Einstellungen für Authentifizierung eingehender CSI-Anforderungen

Auf dieser Seite können Sie die Funktionen angeben, die ein Server für einen Client, der auf die Serverressourcen zugreifen muss, unterstützen soll.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Authentifizierungsprotokoll > Eingehende CSI-Authentifizierung.

Die Einstellungen für die Authentifizierung eingehender CSI-Anforderungen sind für die Konfiguration der Informationen zum Authentifizierungstyp bestimmt, die in einer eingehenden Anforderungen oder in einem eingehenden Transport enthalten sind.

Die Authentifizierungsfunktionen umfassen drei Authentifizierungsschichten, die parallel verwendet werden können:

Register "Konfiguration"

Basisauthentifizierung
Gibt an, dass die Basisauthentifizierung über die Nachrichtenschicht erfolgt.

In der Nachrichtenschicht wird die Basisauthentifizierung (Benutzer-ID/Kennwort) durchgeführt. Bei diesem Authentifizierungsverfahren werden eine Benutzer-ID und ein Kennwort vom Client zur Authentifizierung an den Server gesendet. Dabei wird auch ein Berechtigungs-Token von einer bereits authentifizierten Berechtigung delegiert, vorausgesetzt, der Berechtigungstyp kann weitergeleitet werden (z. B. LTPA, Lightweight Third Party Authentication). Wenn für den Server Basisauthentifizierung ausgewählt wird, geben Sie sowohl die Authentifizierung über Benutzer-ID und Kennwort als auch die Token-gestützte Authentifizierung an.

Wenn Sie Basisauthentifizierung auswählen, müssen Sie angeben, ob die Authentifizierung Erforderlich oder Unterstützt sein soll. Bei Auswahl von Erforderlich können nur Clients, die konfiguriert sind, sich über die Nachrichtenschicht an diesem Server zu authentifizieren, Anforderungen auf dem Server durchführen. Bei Auswahl von "Unterstützt" akzeptiert dieser Server die Basisauthentifizierung. Es sind jedoch auch andere Authentifizierungsverfahren möglich (falls konfiguriert), und anonyme Anforderungen werden akzeptiert. Bei Auswahl von Nie wird dieser Server nicht konfiguriert, von einem Client die Authentifizierung über die Nachrichtenschicht zu akzeptieren.

Datentyp String
Authentifizierung über Clientzertifikat
Gibt an, dass die Authentifizierung durchgeführt wird, wenn die ursprüngliche Verbindung zwischen dem Client und dem Server während einer Methodenanforderung hergestellt wird.

In der Transportschicht wird die SSL-Clientauthentifizierung (Secure Sockets Layer) durchgeführt. In der Nachrichtenschicht wird die Basisauthentifizierung (Benutzer-ID/Kennwort) durchgeführt. Die Authentifizierung über Clientzertifikat lässt sich normalerweise besser durchführen als die Authentifizierung über die Nachrichtenschicht, erfordert jedoch einige zusätzliche Konfigurationsschritte. Beispielsweise muss sichergestellt werden, dass der Server das Ausstellerzertifikat jedes Clients besitzt, der eine Verbindung zum Server herstellt. Wenn der Client eine Zertifizierungsinstanz (Certificate Authority, CA) verwendet, um sein persönliches Zertifikat zu erstellen, benötigen Sie nur das Basiszertifikat der Zertifizierungsinstanz, das sich im Ausstellerabschnitt der SSL-Trust-Datei des Servers befindet. Wenn das Zertifikat für eine LDAP-Benutzer-Registry authentifiziert wird, wird der definierte Name (DN) auf der Grundlage des bei der LDAP-Konfiguration angegebenen Filters zugeordnet. Wenn das Zertifikat für eine LocalOS-Benutzer-Registry authentifiziert wird, wird das erste Attribut des DN im Zertifikat (normalerweise der allgemeine Name (oder CN, Common Name) der Benutzer-ID in der Registry zugeordnet. Die Identifizierung über Clientzertifikate wird nur durchgeführt, wenn keine Informationen einer anderen Authentifizierungsschicht an den Server übergeben werden.

Wenn Sie Authentifizierung über Clientzertifikat auswählen, müssen Sie angeben, ob die Authentifizierung Erforderlich oder Unterstützt sein soll. Bei Auswahl von Erforderlich können nur Clients, die konfiguriert sind, sich über SSL-Clientzertifikate an diesem Server zu authentifizieren, Anforderungen auf dem Server durchführen. Bei Auswahl von Unterstützt akzeptiert dieser Server die Authentifizierung über SSL-Clientzertifikate, es sind jedoch auch andere Authentifizierungsverfahren (falls konfiguriert) möglich, und anonyme Anforderungen werden akzeptiert. Bei Auswahl von Nie wird dieser Server nicht konfiguriert, die Authentifizierung über Clientzertifikat von einem Client zu akzeptieren.

Datentyp String
Zusicherung der Identität
Die Zusicherung der Identität (oder ID Assertion) ist ein Verfahren, bei dem Identitäten während eines Downstream-EJB-Aufrufs zwischen zwei Servern ausgetauscht und bestätigt werden.

Die Zusicherung der Identität wird in der Attributschicht ausgeführt und kann nur auf Servern durchgeführt werden. Der Principal, der auf dem Server ermittelt wird, ist von Prioritätsregeln abhängig. Wenn die Zusicherung der Identität durchgeführt wird, wird die Identität immer aus dem Attribut abgeleitet. Wenn die Basisauthentifizierung ohne die Identitätszusicherung durchgeführt wird, wird die Identität immer von der Nachrichtenschicht abgeleitet. Wenn schließlich die Authentifizierung über SSL-Clientzertifikate ohne Basisauthentifizierung oder Identitätszusicherung durchgeführt wird, wird die Identität von der Transportschicht abgeleitet.

Die zugesicherte Identität stellt die Aufrufberechtigung dar, die durch den RunAs-Modus für die Enterprise-Bean festgelegt wird. Ist der RunAs-Modus Client, stimmt die Identität mit der Clientidentität überein. Ist der RunAs-Modus System, stimmt die Identität mit der Serveridentität überein. Ist der RunAs-Modus Angegeben, entspricht die Identität der angegebenen Identität. Der empfangende Server empfängt die Identität in einem Identitäts-Token und empfängt auch die Identität des sendenden Servers in einem Clientauthentifizierungs-Token. Der empfangende Server prüft im Eintragsfeld Trusted-Server-IDs, ob die Identität des sendenden Servers vertrauenswürdig ist. Geben Sie eine Liste mit Namen von Principals ein, die durch Kommata voneinander getrennt sind, z. B. serverid1, serverid2, serverid3.

Wenn eine Authentifizierung für eine LocalOS-Benutzer-Registry durchgeführt wird, werden alle Identitäts-Token-Typen dem Feld für die Benutzer-ID der aktiven Benutzer-Registry zugeordnet. Das Identitäts-Token ITTPrincipal wird den Feldern für die Benutzer-IDs eins zu eins zugeordnet. Beim Identitäts-Token ITTDistinguishedName wird der Wert des ersten Gleichheitszeichens dem Feld für die Benutzer-ID zugeordnet. Beim Identitäts-Token ITTCertChain wird der Wert des ersten Gleichheitszeichens des definierten Namens dem Feld für die Benutzer-ID zugeordnet.

Wird eine Authentifizierung für eine LDAP-Benutzer-Registry durchgeführt, legen die LDAP-Filter fest, wie Identitäten der Typen ITTCertChain und ITTDistinguishedName der Registry zugeordnet werden. Wenn der Token-Typ ITTPrincipal ist, wird der Principal dem Feld "UID" in der LDAP-Registry zugeordnet.

Datentyp String
Benutzer-IDs von Trusted Servern
Eine Liste von Benutzer-IDs von Servern, die berechtigt sind, die Identitätszusicherung für diesen Server durchzuführen.

Verwenden Sie diese Liste, um schnell zu entscheiden, ob ein Server als vertrauenswürdig einzustufen ist. Auch wenn der Server in der Liste aufgeführt ist, muss der sendende Server sich noch am empfangenden Server authentifizieren, damit das Identitäts-Token des sendenden Servers akzeptiert werden.

Datentyp String
Stateful-Sitzungen
Gibt Stateful-Sitzungen an, die meistens für Leistungsverbesserungen verwendet werden.

Beim ersten Kontakt zwischen einem Client und einem Server muss eine vollständige Authentifizierung durchgeführt werden. Alle nachfolgenden Kontakte mit gültigen Sitzungen verwenden jedoch die Sicherheitsinformationen erneut. Der Client übergibt eine Kontext-ID an den Server, und die ID wird zum Lokalisieren der Sitzung verwendet. Die Kontext-ID wird der Verbindung zugeordnet, wodurch die Verbindung eine eindeutige Kennung erhält. Wenn die Sicherheitssitzung ungültig und die Option für die Wiederholung der Authentifizierung aktiviert ist (Standardwert), invalidiert der clientseitige Sicherheits-Interceptor die clientseitige Sitzung und übergibt die Anforderung erneut, ohne dass der Benutzer darüber unterrichtet wird. Dieser Fall tritt möglicherweise dann ein, wenn die Sitzung auf dem Server nicht vorhanden ist (Server konnte die Aktion nicht ausführen und hat den Betrieb wieder aufgenommen). Ist dieser Wert inaktiviert, müssen alle Methodenaufrufe erneut authentifiziert werden.

Datentyp String

Zugehörige Informationen

Knöpfe in der Adminstrationskonsole
Funktionen auf den Seiten der Administrationskonsole
Geltungsbereichseinstellungen für die Administrationskonsole
Filtereinstellungen für die Administrationskonsole
Vorgaben für die Administrationskonsole