Show TOC

Login-Modul-Stacks für die Verwendung von SAML anpassenLocate this document in the navigation structure

Verwendung

Wenn ein Benutzer auf dem AS Java authentifiziert wird, verarbeitet der Server den Stack der Login-Module, die für die Anwendung gelten, auf die der Benutzer zugreift. Das SAML-Login-Modul ist nicht automatisch in den Standard-Login-Stacks enthalten, die mit dem AS Java ausgeliefert werden. Um SAML für Single Sign-On zu verwenden, passen Sie daher die Login-Modul-Stacks für die Anwendungen an, die SAML-Assertions für die Benutzerauthentifizierung akzeptieren.

Hinweis

Sie können entweder einzelne Login-Modul-Stacks anpassen oder jede der entsprechenden Richtlinienkonfigurationsvorlagen ( basic, form, client_cert, digest). Falls Sie diese Vorlagen ändern, dann sind alle Anwendungen, die diese Vorlagen für ihre Login-Module verwenden, automatisch auch für die Verwendung von SAML-Assertions konfiguriert. Weitere Informationen finden Sie unter Authentifizierungsrichtlinie für AS-Java-Komponenten verwalten.

Vorgehensweise

Verwenden Sie die Authentifizierungskonfigurationsfunktionen des SAP NetWeaver Administrator, um den SAML-Empfänger zu konfigurieren.

  1. Wählen Sie unter Komponentendie Richtlinienkonfiguration der Anwendung aus, die SSO mit SAML verwenden soll.

  2. Fügen Sie im Authentifizierungsstackder Richtlinienkonfiguration das Login-Modul SAMLLoginModulezum Login-Modul-Stack hinzu und konfigurieren Sie dessen Verarbeitungskennzeichen.

    1. Positionieren Sie das Modul so, dass es vor dem oder den Login-Modulen verarbeitet wird, die die Ersatzauthentifizierung ausführen, z.B. dem BasicPasswordLoginModule.

    2. Konfigurieren Sie die Optionen für das SAMLLoginModulewie in der Tabelle unten angegeben.

      Option

      Wert

      Bemerkung

      Modus

      <eigenständig>

      		  

      AcceptedAuthentication Methods

      <auth1, auth2, ...>

      Geben Sie in dieser Option eine Liste der zu akzeptierenden Authentifizierungsmethoden an. Die Eingabe eines Asterisk (*) gibt an, dass alle Methoden akzeptiert werden sollen. Der Name der verwendeten Authentifizierungsmethode muss mit der vom Aussteller angegebenen Methode in Attribut AuthenticationMethodübereinstimmen.

      Hinweis

      Die verfügbaren Authentifizierungsmethoden sind in der SAML-Spezifikation angegeben. Zu den am häufigsten verwendeten Methoden gehören:

      • Kennwort: "urn:oasis:names:tc:SAML:1.0:am:password

      • Client-Zertifikat: "urn:ietf:rfc:2246

Beispiel

Beispiel-Login-Modul-Stack für die Verwendung von SAML-Assertions und Anmeldetickets

Einige Anwendungsarten unterstützen SAML-Assertions nicht und verlassen sich bei Single Sign-On immer noch auf Anmeldetickets. In diesem Fall fügen Sie das Anmeldeticket in den Login-Modul-Stack ein wie im Beispiel unten gezeigt.

Beispiel-Login-Modul-Stack für die Verwendung von SAML-Assertions

Bei der Verarbeitung des Authentifizierungsstacks unten akzeptiert der AS Java SAML-Assertions mit jedem der Authentifizierungsmechanismen, der vom SAML-Aussteller deklariert wurde. Standardauthentifizierung wird als Ersatzauthentifizierungsmechanismus verwendet, wenn die SAML-Authentifizierung fehl schlägt oder nicht möglich ist, z.B. weil kein SAML-Artefakt gesendet wird.

Login-Module

Kennzeichen

Optionen

SAMLLoginModule

SUFFICIENT

{AcceptedAuthentication Methods=*, Mode=Standalone}

BasicPasswordLoginModule

SUFFICIENT

{}

Beispiel-Login-Modul-Stack für die Verwendung von SAML-Assertions und Anmeldetickets

Einige Anwendungsarten unterstützen SAML-Assertions nicht und verlassen sich bei Single Sign-On immer noch auf Anmeldetickets. In diesem Fall fügen Sie das Anmeldeticket in den Login-Modul-Stack ein wie im Beispiel unten gezeigt.

Login-Module

Kennzeichen

Optionen

EvaluateTicketLoginModule

SUFFICIENT

  

SAMLLoginModule

OPTIONAL

{AcceptedAuthentication Methods=*, Mode=AuthenticationStatement}

CreateTicketLoginModule

SUFFICIENT

  

BasicPasswordLoginModule

REQUISITE

  

CreateTicketLoginModule

OPTIONAL