Frontkanalkommunikation konfigurieren 
Frontkanalkommunikation verwendet HTTP-POST- oder HTTP-Redirect-Bindungen über den Client zwischen dem Service-Provider und dem Identity-Provider. Verwenden Sie Frontkanalbindungen, wenn die Antwortzeit auf die Clientanfrage wichtiger ist als sicherzustellen, dass die SAML-Nachrichten nicht dem Client oder bösartigen Dritten preisgeben werden. Direkte Serverkommunikation erhöht die Anzahl Nachrichten, die Service-Provider und Identity-Provider während der Anmeldung austauschen müssen.
Voraussetzungen
Sie haben festgelegt, welche Bindungen Sie für die Frontkanalkommunikation unterstützen wollen.
Bindung
Vorteile
Nachteile
HTTP POST
Transportiert SAML-Nachrichten im Text (Body) der Nachricht. Es gibt keine Längenbeschränkungen. Siehe Nachteile des HTTP Redirect unten.
Einige Clients könnten HTTP POST nicht unterstützen.
Um die Benutzerinteraktion zu vermeiden, um einen Client von einem Server zum nächsten zu schicken, verwenden Clients eine Auto-Post-Funktion. Die Auto-Post-Funktion verwendet JavaScript. Je nach Ihrer Situation kann die Verwendung von JavaScript ein Sicherheitsrisiko darstellen.
HTTP Redirect
Client wird von einem Server zum nächsten geschickt, ohne Interaktion des Benutzers.
Redirect transportiert die SAML-Nachricht in der URL. Falls die URL zu lang ist, schneidet der Client die URL ab. Falls Sie lange URLs verwenden oder Sicherheitsoptionen wie Verschlüsselung vonNachrichtenelementen einfügen, vermeiden Sie HTTP Redirect.
SAML 2.0 ist auf Ihrem SAP NetWeaver Application Server (AS) ABAP aktiviert.
Weitere Informationen finden Sie unter SAML-Service-Provider aktivieren.
Vorgehensweise
Frontkanalkommunikation deaktivieren
Mit dieser Vorgehensweise beschränken Sie die Authentifizierung auf die direkte Serverkommunikation.
Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).
Wählen Sie auf der Registerkarte Lokaler Provider die Registerkarte Service-Provider-Einstellungen.
Deaktivieren Sie folgende Bindungen:
Beim Assertion-Konsumierungsservice (AKS) entmarkieren Sie das Ankreuzfeld HTTP POST.
HinweisHTTP Redirect ist für den AKS keine Option, da die Assertion zu groß ist als dass sie als Teil der URL transportiert werden könnte.
Ende des Hinweises.Beim Single-Log-Out-Service (SLO-Service) entmarkieren Sie die Ankreuzfelder HTTP POST und HTTP Redirect.
Deaktivieren Sie HTTP-POST- und HTTP-Redirect-Bindungen vertrauenswürdiger Identity-Provider.
Weitere Informationen finden Sie in der Dokumentation zu Ihrem Identity-Provider.
Frontkanalkommunikation aktivieren
Mit dieser Vorgehensweise akzeptieren Sie Frontkanalkommunikation und konfigurieren die weiteren Frontkanalparameter.
1. Ermitteln, welche Services Frontkanalkommunikation akzeptieren
Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).
Wählen Sie auf der Registerkarte Lokaler Provider die Registerkarte Service-Provider-Einstellungen.
Legen Sie fest, für welche Services Sie die Frontkanalkommunikation von Identity-Providern akzeptieren wollen.
Bei Single Sign-On (SSO) markieren Sie unter Assertion-Konsumierungsservice das Ankreuzfeld HTTP POST.
Bei Single Log-Out (SLO) markieren Sie unter Single Log-Out das Ankreuzfeld HTTP POST oder HTTP Redirect.
2. Endpunkte des vertrauenswürdigen Identity-Providers konfigurieren
Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.
Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen.
Markieren Sie auf der Registerkarte Vertrauenswürdige Provider einen Identity-Provider, und wählen Sie die Drucktaste Bearbeiten.
Wählen Sie die Registerkarte Endpunkte.
Konfigurieren Sie die Single-Sign-On-Endpunkte und Single-Log-Out-Endpunkte so, dass sie HTTP-POST- bzw. HTTP-Redirect-Bindungen verwenden.
Fügen Sie beliebige HTTP-POST- und HTTP-Redirect-Bindungen hinzu.
Geben Sie die Endpunkt-URLs für die Services auf dem Identity-Provider an.
Legen Sie fest, ob Sie Authentifizierungsanforderungen für die Authentifizierungsanfragen an den Identity-Provider konfigurieren wollen.
Die Authentifizierungsanforderungen ermöglichen Ihnen, die Konfigurationseinstellungen, die für die einzelnen Ressourcen des Service-Providers vorgenommen wurden, außer Kraft zu setzen. Sie können Folgendes konfigurieren:
den Authentifizierungskontext
ob der Identity-Provider die Assertion an den AKS oder direkt an die Anwendung zurückgibt
ob der Identity-Provider die Standardbindung, HTTP POST oder HTTP-Artefakt zum Zurückgeben der Assertion verwenden muss
Um zu erzwingen, dass der Identity-Provider die Assertion über die Frontkanalkommunikation zurückgibt, geben Sie im Feld Bindung HTTP POST an.
HinweisFalls Sie die Authentifizierungsantwort an die Anwendungs-URL senden und HTTP-POST-Bindung erforderten, liefern Sie die Anwendungs-URL potentiellen Lauschern am Useragent aus.
Ende des Hinweises.Sichern Sie Ihre Eingaben.
3. Identity-Provider konfigurieren
Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-POST- oder HTTP-Redirect-Bindungen vom Service-Provider akzeptieren.
Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-POST- oder HTTP-Redirect-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.
Denken Sie darüber nach, ob Sie die Bindungen der direkten Serverkommunikation für die Identity-Provider-Endpunkte deaktivieren wollen.
Falls der Identity-Provider nur Frontkanalkommunikation akzeptiert, gibt es keinen Grund, die Endpunkte für Bindungen der direkten Serverkommunikation bereitzustellen.
Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.