[Fix Pack 5.0.1 e successive]Impostazioni di autenticazione in uscita di interoperabilità comune sicura (CSI, Common Secure Interoperability)

Utilizzare questa pagina per specificare le funzioni che un server supporta quando funge da client di un altro server downstream.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Protocollo di autenticazione > Autenticazione in uscita CSI.

Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:

Livello di trasporto
Il livello di trasporto, quello più basso, potrebbe contenere, come identità, un certificato client SSL (Secure Sockets Layer).
Livello di messaggio
Il livello di messaggio può contenere un ID utente e password o un token autenticato.
Livello di attributo
Il livello di attributo può contenere un token di identità che rappresenta un'identità proveniente da un server upstream ed è già autenticato. Il livello di attributo ha la priorità più alta ed è seguito dal livello di messaggio e, quindi, da quello di trasporto. Se questo server li invia tutti e tre, il server downstream utilizza solo il livello di attributo. Il certificato client SSL viene utilizzato come identità, solo se questo rappresenta le uniche informazioni fornite durante la richiesta in uscita.

Scheda Configurazione

Autenticazione di base
Specifica se inviare un ID utente e una password dal client al server per l'autenticazione.

Questo tipo di autenticazione si verifica sul livello di messaggio. L'autenticazione di base coinvolge la delega di un token della credenziale da una credenziale già autenticata, nel caso in cui tale tipo di credenziale sia inoltrabile (ad esempio, LTPA, Lightweight Third Party Authentication). L'autenticazione base si riferisce a qualsiasi autenticazione sul livello di messaggio e indica l'ID utente, la password e l'autenticazione basata sul token.

Selezionando Autenticazione di base si stabilisce se se questa è obbligatoria o supportata. Obbligatoria indica che quando il server accede al server downstream, quest'ultimo deve supportare l'autenticazione di base per la connessione del server. Supportata indica che questo server potrebbe eseguire o meno l'Autenticazione di base su un server downstream. Se configurati, possono verificarsi altri metodi di autenticazione. Selezionando Mai si indica che questo server non invierà mai un token a livello di messaggio in uscita su un server downstream. Se il server downstream richiede l'autenticazione di base, allora la connessione non viene tentata.

Tipo dati: Stringa
Autenticazione certificato client
Indica se un certificato client, che deriva da un keystore configurato, viene utilizzato per autenticare il server nel momento in cui viene effettuata la connessione SSL tra questo server e un server downstream (con il presupposto che il server downstream supporti l'autenticazione del certificato client).

In genere, l'autenticazione del certificato client fornisce prestazioni più elevate dell'autenticazione del livello di messaggio, ma richiede delle fasi aggiuntive di impostazione. Queste fasi aggiuntive prevedono che si controlli che il server abbia un certificato personale e che il server downstream disponga del certificato del firmatario di tale server.

Quando viene selezionata Autenticazione certificato client, decidere se è obbligatoria o supportata. Selezionando Obbligatoria si indica che il server può solo connettersi ai server downstream con l'autenticazione del certificato client configurata. Selezionando Supportata, si indica che questo server esegue l'Autenticazione certificato client con qualsiasi server downstream ma potrebbe non utilizzare tale Autenticazione solo se il server downstream la supporta. Selezionando Mai, si indica che questo client non eseguirà l'autenticazione del certificato client su nessun server downstream. Questa limitazione impedisce l'accesso a qualsiasi server downstream che richiede l'autenticazione del certificato client.

Tipo dati: Stringa
Asserzione d'identità
Specifica se asserire l'identità da un server ad un altro durante un richiamo bean enterprise downstream.

L'identità asserita è la credenziale di richiamo, determinata dalla modalità RunAs per il bean enterprise. Se la modalità RunAs è Client, l'identità è quella del client. Se la modalità RunAs è Sistema, l'identità è quella del server. Se la modalità RunAs è Specificata, l'identità è quella specificata. Il server ricevente riceve l'identità in un token di identità e anche l'identità del server trasmittente in un token di autenticazione client. Il server ricevente convalida l'identità del server trasmittente per verificare un'identità sicura.

Quando si specifica l'asserzione d'identità sul pannello Autenticazione in uscita CSIv2, è necessario specificare in questo pannello anche l'autenticazione di base come supportata o obbligatoria. Quest'operazione consente di inoltrare l'identità server e il token d'identità, in modo che il server ricevente possa considerare affidabile il server trasmittente. Se non si specifica l'autenticazione di base come supportata o obbligatoria, l'affidabilità non viene stabilita e l'asserzione d'identità non riesce.

Tipo dati: Stringa
Sessioni stateful
Specifica se riutilizzare o meno le informazioni di sicurezza durante l'autenticazione. Questa opzione viene utilizzata normalmente per migliorare le prestazioni.

Il primo contatto tra un client e il server deve essere autenticato completamente. Tuttavia, tutti i contatti successivi con sessioni valide, riutilizzano le informazioni sulla sicurezza. Il client invia un ID di contesto al server e quell'ID viene utilizzato per ricercare la sessione. L'ID di contesto si trova nell'ambito della connessione e ciò garantisce l'univocità. Ogni qualvolta la sessione di sicurezza non è valida e se il nuovo tentativo di autenticazione è abilitato (abilitato per impostazione predefinita), l'intercettatore di sicurezza lato client convalida la sessione lato client e inoltra nuovamente la richiesta. Ad esempio, se la sessione non esiste sul server; l'operazione sul server non riesce e viene ritentata.

Quando questo valore viene disabilitato, tutte le chiamate ai metodi devono essere nuovamente autenticate.

Tipo dati: Stringa

Informazioni correlate

Pulsanti della console di gestione
Funzioni della pagina della console di gestione
Impostazioni ambito della console di gestione
Impostazioni di filtro della console di gestione
Impostazioni delle preferenze della console di gestione