Show TOC

Direkte Serverkommunikation konfigurierenLocate this document in the navigation structure

Verwendung

Direkte Serverkommunikation verwendet HTTP-Artefakt- oder SOAP-Bindungen, um zwischen dem Service-Provider und dem Identity-Provider zu kommunizieren. Verwenden Sie direkte Serverkommunikation, um sicherzustellen, dass SAML-Nachrichten nicht dem Client und möglichen böswilligen Dritten, die den Client belauschen, zugänglich sind. Direkte Serverkommunikation erfordert eine direkte Verbindung zwischen einem Service-Provider und einem Identity-Provider. Falls sich zwischen den Providern eine Firewall befindet, könnte eine direkte Kommunikation nicht möglich sein. Frontkanalkommunikation kann die Antwortzeiten für Single Sign-On (SSO) verbessern, da sie zur Authentifizierung eines Benutzers weniger Roundtrips benötigt.

Voraussetzungen

  • Sie haben festgelegt, welche Bindungen Sie für die direkte Serverkommunikation unterstützen wollen.

    Bindung

    Vorteile

    Nachteile

    HTTP-Artefakt

    Die HTTP-Artefakt-Bindung sendet eine Referenz auf eine SAML-Nachricht über den Client. Der Identity-Provider und der Service-Provider verwenden dann SOAP, um die SAML-Nachricht auszutauschen, auf die sich das Artefakt bezieht.

    Dies ist die einzige Bindung für direkte Serverkommunikation, die von SAML-SSO unterstützt wird.

    Erhöht die Anzahl Roundtrips, die zur Weiterleitung einer SAML-Nachricht erforderlich sind, und erhöht so die Antwortzeit.

    SOAP

    Die SOAP-Bindung sendet Nachrichten direkt zwischen dem Identity-Provider und dem Service-Provider, ohne den Client einzubeziehen.

    Provider tauschen SAML-Nachrichten direkt aus.

    Firewalls können SOAP blockieren. Domain Name Services (DNS) können eventuell die Nachrichtendestination nicht auflösen.

    Die Verwendung einer SOAP-Bindung beeinträchtigt wegen der zusätzlichen Belastung des Systems durch die Datenbankbearbeitung die System-Performance.

  • SAML 2.0 ist auf Ihrem SAP NetWeaver Application Server (AS) Java aktiviert.

    Weitere Informationen finden Sie unter SAML-Service-Provider aktivieren .

Vorgehensweise

Direkte Serverkommunikation deaktivieren

Mit dieser Vorgehensweise beschränken Sie die Authentifizierung auf die Frontkanalkommunikation.

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth .

  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.

  3. Wählen Sie die Registerkarte Service-Provider-Einstellungen .

  4. Wählen Sie die Drucktaste Bearbeiten .

  5. Deaktivieren Sie folgende Bindungen:

    • Beim Assertion-Konsumierungsservice (AKS) entmarkieren Sie das Ankreuzfeld HTTP-Artefakt .

    • Beim Single-Log-Out-Service (SLO-Service) entmarkieren Sie die Ankreuzfelder HTTP-Artefakt und SOAP .

      Hinweis

      Die SOAP-Bindung ist standardmäßig deaktiviert.

  6. Wählen Sie auf der Registerkarte Allgemeine Einstellungen unter Artefaktauflösungsservice im Feld Modus die Option Deaktiviert .

  7. Deaktivieren Sie HTTP-Artefakt- und SOAP-Bindungen vertrauenswürdiger Identity-Provider.

    Weitere Informationen finden Sie in der Dokumentation zu Ihrem Identity-Provider.

Direkte Serverkommunikation mit HTTP-Artefakt aktivieren

Mit dieser Vorgehensweise akzeptieren Sie Artefakte und konfigurieren andere Parameter der direkten Serverkommunikation.

1. Artefaktauflösungsservice aktivieren und konfigurieren

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth .

  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.

  3. Wählen Sie die Registerkarte Allgemeine Einstellungen .

  4. Markieren Sie unter Artefaktauflösungsservice im Feld Modus die Option Aktiviert .

  5. Geben Sie die erforderlichen Daten ein.

    • Um sicherzustellen, dass Synchronisationsprobleme zwischen Systemen sich nicht auf die SAML-Artefaktverbindungen auswirken, erhöhen Sie die Gültigkeitsdauer der akzeptierten Artefakte.

    • Geben Sie das Intervall zum Löschen abgelaufener Artefakte ein.

      Diese Eigenschaft legt fest, wie oft abgelaufene, nicht aufgelöste Artefakte aus der Datenbank gelöscht werden. Aufgrund der von Ihnen erwarteten Anzahl an sich gleichzeitig an Ihrem System anmeldenden Benutzern können Sie schätzen, wie schnell Artefakte dem System hinzugefügt werden. Falls Sie von einer starken Nutzung ausgehen und Platz für Ihre Datenbank ein Problem ist, setzen Sie einen geringeren Wert.

      Achtung

      Falls Sie einen zu hohen Wert einstellen, liefern Sie Ihr System Denial-of-Service-Angriffen aus.

2. Artefakt akzeptierende Services festlegen

  1. Legen Sie auf der Registerkarte Service-Provider-Einstellungen fest, für welche Services Sie Artefakte von Identity-Providern akzeptieren wollen.

    • Um Artefakte für Single Sign-On (SSO) zu akzeptieren, markieren Sie das Ankreuzfeld HTTP-Artefakt unter Assertion-Konsumierungsservice. .

    • Um Artefakte für Single Log-Out (SLO) zu akzeptieren, markieren Sie das Ankreuzfeld HTTP-Artefakt unter Single Log-Out .

  2. Geben Sie das Intervall zum Löschen abgelaufener Assertions ein.

    Diese Eigenschaft legt fest, wie oft Assertions aus der Datenbank gelöscht werden. Aufgrund der von Ihnen erwarteten Anzahl an sich gleichzeitig an Ihrem System anmeldenden Benutzern können Sie schätzen, wie schnell Assertions dem System hinzugefügt werden. Falls Sie von einer starken Nutzung ausgehen und Platz für Ihre Datenbank ein Problem ist, setzen Sie einen geringeren Wert.

    Achtung

    Falls Sie einen zu hohen Wert einstellen, liefern Sie Ihr System Denial-of-Service-Angriffen aus.

3. Endpunkte des vertrauenswürdigen Identity-Providers konfigurieren

Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.

Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen .

  1. Wählen Sie Vertrauenswürdige Provider .

  2. Wählen Sie einen Identity-Provider aus, und wählen Sie die Taste Bearbeiten .

  3. Wählen Sie die Registerkarte Endpunkte .

  4. Konfigurieren Sie die Single-Sign-On-Endpunkte , die Single-Log-Out-Endpunkte und die Artefaktendpunkte , um je nach Bedarf HTTP-Artefakt- und SOAP-Bindungen zu nutzen.

    1. Fügen Sie HTTP-Artefakt-Bindungen hinzu.

    2. Geben Sie die Endpunkt-URLs für die Services auf dem Identity-Provider an.

  5. Legen Sie fest, ob Sie Authentifizierungsanforderungen für die Authentifizierungsanfragen an den Identity-Provider konfigurieren wollen.

    Die Authentifizierungsanforderungen ermöglichen Ihnen, die Konfigurationseinstellungen, die für die einzelnen Ressourcen des Service-Providers vorgenommen wurden, außer Kraft zu setzen. Sie können Folgendes konfigurieren:

    • den Authentifizierungskontext

    • ob der Identity-Provider die Assertion an den AKS oder direkt an die Anwendung zurückgibt

    • ob der Identity-Provider die Standardbindung, HTTP POST oder HTTP-Artefakt zum Zurückgeben der Assertion verwenden muss

    Um zu erzwingen, dass der Identity-Provider die Assertion über die direkte Serverkommunikation zurückgibt, geben Sie im Feld Bindung HTTP-Artefakt an.

    Hinweis

    Falls Sie die Authentifizierungsantwort an die Anwendungs-URL senden und HTTP-POST-Bindung benötigen, liefern Sie die Anwendungs-URL potentiellen Lauschern am Useragent aus.

  6. Sichern Sie Ihre Eingaben.

4. Identity-Provider konfigurieren

  1. Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-Artefakt-Bindungen vom Service-Provider akzeptieren.

  2. Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-Artefakt-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.

  3. Denken Sie darüber nach, ob Sie die Frontkanalkommunikationsbindungen für die Identity-Provider-Endpunkte deaktivieren wollen.

    Falls der Identity-Provider nur direkte Serverkommunikation akzeptiert, gibt es keinen Grund, den Endpunkt für Frontkanalbindungen bereitzustellen.

Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.

Direkte Serverkommunikation mit SOAP aktivieren

Mit dieser Vorgehensweise richten Sie die Parameter der direkten Serverkommunikation für SOAP ein.

1. SOAP-Bindungen akzeptieren

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth .

  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.

  3. Markieren Sie auf der Registerkarte Service-Provider-Einstellungen unter Single Log-Out das Ankreuzfeld SOAP .

    Hinweis

    Wenn die SOAP-Bindung deaktiviert ist, persistiert die Benutzersitzung in der Datenbank.

  4. Geben Sie das Intervall zum Löschen abgelaufener Assertions ein.

    Diese Eigenschaft legt fest, wie oft Assertions aus der Datenbank gelöscht werden. Aufgrund der von Ihnen erwarteten Anzahl an sich gleichzeitig an Ihrem System anmeldenden Benutzern können Sie schätzen, wie schnell Assertions dem System hinzugefügt werden. Falls Sie von einer starken Nutzung ausgehen und Platz für Ihre Datenbank ein Problem ist, setzen Sie einen geringeren Wert.

    Achtung

    Falls Sie einen zu hohen Wert einstellen, liefern Sie Ihr System Denial-of-Service-Angriffen aus.

2. Endpunkte des vertrauenswürdigen Identity-Providers konfigurieren

Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.

Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen .

  1. Wählen Sie Vertrauenswürdige Provider .

  2. Wählen Sie einen Identity-Provider aus, und wählen Sie die Taste Bearbeiten .

  3. Wählen Sie die Registerkarte Endpunkte .

  4. Konfigurieren Sie die Single-Log-Out-Endpunkte so, dass sie SOAP-Bindung verwenden.

    1. Fügen Sie die SOAP-Bindung hinzu.

      Falls der Identity-Provider für SOAP eine Authentifizierung verlangt, konfigurieren Sie im Destination-Service des AS Java eine Destination und wählen Sie diese aus.

    2. Geben Sie die Endpunkt-URLs für den SLO-Service auf dem Identity-Provider an.

    3. Legen Sie fest, ob Sie die Abmeldeantwort an eine andere URL senden lassen wollen.

      Falls dies der Fall ist, geben Sie in der Spalte Antwortsort-URL den benutzerdefinierten Antwortsort an.

  5. Sichern Sie Ihre Eingaben.

3. Identity-Provider konfigurieren

  1. Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-Artefakt- und SOAP-Bindungen vom Service-Provider akzeptieren.

  2. Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-Artefakt- und SOAP-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.

  3. Denken Sie darüber nach, ob Sie die Frontkanalkommunikationsbindungen für die Identity-Provider-Endpunkte deaktivieren wollen.

    Falls der Identity-Provider nur direkte Serverkommunikation akzeptiert, gibt es keinen Grund, den Endpunkt für Frontkanalbindungen bereitzustellen.

Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.