安全性 yfs.properties

使用 customer_overrides.properties 文件来覆盖 yfs.properties的 "安全性" 类别中的属性。

下表包含安全性 yfs.properties 和描述。

属性 描述
安全性    
api.security.enabled 有效值 = Y 或 N

缺省值 :Y

 设置此属性以保护对 API 的访问。 如果启用此选项,那么在用户调用 API 时,将对该用户的 API 访问权执行授权检查。
api.security.mode 有效值 = STRICT , LAX 或 DEBUG

缺省值: STRICT

 STRICT-如果任何验证失败,请抛出异常。 如果所有许可权都正确配置,那么这适合于生产系统。

LAX-过滤掉并记录无效输入,但继续处理。 尽管输入或输出不正确,但是过滤可使系统大体上正常工作,而记录则帮助确定需要更改的地方。 在初始开发和测试期间, LAX 很有用。

DEBUG-记录无效的输入和输出,但不过滤任何内容或抛出异常。 这仅适用于初始开发期间,以确定各种进程所需的许可权。

注: 如果未指定安全方式,那么系统缺省为 STRICT。

示例:

api.security.override.createorder.mode= DEBUG

此示例将 CreateOrder API 的访问权设置为 DEBUG。
api.security.token.enabled 有效值 = Y 或 N

缺省值 :Y

 如果 api.security.token.enabled = Y ,那么登录 API 在成功认证时返回特殊的 UserToken 安全性令牌属性。

api.security.token.timeout 属性控制此令牌处于活动状态的时间长度。
api.security.token.timeout <number of milliseconds>

缺省值: 100000 毫秒

 控制令牌需要处于活动状态的时间长度。 如果未指定值,那么将考虑缺省值,即 100000 毫秒。
api.security.console.enabled 有效值 = Y 或 N

缺省值: N

 如果 api.security.console.enabled = Y ,那么除内置安全性外,还会将 API 安全性用于 JSP 控制台。

注: 启用此属性可能要求您放宽其他安全设置或执行以下文章中描述的额外步骤:

  • 转至链接 Sterling Customer Center
  • 登录,然后在 "搜索知识库" 中输入 “HTG2798”。
  • 文章将显示为可选择的项。
api.security.smc.enabled 有效值 = Y 或 N

缺省值: N

 如果 api.security.smc.enabled = Y ,那么除了内置安全性外,还会将 API 安全性用于 Applications Manager 和系统监视器控制台。

注: 启用此属性可能要求您放宽其他安全设置或执行以下文章中描述的额外步骤:

  • 转至链接 Sterling Customer Center
  • 登录,然后在 "搜索知识库" 中输入 “HTG2798”。
  • 文章显示为可选择的项。
api.outputDBPasswords 有效值 = Y 或 N

缺省值: N

 如果 api.outputDBPasswords = true ,那么将在 getDBPoolLIst 和 getDBConnParams API 的输出中返回密码。
yfs.dsg.api.disable Valid values = <api_name> 设置此属性以禁用特定 API 的新数据访问策略功能。

示例:

yfs.dsg.api.disable=<api_name , api_name 和 api_name>
interopservlet.security.enabled 有效值 = Y 或 N

缺省值 :Y

 使应用程序服务器能够使用基于令牌的认证或基于容器的认证来认证用户。
interopservlet.auth.container.enabled 有效值 = Y 或 N

缺省值: N

 如果希望应用程序服务器通过检查用户标识是否与请求的用户标识匹配来认证用户,请将此属性设置为 "true"。 如果此属性设置为 "false" ,那么将禁用基于容器的认证。

示例:

interopservlet.auth.container.enabled = false
interopservlet.auth.token.enabled 有效值 = Y 或 N

缺省值 :Y

 将此属性设置为 "true" 将验证作为请求上的参数提供的用户令牌。 启用时,这还允许访问登录 API ,这是提供用户令牌的内容。 如果此属性设置为 "false" ,那么将禁用基于令牌的认证。

示例:

interopservlet.auth.token.enabled = true
interopservlet.auth.userPassword.enabled 有效值 = Y 或 N

缺省值 :Y

 如果希望将用户标识和密码作为参数传递到 servlet ,而不是使用典型登录 API/token 方法,请将此属性设置为 "true"。

示例:

interopservlet.auth.userPassword.enabled = true
userauthfilter.enabled 有效值 = yes 或 no

缺省值 :Y

 设置 Servlet 过滤器,以确保已认证的用户访问 Web 根目录下的所有内容 (登录页面除外)。
yfs.login.singlesignon.class <class name> 用于处理单点登录的类。 有关如何为此类编写您自己的实现的信息,请参阅 com.yantra.ycp.japi.util.YCPSSOManager 接口,请参阅 Javadoc。
yfs.security.singlesignon.enabled 有效值 = Y 或 N

缺省值 :Y

 如果此属性设置为 Y ,那么将调用单点登录类。
注: 如果启用了 CSRF 验证并且实现了单点登录,那么建议您从 CSRF 验证中排除登录页面 URI 上的单点登录。
yfs.login.singlesignon.checkuser 有效值 = Y 或 N

缺省值: N

 如果此属性设置为 Y ,那么将针对用户认证的 singleSignOn 服务器验证每个请求。 如果此属性设置为 N ,那么仅当会话超时时,才会对 singleSignOn 服务器执行用户认证。
yfs.security.authenticator <class name>

缺省值未设置。

 为用户认证调用的类。 仅当您 希望使用应用程序认证时,才会取消注释并更改此项。

有关如何为此类编写您自己的实现的信息,请参阅 YFSAuthenticator 接口,请参阅 Javadoc。 如果要将缺省实现用于 LDAP 认证,请取消注释该属性并将其设置为 com.yantra.yfs.util.YFSLdapAuthenticator。

示例:

yfs.security.authenticator=
yfs.security.ldap.factory <类名> LDAP 服务器配置中指定的 LDAP 上下文工厂类名。

示例:

yfs.security.ldap.factory=com.sun.jndi.ldap.LdapCtxFactory
yfs.security.ldap.url <url> 用于访问 LDAP 服务器的 URL ,如 LDAP 服务器配置中所指定。

示例:

yfs.security.ldap.url=ldap://<ldapservername>:<portnum>
yfs.security.ldap.ou 缺省值未设置。 在 LDAP 服务器配置中为组织单元指定的值。

示例:

yfs.security.ldap.ou=
yfs.security.ldap.o 缺省值未设置。 在 LDAP 服务器配置中为组织指定的值。

示例:

yfs.security.ldap.o=
yfs.encrypter.class <class name> 用于处理信用卡号的加密和解密的类。 有关如何编写您自己的加密类的信息,请参阅 YCPEncrypter 接口,请参阅 Javadoc。 如果未指定此属性,那么不会执行加密。
注: 不推荐使用 yfs.encrypter.class ,不再用于属性加密。 现在,可以使用 security.encrypter.class 进行属性加密。
security.encrypter.class Valid values = <your_property_encrypter_class>

缺省值未设置。

 用于处理信用卡号的加密和解密的类。 有关如何编写您自己的加密类的信息,请参阅 YCPEncrypter 接口,请参阅 Javadoc。 如果未指定此属性,那么将不执行加密。
yfs.propertyencrypter.class Valid values = <class name>

缺省值未设置。

 此类用于对 yfs.properties, yiclient.properties和 management.properties 文件中指定的属性进行加密和解密。 所有以 ". encrypted" 结尾的属性都将在运行时使用此类自动解密。 使用此属性对关键数据 (例如用户/密码) 进行加密。
注: 不推荐使用 yfs.propertyencrypter.class ,不再用于属性加密。 现在可以将 security.propertyencrypter.class 用于 propertyencryption。

示例:

yfs.agent.override.auth.password=<password>

可以指定为:

yfs.agent.override.auth.password.encrypted=<encrypted password>
security.propertyencrypter.class Valid values = <your_property_encrypter_class>

未设置缺省值

 此类将用于对运行时属性文件 (包括 sandbox.cfg 文件) 中提到的任何属性 ( yfs.properties 文件中的 security.propertyencrypter.class 属性除外) 进行加密和解密。 使用此属性来加密敏感数据,例如用户标识和密码。 以 "encrypted:" 开头的属性将在运行时自动解密。

示例:

yfs.dblogin.datasource.name=encrypted:<encrypted value>
httpOnlyCookie 有效值 = true 或 false

缺省值 = true

 如果要在应用程序服务器级别启用 httpOnly cookie ,请将此属性的值设置为 "true"。

示例:

yfs.httpOnlyCookie= true
对于 JWT 认证 仅当在支持 JWT 认证的端点上启用 JWT 认证时,才会使用以下配置。 例如, REST API。
yfs.jwt.verify.keyloader
Issuer specific property: yfs.jwt.<签发者名称>.verify.keyloader
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 有效值为:
  • 属性
  • Jkstruststore
  • Httpsjwks
  • Httpsjwk
  • httpsbase64
  • <类名>

缺省值 :jkstruststore
  • 如果要使用 yfs 属性来读取公用密钥 (用于验证 JWT) ,请将此属性的值设置为 "properties"。
    注: 如果使用此配置,那么 JWT 头中存在的 "kid" 的值在 JWT 签发者或提供者之间必须唯一。
  • 如果要使用指定为 JVM 系统属性的 JKS 信任库文件来读取公用密钥 (用于验证 JWT) ,请将此属性的值设置为 "jkstruststore"。 必须在 JVM 启动系统属性中指定信任库位置及其密码,如下所示:
    -Dycp.jwt.auth.trustStore=<JKS_truststore_location> -Dycp.jwt.auth.trustStorePassword=<JKS_truststore_password>
    注:
    • 如果未配置必需的系统属性,或者在上述 JKS 信任库文件中找不到密钥标识,那么将读取以下 Java 缺省系统属性作为回退机制:
      -Djavax.net.ssl.trustStore=<truststore_location> -Djavax.net.ssl.trustStorePassword=<truststore_password>
      信任库位置必须包含 JKS 信任库文件,该文件中导入了公用证书。
    • 必须使用 Java Keytool 实用程序将公用证书导入到 JKS 信任库文件中,该实用程序的别名与 JWT 中的 "kid" 头参数中期望的别名相同。
    • 如果使用此配置,那么 "kid" 的值必须在 JWT 发行者或提供者之间唯一。

    例如

    典型公用证书文件的内容如下所示。
    -----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
    可以使用 Java Keytool 实用程序将此公用证书文件导入到信任库文件中。 公用证书文件可以采用 Java Keytool 实用程序所理解的任何格式。 可以按如下所示导入公用证书文件:
    keytool -import -alias <kid> -file <public certificate file> -keystore <truststore file location>  -storepass <truststore password>
    The public certificate is imported into the JKS truststore file by using the alias name, which is same as the <孩子> that is part of the incoming JWT.
  • 如果要从 https URI 下载公用密钥或证书,请将此属性的值设置为 "httpsjwks"。 URI 响应的预期格式为 Json Web 密钥集 (JWKS) JSON。
  • 如果要从 https URI 下载公用密钥或证书,请将此属性的值设置为 "httpsjwk"。 URI 响应的期望格式为 Json Web 密钥 (JWK) JSON。
  • 如果要从 https URI 下载公用密钥或证书,请将此属性的值设置为 “httpsbase64”。 URI 响应的期望格式是一个 JSON ,其中包含与 JWT 中获取的 "kid" 头参数对应的 "kid" 属性和 "key" 属性,该属性的值为 base64 编码的公用密钥。
  • 如果需要从用于验证 JWT 的定制商店获取公用密钥,请将此属性的值设置为实现 IPLTJWTVerificationKeyLoader 接口的定制类。
yfs.jwt.verify.propkeyloader.<孩子> Valid values = <base64 编码的公用密钥,对应于密钥标识 ("kid")>.

缺省值未设置。

 When this property is set, the <孩子> is matched with the “kid” obtained in the incoming JWT and based on that the public key is used for verification.
注: 仅当属性 yfs.jwt.verify.keyloader设置为 "properties" 时,才会使用此属性。

例如

典型的 base64 编码公用密钥如下所示:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArgMAvjVwG+JzU9IXCsJq
4xJBPfxOhuGfUgE31wBuxedQMODrOnlH2URlpqNBNT9lSNutXC3FFEcOdd6SB1j0
vOCz7659UBRI9JIiAdQbyHTkRTTThIFM6AywsvLw0++eIuatRpLPZOpXzUA4EQEX
m/iWvb507k/xtTeeISC13bocsfN5q7ixMkEnybg9F43y41QPETPETj6PFGf6YaTB
yx6r9ECQE6SpIhz0+MKchf8kye94L8+9Yk0A64JZwDLpNL0KGtn6RKajJspGoKi5
Ogh/vqHjXJgh5NiDr8KuLrkpdX64PiOo/C3RwL53OQIzEI+zOsHBgo0OeGIEwAkr
sQIDAQAB
-----END PUBLIC KEY-----
对于此公用密钥,可以在单行中按如下所示配置属性。 换行符将替换为 "\n" 字符。
yfs.jwt.verify.propkeyloader.<kid>=-----BEGIN PUBLIC 
KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArgMAvjVwG+JzU9IXCsJq
\n4xJBPfxOhuGfUgE31wBuxedQMODrOnlH2URlpqNBNT9lSNutXC3FFEcOdd6SB1j0
\nvOCz7659UBRI9JIiAdQbyHTkRTTThIFM6AywsvLw0++eIuatRpLPZOpXzUA4EQEX
\nm/iWvb507k/xtTeeISC13bocsfN5q7ixMkEnybg9F43y41QPETPETj6PFGf6YaTB
\nyx6r9ECQE6SpIhz0+MKchf8kye94L8+9Yk0A64JZwDLpNL0KGtn6RKajJspGoKi5
\nOgh/vqHjXJgh5NiDr8KuLrkpdX64PiOo/C3RwL53OQIzEI+zOsHBgo0OeGIEwAkr\nsQIDAQAB
\n-----END PUBLIC KEY-----
yfs.jwt.verify.key.uri.cachefor Valid values = <分钟数>

缺省值 = 180

 确定对在 https URI 响应中获取的密钥进行高速缓存的持续时间 (以分钟为单位) (如果响应中不存在标准的 cache-control 伪指令)。 根据 URI 发送的标准 "Cache-Control" 伪指令对响应进行高速缓存。 如果在响应中找不到有效的 "Cache-Control" 伪指令,那么将使用缺省高速缓存持续时间来高速缓存响应。
注: 仅当属性 yfs.jwt.verify.keyloader设置为以下任何值时,才会使用此属性 :httpsjwks , httpsjwk 或 httpsbase64。
yfs.jwt.verify.keyloader.httpsuri
Issuer specific property: yfs.jwt.<签发者名称>.verify.keyloader.httpsuri
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 Valid values = <http (s) URL>

缺省值未设置。

 确定 HTTP URL 以获取用于验证 JWT 的公用密钥。
注:
  • 仅当属性 yfs.jwt.verify.keyloader设置为以下任何值时,才会使用此属性 :httpsjwks , httpsjwk 或 httpsbase64。 URL 的响应必须与属性 yfs.jwt.verify.keyloader中指定的格式匹配。 例如,如果使用 httpsjwks ,那么响应必须是 JWKS json。
  • 如果使用 https URL ,那么应该将此 URL 的证书导入到 JVM 或应用程序服务器的本地信任库中,以便应用程序可以成功连接到 https URL。

例如

典型的 JWKS 响应如下所示:
{
"keys": [
{
"kty": "RSA",
"kid": "a1",
"n": "rgMAvjVwG+JzU9IXCsJq4xJBPfxOhuGfUgE31wBuxedQMODrOnlH2URlpqNBNT9lSNutXC3
FFEcOdd6SB1j0vOCz7659UBRI9JIiAdQbyHTkRTTThIFM6AywsvLw0++eIuatRpLPZOpXzUA4
EQEXm/iWvb507k
/xtTeeISC13bocsfN5q7ixMkEnybg9F43y41QPETPETj6PFGf6YaTByx6r9ECQE6SpIhz0+MKchf
8kye94L8+9Yk0A64JZwDLpNL0KGtn6RKajJspGoKi5Ogh/vqHjXJgh5NiDr8KuLrkpdX64PiOo
/C3RwL53OQIzEI+zOsHBgo0OeGIEwAkrsQ==",
"e": "AQAB"
}
]
}
典型的 JWK 响应如下所示:
{
"kty": "RSA",
"kid": "a1",
"n": "rgMAvjVwG+JzU9IXCsJq4xJBPfxOhuGfUgE31wBuxedQMODrOnlH2URlpqNBNT9lSNutXC3
FFEcOdd6SB1j0vOCz7659UBRI9JIiAdQbyHTkRTTThIFM6AywsvLw0++eIuatRpLPZOpXzUA4
EQEXm/iWvb507k
/xtTeeISC13bocsfN5q7ixMkEnybg9F43y41QPETPETj6PFGf6YaTByx6r9ECQE6SpIhz0+MKchf
8kye94L8+9Yk0A64JZwDLpNL0KGtn6RKajJspGoKi5Ogh/vqHjXJgh5NiDr8KuLrkpdX64PiOo
/C3RwL53OQIzEI+zOsHBgo0OeGIEwAkrsQ==",
"e": "AQAB"
}
典型的 httpsbase64 响应如下所示:
{
"kid" : "a1",
"key" : "-----BEGIN PUBLIC 
KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArgMAvjVwG+JzU9IXCsJq
\n4xJBPfxOhuGfUgE31wBuxedQMODrOnlH2URlpqNBNT9lSNutXC3FFEcOdd6SB1j0
\nvOCz7659UBRI9JIiAdQbyHTkRTTThIFM6AywsvLw0++eIuatRpLPZOpXzUA4EQEX
\nm/iWvb507k/xtTeeISC13bocsfN5q7ixMkEnybg9F43y41QPETPETj6PFGf6YaTB
\nyx6r9ECQE6SpIhz0+MKchf8kye94L8+9Yk0A64JZwDLpNL0KGtn6RKajJspGoKi5
\nOgh/vqHjXJgh5NiDr8KuLrkpdX64PiOo/C3RwL53OQIzEI+zOsHBgo0OeGIEwAkr
\nsQIDAQAB\n-----END PUBLIC KEY-----"
}
yfs.jwt.verify.key.uri.retry.count Valid values = <重试连接到密钥装入程序 URI> 的次数>

缺省值: 3

 确定重试连接到属性 yfs.jwt.verify.keyloader.httpsuri中配置的 URL 的次数,如果对 URL 的原始请求失败并返回可能可恢复的原因。
注: 仅当属性 yfs.jwt.verify.keyloader设置为以下任何值时,才会使用此属性 :httpsjwks , httpsjwk 或 httpsbase64。
yfs.jwt.verify.keyloader.req.header.<索引>
Issuer specific property: yfs.jwt.<签发者名称>.verify.keyloader.req.header.<索引>
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 Valid values = <头名称>:<头值>

缺省值未设置。

 如果要在请求中添加某些请求头 (发送这些请求头以从 https URI 获取验证密钥) ,请设置此属性。 The <索引> is a sequence number starting with 1, <头名称> is the name of the header to be added in the outgoing request, and <头值> is the value corresponding to the request header. 如果要添加多个头,那么对于后续头,索引的值必须是顺序的。 例如
yfs.jwt.verify.keyloader.req.header.1=Content-Type: application/json
yfs.jwt.verify.keyloader.req.header.2=CustomHeader: <required value>
yfs.jwt.claimparser.class
Issuer specific property: yfs.jwt.<签发者名称>.claimparser.class
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 Valid values = <类名>

缺省值未设置。

 将此属性的值设置为实现 IPLTJWTClaimsParser 接口的定制类。 验证 JWT 后,将调用此定制声明解析器以根据 JWT 中接收到的声明来访存有效的 OMS 用户。 如果未配置定制声明解析器,那么将使用缺省声明解析器。
yfs.jwt.defclaimparser.user.path
Issuer specific property: yfs.jwt.<签发者名称>.defclaimparser.user.path
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 Valid values = <JSON 主体中 OMS 用户的相对路径>

缺省值未设置。

 用于从入局 JWT 标识 OMS 用户登录标识的路径。 例如,如果 JWT 具有 JSON 主体,如下所示:
{

        "exp": 1532980932,

        "iss" : "myissuer",

        "userinfo" : "anOmsUser",

        "userdata" : {

               "userEmail" : "fun@xyz.com"

    }

    }
,必须按如下所示配置该属性以读取 OMS 用户:
yfs.jwt.defclaimparser.user.path=userinfo

在此示例中,此属性将 OMS 用户的登录标识值从 JWT 主体读取为 "anOmsUser"。

注: 如果在属性 yfs.jwt.claimparser.class中配置了定制声明解析器,那么不会使用此属性。
yfs.jwt.defclaimparser.user.email.path
Issuer specific property: yfs.jwt.<签发者名称>.defclaimparser.user.email.path
要点: 如果要在 IBM Cloud (SaaS) 上使用 IBM Sterling Order Management System Software ,请勿修改缺省属性。 使用特定于签发者的属性。
 Valid values = <JSON 主体中电子邮件地址的相对路径>

缺省值未设置。

 用于从入局 JWT 读取现有 OMS 用户的联系人地址中配置的电子邮件的路径。 此电子邮件必须唯一地标识 OMS 用户。 例如,如果 JWT 具有 JSON 主体,如下所示:
{

        "exp": 1532980932,

        "iss" : "myissuer",

        "userinfo" : "anOmsUser",

        "userdata" : {

               "userEmail" : "myemail@xyz.com"

    }

    }
,必须按如下所示配置该属性以读取 OMS 用户:
yfs.jwt.defclaimparser.user.path=userdata.userEmail

在此示例中,此属性从 JWT 主体中读取 OMS 用户的联系人地址电子邮件中配置的电子邮件为 "myemail@xyz.com"。

注:
  • 如果在属性 yfs.jwt.claimparser.class中配置了定制声明解析器,那么不使用此属性。
  • 属性 yfs.jwt.defclaimparser.user.path(如果已配置) 优先于此属性。
yfs.jwt.verify.audience Valid values = <以逗号分隔的字符串值>

缺省值 :oms

 确定允许的受众名称。 如果传入 JWT 包含 "aud" 声明,那么将针对已配置的受众列表验证 "aud" 声明的值。
注: 仅当传入 JWT 包含声明 "aud" 时,才会使用此属性值。
yfs.jwt.verify.block.users Valid values = <OMS 用户的逗号分隔值>

缺省值未设置。

 确定不允许用于 JWT 认证的 OMS 用户。 如果在此属性中指定了在 JWT 认证后获取的 OMS 用户,那么认证将失败。
yfs.jwt.verify.block.issuers Valid values = <JWT 签发者的逗号分隔值>

缺省值未设置。

 确定不允许用于 JWT 认证的 JWT 颁发者。 如果在此属性中指定了在 JWT 解析后获取的 JWT 签发者,那么认证将失败。
yfs.jwt.verify.block.kids Valid values = <键标识的逗号分隔值>

缺省值未设置。

 确定不允许用于 JWT 认证的密钥标识值。 如果在此属性中指定了在 JWT 解析后获取的小孩值,那么认证将失败。