配置公共安全互操作性 V2 出站通信
在配置“公共安全互操作性 V2 (CSIv2) 出站通信”面板时,可使用下列选项。
开始之前
关于此任务
过程
- 选择身份断言(属性层)。 选择此选项后,如果下游服务器支持身份断言,此服务器就会将身份令牌发送给下游服务器。当发起方客户机在此服务器中进行认证时,所提供的认证信息保留在出站身份令牌中。如果客户机使用客户机证书认证来向此服务器认证,那么身份令牌格式是证书链,它包含来自入站套接字的精确客户机证书链。相同的方案对于其他认证机制也成立。请阅读身份断言主题,以了解更多信息。
选择用户标识和密码(消息层)。 此类型的认证是最典型的。如果下游服务器支持入站认证面板中的消息层认证,那么用户标识和密码(如果为 BasicAuth 凭证)或已认证令牌(如果为已认证的凭证)发送出站到下游服务器。请参阅消息层认证一文,以了解更多信息。
- 选择 SSL 客户机证书认证(传输层)。 启用出站安全套接字层 (SSL) 客户机认证从一个服务器到下游服务器的主要原因是在那些服务器之间创建可信环境。对于委派客户机凭证,使用前面所提到的两个层中的一个。但是,您可能要为域中的所有服务器创建 SSL 个人证书,并且仅信任 SSL 信任库文件中的那些服务器。除了您要他们所在的层之外,没有其他服务器或客户机可以连接到您域中的服务器。此过程可以保护您的企业 Bean 服务器不被您的 Servlet 服务器之外的任何其他服务器访问。
示例
通常,出站认证配置用于上游服务器与下游服务器进行通信。很可能,上游服务器是 Servlet 服务器,而下游服务器是 Enterprise JavaBeans (EJB) 服务器。在 Servlet 服务器上,执行以访问 Servlet 的客户机认证可以是很多不同类型的认证(包含客户机证书和基本认证)。接收基本认证数据时,无论是通过提示登录还是通过基于表单的登录接收该数据,通常都会向服务器支持的机制类型(例如轻量级第三方认证 (LTPA))的凭证认证基本认证信息。当 LTPA 是机制时,可转发的令牌存在于凭证中。选择消息层 (BasicAuth) 认证传播客户机凭证。如果凭证是使用证书登录创建的,并且您要保持发送证书到下游,那么您可能决定使用出站身份断言。