Configuración de las comunicaciones de salida CSIv2 (Common Secure Interoperability Versión 2)
Las siguientes opciones están disponibles al configurar el panel de comunicaciones de salida CSIv2 (Common Secure Interoperability Versión 2)
Antes de empezar
Acerca de esta tarea
Procedimiento
- Seleccione Aserción de identidad (capa de atributos). Cuando se selecciona, este servidor envía una señal de identidad a un servidor en sentido descendente, si el servidor en sentido descendente da soporte a la aserción de identidad. Cuando un cliente emisor se autentica ante este servidor, la información de autenticación suministrada se conserva en la señal de identidad de salida. Si el cliente se ha autenticado para este servidor mediante la autenticación de certificados de cliente, el formato de señal de identidad será una cadena de certificados que contiene una cadena de certificados de cliente idéntica del socket de entrada. El mismo escenario es cierto para otros mecanismos de autenticación. Lea el tema Aserción de identidad para obtener más información.
Seleccione ID de usuario y Contraseña (capa de mensajes). Este tipo de autenticación es la más típica. El ID de usuario y la contraseña (si la credencial es BasicAuth) o la señal autenticada (si se ha autenticado la credencial) se envía en dirección de salida hacia el servidor en sentido descendente, si el servidor en sentido descendente da soporte a la autenticación de capa de mensajes en el panel de autenticación de entrada. Consulte el artículo Autenticación de capa de mensajes para obtener más información.
- Seleccione Autenticación de certificado de cliente SSL (capa de transporte). La razón principal para habilitar la autenticación de cliente SSL (Secure Sockets Layer) de salida desde un servidor hacia un servidor en sentido descendente es crear un entorno de confianza entre estos servidores. Para delegar credenciales de cliente, utilice una de las dos capas mencionadas anteriormente. Pero puede ser conveniente crear certificados personales SSL para todos los servidores del dominio y sólo confiar en aquellos servidores contenidos en el archivo de almacén de confianza de SSL. Ninguno de los demás servidores o clientes se puede conectar a los servidores del dominio, excepto en las capas en que lo desee. Este proceso asegura que solamente los servidores de servlet podrán acceder a los servidores de enterprise bean.
Ejemplo
Por lo general, la configuración de autenticación de salida es para un servidor en sentido ascendente para comunicarse con un servidor en sentido descendente. Lo más probable es que el servidor en sentido ascendente sea un servidor de servlets y el servidor en sentido descendente sea un servidor EJB (Enterprise JavaBeans). En un servidor de servlets, la autenticación de cliente para acceder al servlet puede realizarse con muchos tipos de autenticación distintos, incluidos el certificado de cliente y la autenticación básica. Cuando recibe los datos de autenticación básicos, ya sea a través de un inicio de sesión basado en solicitud o un inicio de sesión basado en formulario, la información de autenticación básica se autentica normalmente a partir de una credencial del tipo de mecanismo soportado por el servidor, como LTPA (Lightweight Third Party Authentication). Cuando el mecanismo es LTPA, hay una señal que puede remitirse en la credencial. Elija la autenticación de capa de mensajes (BasicAuth) para propagar las credenciales de cliente. Si la credencial se crea utilizando un inicio de sesión de certificado y desea conservar el envío del certificado en sentido descendente, puede ser conveniente utilizar la aserción de identidad de salida.