Show TOC

Optionen für die Client-Zertifikatsauthentifizierung ändernLocate this document in the navigation structure

Verwendung

Der AS Java ermöglicht Ihnen die Verwendung von Client-Zertifikaten für die Authentifizierung mit dem JAAS-Login-Modul ClientCertLoginModule. Sie können die Konfigurationsoptionen des ClientCertLoginModule verwenden, um die Benutzerkennung aus dem Client-Zertifikat zu ermitteln und die bereitgestellten Zertifikate, basierend auf Regeln zur Zertifikatsauthentifizierung, zu filtern.

Integration

Die Optionen für das ClientCertLoginModule ermöglichen Ihnen, eine Abfolge verschiedener Regeln für die Client-Zertifikatsauthentifizierung zu konfigurieren. Um eine einzelne Regel zu konfigurieren, verwenden Sie Kombinationen verschiedener Login-Modul-Optionen und ein Präfix, das die Regelnummer markiert. Das Präfix, das die Regelnummer markiert, legt auch die Abfolge der Regelausführung fest.

Um die Verwendung der regelbasierten Zertifikatsauthentifizierung zu aktivieren, fügen Sie das ClientCertLoginModule zu den Login-Modul-Stacks der Richtlinienkonfigurationen der Anwendungen hinzu, die die Authentifizierung mit Zertifikaten verwenden sollen. Sie können Optionen konfigurieren, die eine regelbasierte Zertifikatsauthentifizierung für einzelne Anwendungen ermöglichen, oder für alle Anwendungen, in deren Modul-Stacks das ClientCertLoginModule enthalten ist.

Weitere Informationen finden Sie unter Login-Module verwalten und Richtlinienkonfigurationen verwalten.

Funktionsumfang

Mithilfe der Konfigurationsoptionen für Login-Module können Sie während der Anmeldung die Benutzerkennung aus den Client-Zertifikatsinformationen ermitteln. Um eine einzelne Regel für die Ausführung der Authentifizierung mit dem Client-Zertifikat festzulegen, konfigurieren Sie mehrere Login-Modul-Optionen. Mithilfe von Zertifikatsfiltern und Konfigurationsoptionen können Sie die Benutzerkennung aus den Client-Zertifikatsinformationen in Form von Bausteinen (Building Blocks) ermitteln, um daraus eine einzelne Regel zu bilden. Sie können eine Abfolge mehrerer Regeln kombinieren, indem Sie ein Präfix für die Regeloptionen einsetzen und so die Regelnummer in der Abfolge aller konfigurierten Regeln für die Authentifizierung markieren.

In unten stehender Grafik wird dieses Konzept veranschaulicht:

Entitätsbeziehung für Regeln und Konfigurationsoptionen für Login-Module

Filtern zu verwendender Client-Zertifikate für die Benutzerauthentifizierung

Die Konfigurationsoptionen ermöglichen Ihnen, Client-Zertifikate nach Zertifikatsaussteller oder Zertifikatsinhabernamen zu filtern.

Wenn Sie die Verwendung von Filtern basierend auf dem Zertifikatsaussteller konfigurieren, geben Sie die Attribute des Ausstellers, wie im Client-Zertifikat angegeben, ein. Wenn Sie die Verwendung von Filtern basierend auf einem Zertifikatsinhabernamen konfigurieren, können Sie lediglich einige der Attribute des Zertifikatsinhabers angeben, um die Filterregel zu definieren.

Hinweis

Die Verwendung von Filtern für eine Regel ist ein optionaler Konfigurationsschritt, in dem Sie anhand verschiedener Kriterien angeben können, ob eine Regel in einer bestimmten Regelabfolge Benutzerkennungen aus den Zertifikatsinformationen abruft. Sie können die auch Regeln so definieren, dass diese die Benutzerkennung ohne den Einsatz von Filtern ermitteln, die die Verwendung auf bestimmte Zertifikate für die Authentifizierung einschränken. Wenn der AS Java in diesem Fall keine Benutzerkennung aus einem Zertifikat ermitteln kann, schlägt die Authentifizierung fehl. Weitere Regeln einer bestimmten Regelabfolge werden nicht berücksichtigt oder geprüft.

Authentifizierung einer Benutzerkennung aus Zertifikatsinformationen

Die Konfigurationsoptionen unterstützen folgende Modi, um die Benutzerkennung aus den Zertifikatsinformationen abzurufen:

  • Suche in der Benutzerablage des AS Java nach einem Benutzer, der dem Client-Zertifkat bereits zugeordnet ist. Dies ist die Standardvorgehensweise zum Ermitteln der Benutzerkennung, wenn Sie die Client-Zertifikatsauthentifizierung verwenden.
  • Ermitteln der Benutzerkennung über das Feld SubjectName (Inhabername) des X.509-Client-Zertifikats. Sie können diesen Konfigurationsmodus für die meisten Ihrer Anforderungen zur Zertifikatsauthentifizierung und zum Ermitteln von Benutzerkennungen aus den Zertifikatsinformationen heranziehen.
  • Ermitteln der Benutzerkennung über die V3-Erweiterung SubjectAlternativeName (Alternativer Inhabername) des X.509-Client-Zertifikats. Hierbei handelt es sich um einen erweiterten Konfigurationsmodus, für den Sie die Verwendung einer V3-Erweiterung zum Ermitteln der Benutzerkennung konfigurieren
    Hinweis

    Wenn Sie einen AS ABAP als UME-Datenquelle verwenden, muss die ermittelte Benutzerkennung in einem gültigen Format vorliegen, um eine erfolgreiche Authentifizierung zu gewährleisten. Weitere Informationen dazu finden Sie in der ABAP-Dokumentation.

Aktivitäten
  1. Wählen Sie im SAP NetWeaver Administrator die Konfigurationsoptionen für das ClientCertLoginModule aus.

    Weitere Informationen finden Sie unter Login-Module verwalten.

  2. Konfigurieren Sie die Optionen unter ClientCertLoginModule, um die Benutzerkennung auf Grundlage des Client-Zertifikats zu ermitteln.
  3. Des Weiteren können Sie bei der Verwendung von Zertifikatsinhabernamen oder V3-Erweiterungen Regeln zum Filtern von Client-Zertifikaten definieren.
Ergebnis

Autorisierte Benutzer können sich mit SSL und dem X.509-Client-Zertifikat für die Authentifizierung am AS Java anmelden. Basierend auf der von Ihnen konfigurierten Regel kann das ClientCertLoginModule des AS Java die Benutzerkennung aus dem Client-Zertifikat abrufen und Filter auf die Zertifikate anwenden, die für die Authentifizierung bereitgestellt werden.

 

Siehe auch:

Login-Module verwalten

Richtlinienkonfigurationen verwalten