SAML-Principals zu AS-ABAP-Benutzer-IDs zuordnen
Anhand dieses Abschnittes können Sie die Zuordnung von SAML-Prinzipal-IDS zu Benutzer-IDs auf dem AS ABAP konfigurieren.
Verwenden Sie für den Zugriff auf AS-ABAP-Anwendungen SAML-Assertions, müssen Sie die externe ID des SAML-Principals der Benutzer-ID im AS ABAP zuordnen, selbst wenn die externe ID und die AS-ABAP-ID identisch sind.
Sie können Benutzer folgendermaßen in der Sicht VUSREXTID des AS ABAP zuordnen:
- Pflegen Sie die Sicht VUSREXTID über die Tabellensichtpflege (Transaktion SM30).
- Geben Sie SA als Typ der externen ID an.
- Geben Sie die externe ID im Format <Partner Name>:<Name Qualifier>:<Name Identifier> ein.
<Partner Name> ist die Kennung des Partners, wie sie in der SAML-Konfiguration für eingehende Partner erscheint (siehe Parameter eingehender Partner).
Füllt der Aussteller nicht das Attribut Name Qualifier, lassen Sie diesen Teil der externen ID leer.
TippBeispiele für Einträge für externe IDs:
- MyPartnersID::MyExternalName (das Attribut NameQualifier wurde nicht gesetzt)
- MyPartnersID:DOMAIN:logonID (der Aussteller hat das Attribut NameQualifier mit der Zeichenfolge DOMAIN und NameIdentifier mit der Zeichenfolge logonID gefüllt).
- Ordnen Sie die ID einer gültigen Benutzer-ID auf dem AS ABAP zu und setzen Sie den Indikator "Aktiviert".Hinweis
Enthält das Element saml:Assertion/saml:Subject/saml:NameIdentifier die SAP-Benutzer-ID, können Sie den Report RSUSREXTID zum Anlegen der Zuordnung für alle Benutzer oder eine Teilmenge der Benutzer verwenden. Weitere Informationen finden Sie im SAP-Hinweis 1254821.
Beim Anfordern des Zugriffs auf eine SAML-aktvierte AS-ABAP-Anwendung liefert der Aussteller im Element NameIdentifier die ID des Benutzers (SAML-Principal) in der SAML-Assertion und einen optionalen Qualifier mit dem Attribut NameQualifier. Der AS ABAP ermittelt anhand der konfigurierten Benutzerzuordnung die Benutzer-ID und authentifiziert den Benutzer.