Show TOC

 Example: In einem Portal über SAML auf eine Web-Dynpro-Anwendung zugreifenLocate this document in the navigation structure

Verwendung

Das folgende Beispiel zeigt, wie Sie eine Web-Dynpro-Anwendung so in ein Portal integrieren können, dass Benutzer darauf über SAML zugreifen können. Die in diesem Beispiel verwendete Web-Dynpro-Anwendung ist Web Dynpro Console, die auf einem AS Java mit dem Host mydestination.company.com läuft. Der SAML-Aussteller ist ein Portal, das auf einem AS Java mit dem Host mysource.company.com läuft.

Hinweis

SSL wird in der SAML-Spezifikation gefordert. Daher wird die Verwendung von SSL in der SAML-Konfiguration standardmäßig aktiviert. Zu Testzwecken können Sie allerdings das Erzwingen von SSL für auf SAML basierende Dokumentenaustausche deaktivieren. In diesem Fall erhalten Sie Warnungen in den Protokolldateien. Sie können Kommunikationsanforderungen jedoch weiterhin verarbeiten.

In diesem Beispiel wird das Erzwingen von SSL deaktiviert.

Voraussetzungen

Der SAML-Service läuft sowohl beim Aussteller als auch bei der Destinationsseite. Weitere Informationen finden Sie unter Startmodus des SAML-Service ändern.

Vorgehensweise

SAML-Einstellungen beim SAML-Aussteller (Portal) konfigurieren

  1. Legen Sie im Portal einen Benutzer namens SAML_RESP an und weisen Sie ihm die Rolle SAML_RESPONDER zu.
  2. Navigieren Sie über den SAP NetWeaver Administrator (NWA) zu SystemverwaltungKonfiguration und wählen Sie SicherheitTrusted SystemsSAML-Browser-/Artefakt-Profil aus Feinnavigation.
  3. Wählen Sie die Registerkarte Ausgehende Partner, um einen ausgehenden Partner MyDestinationPartner für das Portal anzulegen. Weisen Sie den Parametern für Ausgehende Partner folgendermaßen Werte zu:
    Tipp

    Ausgehende Partner

    Partnerschlüssel: MyDestinationPartner

    Ausstellername: www.samlssodemo.com

    Aussteller-ID: Hexadezimal: FB6E8396EFD983CDBA6AEC1DF95AD2C5E0C3F4AF

    Gültigkeit vor Ausstellung: 120

    Gültigkeit nach Ausstellung: 180

    Assertion-Version: SAML 1.0

    URL-Parameter für Artefakt: SAMLart

    Artefaktempfänger: Direktaufruf an Ressource

    Responder-Zugriff: Festen Benutzer anfordern

    Responder-Benutzer:SAML_RESP

  4. Wählen Sie die Registerkarte "Einstellungen, um folgendermaßen Werte für die Deaktivierung von SSL zuzuweisen und den Artefaktnamensparameter global zu konfigurieren:
    Tipp

    Einstellungen

    URL-Parameter für Artefakt: SAMLart

    Achtung

    SAP empfiehlt Ihnen in Produktivumgebungen die Verwendung von SSL für SAML. Andernfalls ist der SAML-Zugriff nicht sicher. Das System legt bei jedem unsicheren Zugriff eine Warnung im Protokoll an.

Weitere Informationen finden Sie unter Portal als SAML-Aussteller konfigurieren.

SAML-Einstellungen bei SAML-Destinationsseite konfigurieren

  1. Legen Sie auf der SAML-Destinationsseite eine Destination an, die mit folgenden Werten auf den Responder-Service des Ausstellers zeigt:
    Tipp

    HTTP-Destination MySource

    Name:MySource

    URL:http://mysource.company.com:<http_port>/saml/responder

    Authentifizierung:STANDARD

    Benutzername:SAML_RESP

    Kennwort:<password_for_SAML_RESP>

    Achtung

    In diesem Beispiel verwendet die URL, die auf den Responder-Service des Ausstellers zeigt, HTTP. SAP empfiehlt Ihnen, in Produktivumgebungen immer HTTPS zu verwenden.

  2. Navigieren Sie über den SAP NetWeaver Administrator (NWA) für die Destinationsseite zu SystemverwaltungKonfiguration und wählen Sie SicherheitTrusted SystemsSAML-Browser-/Artefakt-Profil aus Feinnavigation.
  3. Wählen Sie die Registerkarte Eigehende Partners, um einen neuen eingehenden Partner MySourcePartner anzulegen. Weisen Sie den Parametern für Eigehende Partner folgendermaßen Werte zu:
    Tipp

    Eingehende Partner

    Partnerschlüssel: MySourcePartner

    Aktiviert: true

    Destination für Rückruf: MySource

    Aussteller-ID: Hexadezimal: FB6E8396EFD983CDBA6AEC1DF95AD2C5E0C3F4AF

    Request-Version:SAML 1.0

    URL-Parameter für Ziel:TARGET

  4. Wählen Sie die Registerkarte Einstellungen, um für den eigehenden Partner folgendermaßen Werte für die Deaktivierung von SSL zuzuweisen und den Artefaktnamensparameter global zu konfigurieren:
    Tipp

    Einstellungen

    URL-Parameter für Artefakt: SAMLart

    Achtung

    SAP empfiehlt Ihnen SSL bei der Verwendung von SAML in Produktivumgebungen für die Verbindung zu aktivieren. Andernfalls ist der SAML-Zugriff nicht sicher. Das System legt bei jedem unsicheren Zugriff eine Warnung im Protokoll an.

Weitere Informationen finden Sie unter AS Java als SAML-Destinationsseite konfigurieren.

Login-Modul-Stack der Web-Dynpro-Anwendung anpassen

Alle Web-Dynpro-Anwendungen verwenden standardmäßig das Login-Modul ticket. Daher müssen Sie den Login-Modul-Stack von ticket folgendermaßen ändern:

  1. Navigieren Sie über die Authentifizierungsverwaltungsfunktionen des NWA für die Destinationsseite zur Registerkarte Komponenten.
  2. Wählen Sie aus der Liste unter Komponentensicherheitseinstellungen die Richtlinienkonfiguration für die Web-Dynpro-Anwendung.
  3. Für den Login-Modul-Stack der gewählten Richtlinienkonfiguration:
    1. Setzen Sie eine Referenz zur Authentifizierungsvorlage ticket.
    2. Fügen Sie, wie in der nachfolgenden Tabelle dargestellt, SAMLLoginModule der Authentifizierungsvorlage ticket hinzu.
      Login-Modul Kennzeichen

      VerifyTicketLoginModule

      SUFFICIENT

      SAMLLoginModule

      OPTIONAL

      CreateTicketLoginModule

      SUFFICIENT

      BasicPasswordLoginModule

      OPTIONAL

      CreateTicketLoginModule

      SUFFICIENT

    3. Wählen Sie SAMLLoginModule aus Login-Modul-Stack aus, um die Optionen wie in der nachfolgenden Tabelle beschrieben zu konfigurieren.
      Name Wert

      AcceptedAuthenticationMethods

      *

      Modus

      Standalone

      Hinweis

      Um obigen Stack zu verstehen, müssen Sie wissen, dass sowohl SAMLLoginModule als auch BasicPasswordLoginModule einen Benutzernamen nach erfolgreicher Authentifizierung einen Freigabestatus angibt und dass CreateTicketLoginModule eine Erfolgsmeldung zurückliefert, wenn es einen Benutzernamen im Freigabestatus vorfindet.

Ausführliche Informationen finden Sie unter Login-Modul-Stacks für die Verwendung von SAML anpassen.

Systemobjekt für die Destinationsseite im Portal anlegen

Legen Sie folgendermaßen im Portal ein Systemobjekt für das System an, auf dem Ihre Zielanwendung läuft:

  1. Wählen Sie SystemadministrationSystemkonfigurationSystemlandschaft.
  2. Wählen Sie den Ordner, in dem Sie das Systemobjekt anlegen möchten, und wählen Sie im Menü NeuSystem.

    Der Systemassistent wird angezeigt.

  3. Wählen Sie als Vorlage R/3-System mit Lastausgleich und wählen Sie Weiter.
  4. Durchlaufen Sie die Schritte des Assistenten und geben Sie die erforderlichen Daten ein.
  5. Nachdem Sie den Assistenten abgeschlossen haben, wählen Sie Fertigstellen und Objekt für die Bearbeitung öffnen.

    Der Eigenschaftseditor für das Systemobjekt wird angezeigt.

  6. Geben Sie die Werte für die Eigenschaften folgendermaßen ein:
    Eigenschaftskategorie Eigenschaft Wert

    Web Application Server (WAS)

    WAS-Hostname

    mydestination.company.com:<http_port>

    WAS-Protokoll

    http

    Hinweis: In einer Produktivumgebung müssen Sie HTTPS verwenden.

    Benutzerverwaltung

    Anmeldemethode

    SAML-Browser/Artefakt

    SAML-Partnername

    MyDestinationPartner

    Dies ist der Name der Menge der Parameter PartnersOutbound für die Destinationsseite im Konfigurationsadapter.

  7. Sichern Sie Ihre Änderungen.
  8. Legen Sie folgendermaßen einen Systemalias für das System an:
    1. Wählen Sie in der Dropdown-Listbox "Anzeige" den Eintrag "Systemaliasse".
    2. Geben Sie einen Namen für den Systemalias an, z.B. MyDestination. Fügen Sie den definierten Alias über Hinzufügen hinzu.
    3. Wählen Sie Sichern, um Ihre Änderungen zu sichern.

iView für eine Web-Dynpro-Anwendung im Portal anlegen

Legen Sie ein iView für die Web Dynpro Console wie unter Web-Dynpro-basiertes iView anlegen beschrieben an. Beachten Sie dabei Folgendes:

  • Wählen Sie im Anlegeassistenten für iViews unter "Auswahl der Anwendungsvariante" die Option "Java".
  • Pflegen Sie folgendermaßen die Felder im Bild "Anwendungsparameter":
    • System: Wählen Sie den Alias des von Ihnen im vorherigen Schritt angelegten Systemobjekts:
    • Namensraum: sap.com/tc~wd~tools
    • Anwendungsname: WebDynproConsole

    In diesem Beispiel wird die Web Dynpro Console integriert, deren URL http://mydestination:50000/webdynpro/dispatcher/sap.com/tc~wd~tools/WebDynproConsole ist. In dieser URL liegen die Werte für den Namensraum und der Anwendungsname vor.

Test, ob aus Web-Dynpro-Anwendung mit SAML zugegriffen werden kann

  1. Schließen Sie alle Browser-Fenster, um den Benutzerkontext zurückzusetzen.
  2. Melden Sie sich am Portal an.
    Hinweis

    Auf der Destinationsseite muss ein Benutzer mit derselben Anmelde-ID wie die des von Ihnen für die Anmeldung am Portal verwendeten Benutzers vorliegen. Die Kennwörter müssen nicht dieselben sein.

  3. Wählen Sie im Portal Content-Administration → Portal-Content.
  4. Öffnen Sie die von Ihnen angelegte iView, indem Sie einen Rechtsklick darauf ausführen und Öffnen → Objekt wählen.
  5. Wählen Sie "Vorschau", um eine Vorschau der iView zu erhalten.

    Die Web Dynpro Console sollte angezeigt werden, ohne dass eine erneute Eingabe von Benutzer-Credentials erforderlich ist.