Show TOC

Dokumentation zur VorgehensweiseWeb-Anwendungen mit SAML schützen Dieses Dokument in der Navigationsstruktur finden

 

Nachdem Sie einen SAML-2.0-Service-Provider so konfiguriert haben, dass er einem Identity-Provider vertraut, können Sie vormerken, welche Ressourcen durch SAML 2.0 geschützt werden sollen und alle kundendefinierten Anforderungen, die über die Vertrauensbeziehung hinausgehen, konfigurieren.

Mit dieser Vorgehensweise legen Sie eine Vorlage an, damit Sie eine große Anzahl unterschiedlicher Ressourcen mit derselben Richtlinie schützen können. Dadurch können Sie Änderungen an einer großen Anzahl Ressourcen bewältigen, indem Sie eine einzige Richtlinie bearbeiten.

Voraussetzungen

  • Sie haben den Service-Provider für SAML konfiguriert.

  • Sie haben einen vertrauenswürdigen Identity-Provider für den Service-Provider konfiguriert.

    Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Vorgehensweise

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Wählen Sie die Registerkarte Richtlinien.

  3. Geben Sie im Feld Anzeigen Web-Anwendungsrichtlinien ein.

  4. Legen Sie fest, ob Sie eine vorhandene Vorlage ändern oder eine neue anlegen wollen.

    • Um eine neue SAML-2.0-Vorlage anzulegen, wählen Sie die Drucktaste Hinzufügen.

    • Um eine vorhandene Vorlage zu ändern, wählen Sie die Vorlage aus.

  5. Wählen Sie die Drucktaste Bearbeiten.

  6. Legen Sie fest, ob Sie die Authentifizierungsrichtlinie ändern wollen.

    SAML 2.0 ermöglicht Ihnen, eine Authentifizierungsrichtlinie für eine geschützte Ressource mit einer der folgenden Optionen einzustellen:

    • Um einen Identity-Provider dazu zu zwingen, den Benutzer immer erneut zu authentifizieren, selbst wenn der Benutzer schon eine aktive Session hat, wählen Sie Erzwungene Re-Authentifizierung. Verwenden Sie diese Option zum Schutz besonders sensibler Anwendungen, indem Sie sicherstellen, dass der Benutzer auch ist, wer er zu sein vorgibt.

    • Um vom Identity-Provider zu fordern, dass er nur Authentifizierungsmethoden verwendet, die keine Benutzerinteraktion erfordern, wie die Zertifikatsanmeldung, geben Sie Passive Authentifizierung an. Verwenden Sie diese Option, falls der Anmeldeprozess den Benutzer desorientieren oder beunruhigen würde.

    • Andernfalls geben Sie Keine ein.

  7. Legen Sie fest, ob Sie Authentifizierungskontexte für diese Anwendung auf einem bestimmten Identity-Provider einstellen wollen.

    Bei der Konfiguration der Vertrauensbeziehung des Identity-Providers konnten Sie beliebige Authentifizierungskontexte konfigurieren, die der Identity-Provider erfüllen muss, um einen Benutzer, der auf eine Ressource auf diesem Service-Provider zugreifen will, zu authentifizieren. Bei jeder SAML-2.0-Vorlage können Sie die Standardauthentifizierungskontexte für einen bestimmten Identity-Provider außer Kraft setzen. Verwenden Sie diese Option, falls die Authentifizierungskontexte zu lax für die durch die SAML-2.0-Vorlage zu schützenden Ressourcen sind.

    1. Wählen Sie im Register Richtlinien den vertrauenswürdigen Identity-Provider aus.

    2. Wählen Sie die Drucktaste Bearbeiten.

    3. Wählen Sie unter Einstellungen für Authentifizierungskontexte für Identity-Provider <Provider-Name> die Option Nein im Feld Benutzerstandardeinstellungen.

    4. Fügen Sie nach Bedarf Authentifizierungskontexte hinzu.

    5. Ordnen Sie die Authentifizierungskontexte in der Reihenfolge an, in der sie in Angriff genommen werden sollen.

  8. Sichern Sie Ihre Eingaben.

  9. Wählen Sie mit Transaktion SICF die SAML-Version und Richtlinie aus, mit der der Service geschützt wird.

    Weitere Informationen finden Sie unter Mit SAML anmelden.

Ergebnis

Nachdem Sie konfiguriert haben, wie eine Ressource mit SAML geschützt wird, stellen Sie sicher, dass der Identity-Provider die von Ihnen konfigurierten Anforderungen auch erfüllen kann.