Show TOC

VorgehensweiseBestehende Kontoverknüpfung konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

Der Service-Provider definiert, welches Namensbezeichnerformat er in der SAML-Authentifizierungsanfrage, die er an den Identity-Provider weiterleitet, fordert. Solange der Identity-Provider dieses Namensbezeichnerformat unterstützt, gibt er die angeforderten Daten in der SAML-Antwort zurück, einschließlich möglicher Attribute. Identitätsföderation ist die Zuordnung der angeforderten Daten zu den vom Identity-Provider gelieferten Daten. Ohne diese Zuordnung gibt es keine Föderation.

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Vorgehensweise

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Markieren Sie auf der Registerkarte Vertrauenswürdige Provider einen Identity-Provider und wählen Sie die Drucktaste Bearbeiten.

  3. Wählen Sie auf der Registerkarte Identitätsföderation die Drucktaste Hinzufügen.

  4. Wählen Sie ein Namensbezeichnerformat und eine Quelle.

    Der Service-Provider fordert das Namensbezeichnerformat beim vertrauenswürdigen Identity-Providers an. Wenn der Service-Provider die SAML-Antwort erhält, verwendet der Service-Provider die Quelle, um zu ermitteln, wo er den Benutzer aufgrund des vom Identity-Provider zurückgegebenen Strings sucht. Falls die Suche kein eindeutiges Ergebnis liefert, schlägt die Anmeldung fehl.

    Ausnahme: Transiente und persistente Namensbezeichnerformate bieten mehr Möglichkeiten.

    Namensbezeichnerformate für bestehende Kontoverknüpfung

    Namensbezeichnerformat

    Quelle

    Beschreibung

    E-mail

    E-Mail-Adresse

    Sucht den Benutzer auf Grund der E-Mail-Adresse

    Kerberos

    Zuordnung in Tabelle USREXTID

    Sucht den Benutzer in Tabelle USREXTID

    Persistent

    Zuordnung in Tabelle SAML2_PIDFED

    Sucht den Benutzer in Tabelle SAML2_PIDFED

    Hinweis Hinweis

    Das Namensbezeichnerformat Persistent ermöglicht andere Konfigurationsoptionen, wenn die bestehende Kontoverknüpfung nicht verwendet wird. Weitere Informationen finden Sie unter Identitätsföderation mit persistenten Pseudonymen konfigurieren.

    Ende des Hinweises.

    Unspecified

    Anmelde-ID

    Sucht den Benutzer anhand der Anmelde-ID.

    Anmeldealias

    Sucht den Benutzer anhand des Anmeldealias.

    Zuordnung in Tabelle USREXTID

    Sucht den Benutzer in Tabelle USREXTID

    Windows Name

    Zuordnung in Tabelle USREXTID

    Sucht den Benutzer in Tabelle USREXTID

    X509 Subject Name

    Zuordnung in Tabelle USREXTID

    Sucht den Benutzer in Tabelle USREXTID

  5. Sichern Sie Ihre Eingaben.

  6. Stellen Sie sicher, dass die Benutzer Daten für die Quelle haben, die der Service-Provider sucht:

    • Stellen Sie beim Namensbezeichnerformat E-mail sicher, dass jeder Benutzer eine E-Mail-Adresse in seinem Benutzerkonto hat. Verwenden Sie die Transaktion SU01.

    • Konfigurieren Sie bei Namesbezeichnerformaten, die Tabelle USREXTID verwenden, die Zuordnung zwischen der externen ID, die Sie vom Identity-Provider erwarten, und dem Benutzer.

      Weitere Informationen finden Sie unter Benutzer in Tabelle USREXTID zuordnen.

    • Verwenden Sie für die Anmelde-ID und Anmeldealias des Namensbezeichnerformats Unspecified Transaktion SU01, um diese Attribute des Benutzerkontos zu bearbeiten.

    • Beim Namensbezeichnerformat Persistent empfiehlt Ihnen SAP, Tabelle SAML2_PIDFED nicht manuell zu pflegen, sondern die automatische Kontoverknüpfung zu verwenden.

    Weitere Informationen darüber, wie Sie Namensbezeichner auf dem Service-Provider prüfen, finden Sie unter Namensbezeichner verwalten.

  7. Konfigurieren Sie den Identity-Provider so, dass er den erforderlichen Namensbezeichner so liefert, dass es eine 1:1-Entsprechung gibt.

    Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

Beispiel

Donna Moore hat ihren Service-Provider so konfiguriert, dass er das Namensbezeichnerformat E-mail fordert. Ein vertrauenswürdiger Identity-Provider schickt ihrem Service-Provider eine SAML-Antwort mit Laurent.Becker@example.com als Betreff. Der Service-Provider sucht nach einem Benutzer mit diesem Wert als E-Mail-Adresse. Falls das Ergebnis ein einziger Benutzer ist, ist die Anmeldung erfolgreich.

Laurent Becker hat auf dem Service-Provider eine andere Benutzerkennung als auf dem Identity-Provider, aber seine E-Mail-Adresse ist in beiden Systemen gleich. Eine einfache Zuordnung wäre, den Identity-Provider auch dasselbe Namensbezeichnerformat E-mail verwenden zu lassen.

Angenommen, dass der Identity-Provider die E-Mail-Adresse für die Benutzerkennung und kein Attribut für E-Mail verwendet. Dann würde der Identity-Provider das Namensbezeichnerformat Unspecified verwenden, um die Benutzerkennung zurückzugeben. Donna muss ihren Service-Provider entsprechend neu konfigurieren. Falls der Identity-Provider das Namensbezeichnerformat E-mail nicht unterstützten kann, muss Donna den Service-Provider so konfigurieren, dass er das Namensbezeichnerformat Unspecified anfordert, und sie muss die Zuordnung der E-Mail-Adresse zur Benutzerkennung in Tabelle USREXTID pflegen.