Einstellungen für Webauthentifizierung

Verwenden Sie diese Seite, um die Einstellungen für die Webauthentifizierung anzugeben, die einem Web-Client zugeordnet werden sollen.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie unter "Authentifizierung" den Eintrag Web- und SIP-Sicherheit, und klicken Sie auf Allgemeine Einstellungen.
[IBM i][AIX Solaris HP-UX Linux Windows]Sie können die globalen Einstellungen für die Webauthentifizierung, die Sie in dieser Anzeige auswählen, überschreiben, indem Sie eine oder mehrere Systemeigenschaften auf Serverebene angeben. Führen Sie die folgenden Schritte aus, um eine dieser Systemeigenschaften anzugeben:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Java Virtual Machine > Angepasste Eigenschaften > Neu.
[z/OS]Sie können die globalen Einstellungen für die Webauthentifizierung, die Sie in dieser Anzeige auswählen, überschreiben, indem Sie eine oder mehrere Systemeigenschaften für den Controller und den Servant angeben. Führen Sie die folgenden Schritte aus, um eine dieser Systemeigenschaften für den Controller anzugeben:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Java Virtual Machine > Angepasste Eigenschaften > Neu.
[z/OS]Führen Sie die folgenden Schritte aus, um eine dieser Systemeigenschaften für den Servant anzugeben:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Java Virtual Machine > Angepasste Eigenschaften > Neu.
Tabelle 1. Werte der Systemeigenschaften für Webauthentifizierung. In dieser Tabelle werden die Werte der Systemeigenschaften für die Webauthentifizierung beschrieben.
Eigenschaftsname Wert Erläuterung
com.ibm.wsspi.security.web.webAuthReq lazy Dieser Wert entspricht der Option Nur authentifizieren, wenn der URI geschützt ist.
Anmerkung: Sie können "webAuthReq" über die Administrationskonsole oder mit Scripting anders setzen, wenn Sie eine globale Domäne oder eine Sicherheitsdomäne verwenden, aber die globale Ebene hat immer Vorrang.
com.ibm.wsspi.security.web.webAuthReq persisting Dieser Wert entspricht der Option Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden.
com.ibm.wsspi.security.web.webAuthReq always Dieser Wert entspricht der Option Beim Zugriff auf jeden URI authentifizieren.
com.ibm.wsspi.security.web.failOverToBasicAuth true Dieser Wert entspricht der Option Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt.

Nur authentifizieren, wenn der URI geschützt ist

Der Anwendungsserver fordert Authentifizierungsdaten beim Web-Client an, wenn der Web-Client auf einen URI (Uniform Resource Identifier) zugreift, der durch eine Java EE-Rolle (Java 2 Platform, Enterprise Edition) geschützt ist. Die authentifizierte Identität ist nur verfügbar, wenn der Web-Client auf einen geschützten URI zugreift.

Diese Option bezeichnet das Standardverhalten bei der Java-EE-Webauthentifizierung, das auch in früheren Releases von WebSphere Application Server verfügbar ist.

Anmerkung: Wenn Sie diese Option auswählen, fehlen Bilder auf der Anmeldeseite der Administrationskonsole. Der folgende Fehler kann in der Administrationskonsole angezeigt werden: "CWLAA6003: Das Portlet konnte nicht angezeigt werden. Das Portlet ist möglicherweise nicht gestartet. Überprüfen Sie die Fehlerprotokolle."

Die fehlenden Bilder und die Fehlernachricht sind Nebeneffekte dieser Option. Die Bilder werden die angezeigt, weil die URIs für die Bilder jetzt authentifiziert werden müssen, wozu eine Anmeldung erforderlich ist. Sie können diese Fehlernachricht ignorieren.

Information Wert
Standardeinstellung Aktiviert

Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden

Der Web-Client kann auf validierte authentifizierte Daten zugreifen, auf die er zuvor nicht zugreifen konnte. Diese Option ermöglicht dem Web-Client, die Methoden getRemoteUser, isUserInRole und getUserPrincipal aufzurufen, um eine authentifizierte Identität von einem nicht geschützten URI abzurufen.

Wenn Sie die Option Nur authentifizieren, wenn der URI geschützt ist auswählen, kann der Web-Client authentifizierte Daten unabhängig davon verwenden, ob der URI geschützt oder ungeschützt ist.

Wenn Sie diese Option auswählen und die formularbasierte Authentifizierung verwenden, wird ein WASPostParam-Cookie während der Authentifizierung der HTTP-POST-Anforderung generiert, selbst wenn der Ziel-UR nicht geschützt ist. Ein WASPOSTParam-Cookie ist ein temporäres Cookie, das verwendet wird, um HTTP-POST-Parameter zu speichern. Dies führt dazu, dass dem Web-Client das nicht erforderliche Cookie mit einer HTTP-Antwort gesendet wird, was ein unerwartetes Verhalten zur Folge haben kann, wenn die Größe des Cookies die Browserbeschränkung überschreitet. Sie können dieses Verhalten vermeiden, indem Sie eine angepasste Eigenschaft mit dem Namen "com.ibm.websphere.security.util.postParamMaxCookieSize" setzen, das den Sicherheitscode anweist, das Cookie nicht zu generieren, wenn die maximale Größe erreicht ist.

Wichtig: Bei Auswahl dieser Option wird der Web-Client jedoch nicht aufgefordert, authentifizierte Daten bereitzustellen, wenn er ohne authentifizierte Daten auf einen ungeschützten URI zugreift.
Information Wert
Standardeinstellung Aktiviert

Beim Zugriff auf jeden URI authentifizieren

Der Web-Client muss in jedem Fall Authentifizierungsdaten bereitstellen, unabhängig davon, ob der URI geschützt ist oder nicht.

Information Wert
Standardeinstellung Inaktiviert

Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt

Wenn die HTTPS-Clientzertifikatsauthentifizierung fehlschlägt, verwendet der Anwendungsserver die Basisauthentifizierung, um den Web-Client zur Bereitstellung einer Benutzer-ID und eines Kennworts aufzufordern.

Die Authentifizierung der HTTP-Clientzertifizierung, die von der Anwendungsserversicherheit ausgeführt wird, unterscheidet sich von der Clientauthentifizierung, die vom Web-Server-Plug-in ausgeführt wird. Wenn Sie das Web-Server-Plug-in für gegenseitige Authentifizierung konfigurieren und die Clientauthentifizierung fehlschlägt, treten folgende Bedingungen ein:
  • Der Web-Server erzeugt eine Fehlernachricht, und die Webanforderung wird nicht von der Anwendungsserversicherheit ausgeführt.
  • Der Anwendungsserver stellt keine Überbrückung (Failover) zur Basisauthentifizierung bereit.
Information Wert
Standardeinstellung Inaktiviert

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_webauth
Dateiname:usec_webauth.html