Show TOC

VorgehensweiseEinem Identity-Provider vertrauen Dieses Dokument in der Navigationsstruktur finden

 

Mit dieser Vorgehensweise identifizieren Sie einen Identity-Provider, dem Ihr Service-Provider vertrauen kann. Der Service-Provider, den Sie so konfigurieren, dass er dem Identity-Provider vertraut, fordert vom Identity-Provider Identitätsinformationen an, und zwar für Anwendungen, die der Service-Provider schützt.

Voraussetzungen

  • Sie haben in Ihrem Netzwerk einen Identity-Provider konfiguriert.

  • Falls Sie den Identity-Provider manuell hinzufügen wollen (ohne eine XML-Metadatendatei zu verwenden), haben Sie die Public-Key-Zertifikate des Identity-Providers für Verschlüsselung und digitale Signatur von SAML-Nachrichten importiert. Importieren Sie die Zertifikate in den Trust-Manager des SAP NetWeaver Application Server (AS) ABAP.

    Weitere Informationen finden Sie unter Trust-Manager.

  • Falls Sie den Identity-Provider aus einer Metadatendatei hinzufügen wollen, haben Sie ein Mittel, von einer sicheren Quelle aus auf die Metadaten des Providers zuzugreifen.

    Falls Sie die Metadaten aus einer Datei laden, geht das System davon aus, dass Sie diese Datei von einer vertrauenswürdigen Quelle erhalten haben. Der Service-Provider akzeptiert die Metadaten. Falls die Metadaten jedoch vom Identity-Provider signiert sind, prüft der Service-Provider, ob der AS ABAP dem Zertifikatsaussteller des Unterzeichners vertraut. Falls der AS ABAP dem Aussteller nicht vertraut, weist der Service-Provider die Metadaten zurück.

Vorgehensweise

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Wählen Sie auf der Registerkarte Trusted Provider die Taste Hinzufügen aus, und wählen Sie dann Folgendes aus:

    • Manuell

    • Metadatendatei hochladen

      Geben Sie den Pfad zur XML-Metadatendatei des Identity-Providers an. Falls die XML-Metadatendatei signiert ist, müssen Sie den Ablageort des Public-Key-Zertifiats angeben, mit dem der Service-Provider die Signatur verifizieren kann. Die folgenden Quellen stehen zur Auswahl:

      • aus dem Trust-Manager

      • aus dem Dateisystem

      Weitere Informationen über das Konfigurieren der vertrauenswürdigen Aussteller finden Sie unter Zertifikatsliste pflegen.

  3. Geben Sie einen Alias ein.

  4. Geben Sie die für digitale Signaturen und Verschlüsselung erforderlichen Daten an.

    1. Wählen Sie aus dem Keystore die Public-Key-Zertifikate für die Überprüfung der digitalen Signatur des Identity-Providers und das Verschlüsseln der an den Identity-Provider gesendeten Nachrichten aus.

      Falls Sie den Identity-Provider aus einer XML-Metadatendatei hinzufügen, sind die Public-Key-Zertifikate bereits konfiguriert.

    2. Wählen Sie einen Verschlüsselungsalgorithmus.

      Hinweis Hinweis

      Die kryptographische Software des Identity-Providers muss den von Ihnen gewählten Verschlüsselungsalgorithmus unterstützen. Andernfalls kann er Ihre Nachrichten nicht entschlüsseln.

      Ende des Hinweises.

    3. Wählen Sie die Signatur- und Verschlüsselungsoptionen für Anfragen, Antworten und Assertions für Single Sign-On (SSO), Single Log-Out (SLO) und Artefaktauflösung aus.

      Die Signatur- und Verschlüsselungsoptionen müssen zu denen des Identity-Providers passen. Falls der Service-Provider fordert, dass SAML-Assertions immer digital signiert sein müssen und der Identity-Provider sie nie signiert, kann die SAML-Konfiguration nicht funktionieren.

      Empfehlung Empfehlung

      Denken Sie genau über Ihre Verschlüsselungs- und Signaturoptionen nach, und treffen Sie eine Auswahl, die für Ihre Konfiguration sinnvoll ist. Diese hängt auch von der Umgebung ab, in der Ihr SAML-Netzwerk betrieben wird. Systeme, die in einem gesicherten Bereich hinter einer Firewall betrieben werden, haben andere Anforderungen als Systeme, die im Internet bereitgestellt werden. Wir empfehlen Ihnen Folgendes:

      • Verschlüsselung

        Verschlüsseln Sie oder fordern Sie Verschlüsselung für die Elemente, die Authentifizierungs- oder persönliche Daten der Benutzer bereitstellen. Falls Sie das transiente oder persistente Namensbezeichnerformat verwenden, dann sind die Namensbezeichner bereits anonymisiert. Diese Namensbezeichner brauchen nicht verschlüsselt zu werden. Das E-Mail-Namensbezeichnerformat kann jedoch die tatsächlichen Namen und Kontaktdaten der Benutzer enthüllen. Wenn Sie das transiente und persistente Namensbezeichnerformat verwenden, können Sie Attribute senden. Diese Attribute können auch persönliche Informationen enthüllen, die Sie verschlüsseln sollten.

      • Digitale Signaturen

        Der SAML-Standard liefert viele Punkte in dem Vorgang, an denen Sie signieren können oder Signaturen prüfen können. Machen Sie das nur dort, wo es sinnvoll ist. Sie können z.B. die Signatur der SAML-Assertion und der SAML-Antwort fordern. Es ist nicht sinnvoll, dass der Identity-Provider die SAML-Antwort signiert und dann in eine SAML-Assertion packt und erneut signiert, bevor er die Assertion an den Service-Provider schickt. Das wäre nur sinnvoll, falls Sie einen benutzerdefinierten Prozess entwickelt haben, um SAML-Antworten von SAML-Assertions zu trennen und die Antwort über einen Dritten senden, bevor die Antwort bearbeitet wird. Sie können den Prozess weiter verkomplizieren, indem Sie eine HTTP-Artefakt-Bindung verwenden und eine Signatur für die Artefaktantwort fordern. In diesem Fall signiert der Identity-Provider die Nachricht dreimal.

        Der Service-Provider unterstützt Signaturvererbung. Falls die SAML-2.0-Antwort signiert ist, sieht der Service-Provider die SAML-2.0-Assertion als signiert an. Falls die SAML-2.0-Artefakt-Antwort signiert ist, sieht der Service-Provider die SAML-2.0-Antwort und die darin enthaltenen SAML-2.0-Assertions ebenso als signiert an.

      Ende der Empfehlung.

  5. Geben Sie die für die Endpunkte von SSO, SLO und des Artefaktauflösungsservice (AAS) erforderlichen Daten ein.

    Die XML-Metadatendatei liefert die vom Identity-Provider unterstützten Bindungen. Falls Sie neue Bindungen hinzufügen, müssen Sie den Identity-Provider so konfigurieren, dass er diese unterstützt.

  6. Geben Sie die für Authentifizierungskontexte und Anforderungen der Authentifizierungsantwort erforderlichen Daten ein.

  7. Wählen Sie die Drucktaste Fertig stellen.

Weitere Informationen

Bei Web-Services können Sie einem Security Token Service (STS) vertrauen.

Weitere Informationen finden Sie unter Einem Security-Token-Service-Provider vertrauen.