Einstellungen für Webauthentifizierung
Verwenden Sie diese Seite, um die Einstellungen für die Webauthentifizierung anzugeben, die einem Web-Client zugeordnet werden sollen.
- Klicken Sie auf .
- Erweitern Sie unter "Authentifizierung" den Eintrag Web- und SIP-Sicherheit, und klicken Sie auf Allgemeine Einstellungen.
![[IBM i]](../images/iseries.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
- Klicken Sie auf .
- Klicken Sie unter "Serverinfrastruktur" auf .
- Klicken Sie unter "Weitere Eigenschaften" auf .
![[z/OS]](../images/ngzos.gif)
- Klicken Sie auf .
- Klicken Sie unter "Serverinfrastruktur" auf .
- Klicken Sie unter "Weitere Eigenschaften" auf .
![[z/OS]](../images/ngzos.gif)
- Klicken Sie auf .
- Klicken Sie unter "Serverinfrastruktur" auf .
- Klicken Sie unter "Weitere Eigenschaften" auf .
Eigenschaftsname | Wert | Erläuterung |
---|---|---|
com.ibm.wsspi.security.web.webAuthReq | lazy | Dieser Wert entspricht der Option Nur authentifizieren,
wenn der URI geschützt ist.
Anmerkung: Sie können "webAuthReq" über die Administrationskonsole oder mit Scripting
anders setzen, wenn Sie eine globale Domäne oder eine Sicherheitsdomäne verwenden, aber die globale Ebene hat immer Vorrang.
|
com.ibm.wsspi.security.web.webAuthReq | persisting | Dieser Wert entspricht der Option Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden. |
com.ibm.wsspi.security.web.webAuthReq | always | Dieser Wert entspricht der Option Beim Zugriff auf jeden URI authentifizieren. |
com.ibm.wsspi.security.web.failOverToBasicAuth | true | Dieser Wert entspricht der Option Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt. |
Nur authentifizieren, wenn der URI geschützt ist
Der Anwendungsserver fordert Authentifizierungsdaten beim Web-Client an, wenn der Web-Client auf einen URI (Uniform Resource Identifier) zugreift, der durch eine Java EE-Rolle (Java 2 Platform, Enterprise Edition) geschützt ist. Die authentifizierte Identität ist nur verfügbar, wenn der Web-Client auf einen geschützten URI zugreift.
Diese Option bezeichnet das Standardverhalten bei der Java-EE-Webauthentifizierung, das auch in früheren Releases von WebSphere Application Server verfügbar ist.
Die fehlenden Bilder und die Fehlernachricht sind Nebeneffekte dieser Option. Die Bilder werden die angezeigt, weil die URIs für die Bilder jetzt authentifiziert werden müssen, wozu eine Anmeldung erforderlich ist. Sie können diese Fehlernachricht ignorieren.
Information | Wert |
---|---|
Standardeinstellung | Aktiviert |
Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden
Der Web-Client kann auf validierte authentifizierte Daten zugreifen, auf die er zuvor nicht zugreifen konnte. Diese Option ermöglicht dem Web-Client, die Methoden getRemoteUser, isUserInRole und getUserPrincipal aufzurufen, um eine authentifizierte Identität von einem nicht geschützten URI abzurufen.
Wenn Sie die Option Nur authentifizieren, wenn der URI geschützt ist auswählen, kann der Web-Client authentifizierte Daten unabhängig davon verwenden, ob der URI geschützt oder ungeschützt ist.
Wenn Sie diese Option auswählen und die formularbasierte Authentifizierung verwenden, wird ein WASPostParam-Cookie während der Authentifizierung der HTTP-POST-Anforderung generiert, selbst wenn der Ziel-UR nicht geschützt ist. Ein WASPOSTParam-Cookie ist ein temporäres Cookie, das verwendet wird, um HTTP-POST-Parameter zu speichern. Dies führt dazu, dass dem Web-Client das nicht erforderliche Cookie mit einer HTTP-Antwort gesendet wird, was ein unerwartetes Verhalten zur Folge haben kann, wenn die Größe des Cookies die Browserbeschränkung überschreitet. Sie können dieses Verhalten vermeiden, indem Sie eine angepasste Eigenschaft mit dem Namen "com.ibm.websphere.security.util.postParamMaxCookieSize" setzen, das den Sicherheitscode anweist, das Cookie nicht zu generieren, wenn die maximale Größe erreicht ist.
Information | Wert |
---|---|
Standardeinstellung | Aktiviert |
Beim Zugriff auf jeden URI authentifizieren
Der Web-Client muss in jedem Fall Authentifizierungsdaten bereitstellen, unabhängig davon, ob der URI geschützt ist oder nicht.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt
Wenn die HTTPS-Clientzertifikatsauthentifizierung fehlschlägt, verwendet der Anwendungsserver die Basisauthentifizierung, um den Web-Client zur Bereitstellung einer Benutzer-ID und eines Kennworts aufzufordern.
- Der Web-Server erzeugt eine Fehlernachricht, und die Webanforderung wird nicht von der Anwendungsserversicherheit ausgeführt.
- Der Anwendungsserver stellt keine Überbrückung (Failover) zur Basisauthentifizierung bereit.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |