Show TOC

Dokumentation zur VorgehensweiseUME bei Verwendung von ADS-Datenquellen für Kerberos konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

Mit dieser Vorgehensweise konfigurieren Sie die Konfigurationsdatei der Datenquelle, die von der User Management Engine (UME) verwendet wird, um Single Sign-On (SSO) mit Kerberos und einem Active Directory Server (ADS) zu ermöglichen. Die Konfiguration ist unterschiedlich, je nach Benutzerzuordnungsmodus, den die UME für die Zuordnung des Benutzerkontos im ADS verwendet.

Diese Vorgehensweise geht davon aus, dass die UME eine einzige ADS-Datenquelle verwendet. Falls die UME mehrere ADS-Datenquellen verwendet, dann ändern Sie die UME-Konfiguration wie unten beschrieben für jede ADS-Datenquelle, die in der UME konfiguriert ist. Falls die Datenquellen sich nicht gegenseitig in einer Verzeichnisgesamtstruktur (Directory Forest) vertrauen, können Sie Kerberos-Konfigurationen für jede Datenquelle anlegen und für jede ADS-Domäne über eine separate Anmelde-URL verfügen.

Vorgehensweise

  1. Wählen Sie den Benutzerzuordnungsmodus, der am besten zu Ihrer Konfiguration passt, aus der Tabelle unten aus.

    Benutzerzuordnungsmodi und deren Verwendung

    Benutzerzuordnungsmodus

    Verwendung

    Kerberos-Principal-Name-basiert (KPN-basiert)

    Empfehlung Empfehlung

    Wir empfehlen Ihnen, diesen Modus zu verwenden, wenn die UME so konfiguriert ist, dass sie eine ADS-Datenquelle verwendet.

    Ende der Empfehlung.

    Diesen Modus können Sie nicht mit einer Nicht-ADS-Datenquelle verwenden.

    keiner

    Verwenden Sie diesen Modus nur, wenn die Anmelde-ID des Benutzers dem KPN entspricht. Wenn die Anmelde-ID dem Attribut samaccountname im Active Directory entspricht, verwenden Sie entweder den einfachen oder den präfixbasierten Benutzerzuordnungsmodus.

    einfach

    Verwenden Sie den einfachen Modus nur, wenn der User Principal Name (UPN) dem KPN entspricht.

    präfixbasiert

    Verwenden Sie diesen Modus, um mehrere Kerberos-Bereiche zu verwenden.

  2. Legen Sie alle Benutzerattribute in der Konfigurationsdatei der UME-Datenquelle für ADS an und ordnen Sie diese zu, so wie Ihr Benutzerzuordnungsmodus dies erfordert.

    Weitere Informationen finden Sie unter UME-Datenquellen-Konfiguration anpassen.

    • KPN-basiert

      Sie brauchen die UME-Konfigurationsdatei der Datenquelle nicht anzupassen.

    • keiner

      Sie brauchen die UME-Konfigurationsdatei der Datenquelle nicht anzupassen.

    • einfach

      Ändern Sie die UME-Konfigurationsdatei der Datenquelle wie folgt ab.

      1. Definieren Sie im Abschnitt responsibleFor das Attribut krb5principalname.

      2. Ordnen Sie das Attribut krb5principalname dem physischen Attribut userprincipalname zu.

    • präfixbasiert

      Ändern Sie die UME-Konfigurationsdatei der Datenquelle wie folgt ab.

      1. Definieren Sie im Abschnitt responsibleFor die Attribute kpnprefix, krb5principalname und dn.

      2. Ordnen Sie kpnprefix dem physischen Attribut samaccountname zu.

      3. Ordnen Sie krb5principalname dem physischen Attribut userprincipalname zu.

      4. Ordnen Sie dn dem physischen Attribut distinguishedname zu.

  3. Verwenden Sie die Service-Benutzerkennung und das Kennwort, die Sie auf dem ADS angelegt haben, um die UME mit der ADS-Datenquelle zu verbinden.

    Weitere Informationen finden Sie unter UME mit LDAP-Verzeichnis als Datenquelle konfigurieren.

Beispiel

Syntax Syntax

Dieses Beispiel zeigt, wie Attribute im Abschnitt responsibleFor der Konfigurationsdatei der Datenquelle definiert werden.

  1. <responsibleFor>
  ...
    <principal type="user">
      <nameSpaces>
        <nameSpace name="com.sap.security.core.usermanagement">
          <attributes>
            <attribute name="firstname"
              populateInitially="true"/>
            ...
            <attribute name="kpnprefix"/>
            <attribute name="prb5principalname"/>
            <attribute name="dn"/>
          </attributes>
        </nameSpace>
      </nameSpaces>
    </principal>
  ...
<responsibleFor>
Ende des Codes

Syntax Syntax

Dieses Beispiel zeigt, wie die Attribute zu den entsprechenden physischen Attributen zugeordnet werden.

  1. <attributeMapping>
  <principals>
    <principal type="account">
      <nameSpaces>
      ...
      </nameSpaces>
    </principal>
    <principal type="user">
      <nameSpaces>
        <nameSpace name="com.sap.security.core.usermanagement">
          <attributes>
            <attribute name="firstname">
              <physicalAttribute name="givenname"/>
            </attribute>
            ...
            <attribute name="kpnprefix"/>
              <physicalAttribute name="samaccountname"/>
            </attribute>
            <attribute name="prb5principalname"/>
              <physicalAttribute name="userprincipalname"/>
            </attribute>
            <attribute name="dn"/>
              <physicalAttribute name="distinguishedname"/>
            </attribute>
          </attributes>
        </nameSpace>
      </nameSpaces>
    </principal>
  </principals>
</attributeMapping>
Ende des Codes