Show TOC

Portal als SAML-Aussteller konfigurierenLocate this document in the navigation structure

Verwendung

In diesem Abschnitt erfahren Sie, wie Sie den Portalverwendungstyp des SAP NetWeaver für einen SAML-Empfänger konfigurieren.

Hinweis

Die Empfängerfunktion des SAP NetWeaver ist in das Portal implementiert. Ein AS ABAP oder ein AS Java kann ohne das Portal nicht als Empfänger dienen (mit der Ausnahme der SAML-Test-Anwendung im AS Java).

Für den SAML-Aussteller legen Sie für jede SAML-Destinationsseite, der SAML-Assertions vom Aussteller benötigt, eine Reihe an Parametern fest. Zu diesen Parametern gehören die URL des Artefaktempfängers an der Destinationsseite und der Benutzer, mit dem die Destinationsseite auf den Responder am Aussteller zugreift.

Wenn Sie ein Portal für den SAML-Aussteller verwenden, konfigurieren Sie Partner ausgehend-Parameter für jede Destination mit den SAML-Verwaltungsfunktionen des SAP NetWeaver Administrator (NWA).

Voraussetzungen
  • Der SAML-Service wurde gestartet.
  • Für das Callback von der Destinationsseite zum Aussteller müssen Sie über einen Benutzer im Ausstellerportal verfügen, dem eine Rolle mit der Aktion "SAML_RESPONDER" zugeordnet ist.
  • Sie verfügen über die nötigen Parameter für die Destinationsseite. Dazu gehören:
    • Die URL des Artefaktempfängers an der Destinationsseite. Bei SAP-Anwendungen müssen Sie diesen Parameter nicht festlegen.
    • Die Aussteller-ID.

      Die Aussteller-ID ist eine 20-Byte-Sequenz, die vom Aussteller zur eindeutigen Identifikation im Assertion-Artefakt verwendet wird. Sie kann im hexadezimalen oder im Base-64-kodierten Format angegeben werden.

    • Sie haben die URL für den Responder-Service an den Administrator der Destinationsseite übermittelt.

      Wenn Sie ein Portal als Aussteller verwenden, finden Sie den Responder unter http://portal_source.company.com:<http_port>/saml/responder

Vorgehensweise

Falls Sie eine Cluster-Installation haben, brauchen Sie folgende Konfiguration nur für einen Server vorzunehmen. Die Konfiguration gilt für alle Server.

  1. Wählen Sie im NWA KonfigurationsverwaltungSicherheitsverwaltungTrusted SystemsSAML-Browser-/Artefakt-Profil.
  2. Wechseln Sie in den Bearbeitungs modus.
  3. Wählen Sie die Registerkarte Ausgehende Partner für die Pflege der Parameter, die sich auf die Partnerseite beziehen.
    1. Um einen neuen ausgehenden SAML-Partner hinzuzufügen, wählen Sie Hinzufügen.

      Das Dialogfenster Partnerschlüssel eingeben öffnet sich.

    2. Geben Sie einen eindeutigen Namen für die Destinationsseite im Feld "Partner" ein und wählen Sie "Weiter".

      Das System legt einen Eintrag für die Destinationsseite Partner an und zeigt Eingabefelder für zusätzliche Details für den ausgewählten Partner an.

    3. Geben Sie für die erforderlichen Parameter Werte ein. Weitere Informationen erhalten Sie unter Parameter ausgehender Partner.
      1. Geben Sie die Parameter im Feld Ausstellername an, um den AS Java als SAML-Assertion-Aussteller zu identifizieren. Sie können z.B. die URL des AS Java oder des Portals eingeben.
      2. Geben Sie die Aussteller-ID ein und wählen Sie aus der Dropdown-Liste aus, ob Sie sie im hexadezimalen oder im Base-64-kodierten Format angegeben. Sie können sich vom System eine vom Inhalt im Feld "Ausstellername" abgeleitete Aussteller-ID generieren lassen.
      3. Geben Sie Werte für die Parameter Gültigkeit vor Ausstellung und Gültigkeit nach Ausstellung ein.
      4. Wählen Sie die SAML-Version, die für die angelegte Assertion verwendet werden soll.
      5. Wählen Sie URL-Parameter für Artefakt .

        Die Option URL-Parameter für Artefakt konfiguriert den Namen des URL-Parameters, in den das Artefakt übertragen wird. Ändern Sie den Standardwert SAMLart nur, falls Ihr Kommunikationspartner explizit vom Standardnamen abweicht.

      6. Wählen Sie den Zugriffstyp für den Destinationsseitenpartner.

        Geben Sie für den Fall, dass die Destinationsseite einen SAML-Empfänger verwendet, die erforderliche Empfänger-URL und den URL-Parameter für das Ziel ein. Ändern Sie den Standardwert "TARGET" nur, falls Ihr Kommunikationspartner explizit vom Standardnamen abweicht. Weitere Informationen finden Sie unter Auf Anwendung zugreifen, die SAML-Assertions akzeptiert.

      7. Verwenden Sie die Dropdown-Liste Responder-Zugriff, wenn Sie den Zugriff auf für diesen Partner im Responder-Service angelegte Assertions auf eine bestimmte Benutzerkennung beschränken möchten.

        Sie können diesen Parameter konfigurieren, um sicherzustellen, dass nur die Destinationsseite, für die die Assertion ausgestellt wurde, diese abrufen kann. In einem solchen Szenario kann nur die Destinationsseite die korrekten Anmeldedaten des bestimmten Benutzers bereitstellen.

Ergebnis

Das Portal ist so konfiguriert, dass es für die Authentifizierung bei externen Systemen SAML-Assertions ausstellt.

Weitere Informationen über das Konfigurieren des Portals für die Verwendung dieser Funktion finden Sie unter Anwendung integrieren, die SAML-Assertions im Portal akzeptiert.