Identitätsföderation mit persistenten Benutzern konfigurieren

Show TOC

Identitätsföderation mit persistenten Benutzern konfigurieren

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Vorgehensweise

Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).
Markieren Sie auf der Registerkarte Vertrauenswürdige Provider einen Identity-Provider und wählen Sie die Drucktaste Bearbeiten.
Wählen Sie auf der Registerkarte Identitätsföderation die Drucktaste Hinzufügen.

Wählen Sie ein Namensbezeichnerformat, eine Benutzerkennungsquelle und eine Benutzerkennungszuordnung.

Transiente und persistente Namensbezeichnerformate bieten mehr Möglichkeiten.

Namensbezeichnerformate für Identitätsföderation mit persistenten Benutzern
Namensbezeichnerformat	Benutzerkennungsquelle	Benutzerkennungszuordnungsmodus	Beschreibung
`Kerberos`	Assertion-Inhabernamensbezeichner	Zuordnung in Tabelle `USREXTID`, Typ KB	Sucht den Benutzer in Tabelle USREXTID.
`Persistent`	Assertion-Inhabernamensbezeichner	Zuordnung in Tabelle `SAML2_PIDFED`	Sucht den Benutzer in Tabelle SAML2_PIDFED. Hinweis Das Namensbezeichnerformat `Persistent` ermöglicht weitere Konfigurationsoptionen. Ende des Hinweises
`Unspecified` `E-mail` `Transient`	Assertion-Inhabernamensbezeichner oder Assertion-Attribut	Anmelde-ID	Sucht den Benutzer anhand der Anmelde-ID.
		Anmeldealias	Sucht den Benutzer anhand des Anmeldealias.
		Zuordnung in Tabelle `USREXTID`, Typ SA	Sucht den Benutzer in Tabelle USREXTID.
		E-Mail	Sucht den Benutzer anhand der E-Mail-Adresse.
Windows-Name	Assertion-Inhabernamensbezeichner	Zuordnung in Tabelle `USREXTID`, Typ NT	Sucht den Benutzer in Tabelle USREXTID.
X.509-Inhabername	Assertion-Inhabernamensbezeichner	Zuordnung in Tabelle `USREXTID`, Typ DN	Sucht den Benutzer in Tabelle `USREXTID`.

Sichern Sie Ihre Eingaben.
Stellen Sie sicher, dass die Zuordnungsinformationen für den gewählten Zuordnungsmodus korrekt gepflegt sind.
Konfigurieren Sie den Identity-Provider so, dass er den erforderlichen Namensbezeichner so liefert, dass sich eine 1:1-Entsprechung ergibt.
Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

Beispiel

Donna Moore hat ihr AS-ABAP-System so konfiguriert, dass er das Namensbezeichnerformat Transient benötigt. Ein vertrauenswürdiger Identity-Provider sendet den Alias des Benutzers als Assertion-Attribut. Der Service-Provider sucht nach einem Benutzer mit diesem Wert als Alias. Wird ein Benutzer mit diesem Alias gefunden, ist er angemeldet.