Show TOC

Relay-States zu Anwendungen zuordnenLocate this document in the navigation structure

Voraussetzungen

  • Der Identity-Provider stellt einen Alias für eine Anwendung im RelayState-Parameter aus.

    Weitere Informationen finden Sie in der Dokumentation des Identity-Provider-Anbieters.

  • Sie haben dem Identity-Provider vertraut.

    Einem Identity-Provider vertrauen

Kontext

Mit dieser Vorgehensweise schützen Sie Anwendungs-URLs, wenn Sie vom Identity-Provider initiiertes Single Sign-On (SSO) durchführen. Security Assertion Markup Language (SAML) 2.0 verwendet einen RelayState-Parameter, um die ursprüngliche Anwendungs-URL wieder herzustellen, damit der Benutzer mit einer SAML-Assertion zur Anwendung zurückkehren kann. Die Anwendungs-URL in SAML-Nachrichten bereitzustellen, kann ein Sicherheitsrisiko sein. Bei vom Service-Provider initiiertem SSO legt der Service-Provider die URL ab und setzt den Namen des Cookies in den Relay-State. Bei vom Identity-Provider initiiertem SSO steht diese Option nicht zur Verfügung. Statt dessen können Sie den Identity-Provider einen Alias für die Anwendung in den Relay-State setzen lassen und den Alias der Anwendung auf dem Service-Provider zuordnen.

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator.
  2. Wählen Sie Anfang des Navigationspfads Configuration Management Nächster Navigationsschritt Sicherheit Nächster Navigationsschritt Authentifizierung und Single Sign-On Ende des Navigationspfadsund dann Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.
  3. Wählen Sie die Drucktaste Bearbeiten.
  4. Wählen Sie die Registerkarte Service-Provider-Einstellungen.
  5. Wählen Sie unter RelayState-Zuordnungdie Drucktaste Hinzufügen.
  6. Geben Sie den Anwendungsalias, den Sie mit dem Administrator des Identity-Providers festgelegt haben, und den relativen Pfadzur Zielanwendung ein.
    Beispiel

    RelayState

    Anwendungspfad

    portal

    /irj/portal

    Hinweis

    Der Service-Provider unterstützt das Hinzufügen von URL-Parametern zum Relay-State-Alias. Der Service-Provider entfernt die URL-Parameter vom Relay-State-Alias und fügt ihn zum passenden Anwendungspfad hinzu, selbst wenn der Anwendungspfade bereits URL-Parameter enthält. Im Beispiel oben erhält der Service-Provider einen Relay-State portal?test=true. Der Service-Provider leitet den Client nach /irj/portal?test=trueum.

  7. Sichern Sie Ihre Eingaben.

Ergebnisse

Falls der Relay-State keinem dem Service-Provider bekannten Relay-State entspricht, tritt ein Fehler auf.

Falls der Relay-State leer ist, verwendet der Service-Provider den Standardanwendungspfad.

Weitere Informationen finden Sie unter Standardanwendungspfad konfigurieren.