di autenticazione client. Il server ricevente convalida l'identità del server trasmittente come identità sicura, tramite la casella di immissione ID server sicuro. Immettere un elenco di nomi principal separati da virgole, ad esempio, serverid1, serverid2, serverid3.

Durante l'autenticazione eseguita su un registro utenti LocalOS, tutti i tipi di token di identità sono mappati con il campo ID utente del registro utenti attivo. Per un token di identità ITTPrincipal, la mappatura con i campi ID utente avviene in base alla relazione uno-a-uno. Per un token di identità ITTDistinguishedName, il valore dal primo segno di uguale viene mappato sul campo ID utente. Per un token di identità ITTCertChain, il valore dal primo segno di uguale del DN (Distinguished Name) viene mappato sul campo ID utente.

Durante l'autenticazione di un registro utenti LDAP, i filtri LDAP determinano come un'identità di tipo ITTCertChain e ITTDistinguishedName viene mappata sul registro. Se il tipo di token è ITTPrincipal, il principal viene mappato sul campo UID nel registro LDAP.

Tipo dati: Stringa
ID utenti server sicuri
Specifica un elenco, separato da virgole, di ID utenti del server sicuri per eseguire l'asserzione di identità su tale server.

Utilizzare questo elenco per stabilire rapidamente se un server è sicuro o meno. Anche se il server è sull'elenco, il server trasmittente deve essere autenticato con quello ricevente per poter accettare il token di identità del server trasmittente.

Tipo dati Stringa
Sessioni stateful
Specifica le sessioni stateful, utilizzate per migliorare le prestazioni.

Il primo contatto tra un client e il server deve essere autenticato completamente. Tuttavia, tutti i contatti successivi con sessioni valide, riutilizzano le informazioni sulla sicurezza. Il client invia un ID di contesto al server e l'ID viene utilizzato per ricercare la sessione. L'ID di contesto si trova nell'ambito della connessione e ciò garantisce l'univocità. Se la sessione di sicurezza non è valida, e se il nuovo tentativo di autenticazione è abilitato (impostazione predefinita), l'intercettatore di sicurezza lato client annulla la convalida della sessione lato client e inoltra nuovamente la richiesta senza che l'utente ne venga informato. Ciò potrebbe verificarsi se la sessione non è presente sul server (il server non ha completato con successo l'operazione e riprende quest'ultima). Quando questo valore viene disabilitato, tutte le chiamate ai metodi devono essere nuovamente autenticate.

Tipo dati Stringa

Informazioni correlate

Pulsanti della console di gestione
Funzioni della pagina della console di gestione
Impostazioni ambito della console di gestione
Impostazioni di filtro della console di gestione
Impostazioni delle preferenze della console di gestione