ID アサーションが、
ダウンストリーム Enterprise JavaBeans™ (EJB) の呼び出し時に、
あるサーバーから別のサーバーへ ID を表明する方法であることを指定します。
このサーバーは、その上流サーバーを信頼しているので、主張された ID を
再度認証することはありません。ID アサーションは、他のすべてのタイプの認証に優先します。
ID アサーションは、属性層で実行され、サーバーでのみ適用されます。
サーバーで決定されるプリンシパルは、優先順位のルールに基づきます。
ID アサーションを使用すると、識別は常にこの属性層から派生します。
ID アサーションなしで基本認証を使用すると、
識別は常にメッセージ層から派生します。
最後に、SSL クライアント証明書認証を基本認証や ID アサーションなしで実行する場合、識別はトランスポート層から派生します。
表明される ID は、エンタープライズ Bean の RunAs モードで決定される呼び出しクレデンシャルです。
RunAs モードが「クライアント」の場合、この識別はクライアント識別です。
RunAs モードが「System」の場合、この識別はサーバー識別です。
RunAs モードが「指定」である場合、この識別は指定された識別です。
受信サーバーは、識別トークン内の識別を受信するとともに、
クライアント認証トークン内の送信サーバー識別も受信します。
受信サーバーは、「Trusted Server ID」エントリーのボックスを使用して、送信サーバー識別が信用できる識別であることを検証します。パイプ (|) で区切ったプリンシパル名のリスト (serverid1|serverid2|serverid3 など) を入力します。
すべての識別トークンのタイプは、アクティブ・ユーザー・レジストリーのユーザー ID フィールドにマップされます。
ITTPrincipal 識別トークンの場合、
このトークンがユーザー ID フィールドと 1 対 1 でマップされます。
ITTDistinguishedName 識別トークンの場合、
最初の等号の値が、ユーザー ID フィールドにマップされます。
ITTCertChain 識別トークンの場合、識別名における
最初の等号の値が、ユーザー ID フィールドにマップされます。
LDAP ユーザー・レジストリーに対して認証する場合、LDAP フィルターは ITTCertChain と ITTDistinguishedName の識別タイプのレジストリーへのマップ方法を決定します。トークン・タイプが ITTPrincipal の場合、
プリンシパルは LDAP レジストリーの UID フィールドにマップされます。