Specifică faptul că o aserţiune de identitate este un mod de a presupune identităţi de la un server la altul în timpul unei invocări în aval EJB (Enterprise JavaBeans.
Acest server nu autentifică din nou identitatea presupusă pentru că are încredere în serverul din amonte. Aserţiunea identităţii are prioritate faţă de toate celelalte tipuri de autentificare.
Aserţiunea identităţii este realizată în nivelul de atribute şi se aplică numai pe servere. Principalul determinat la server se bazează pe regulile de precedenţă. Dacă se utilizează aserţiunea identităţii, identitatea este întotdeauna derivată din nivelul de atribute. Dacă se utilizează autentificarea de bază fără aserţiunea identităţii, identitatea este întotdeauna derivată din nivelul de mesaje. În cele din urmă, dacă autentificarea certificatului de client SSL este realizată fie fără autentificare de bază, fie fără aserţiunea identităţii, atunci identitatea este derivată din nivelul de transport.
Identitatea presupusă este acreditarea de invocare care este determinată de modul RunAs pentru bean-ul de întreprindere. Dacă modul RunAs este Client, identitatea este identitatea clientului. Dacă modul RunAs este System, identitatea este identitatea serverului. Dacă modul RunAs este Specified (Specificat), identitatea este cea specificată. Serverul de recepţie primeşte identitatea într-un token de identitate şi, de asemenea, primeşte identitatea serverului emiţător într-un token de autentificare client. Serverul de recepţie validează identitatea serverului emiţător ca identitate de încredere prin caseta de intrare a ID-urilor de servere de încredere (Trusted Server IDs). Introduceţi o listă de nume de principal separate prin bare verticale (|), de exemplu, serverid1|serverid2|serverid3.
Toate tipurile de token-uri de identitate mapează la câmpul ID de utilizator al registrului de utilizatori activi. Pentru un token de identitate ITTPrincipal, acest token se mapează unu-la-unu cu câmpurile de ID utilizator. Pentru un token de identitate ITTDistinguishedName, valoarea de la primul semn egal este mapată la câmpul ID utilizator. Pentru un token de identitate ITTCertChain, valoarea de a primul semn egal al numelui distinctiv este mapată la câmpul ID utilizator.
La autentificarea la un registru de utilizatori LDAP, filtrele LDAP determină cum sunt mapate identităţile de tipul ITTCertChain şi ITTDistinguishedName la registru. Dacă tipul token-ului este ITTPrincipal, atunci principalul este mapat la câmpul UID în registrul LDAP.