Show TOC

VorgehensweiseDirekte Serverkommunikation konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

Direkte Serverkommunikation verwendet HTTP-Artefakt- oder SOAP-Bindungen, um zwischen dem Service-Provider und dem Identity-Provider zu kommunizieren. Verwenden Sie direkte Serverkommunikation, um sicherzustellen, dass SAML-Nachrichten nicht dem Client zugänglich sind, und um zu verhindern, dass mögliche böswillige Dritte den Client belauschen. Direkte Serverkommunikation erfordert eine direkte Verbindung zwischen einem Service-Provider und einem Identity-Provider. Falls sich zwischen den Providern eine Firewall befindet, könnte eine direkte Kommunikation nicht möglich sein. Frontkanalkommunikation kann die Antwortzeiten für Single Sign-On (SSO) verbessern, da sie zur Authentifizierung eines Benutzers weniger Roundtrips benötigt.

Voraussetzungen

  • Sie haben festgelegt, welche Bindungen Sie für die direkte Serverkommunikation unterstützen wollen.

    Vergleich der Bindungen für direkte Serverkommunikation

    Bindung

    Vorteile

    Nachteile

    HTTP-Artefakt

    Die HTTP-Artefakt-Bindung sendet eine Referenz auf eine SAML-Nachricht über den Client. Der Identity-Provider und der Service-Provider verwenden dann SOAP, um die SAML-Nachricht auszutauschen, auf die sich das Artefakt bezieht.

    Dies ist die einzige Bindung für direkte Serverkommunikation, die von SAML-SSO unterstützt wird.

    Erhöht die Anzahl Roundtrips, die zur Weiterleitung einer SAML-Nachricht erforderlich sind, und erhöht so die Antwortzeit.

    SOAP

    Die SOAP-Bindung sendet Nachrichten direkt zwischen dem Identity-Provider und dem Service-Provider, ohne den Client einzubeziehen.

    Provider tauschen SAML-Nachrichten direkt aus.

    Firewalls können SOAP blockieren. Ein Domain Name Service (DNS) kann eventuell die Nachrichtendestination nicht auflösen.

  • SAML 2.0 ist auf Ihrem SAP NetWeaver Application Server (AS) Java aktiviert.

    Weitere Informationen finden Sie unter SAML-Service-Provider aktivieren.

Vorgehensweise

Direkte Serverkommunikation deaktivieren

Mit dieser Vorgehensweise beschränken Sie die Authentifizierung auf die Frontkanalkommunikation.

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Wählen Sie auf der Registerkarte Lokaler Provider die Registerkarte Service-Provider-Einstellungen.

  3. Deaktivieren Sie folgende Bindungen:

    • Beim Assertion-Konsumierungsservice (AKS) entmarkieren Sie das Ankreuzfeld HTTP-Artefakt.

    • Beim Single-Log-Out-Service (SLO-Service) entmarkieren Sie die Ankreuzfelder HTTP-Artefakt und SOAP.

    • Markieren Sie beim Artefaktauflösungsservice (AAS) im Feld Modus die Option Deaktiviert.

  4. Deaktivieren Sie HTTP-Artefakt-und SOAP-Bindungen vertrauenswürdiger Identity-Provider.

    Weitere Informationen finden Sie in der Dokumentation zu Ihrem Identity-Provider.

Direkte Serverkommunikation mit HTTP-Artefakt aktivieren

Mit dieser Vorgehensweise akzeptieren Sie Artefakte und konfigurieren andere Parameter der direkten Serverkommunikation.

1. Artefaktauflösungsservice aktivieren und konfigurieren

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Wählen Sie auf der Registerkarte Lokaler Provider die Registerkarte Service-Provider-Einstellungen.

  3. Markieren Sie unter Artefaktauflösungsservice im Feld Modus die Option Aktiviert.

  4. Geben Sie die erforderlichen Daten ein.

    Um sicherzustellen, dass Synchronisationsprobleme zwischen Systemen sich nicht auf die SAML-Artefaktverbindungen auswirken, erhöhen Sie die Gültigkeitsdauer der akzeptierten Artefakte.

  5. Legen Sie die Services fest, für die Sie Artefakte von den Identity-Providern akzeptieren wollen.

    • Um Artefakte für Single Sign-On (SSO) zu akzeptieren, markieren Sie das Ankreuzfeld HTTP-Artefakt unter Assertion-Konsumierungsservice..

    • Um Artefakte für Single Log-Out (SLO) zu akzeptieren, markieren Sie das Ankreuzfeld HTTP-Artefakt unter Single Log-Out.

2. Endpunkte für den vertrauenswürdigen Identity-Provider konfigurieren

Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.

Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen.

  1. Markieren Sie auf der Registerkarte Trusted Provider einen Identity-Provider, und wählen Sie die Drucktaste Bearbeiten.

  2. Wählen Sie die Registerkarte Endpunkte.

  3. Konfigurieren Sie die Single-Sign-On-Endpunkte, die Single-Log-Out-Endpunkte und die Artefaktendpunkte, um bei Bedarf HTTP-Artefakt- und SOAP-Bindungen zu nutzen.

    1. Fügen Sie HTTP-Artefakt-Bindungen hinzu.

    2. Wählen Sie, wo nötig, Destinationen aus.

    3. Geben Sie die Endpunkt-URLs für die Services auf dem Identity-Provider an.

  4. Legen Sie fest, ob Sie Authentifizierungsanforderungen für die Authentifizierungsanfragen an den Identity-Provider konfigurieren wollen.

    Die Authentifizierungsanforderungen ermöglichen Ihnen, die Konfigurationseinstellungen, die für die einzelnen Ressourcen des Service-Providers vorgenommen wurden, außer Kraft zu setzen. Sie können Folgendes konfigurieren:

    • den Authentifizierungskontext

    • ob der Identity-Provider die Assertion an den AKS oder direkt an die Anwendung zurückgibt

    • ob der Identity-Provider die Standardbindung, HTTP POST oder HTTP-Artefakt zum Zurückgeben der Assertion verwenden muss

    Um zu erzwingen, dass der Identity-Provider die Assertion über die direkte Serverkommunikation zurückgibt, geben Sie im Feld Bindung HTTP-Artefakt an.

    Hinweis Hinweis

    Falls Sie die Authentifizierungsantwort an die Anwendungs-URL senden und HTTP-POST-Bindung erforderten, liefern Sie die Anwendungs-URL potentiellen Lauschern am Useragent aus.

    Ende des Hinweises.

  5. Sichern Sie Ihre Eingaben.

3. Identity-Provider konfigurieren

  1. Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-Artefakt-Bindungen vom Service-Provider akzeptieren.

  2. Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-Artefakt-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.

  3. Denken Sie darüber nach, ob Sie die Frontkanalkommunikationsbindungen für die Identity-Provider-Endpunkte deaktivieren wollen.

    Falls der Identity-Provider nur direkte Serverkommunikation akzeptiert, gibt es keinen Grund, den Endpunkt für Frontkanalbindungen bereitzustellen.

Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.

Direkte Serverkommunikation mit SOAP aktivieren

Mit dieser Vorgehensweise aktivieren Sie die Parameter der direkten Serverkommunikation für SOAP.

1. SOAP-Bindungen akzeptieren

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Markieren Sie auf der Registerkarte Service-Provider-Einstellungen unter Single Log-Out das Ankreuzfeld SOAP.

2. Endpunkte des vertrauenswürdigen Identity-Providers konfigurieren

Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.

Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen.

  1. Markieren Sie auf der Registerkarte Trusted Provider einen Identity-Provider, und wählen Sie die Drucktaste Bearbeiten.

  2. Wählen Sie die Registerkarte Endpunkte.

  3. Konfigurieren Sie die Single-Log-Out-Endpunkte so, dass sie SOAP-Bindung verwenden.

    1. Fügen Sie die SOAP-Bindung hinzu.

      Falls der Identity-Provider für SOAP eine Authentifizierung verlangt, konfigurieren Sie im Destination-Service des AS Java eine Destination und wählen Sie diese aus.

    2. Geben Sie die Endpunkt-URLs für den SLO-Service auf dem Identity-Provider an.

    3. Wählen Sie, wo nötig, Destinationen aus.

    4. Legen Sie fest, ob Sie die Abmeldeantwort an eine andere URL senden lassen wollen.

      Falls dies der Fall ist, geben Sie in der Spalte Antwortsort-URL den benutzerdefinierten Antwortsort an.

  4. Sichern Sie Ihre Eingaben.

3. Identity-Provider konfigurieren

  1. Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-Artefakt- und SOAP-Bindungen vom Service-Provider akzeptieren.

  2. Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-Artefakt- und SOAP-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.

  3. Denken Sie darüber nach, ob Sie die Frontkanalkommunikationsbindungen für die Identity-Provider-Endpunkte deaktivieren wollen.

    Falls der Identity-Provider nur direkte Serverkommunikation akzeptiert, gibt es keinen Grund, den Endpunkt für Frontkanalbindungen bereitzustellen.

Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.