Einstellungen für Webauthentifizierung

Verwenden Sie diese Seite, um die Einstellungen für die Webauthentifizierung anzugeben, die einem Webclient zugeordnet werden sollen.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie unter "Authentifizierung" den Eintrag Web- und SIP-Sicherheit, und klicken Sie auf Allgemeine Einstellungen.
Sie können die globale Einstellung für die Webauthentifizierung, die Sie in dieser Anzeige auswählen, überschreiben, indem Sie eine Systemeigenschaft auf Serverebene angeben. Führen Sie zum Angeben der Systemeigenschaft die folgenden Schritte aus:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Java Virtual Machine > Angepasste Eigenschaften > Neu.
Sie können für die Webauthentifizierung die folgenden Systemeigenschaften auf Serverebene angeben.
Tabelle 1. Werte der Systemeigenschaften für Webauthentifizierung.

In dieser Tabelle werden die Werte der Systemeigenschaften für die Webauthentifizierung beschrieben.

Eigenschaftsname Wert Erläuterung
com.ibm.wsspi.security.web.webAuthReq lazy Dieser Wert entspricht der Option Nur authentifizieren, wenn der URI geschützt ist.
com.ibm.wsspi.security.web.webAuthReq persisting Dieser Wert entspricht der Option Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden.
com.ibm.wsspi.security.web.webAuthReq always Dieser Wert entspricht der Option Beim Zugriff auf jeden URI authentifizieren.
com.ibm.wsspi.security.web.failOverToBasicAuth true Dieser Wert entspricht der Option Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatauthentifizierung für den HTTPS-Client scheitert.
Nur authentifizieren, wenn der URI geschützt ist

Der Anwendungsserver fordert Authentifizierungsdaten beim Webclient an, wenn der Webclient auf einen URI (Uniform Resource Identifier) zugreift, der durch eine J2EE-Rolle (Java 2 Platform, Enterprise Edition) geschützt ist. Die authentifizierte Identität ist nur verfügbar, wenn der Webclient auf einen geschützten URI zugreift.

Diese Option bezeichnet das Standardverhalten bei der J2EE-Webauthentifizierung, das auch in früheren Releases von WebSphere Application Server verfügbar ist.

Anmerkung: Wenn Sie diese Option auswählen, fehlen Bilder auf der Anmeldeseite der Administrationskonsole. Der folgende Fehler kann in der Administrationskonsole angezeigt werden: "CWLAA6003: Das Portlet konnte nicht angezeigt werden. Das Portlet ist möglicherweise nicht gestartet. Überprüfen Sie die Fehlerprotokolle."

Die fehlenden Bilder und die Fehlernachricht sind Nebeneffekte dieser Option. Die Bilder werden die angezeigt, weil die URIs für die Bilder jetzt authentifiziert werden müssen, wozu eine Anmeldung erforderlich ist. Sie können diese Fehlernachricht ignorieren.

Standardeinstellung Aktiviert
Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden

Der Webclient kann auf validierte authentifizierte Daten zugreifen, auf die er zuvor nicht zugreifen konnte. Diese Option ermöglicht dem Webclient, die Methoden getRemoteUser, isUserInRole und getUserPrincipal aufzurufen, um eine authentifizierte Identität von einem nicht geschützten URI abzurufen.

Wenn Sie die Option Nur authentifizieren, wenn der URI geschützt ist auswählen, kann der Webclient authentifizierte Daten unabhängig davon verwenden, ob der URI geschützt oder ungeschützt ist.

Wichtig: Bei Auswahl dieser Option wird der Webclient jedoch nicht aufgefordert, authentifizierte Daten bereitzustellen, wenn er ohne authentifizierte Daten auf einen ungeschützten URI zugreift.
Standardeinstellung Inaktiviert
Beim Zugriff auf jeden URI authentifizieren

Der Webclient muss in jedem Fall Authentifizierungsdaten bereitstellen, unabhängig davon, ob der URI geschützt oder ungeschützt ist.

Standardeinstellung Inaktiviert
Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatauthentifizierung für den HTTPS-Client scheitert

Wenn die HTTPS-Clientzertifikatauthentifizierung fehlschlägt, verwendet der Anwendungsserver die Basisauthentifizierung, um den Webclient zur Bereitstellung einer Benutzer-ID und eines Kennworts aufzufordern.

Die Authentifizierung der HTTP-Clientzertifizierung, die von der Anwendungsserversicherheit ausgeführt wird, unterscheidet sich von der Clientauthentifizierung, die vom Webserver-Plug-in ausgeführt wird. Wenn Sie das Webserver-Plug-in für gegenseitige Authentifizierung konfigurieren und die Clientauthentifizierung fehlschlägt, treten folgende Bedingungen ein:
  • Der Webserver erzeugt eine Fehlernachricht, und die Webanforderung wird nicht von der Anwendungsserversicherheit ausgeführt.
  • Der Anwendungsserver stellt keine Überbrückung (Failover) zur Basisauthentifizierung bereit.
Standardeinstellung Inaktiviert



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für globale Sicherheit


Dateiname: usec_webauth.html