[Fix Pack 5.0.1 and later]Paramètres d'authentification des communications sortantes CSI (Common Secure Interoperability)

Cette page permet de définir les fonctionnalités prises en charge par un serveur lorsque ce dernier est client d'un autre serveur en aval.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Protocole d'authentification > Authentification des communications sortantes CSI.

Les fonctions d'authentification incluent trois couches d'authentification qui peuvent être utilisées simultanément :

Couche de transports
La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) en tant qu'identité.
Couche de messages
La couche messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification.
Couche attributs
La couche attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont qui est déjà authentifié. La couche des attributs possède la priorité la plus élevée, suivie de la couche de message, puis enfin, de la couche de transport. Si ce serveur envoie les trois couches, seule celle des attributs est utilisée par le serveur en aval. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande sortante.

Onglet Configuration

Authentification de base
Indique s'il est nécessaire d'envoyer un ID utilisateur et un mot de passe du client au serveur pour authentification.

Ce type d'authentification se produit sur la couche messages. L'authentification de base requiert également la délégation d'un jeton d'un justificatif déjà authentifié, à condition que ce justificatif soit acheminable, ce qui est par exemple le cas des justificatifs LTPA (Lightweight Third Party Authentication). L'authentification de base fait référence à toute authentification effectuée sur la couche messages et indique l'authentification par ID utilisateur et mot de passe ainsi que l'authentification par jeton.

La sélection de l'option Authentification de base permet de déterminer si l'authentification est requise ou prise en charge. Si vous sélectionnez Requise, lorsque le serveur communique avec les serveurs en aval, ces derniers doivent prendre en charge l'authentification de base pour que la connexion puisse être établie. Lorsque vous sélectionnez Prise en charge, ce serveur peut ou ne pas effectuer l'authentification de base sur un serveur en aval. D'autres méthodes d'authentification peuvent être utilisées si elles sont configurées. Si vous choisissez Jamais, ce serveur n'envoie jamais de jeton de couche messages à un serveur en aval. Si le serveur en aval requiert une authentification de base, la connexion n'est pas établie.

Type de données : Chaîne
Authentification par certificat client
Indique si un certificat client du fichier du magasin de clés configuré est utilisé pour l'authentification sur le serveur lorsque la connexion SSL est établie entre ce serveur et un serveur en aval (à condition que le serveur en aval prenne en charge les authentifications par certificat client).

En général l'authentification par certificat client permet d'obtenir de meilleures performances que l'authentification par couche messages, mais elle requiert des étapes de configuration supplémentaires. Ces étapes supplémentaires permettent notamment de vérifier que ce serveur dispose d'un certificat personnel et que le serveur en amont possède le certificat signataire de ce serveur.

Si vous sélectionnez l'authentification par certificat client, choisissez si elle est requise ou prise en charge. Si vous choisissez Requise, ce serveur ne peut se connecter qu'aux serveurs en aval pour lesquels l'authentification par certificat client est également configurée. Si vous choisissez Prise en charge, ce serveur procède à l'authentification par certificat client pour tous les serveurs en aval, mais il peut ne pas l'utiliser si le serveur en aval ne la prend pas en charge. Si vous choisissezJamais, ce client ne procède pas à l'authentification par certificat client pour les serveurs en aval. Cette restriction permet d'interdire l'accès aux serveurs en aval qui requièrent une authentification par certificat client.

Type de données : Chaîne
Vérification d'identité
Indique s'il est nécessaire de vérifier les identités d'un serveur par rapport à un autre lors de l'appel d'un bean enterprise en aval.

L'identité vérifiée constitue le justificatif d'appel déterminé par le mode d'exécution pour le bean enterprise. Si le mode d'exécution est Client, l'identité correspond à l'identité du client. Si le mode d'exécution est Système, l'identité correspond à l'identité du serveur. Si le mode d'exécution est Spécifié, l'identité correspond à l'identité indiquée. Le serveur récepteur reçoit l'identité dans un jeton d'identité, ainsi que celle du serveur émetteur dans un jeton d'authentification client. Le serveur récepteur valide l'identité du serveur émetteur afin de garantir une identité digne de confiance.

Lorsque vous spécifiez la vérification d'identité dans le volet Authentification sortante CSIv2, vous devez également sélectionnez l'authentification élémentaire telle que gérée ou exigée par ce volet. Cette opération permet de soumettre l'identité du serveur, ainsi que le jeton d'identité,de sorte que le serveur récepteur puisse se fier au serveur émetteur. Sans spécifier l'authentification élémentaire telle que gérée ou exigée, la confiance n'est pas établie, et la vérification d'identité échoue.

Type de données : Chaîne
Sessions avec état
Indique s'il est nécessaire d'utiliser à nouveau les informations de sécurité lors de l'authentification. Cette option est généralement utilisée pour améliorer les performances.

Le premier contact entre un client et un serveur doit être totalement authentifié. Toutefois, tous les contacts suivants avec des sessions valides réutilisent les informations de sécurité. Le client transmet un ID de contexte au serveur, cet ID permet de rechercher la session. L'ID de contexte est sectorisé à la connexion, garantissant son unicité. Chaque fois que la session de sécurité n'est pas valide, si les nouvelles tentatives d'authentification sont autorisées (cette option est activée par défaut), l'intercepteur côté client annule la session côté client et soumet à nouveau la demande automatiquement. Par exemple, si la session n'existe pas sur le serveur, ce dernier échoue et reprend son activité.

Lorsque cette valeur est désactivée, tous les appels de méthode doivent être à nouveau authentifiés.

Type de données : Chaîne

Informations connexes

Boutons de la console administrative
Caractéristiques de la page de la console d'administration
Paramètres de la portée de la console administrative
Paramètres de filtrage de la console administrative
Paramètres des préférences de la console administrative