
Der AS Java ermöglicht Ihnen die Verwendung von Client-Zertifikaten für die Authentifizierung mit dem JAAS-Login-Modul ClientCertLoginModule. Sie können die Konfigurationsoptionen des ClientCertLoginModule verwenden, um die Benutzerkennung aus dem Client-Zertifikat zu ermitteln und die bereitgestellten Zertifikate, basierend auf Regeln zur Zertifikatsauthentifizierung, zu filtern.
Die Optionen für das ClientCertLoginModule ermöglichen Ihnen, eine Abfolge verschiedener Regeln für die Client-Zertifikatsauthentifizierung zu konfigurieren. Um eine einzelne Regel zu konfigurieren, verwenden Sie Kombinationen verschiedener Login-Modul-Optionen und ein Präfix, das die Regelnummer markiert. Das Präfix, das die Regelnummer markiert, legt auch die Abfolge der Regelausführung fest.
Um die Verwendung der regelbasierten Zertifikatsauthentifizierung zu aktivieren, fügen Sie das ClientCertLoginModule zu den Login-Modul-Stacks der Richtlinienkonfigurationen der Anwendungen hinzu, die die Authentifizierung mit Zertifikaten verwenden sollen. Sie können Optionen konfigurieren, die eine regelbasierte Zertifikatsauthentifizierung für einzelne Anwendungen ermöglichen, oder für alle Anwendungen, in deren Modul-Stacks das ClientCertLoginModule enthalten ist.
Weitere Informationen finden Sie unter Login-Module verwalten und Richtlinienkonfigurationen verwalten.
Mithilfe der Konfigurationsoptionen für Login-Module können Sie während der Anmeldung die Benutzerkennung aus den Client-Zertifikatsinformationen ermitteln. Um eine einzelne Regel für die Ausführung der Authentifizierung mit dem Client-Zertifikat festzulegen, konfigurieren Sie mehrere Login-Modul-Optionen. Mithilfe von Zertifikatsfiltern und Konfigurationsoptionen können Sie die Benutzerkennung aus den Client-Zertifikatsinformationen in Form von Bausteinen (Building Blocks) ermitteln, um daraus eine einzelne Regel zu bilden. Sie können eine Abfolge mehrerer Regeln kombinieren, indem Sie ein Präfix für die Regeloptionen einsetzen und so die Regelnummer in der Abfolge aller konfigurierten Regeln für die Authentifizierung markieren.
In unten stehender Grafik wird dieses Konzept veranschaulicht:
Entitätsbeziehung für Regeln und Konfigurationsoptionen für Login-Module
Filtern zu verwendender Client-Zertifikate für die Benutzerauthentifizierung
Die Konfigurationsoptionen ermöglichen Ihnen, Client-Zertifikate nach Zertifikatsaussteller oder Zertifikatsinhabernamen zu filtern.
Wenn Sie die Verwendung von Filtern basierend auf dem Zertifikatsaussteller konfigurieren, geben Sie die Attribute des Ausstellers, wie im Client-Zertifikat angegeben, ein. Wenn Sie die Verwendung von Filtern basierend auf einem Zertifikatsinhabernamen konfigurieren, können Sie lediglich einige der Attribute des Zertifikatsinhabers angeben, um die Filterregel zu definieren.
Die Verwendung von Filtern für eine Regel ist ein optionaler Konfigurationsschritt, in dem Sie anhand verschiedener Kriterien angeben können, ob eine Regel in einer bestimmten Regelabfolge Benutzerkennungen aus den Zertifikatsinformationen abruft. Sie können die auch Regeln so definieren, dass diese die Benutzerkennung ohne den Einsatz von Filtern ermitteln, die die Verwendung auf bestimmte Zertifikate für die Authentifizierung einschränken. Wenn der AS Java in diesem Fall keine Benutzerkennung aus einem Zertifikat ermitteln kann, schlägt die Authentifizierung fehl. Weitere Regeln einer bestimmten Regelabfolge werden nicht berücksichtigt oder geprüft.
Authentifizierung einer Benutzerkennung aus Zertifikatsinformationen
Die Konfigurationsoptionen unterstützen folgende Modi, um die Benutzerkennung aus den Zertifikatsinformationen abzurufen:
Wenn Sie einen AS ABAP als UME-Datenquelle verwenden, muss die ermittelte Benutzerkennung in einem gültigen Format vorliegen, um eine erfolgreiche Authentifizierung zu gewährleisten. Weitere Informationen dazu finden Sie in der ABAP-Dokumentation.
Weitere Informationen finden Sie unter Login-Module verwalten.
Wir empfehlen, dass Sie diese Konfiguration für Standardanforderungen bei der Client-Zertifikatsauthentifizierung verwenden.
Autorisierte Benutzer können sich mit SSL und dem X.509-Client-Zertifikat für die Authentifizierung am AS Java anmelden. Basierend auf der von Ihnen konfigurierten Regel kann das ClientCertLoginModule des AS Java die Benutzerkennung aus dem Client-Zertifikat abrufen und Filter auf die Zertifikate anwenden, die für die Authentifizierung bereitgestellt werden.
Siehe auch:
Richtlinienkonfigurationen verwalten