Show TOC

Anmelderichtlinie für eine Richtlinienkonfiguration festlegenLocate this document in the navigation structure

Verwendung

Anmelderichtlinien werden dafür verwenden, Einschränkungen für bestimmte Richtlinienkonfigurationen festzulegen. Sie können die Richtlinienkonfiguration für die Verwendung einer bestimmten Anmelderichtlinie einrichten. Beachten Sie Folgendes, wenn Sie eine Anmelderichtlinie [für eine Richtlinienkonfiguration] festlegen:

  • Anmelderichtlinien

    Die Anmelderichtlinie gibt die Regeln an, die für Benutzer unter dieser Richtlinienkonfiguration gelten. Für eine erfolgreiche Authentifizierung muss es mindestens eine erfolgreiche Regel geben. Wenn Sie keine bestimmte Anmelderichtlinie für eine Richtlinienkonfiguration festlegen, verwendet das System eine Standardrichtlinie, die automatisch generiert wird.

    Achtung

    Die Standardanmelderichtlinie wird automatisch eingerichtet, um jedem Benutzer zu erlauben, sich jederzeit anzumelden. Wenn Sie sich entscheiden, die Einstellungen zu ändern, stellen Sie sicher, keine Einschränkungen festzulegen, die Ihre eigene Anmeldung an das gesamte System verhindern. Sollte dies passieren, können Sie sich nur mit dem Notfallbenutzer SAP* anmelden. Sie können die Standardanmelderichtlinie nicht umbenennen oder löschen.

    Achtung

    Wenn Sie sich mit dem Notfallbenutzer SAP* anmelden, verwendet das System nicht die Anmelderichtlinie. Weitere Informationen über den Notfallbenutzer finden Sie unter Notfallbenutzer aktivieren.

  • Regeln

    Jede Regel enthält eine Gruppe von Bedingungen, die die Fälle angeben, in denen der Benutzer zur Authentifizierung berechtigt ist. Eine Regel ist erfolgreich, wenn alle Bedingungen dieser Regel die Authentifizierung erlauben.

  • Bedingungen

    Jede Bedingung wertet die aktuelle Anfrage aus und erlaubt Benutzerauthentifizierung gemäß der Erfüllung der Bedingung und ihres Typs. Eine Bedingung ist erfüllt, wenn der Benutzer den Wert der Bedingung erfüllt. Es gibt vier Möglichkeiten:

    Bedingungstyp

    Bedingung ist erfüllt

    Benutzerauthentifizierung

    Erlauben

    Ja

    Erlaubt

    Erlauben

    Nein

    Abgelehnt

    Ablehnen

    Ja

    Abgelehnt

    Ablehnen

    Nein

    Erlaubt
Vorgehensweise

Zum Konfigurieren der Anmelderichtlinien gehen Sie folgendermaßen vor:

  1. Setzen Sie die Eigenschaft ume.logon.apply_logon_policies, um die Verwendung von Anmelderichtlinien während der Authentifizierung zu erlauben. Sie können diese Konfiguration im SAP NetWeaver Administrator einrichten, indem Sie Anfang des Navigationspfads Konfiguration Nächster Navigationsschritt Authentifizierung und Single Sign-On Nächster Navigationsschritt Authentifizierung Nächster Navigationsschritt Eigenschaften Ende des Navigationspfads wählen und das Kennzeichen im Ankreuzfeld Anmelderichtlinien während Authentifizierung (ume.logon.apply_logon_policies) anwenden: setzen.

    Hinweis

    Die Option Anmelderichtlinien während Authentifizierung (ume.logon.apply_logon_policies) anwenden: ist standardmäßig deaktiviert.

  2. Sie greifen auf das Fenster für die Anmelderichtlinien zu, indem Sie die Verknüpfung Anmelderichtlinien wählen.

  3. Sie fügen eine neue Anmelderichtlinie hinzu, indem Sie die Drucktaste Hinzufügen wählen.

  4. Fügen Sie mindestens eine Regel für die Anmelderichtlinie hinzu.

  5. Fügen Sie mindestens eine Bedingung für jede Regel hinzu.

    Jede Bedingung enthält drei Elemente:

    • Typ

      • Erlauben

        Dieser Typ erlaubt die Authentifizierung eines Benutzers, der die Bedingung erfüllt. Einem Benutzer, der die Bedingung nicht erfüllt, wird die Authentifizierung verwehrt.

      • Ablehnen

        Dieser Typ erlaubt die Authentifizierung eines Benutzers, der die Bedingung nicht erfüllt. Einem Benutzer, der die Bedingung erfüllt, wird die Authentifizierung verwehrt.

    • Kategorie

      Die Kategorie gibt an, welche Bedingungsart das System verwendet. Sie können die folgenden Kategorien konfigurieren:

      Kategorie

      Beschreibung

      Benutzer

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung eines Benutzers mit einer bestimmten Anmelde-ID.

      Hinweis

      Ein Benutzer mit dieser Anmelde-ID muss existieren und eindeutig sein.

      Rolle

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung von Benutzern mit einer bestimmten Rolle.

      Hinweis

      Die Rolle muss in der User Management Engine (UME) vorhanden sein.

      Gruppe

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung von Benutzern, die Mitglieder einer bestimmten Gruppe sind.

      Hinweis

      Die Gruppe muss in der User Management Engine (UME) vorhanden sein.

      Wochentage

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung von Benutzern an bestimmten Tagen.

      Uhrzeit

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung von Benutzern in einem bestimmten Zeitraum an den Tagen.

      HTTP-Header

      Definiert eine Bedingung für das Zulassen oder Verwehren der Authentifizierung von Benutzern gemäß des HTTP-Header-Namens und -Wertes.

      Achtung

      Benutzern, die Anfragen übergeben, die keine Header enthalten, beispielsweise Web-Service-Anfragen, wird die Authentifizierung von der HTTP-Header-Bedingung erlaubt, wenn der Bedingungstyp Ablehnen ist.

      IP-Adresse

      Der Benutzer kann eine Internet Protocol(IP)-Adresse, Version 4 (IPv4) oder eine IP-Adresse, Version 6 (IPv6) eingeben. Der Benutzer muss zusätzlich ein Subnetzpräfix nach dem Schrägstrich(/)-Symbol eingeben, das angibt, wie viele Bits der IP-Adresse für die Bedingung verwendet werden.

      Achtung

      Unabhängig von den Einstellungen der IP-Adresse wird in lokalen Anfragen von allen Bedingungen der IP-Adresse des Typs Erlauben die Authentifizierung erlaubt und von allen Bedingungen der IP-Adresse des Typs Ablehnen die Authentifizierung nicht erlaubt.

      Achtung

      Ist ein Proxy vor dem Server eingerichtet, prüfen standardmäßig alle IP-Bedingungen das Internet-Protokoll des Proxy. Damit das System die Client-IP-Adresse prüft, müssen Sie Folgendes tun:

      • Konfigurieren Sie den Proxy so, dass er die IP-Adresse des Client im X-Forwarded-For-Header sendet.

      • Konfigurieren Sie den HTTP-Provider-Service so, dass er die IP-Adresse aus dem Header liest. Weitere Informationen finden Sie unter HTTP Provider Service.

      • Setzen Sie die Eigenschaft ClientIpHeaderName auf X-Forwarded-For.

    • Bedingungswert

      Geben Sie nur einen Wert für alle Kategorien an, ausgenommen für Wochentage und Uhrzeit. Um einen Wert hinzuzufügen oder zu ändern, wählen Sie die Drucktaste Bedingungswert ändern.

      Für die Werte der folgenden Kategorien gelten bestimmte Anforderungen:

      • HTTP-Header

        Sie können den Wert in einem regulären Ausdrucksformat definieren. Wenn Sie das Ankreuzfeld Regulären Ausdruck verwenden für die Kategorie HTTP-Header markieren, prüft das System, ob der Header-Wert mit dem Muster des regulären Ausdrucks übereinstimmt.

        Beispiel

        Michael möchten sein System so konfigurieren, dass es HTTP-Requests mit einem Header erlaubt, der den Wert <Name>@company.com enthält. Dafür definiert er den HTTP-Header-Namen Von mit dem regulären Ausdruckswert (.+)\Q@company.com\E und markiert das Ankreuzfeld für den regulären Ausdruck. Wenn ein Benutzer mit der E-Mail-Adresse john@company.com einen HTTP-Request sendet, findet das System das Namenswertepaar Von: john@company.com im Request, prüft das Muster des regulären Ausdrucks und authentifiziert den Benutzer.

      • IPv4

        Eine IP-Adresse, Version 4, enthält 32 Bits. Jede Dezimalzahl, die vor oder nach dem Punkt im Bereich von 0 bis 255 liegt, stellt eine 8-Bit-Binärzahl dar. Das Subnetzpräfix gibt an, welche höchstwertigen Bits in der Anfrage mit dem eingegebenen IPv4-Wert übereinstimmen müssen. Wenn Sie die maximale Anzahl 32 für das Präfix angeben, prüft das System, ob alle Bits in der IP-Adresse übereinstimmen.

        Beispiel

        Wenn Sie eine IPv4-Adresse und ein Präfix mit dem Wert 145.234.10.1/ 24 definieren, prüft das System, ob die IP-Adresse der Anfrage mit den Dezimalzahlen 145.234.10 anfängt. Das Subnetzpräfix 24 bedeutet, dass die 24 höchstwertigen Bits (145.234.10) für die Bedingungsvalidierung verwendet werden.

      • IPv6

        Eine IP-Adresse, Version 6, enthält 128 Bits. Jede Hexadezimalzahl vor oder nach dem Doppelpunkt stellt eine 16–Bit-Binärzahl dar. Außerdem definiert das Subnetzpräfix die höchstwertigen Bits, die für die IP-Adressenbedingung geprüft werden müssen. Wenn Sie die maximale Anzahl 128 für das Präfix angeben, prüft das System, ob alle Bits in der IP-Adresse übereinstimmen.

        Beispiel

        Wenn Sie eine IPv6-Adresse und ein Präfix mit dem Wert 2012:0db8:85a3:0052:0010:8a2e:0370:7334/ 64 definieren, prüft das System, ob die IP-Adresse der Anfrage mit den Hexadezimalzahlen 2012:0db8:85a3:0052 anfängt. Das Subnetzpräfix 64 bedeutet, dass die 64 höchstwertigen Bits (2012:0db8:85a3:0052) für die Bedingungsvalidierung verwendet werden.

    Hinweis

    Das System generiert für die Standardanmelderichtlinie eine Bedingung mit dem Typ Erlauben, der Kategorie Rolle und dem Bedingungswert Everyone.

  6. Aktivieren Sie die Regel(n), die Sie anwenden wollen.

    Achtung

    Das System ignoriert inaktive Regeln.

  7. Aktivieren Sie die Anmelderichtlinie.

  8. Sichern Sie Ihre Eingaben.

  9. Wählen Sie die Verknüpfung Komponenten und wählen Sie die Richtlinienkonfiguration, der die Anmelderichtlinie zugewiesen werden soll.

  10. Wählen Sie die Registerkarte Login-Modul-Stack und anschließend die Anmelderichtlinie.

    Achtung

    Wenn die Anmelderichtlinie inaktiv ist, verwendet das System die Standardanmelderichtlinie.

Beispiel

Denise Smith will ihr System so konfigurieren, dass allen Benutzern mit Ausnahme der Administratoren erlaubt wird, sich an jedem Arbeitstag in der Woche von 09:00 bis 18:00 an ihr System anzumelden. Sie will außerdem Administratoren erlauben, sich an das System montags, mittwochs, freitags, samstags und sonntags von 18:00 bis Mitternacht mit einer IPv6-Adresse anzumelden, die mit den Zahlen 2012:8329 beginnt. Sie legt deswegen eine Anmelderichtlinie users an und legt zwei Regeln, userRule und adminRule, fest.

  • Für userRule legt sie die folgenden Bedingungen fest:

    Typ

    Kategorie

    Bedingungswert

    Erlauben

    Gruppe

    Alle

    Ablehnen

    Gruppe

    Administratoren

    Erlauben

    Wochentage

    Montag, Dienstag, Mittwoch, Donnerstag, Freitag

    Erlauben

    Uhrzeit

    von 09:00 bis 18:00

  • Für adminRule legt sie die folgenden Bedingungen fest:

    Typ

    Kategorie

    Bedingungswert

    Erlauben

    Gruppe

    Administratoren

    Erlauben

    Wochentage

    Montag, Mittwoch, Freitag, Samstag, Sonntag

    Erlauben

    Uhrzeit

    von 18:00 bis 24:00

    Erlauben

    IP-Adresse

    2012:8329:0:0:0:0:0:0 / 32

Nachdem Denise ihrer Richtlinienkonfiguration die Anmelderichtlinie users hinzufügt, testet sie ihr System mit dem Benutzer Michael und der Administratorin Julie. Michael greift auf das System am Montag um 10 Uhr zu. Da er ein Mitglied der Gruppe Jeder ist und kein Mitglied der Gruppe Administratoren, ist die erste Regel erfolgreich und Michael kann sich am System anmelden. Julie entscheidet sich, zur gleichen Zeit wie Michael mit der IPv6-Adresse 2012:8329:0000:0000:0456:ff00:0042:0db8 anzumelden. Die erste Regel userRule schlägt fehl, weil ihre zweite Bedingung mit dem Wert Administratoren keine Authentifizierung erlaubt. Die zweite Regel ist auch deswegen nicht erfolgreich, weil die Bedingung Uhrzeit nicht erfüllt wird. Da beide Regeln fehlschlagen, wird Julie der Zugriff auf das System verwehrt. Sie ruft daraufhin Denise an und bittet sie um Hilfe. Denise rät ihr, einen erneuten Versuch am gleichen Tag nach 18 Uhr vorzunehmen und informiert sie über die Anmeldeprinzipien für Administratoren. Als Julie um 19 Uhr versucht, sich anzumelden, ist sie mit derselben IPv6-Adresse erfolgreich, wodurch sich Denise vergewissert hat, dass die Konfiguration fehlerlos funktioniert.