Certificate Attributes(Oracle)
https://docs.oracle.com/cd/E24191_01/common/tutorials/authz_cert_attributes.html
概述
企业网关可以根据经过身份验证的客户端证书的X.509属性授权对Web服务的访问。
例如,一个简单的Certificate Attributes筛选器可能只授权证书有一个特殊名称(DName)的客户端,该名称包含以下属性:O=Oracle。
换句话说,只有“Oracle”用户有权访问Web服务。
X.509证书由多个字段组成,Subject字段是与本教程最相关的字段之一。它提供证书所属客户端的DName。DName 是X.500目录对象的唯一名称。它由一些称为相对区别名(Relative Distinguished Name,RDN)的属性值——对组成。
下面是一些最常见的RDN及其解释:
CN: CommonName
OU: OrganizationalUnit
O: Organization
L: Locality
S: StateOrProvinceName
C: CountryName
例如,以下是 Enterprise Gateway 提供的sample.p12客户端证书的DName :
CN=Sample Cert, OU=R&D, O=Company Ltd., L=Dublin 4, S=Dublin, C=IE
使用证书属性筛选器,可以基于例如DName 中的“CN”、“OU”或“C”属性来授权客户端。
———
配置
X.509属性表列出了许多针对客户端证书运行的属性检查。
对于每个条目来说,测试证书属性的方式是:只有当所有配置的属性值与客户端证书中的属性值匹配时,检查才会通过。
因此,实际上,在单次属性检查中列出的属性会被同时进行AND检查。
例如,假设以下内容被配置为X.509属性表中的一个条目:
OU=Eng, O=Company Ltd
如果企业网关收到具有以下DNAME的证书,此属性检查将通过,因为所有配置的属性都与证书DNAME中的属性匹配:
CN=User1, OU=Eng, O=Company Ltd, L=D4, S=Dublin, C=IE
CN=User2, OU=Eng, O=Company Ltd, L=D2, S=Dublin, C=IE
但是,如果企业网关收到带有以下DNAME的证书,属性检查将失败,因为DNAME中的属性与所有配置的属性不匹配(即“OU”属性有错误的值):
CN=User1, OU=qa, O=Company Ltd, L=D4, S=Dublin, C=IE
X.509属性表可以包含多个属性检查项。在这种情况下,属性检查(即表中的条目)一起以OR条件执行判断,因此如果任何检查成功,则整个证书属性筛选器都会成功。
总结一下:
- 只有当所有配置的属性值与客户端证书的DNAME中的属性值匹配时,属性检查才会成功。
- 如果X.509属性表中列出的任何属性检查结果为成功,则筛选器将返回成功。
若要配置证书筛选器,请完成下列字段:
Name: 在此输入筛选器的名称。
X.509属性: 若要添加新的X.509属性检查,请单击“添加”按钮。
在AddX.509属性对话框中,输入一个逗号分隔的名称-值对列表,表示X.509属性及其值,例如“OU=dev,O=Company”。新的属性检查将出现在X.509属性表中。可以分别单击“编辑”和“删除”按钮编辑和删除现有条目。