Show TOC

ICF-Services für SAML-Authentifizierung konfigurierenLocate this document in the navigation structure

Verwendung

Standardmäßig ist bei allen Internet Communication Framework (ICF)-Services, auf die über HTTP zugegriffen wird, der SAML-Authentifizierungsmechanismus aktiviert. Mit dieser Vorgehensweise können Sie die SAML-Authentifizierung auf Service-Ebene konfigurieren.

Voraussetzungen
Vorgehensweise

SAML 2.0 im ICF-Anmeldeverfahren verwenden

Sie geben das ICF-Anmeldeverfahren an, indem Sie die Option Verfahren im Register Anmelde-Daten des gewählten Service verwenden. Sie können die SAML-2.0-Authentifizierung in einer der beiden folgenden Optionen wählen:

  • Standard

    Standardmäßig wird jeder ICF-Service mit einem Standardanmeldeverfahren konfiguriert, das aus acht Authentifizierungsmechanismen besteht. SAML-Authentifizierung steht an siebter Stelle, ausgehend von einer absteigenden Prioritätsreihenfolge. Wenn ein HTTP-Request Credentials für einen der sechs Mechanismen vor SAML liefert, werden Sie vom entsprechenden Mechanismus bearbeitet, ohne dass SAML ausgelöst wird.

  • Alternative Anmeldereihenfolge

    Wenn Sie die Option Alternative Anmeldereihenfolge wählen, können Sie einige dieser Mechanismen aus der Liste entfernen, aber Sie können nicht ihre Prioritäten ändern.

Im Gegensatz zu den Authentifizierungsmechanismen in der Liste, verlässt sich SAML 2.0 nicht auf die Credentials, die im HTTP-Request enthalten sind. ICF löst die SAML-2.0-Authentifizierung aus, wenn der HTTP-Request keine Credentials für eine der sechs Mechanismen enthält und die Voraussetzungen für die SAML-Authentifizierung erfüllt sind.

Achtung

Wenn Sie das Standardanmeldeverfahren verwenden und Ihr Web-Browser so konfiguriert ist, dass er immer ein Client-Zertifikat für Authentifizierung sendet, wird keine SAML-2.0-Authentifizierung durchgeführt, weil eine Anmeldung mit Client-Zertifikat ausgelöst wird.

Hinweis

Wenn Sie eine Standardauthentifizierung als eine Fallback-Variante für die SAML-2.0-Authentifizierung wollen, verwenden Sie das alternative Anmeldeverfahren, womit nur noch die Standard- und SAML-2.0-Authentifizierung in der Liste übrig bleiben. In diesem Fall wird SAML vor der Standardauthentifizierung ausgelöst, obwohl die Standardauthentifizierung in der Liste auf einer höheren Position steht. Wenn die SAML-Authentifizierung fehlschlägt, wird die Standardauthentifizierung ausgelöst.

SAML-Konfiguration eines ICF-Service ändern

  1. Führen Sie einen Doppelklick auf dem Service-Knoten aus.

  2. Wählen Sie auf der Registerkarte Anmelde-Daten die Option Ändern.

    Die Daten können jetzt bearbeitet werden.

  3. Wählen Sie die Drucktaste SAML-Konfiguration.

  4. Entmarkieren Sie das Ankreuzfeld Konfigurationsdaten von übergeordnetem Knoten übernehmen.

    Diese Option ist standardmäßig aktiviert. In diesem Fall wird der Knoten die Konfiguration des übergeordneten Knotens erben.

  5. Geben Sie bei Bedarf die SAML-2.0-Anmelderichtlinien an.

SAML-2.0-Anmelderichtlinien angeben

Richtlinien wenden eine bestimmte Authentifizierungslogik an, wenn eine geschützte Ressource angefordert wird.

  • Um einen Identity-Provider dazu zu zwingen, den Benutzer immer erneut zu authentifizieren, selbst wenn der Benutzer schon eine aktive Session hat, wählen Sie eine Richtlinie, die so konfiguriert ist, dass die Re-Authentifizierung erzwungen wird. Verwenden Sie diese Option zum Schutz besonders sensibler Anwendungen, indem Sie sicherstellen, dass der Benutzer auch ist, wer er zu sein vorgibt.

  • Um vom Identity-Provider zu fordern, dass er nur Authentifizierungsmethoden verwendet, die keine Benutzerinteraktion erfordern, wie die Zertifikatsanmeldung, geben Sie Passive Authentifizierung an. Verwenden Sie diese Option, falls der Anmeldeprozess den Benutzer desorientieren oder beunruhigen würde.

Sie legen SAML-2.0-Anmelderichtlinien in der SAML-Konfigurationsbenutzeroberfläche an. Weitere Informationen finden Sie unter Web-Anwendungen mit SAML schützen.

Es gibt zwei Möglichkeiten, eine Anmelderichtlinie anzugeben:

  • Auf ICF-Service-Ebene

    Sie können eine Anmelderichtlinie auf ICF-Service-Ebene nur vom Standardmandanten (000) aus angeben.

    Achtung

    Stellen Sie in diesem Fall sicher, dass die Richtlinie auf allen Mandanten verfügbar ist. Andernfalls wird die SAML-Authentifizierung auf Mandanten fehlschlagen, auf denen die Richtlinie fehlt.

  • Auf externer Alias-Ebene

    Sie können eine Anmelderichtlinie auf externer Alias-Ebene von jedem Mandanten aus angeben.

    Achtung

    In diesem Fall wird die von Ihnen angegebene Anmelderichtlinie alle Richtlinienkonfigurationen für diesen Service auf allen Mandanten überschreiben. Beispiel: Der Administrator von Mandant 001 gibt Richtlinie A für Service B an. Zu einem späteren Zeitpunkt gibt der Administrator von Mandant 002 die Richtlinie C für Service B an. Folgerichtig gilt für Service B die Richtlinie C, weil die letzte Änderung alle vorhandenen Konfigurationen auf allen Mandanten überschreibt.

    Empfehlung

    SAP empfiehlt Ihnen, virtuelle Hosts für unterschiedliche Mandanten zu verwenden. Virtuelle Hosts können für jeden Mandanten separat konfiguriert werden.

SAML-2.0-Authentifizierung deaktivieren

Es gibt drei Möglichkeiten, die SAML-2.0-Authentifizierung zu deaktivieren:

  • Durch das Deaktivieren des lokalen SAML-Providers

    Weitere Informationen finden Sie unter SAML-Service-Provider deaktivieren.

  • Durch das Deaktivieren der vertrauenswürdigen SAML-Provider

    Wenn kein aktiver vertrauenswürdiger Provider konfiguriert ist, kann die SAML-Authentifizierung nicht funktionieren.

  • Durch den Aufruf der geschützten Ressource mit URL-Parameter "saml2", der auf deaktiviert ("disabled") gesetzt ist.