[Fix Pack 5.0.1 y posterior]Valores de autenticación de salida CSI (Common Secure Interoperability)

Utilice esta página para especificar las características que soportará un servidor cuando actúe como cliente de otro servidor en sentido descendente.

Para ver esta página de la consola administrativa, pulse Seguridad > Protocolo de autenticación > Autenticación de salida CSI.

Las características de autenticación incluyen tres capas de autenticación, que se pueden utilizar de forma simultánea:

Capa de transporte
La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
Capa de mensajes
La capa de mensajes puede contener un ID de usuario y una contraseña o símbolo autenticado.
Capa de atributos
La capa de atributos puede contener un símbolo de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de atributos tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si este servidor envía las tres, el servidor en sentido descendente solamente utilizará la capa de atributos. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la petición de salida.

Pestaña Configuración

Autenticación básica
Especifica si se envía un ID de usuario y una contraseña desde el cliente al servidor para autenticarlos.

Este tipo de la autenticación se produce en la capa de mensajes. La autenticación básica también implica delegar un símbolo de credencial desde una credencial ya autenticada, siempre que se pueda enviar ese tipo de credencial, por ejemplo, LTPA (Lightweight Third Party Authentication)). La autenticación básica hace referencia a cualquier autenticación que se produzca en la capa de mensajes e indica una autenticación basada en ID de usuario y contraseña, además de basada en símbolos.

Si selecciona Autenticación básica, se determina si es necesaria o si está soportada. Si selecciona Necesaria, se indica que cuando el servidor es de salida hacia los servidores en sentido descendente, el servidor en sentido descendente debe dar soporte a la autenticación básica para que este servidor pueda conectarse. Si selecciona Soportada, este servidor podrá ejecutar o no la autenticación básica en un servidor en sentido descendente. Se pueden utilizar otros métodos de autenticación si están configurados. Si selecciona Nunca, el servidor no enviará nunca una salida de símbolo de capa de mensajes a un servidor en sentido descendente. Si el servidor en sentido descendente requiere autenticación básica, no se intenta la conexión.

Tipo de datos: String
Autenticación de certificados de cliente
Especifica si un certificado de cliente del almacén de claves configurado se va a utilizar para autenticarse en el servidor cuando se establezca la conexión SSL entre este servidor y un servidor en sentido descendente (a menos que el servidor en sentido descendente dé soporte a la autenticación de certificados de cliente).

Generalmente la autenticación de certificados de cliente un rendimiento mayor que la autenticación de la capa de mensajes pero requiere algunos pasos de configuración adicionales. Estos pasos adicionales requieren la verificación de que este servidor disponga de un certificado personal y de que el servidor en sentido descendente tenga el certificado de firmante de este servidor.

Cuando seleccione la autenticación de certificados de cliente, decida si es necesaria o soportada. Si selecciona Necesaria, el servidor sólo se puede conectar a servidores en sentido descendente que tengan también configurada la autenticación de certificados de cliente. Si selecciona Soportada, el servidor ejecutará la autenticación de certificados de cliente con cualquier servidor en sentido descendente, aunque podrá utilizarla dependiendo de si el servidor en sentido descendente la soporta o no. Si selecciona Nunca, el cliente no ejecutará la autenticación de certificados de cliente en ningún servidor en sentido descendente. Esta limitación impide el acceso a cualquier servidor en sentido descendente que necesite la autenticación de certificados de cliente.

Tipo de datos: String
Comprobación de identidad
Especifica si se deben confirmar las identidades de un servidor a otro durante una invocación de enterprise en sentido descendente.

La identidad confirmada es la credencial de invocación que determina la modalidad RunAs para el enterprise bean. Si la modalidad RunAs es Cliente, la identidad es la identidad del cliente. Si la modalidad RunAs es Sistema, la identidad es la identidad del servidor. Si la modalidad RunAs es Especificada, la identidad es la identidad especificada. El servidor receptor recibe la identidad en un símbolo de identidad, y también recibe la identidad del servidor emisor en un símbolo de autenticación de cliente. El servidor receptor valida la identidad del servidor emisor para asegurarse de que se trata de una identidad de confianza.

Cuando se especifica la comprobación de identidad en el panel Salida de autenticación CSIv2, también se debe seleccionar la autenticación básica como soportada o necesaria en el panel Salida de autenticación CSIv2. De esta forma, se puede someter la identidad del servidor, junto con la señal de identidad, para que el servidor receptor puede confiar en el servidor emisor. Si no se especifica la autenticación básica como soportada o necesaria, no se establece la confianza y falla la confirmación de identidad.

Tipo de datos: String
Sesiones con estado
Especifica si se debe volver a utilizar la información de seguridad durante la autenticación. Esta opción generalmente se utiliza para aumentar el rendimiento.

El primer contacto entre un cliente y un servidor debe autenticarse completamente. Sin embargo, todos los demás contactos con sesiones válidas, vuelven a utilizar la información de seguridad. El cliente pasa un ID de contexto al servidor y dicho ID se utiliza para buscar la sesión. El ID de contexto tiene el ámbito de la conexión, lo cual garantiza la exclusividad. Cuando la sesión de seguridad no es válida y si el reintento de autenticación está habilitado (lo está por omisión), el interceptor de seguridad del extremo del cliente invalida la sesión del extremo del cliente y vuelve a someter la petición sin que el usuario lo sepa. Por ejemplo, si la sesión no existe en el servidor, el servidor fallará y se reanudará su operación.

Cuando se inhabilita este valor, cada una de las invocaciones de método deben reautenticarse.

Tipo de datos: String

Información relacionada

Botones de la consola de administración
Características de la página de la consola administrativa
Valores de ámbito de la consola administrativa
Valores de filtro de la consola administrativa
Valores de preferencias de la consola administrativa