Show TOC

VorgehensweiseIdentitätsföderation mit persistenten Pseudonymen konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

Mit dieser Vorgehensweise aktivieren Sie Identitätsföderation, wenn noch keine Kontoverknüpfung vorhanden ist. Interaktive Kontoverknüpfung und automatisches Kontoanlegen ermöglichen es den Benutzern, ihre Konten während der Authentifizierung zu föderieren. Beide Methoden der Identitätsföderation verwenden das Namensbezeichnerformat persistenter Pseudonyme, um zwei Konten zu föderieren.

Sie können auch bestehende Kontoverknüpfungen mit persistenten Pseudonymen verwenden, aber die Verknüpfung muss bereits zuvor angelegt sein.

Weitere Informationen finden Sie unter Bestehende Kontoverknüpfung konfigurieren.

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Vorgehensweise

  1. Starten Sie die SAML-2.0-Konfigurationsanwendung (Transaktion SAML2).

  2. Markieren Sie auf der Registerkarte Vertrauenswürdige Provider einen Identity-Provider und wählen Sie die Drucktaste Bearbeiten.

  3. Wählen Sie auf der Registerkarte Identitätsföderation die Drucktaste Hinzufügen.

  4. Wählen Sie das Namensbezeichnerformat Persistent aus.

  5. Geben Sie im Feld Föderationsmodus Interaktive Kontoverknüpfung ein.

    Falls es in diesem Modus keine bereits vorhandene Föderation gibt, d.h. falls auf dem Service-Provider kein Benutzer mit demselben persistenten Namensbezeichner gefunden wird, fordert der Service-Provider den Benutzer zur Anmeldung auf. Wenn sich der Benutzer anmeldet, fordert der Service-Provider den Benutzer zur Föderation der Konten auf. Falls der Benutzer dies akzeptiert, schreibt der Service-Provider den persistenten Namensbezeichner des Benutzerkontos auf dem Identity-Provider in das für den persistenten Namensbezeichner konfigurierte Attribut auf dem Service-Provider. Falls der Benutzer dies ablehnt, meldet der Service-Provider den Benutzer wie gewohnt an, jedoch ohne die Konten zu föderieren.

    Damit der Identity-Provider einen persistenten Namensbezeichner anlegen kann, falls für das Benutzerkonto auf dem Identity-Provider keiner vorhanden ist, geben Sie im Feld Identity-Provider erlauben, NameID anzulegen Ja an. Andernfalls — falls für das Benutzerkonto auf dem Identity-Provider kein persistenter Namensbezeichner vorhanden ist — bietet der Service-Provider nicht an, den Benutzer zu föderieren.

    • Sichern Sie Ihre Eingaben.

    • Konfigurieren Sie den Identity-Provider so, dass er den persistenten Namensbezeichner und alle weiteren von Ihrer Konfiguration geforderten Attribute liefert.

      Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

    Beispiel

    Donna Moore hat vor kurzem ihr Netzwerk für SAML 2.0 konfiguriert. Die Benutzer melden sich immer noch an jedem System mit einer eigenen Benutzerkennung und einem eigenen Kennwort an. Donna hat einen neuen Identity-Provider mit allen Benutzern angelegt und jedem einen persistenten Namensbezeichner zugeordnet. Sie hat gerade ein Upgrade für ihre Altsysteme durchgeführt, damit diese SAML 2.0 als Service-Provider unterstützen. In jedem System vertraut sie dem SAML-2.0-Identity-Provider und fordert das Namensbezeichnerformat Persistent. Da alle Benutzer bereits ihr Kennwort für jedes System kennen, aktiviert sie interaktive Kontoverknüpfung. Wann immer sich ein Benutzer zum ersten Mal nach der Umstellung an einem System anmeldet, gibt er seine Anmeldedaten ein und der Service-Provider fügt den persistenten Namensbezeichner des Identity-Providers zum lokalen Konto hinzu. Donna braucht den mühsamen Vorgang des Hinzufügens des persistenten Bezeichners zu jedem Konto in jedem System nicht zu durchlaufen. Die Benutzer machen dies selbst.