Abgehende CSIv2-Kommunikation konfigurieren
In der Anzeige Abgehende CSIv2-Kommunikation sind die folgenden Konfigurationsoptionen verfügbar.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Vorgehensweise
- Wählen Sie Zusicherung der Identität (Attributschicht) aus. Bei Auswahl dieser Option sendet dieser Server ein Identitätstokenan einen nachgeschalteten Server, sofern der nachgeschaltete Server die Zusicherung der Identität unterstützt. Wenn ein Ursprungsclient sich diesem Server gegenüber authentifiziert, werden die angegebenen Authentifizierungsinformationen im abgehenden Identitätstoken gespeichert. Wenn der Client, der sich diesem Server gegenüber authentifiziert, ein Clientzertifikat verwendet, hat das Identitätstokendas Format einer Zertifikatkette mit der exakten Clientzertifikatkette des eingehenden Socket. Dasselbe gilt für andere Authentifizierungsmethoden. Nähere Informationen hierzu finden Sie im Artikel Zusicherung der Identität.
Wählen Sie Benutzer-ID und Kennwort (Nachrichtenschicht) aus. Diese Art der Authentifizierung ist am weitesten verbreitet. Die Benutzer-ID und das Kennwort (bei Berechtigungsnachweis BasicAuth) oder das authentifizierte Token (bei authentifizierten Berechtigungsnachweis) wird an den nachgeschalteten Server gesendet, sofern dessen eingehende Authentifizierung Unterstützung für die Nachrichtenauthentifizierungsschicht bietet. Nähere Informationen hierzu finden Sie im Artikel Nachrichtenauthentifizierungsschicht.
- Wählen Sie SSL-Authentifizierung mit Clientzertifikat (Transportschicht) aus. Der Hauptgrund für die Aktivierung der SSL-Clientauthentifizierung für abgehende Verbindungen von einem Server zu einem nachgeschalteten Server ist die Schaffung einer gesicherten Umgebung zwischen beiden Servern. Wählen Sie für eine Delegierung von Clientberechtigungsnachweisen eine der beiden vorgenannten Schichten aus. Vielleicht möchten Sie aber persönliche SSL-Zertifikate für alle Server Ihrer Domäne erstellen und nur den in Ihrer SSL-TrustStore-Datei enthaltenen Servern vertrauen. Andere Server oder Clients können in diesem Fall keine Verbindung zu den Servern Ihrer Domäne herstellen, sofern Sie sie nicht für ausgewählte Schichten berechtigt haben. Dies ist eine Möglichkeit, den Zugriff auf Ihre Enterprise-Bean-Server ausschließlich Ihren Servlet-Servern vorzubehalten.
Beispiel
Die Konfiguration für abgehende Authentifizierung wird in der Regel für die Kommunikation eines vorgeschalteten Servers mit einem nachgeschalteten Server verwendet. Wahrscheinlich ist der vorgeschaltete Server ein Servlet-Server und der nachgeschaltete Server ein EJB-Server (JavaBeans). Ein Servlet-Server kann viele verschiedene Arten der Clientauthentifizierung für den Zugriff des Client auf das Servlet akzeptieren. Dazu gehören unter anderem Clientzertifikate und die Basisauthentifizierung. Werden die an einer Anmeldeaufforderung oder in einem Anmeldeformular eingegebenen Basisauthentifizierungsdaten empfangen, werden sie in der Regel authentifiziert, um einen Berechtigungsnachweis für den vom Server unterstützten Mechanismus, wie z. B. LTPA, zu erstellen. Ist der Mechanismus LTPA, enthält der Berechtigungsnachweis ein Token zur Weiterleitung. Wählen Sie die Nachrichtenebene Authentifizierung (BasicAuth) aus, um die Berechtigungsnachweise des Clients weiterzugeben. Wenn der Berechtigungsnachweis aus einer Zertifikatanmeldung erstellt wurde und das Zertifikat weiterhin an nachgeschaltete Server gesendet werden soll, könnten Sie sich für die Zusicherung der Identität bei abgehenden Verbindungen entscheiden.