SAML mit dem AS ABAP verwenden

Mit SAP NetWeaver können Sie SAML verwenden, um auf Anwendungen auf dem AS ABAP sowie dem AS Java zuzugreifen. In beiden Fällen wird durch den SAML-Service des AS Java die SAML-Protokollausführung mit dem Aussteller durchgeführt.

In SAML-Browser-Artefakte für Single Sign-On verwenden wurde Ihnen beispielhaft gezeigt was im System geschieht, wenn ein Client versucht, auf eine geschützte Ressource auf dem AS Java zuzugreifen. Sie können diesen Abschnitt für Informationen zur Verwendung von SAML für den SSO-Zugriff auf eine geschützte Ressource auf dem AS ABAP konsultieren.

In der folgenden Grafik sehen Sie eine Serverlandschaft mit einem Aussteller (z. B. ein Portal), einem AS ABAP als Destinationsseite und einem SAML-Service, der auf dem AS Java läuft.

Es werden die Systemereignisse illustriert, die auftreten, wenn ein Benutzer versucht, auf eine Ressource auf dem AS ABAP mittels SAML zuzugreifen:

1. Der Benutzer authentifiziert sich am Aussteller (z. B. mit Benutzerkennung und Kennwort).
2. Er fordert eine Ressource von der Destionationsseite an (über den Aussteller), z. B. einen BSP-Service auf einem AS ABAP.

   Die Ressource auf dem AS ABAP kann jeder Service sein, der im Internet Communication Framework (ICF) des AS ABAP registriert ist.

3. Der Aussteller sendet dann die Ziel-URL für die angeforderte Ressource und ein Assertion-Artefakt zum ICF des AS ABAP.
4. Durch das ICF wird überprüft, ob die angeforderte Ressource SAML als Authentifizierungsmethode akzeptiert. Ist dies der Fall, wird die SAML-Konfiguration der angeforderten Ressource gesucht, in der die RFC-Destination zum AS JAVA enthalten ist, die den SAML-Service für den AS ABAP zur Verfügung stellt.
5. Die Anforderung wird vom ICF zum SAML-Service auf dem entsprechenden AS Java gesendet.
6. Der SAML-Service fordert die Authentifizierungs-Assertions des Benutzers vom Responder des Ausstellers an. Die Anfrage geschieht mit SOAP über das HTTP-Binding des SAML-Protokolls.
7. Durch den Responder-Service des Ausstellers werden die Assertions des Benutzers zurück zum SAML-Service auf dem AS Java gesendet.
8. Vom SAML-Service werden die Benutzer-Assertions dann zum ICF gesendet.
9. Durch das ICF werden die Assertions analysiert und der Benutzer authentifiziert. Wenn nötig, wird die zugeordnete interne Benutzerkennung aus der USREXTID-Tabelle abgerufen, falls eine Zuordnung verfügbar ist.
10. Die Ressource wird an den Benutzer gesendet.

In der folgenden Grafik werden die Konfigurationsschritte illustriert, die benötigt werden, um SAML für den Zugriff auf Ressourcen auf dem AS ABAP verwenden zu können. Die Zahlen dieser Grafik entsprechen den Zahlen der obigen Grafik. Die Buchstaben definieren die Konfigurationsschritte und werden im Folgenden beschrieben.

In der Grafik werden folgende Konfigurationsschritte angezeigt, die notwendig sind, um SAML mit einer Ressource auf dem AS ABAP einzurichten:

A Stellen Sie sicher, dass der SAML-Service auf dem AS Java läuft.

B Stellen Sie sicher, dass zwischen dem AS ABAP und dem AS Java eine Verbindung eingerichtet ist (dies ist nur dann notwendig, wenn Sie mit SAML auf Ressourcen auf dem AS ABAP zugreifen). Dazu wird Folgendes benötigt:

• eine RFC-Destination auf dem AS Java
• eine RFC-Destination auf dem AS ABAP

C Konfigurieren Sie den SAML-Aussteller. Wenn Sie ein Portal als Aussteller verwenden, müssen Sie einen Satz an PartnersOutbound-Parametern erstellen. Siehe Portal als SAML-Aussteller konfigurieren.

D Konfigurieren Sie den AS Java als Destinationsseite. Dazu müssen Sie einen Empfänger für den Responder des Ausstellers erstellen und einen Satz von PartnersInbound-Parametern definieren.

E Aktivieren Sie SAML für Ressourcen auf dem AS ABAP (dies ist nur dann notwendig, wenn Sie mit SAML auf Ressourcen auf dem AS ABAP zugreifen). Hier wird der Name der RFC-Destination zum SAML-Service auf dem AS Java definiert und festgelegt, dass SAML eine zugelassene Authentifizierungsmethode für die Ressource ist.

F Sie müssen die externen Benutzerkennungen des Ausstellers (SAML-Principal) den Benutzerkennungen im AS ABAP zuordnen, selbst wenn die externe Kennung mit der AS-ABAP-Kennung identisch ist (dies ist nur dann notwendig, wenn Sie mit SAML auf Ressourcen auf dem AS ABAP zugreifen).