[Fixpack 5.0.1 und höher]Einstellungen für Authentifizierung abgehender CSI-Anforderungen

Verwenden Sie diese Seite, um die Funktionen festzulegen, die ein Server unterstützt, wenn er als Client für einen anderen Downstream-Server auftritt.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Authentifizierungsprotokoll > Abgehende CSI-Authentifizierung.

Die Authentifizierungsfunktionen umfassen drei Authentifizierungsschichten, die parallel verwendet werden können:

Transportschicht
Die Transportschicht, die die niedrigste Schicht ist, kann ein SSL-Clientzertifikat (Secure Sockets Layer) als Identität enthalten.
Nachrichtenschicht
Die Nachrichtenschicht kann eine Benutzer-ID und ein Kennwort oder ein authentifiziertes Token enthalten.
Attributschicht
Die Attributschicht kann ein Identitäts-Token enthalten, das eine Identität von einem Upstream-Server darstellt und bereits authentifiziert ist. Die Attributschicht hat die höchste Priorität, gefolgt von der Nachrichtschicht und schließlich der Transportschicht. Wenn dieser Server Daten über alle drei Schichten sendet, wird nur die Attributschicht vom Downstream-Server verwendet. Das SSL-Clientzertifikat kann nur als Identität verwendet werden, wenn es die einzige Information ist, die während der Anforderung von abgehenden Verbindungen bereitgestellt wird.

Register "Konfiguration"

Basisauthentifizierung
Gibt an, ob eine Benutzer-ID und ein Kennwort vom Client zur Authentifizierung an den Server gesendet werden sollen.

Dieser Authentifizierungstyp wird über die Nachrichtenschicht durchgeführt. Bei der Basisauthentifizierung wird auch ein Berechtigungs-Token von einer bereits authentifizierten Berechtigung delegiert, vorausgesetzt, der Berechtigungstyp kann weitergeleitet werden (z. B. LTPA, Lightweight Third Party Authentication). Dieses Authentifizierungsverfahren umfasst alle Authentifizierungen, die über die Nachrichtenschicht erfolgen, und gibt sowohl die Authentifizierung über Benutzer-ID und Kennwort sowie die Token-basierte Authentifizierung an.

Wenn Sie die Basisauthentifizierung auswählen, müssen Sie angeben, ob die Authentifizierung das Merkmal "Erforderlich" oder "Unterstützt" hat. Wenn der Server bei Auswahl von Erforderlich versucht, abgehende Verbindungen zum Downstream-Server herzustellen, muss der Downstream-Server die Basisauthentifizierung für diesen Server unterstützen, damit eine Verbindung möglich ist. Bei Auswahl von Unterstützt kann dieser Server die Basisauthentifizierung für einen Downstream-Server herstellen. Andere Methoden der Authentifizierung können durchgeführt werden, sofern welche konfiguriert sind. Bei Auswahl von Nie sendet dieser Server kein Nachrichtenschicht-Token an einen Downstream-Server. Ist für den Downstream-Server die Basisauthentifizierung erforderlich, wird nicht versucht, die Verbindung herzustellen.

Datentyp String
Authentifizierung über Clientzertifikat
Gibt an, ob ein Clientzertifikat über das konfigurierte KeyStore verwendet wird, um die Authentifizierung für den Server durchzuführen, wenn die SSL-Verbindung zwischen diesem Server und einem Downstream-Server hergestellt wird (vorausgesetzt, der Downstream-Server unterstützt die Authentifizierung über Clientzertifikate).

Die Verwendung der Authentifizierung mit Clientzertifikaten bietet in der Regel eine höhere Leistung als die Authentifizierung auf Nachrichtenebene, erfordert aber einige zusätzliche Konfigurationsschritte. Sie müssen z. B. sicherstellen, dass dieser Server ein persönliches Zertifikat und der Downstream-Server das Ausstellerzertifikat dieses Servers besitzt.

Wenn Sie die Authentifizierung mit Clientzertifikaten auswählen, müssen Sie festlegen, ob diese erforderlich oder unterstützt ist. Bei Auswahl von Erforderlich kann dieser Server nur Verbindungen zu Downstream-Servern herstellen, für die die Authentifizierung mit Clientzertifikat ebenfalls konfiguriert wurde. Die Auswahl Unterstützt zeigt an, dass dieser Server die Authentifizierung über Clientzertifikate mit jedem Downstream-Server durchführt, aber davon absehen kann, falls der Downstream-Server dies nicht unterstützt. Bei Auswahl von Nie führt der Client keine Authentifizierung mit Clientzertifikat mit einem Downstream-Server durch. Dadurch wird der Zugriff auf einen Downstream-Server, für den die Authentifizierung über Clientzertifikat erforderlich ist, verhindert.

Datentyp String
Zusicherung der Identität
Gibt an, ob beim Aufruf einer Downstream-Enterprise-Bean zwischen zwei Servern Identitäten ausgetauscht und bestätigt werden sollen.

Die zugesicherte Identität stellt die Aufrufberechtigung dar, die durch den RunAs-Modus für die Enterprise-Bean festgelegt wird. Ist der RunAs-Modus Client, stimmt die Identität mit der Clientidentität überein. Ist der RunAs-Modus System, stimmt die Identität mit der Serveridentität überein. Ist der RunAs-Modus Angegeben, entspricht die Identität der angegebenen Identität. Der empfangende Server empfängt die Identität in einem Identitäts-Token und empfängt auch die Identität des sendenden Servers in einem Clientauthentifizierungs-Token. Der empfangende Server überprüft die Identität des sendenden Servers, um sicherzustellen, dass die Identität als vertrauenswürdig eingestuft ist.

Wenn Sie in der Anzeige Abgehende CSIv2-Authentifizierung die Zusicherung der Identität (Identity Assertion) festlegen, müssen Sie in derselben Anzeige die Basisauthentifizierung als "unterstützt" oder "erforderlich" definieren. Dies lässt die Übermittlung der Serveridentität zusammen mit dem Identitäts-Token zu, damit der empfangende Server dem sendenden Server vertrauen kann. Wenn Sie die Basisauthentifizierung nicht als unterstützt oder erforderlich definieren, wird keine Vertrauensbasis hergestellt, und die Zusicherung der Identität schlägt fehlt.

Datentyp String
Stateful-Sitzungen
Gibt an, ob bei der Authentifizierung Sicherheitsdaten erneut verwendet werden sollen. Diese Option wird normalerweise verwendet, um die Leistung zu erhöhen.

Beim ersten Kontakt zwischen einem Client und einem Server muss eine vollständige Authentifizierung durchgeführt werden. Alle nachfolgenden Kontakte mit gültigen Sitzungen verwenden jedoch die Sicherheitsinformationen erneut. Der Client übergibt eine Kontext-ID an den Server, und die ID wird zum Lokalisieren der Sitzung verwendet. Die Kontext-ID wird der Verbindung zugeordnet, wodurch die Verbindung eine eindeutige Kennung erhält. Wenn die Sicherheitssitzung ungültig und die Option für die Wiederholung der Authentifizierung aktiviert ist (Standardwert), invalidiert der clientseitige Sicherheits-Interceptor die clientseitige Sitzung und übergibt die Anforderung transparent erneut. Beispiel: Die Sitzung ist nicht im Server vorhanden. Der Server schlägt fehl und nimmt die Operation wieder auf.

Ist dieser Wert inaktiviert, müssen alle Methodenaufrufe erneut authentifiziert werden.

Datentyp String

Zugehörige Informationen

Knöpfe in der Adminstrationskonsole
Funktionen auf den Seiten der Administrationskonsole
Geltungsbereichseinstellungen für die Administrationskonsole
Filtereinstellungen für die Administrationskonsole
Vorgaben für die Administrationskonsole