SSO mit SAML-Token-Profilen konfigurieren 
Security Assertion Markup Language (SAML) ist ein Standard, der eine Sprache definiert, mit der Sicherheitsinformationen zwischen Partnern ausgetauscht werden. Der SAML-Standard wird von der Organization for the Advancement of Structured Information Standards (OASIS) erarbeitet. SAML verwendet Assertions, die Aussagen über den Inhaber, die Authentifizierung, die Berechtigungen und die Attribute beinhalten.
Das SAML-Token-Profil wird vom OASIS Web Services Security (WS Security) Technical Committee als ein Standard zur Integration und Verwendung von SAML für Web-Services Security entwickelt.
Hinweis
Obwohl sowohl das SAML-Token-Profil als auch das SAML-Browser-Artefakt den SAML-Standard zur Übertragung von Sicherheitsinformationen verwendet, werden sie für unterschiedliche Authentifizierungszwecke eingesetzt, wie nachfolgend beschrieben:
SAML-Browser-Artefakte werden für die Authentifizierung des web-gestützten Zugriffs von einem Web-Browser aus verwendet.
SAML-Token-Profile werden für die WS-Zugriffsauthentifizierung auf SOAP-Nachrichtenebene verwendet.
Voraussetzungen
Sie haben zwischen dem WS-Anbieter- und dem WS-Konsumentensystem eine Vertrauensbeziehung eingerichtet. Wenn Sie Ihre Systeme für die Verwendung von Anmeldetickets konfiguriert haben, ist diese Beziehung bereits eingerichtet.
Hinweis
Standardmäßig wird bei der Anmeldeticketkonfiguration die System-PSE verwendet, die auf DSA basiert. Dadurch können Sie diese PSE nicht verwenden, wenn Sie Antworten verschlüsselt versenden wollen.
Beachten Sie Folgendes:
Der AS ABAP kann noch nicht Provider-Zertifikate einstellen.
Im AS Java können Sie für Verschlüsselung durch den Provider ein anderes Zertifikat als das Signaturzertifikat des Clients verwenden (das auf System-PSE mit DSA basiert).
Wenn Sie Ihre Systeme nicht für die Verwendung von Anmeldetickets konfigurieren wollen, richten Sie die erforderliche Vertrauensbeziehung zwischen den Systemen wie unter Vertrauensbeziehung für SAML-Token-Profile ohne Anmeldeticketkonfiguration konfigurieren beschrieben ein.
Funktionsumfang
Mit SAP NetWeaver können Sie die Inhaberbestätigungsmethode Sender-vouches verwenden, um einen Inhaber mit SAML-Token-Profil-Authentifizierung zu bestätigen. Bei dieser Inhaberbestätigungsmethode agiert das zwischengeschaltete WS-System auch als SAML-Assertion-Aussteller. Der zwischengeschaltete Web-Service (1) authentifiziert den Client und (2) gibt die Authentifizierungsinformation für den WS-Konsumenten mit einem SAML-Token-Profil an den Backend-WS-Aussteller weiter. Der WS-Anbieter wiederum authentifiziert den Zugriff auf der Grundlage seiner Vertrauensbeziehung mit dem zwischengeschalteten System.
Die Inhaberbestätigungsmethode ermöglicht SSO für Web-Services, indem die Authentifizierungsinformation einer vorangegangenen Anmeldung mit SAML-Assertions weitergeleitet wird. Weitere Informationen erhalten Sie unter Inhaberbestätigungsmethoden für SAML-Token-Profile.