Show TOC

SAML 2.0 verwendenLocate this document in the navigation structure

Die Version 2.0 der Security Assertion Markup Language (SAML) bietet einen auf Standards basierten Mechanismus für Single Sign-On (SSO). Der Hauptgrund, SAML 2.0 zu verwenden, ist, SSO über Domänen hinweg zu ermöglichen. SAML 2.0 bietet weitere Vorteile, die in den folgenden Szenarios dargestellt sind:

  • Sie wollen die Last der Authentifizierung von dem System, das die Anwendungen hostet, auf ein anderes System verlagern.

    Statt einer Unmenge an Eins-zu-eins-Vertrauensbeziehungen zwischen einem Client und den Systemen in Ihrer Landschaft ermöglicht SAML 2.0 Ihnen, eine sternförmige Vertrauensbeziehung mit einem Identity-Provider im Zentrum anzulegen. Alle Service-Provider vertrauen dem Identity-Provider und verlassen sich auf den Identity-Provider, die Benutzer zu authentifizieren, bevor sie Zugriff auf eine Ressource liefern. Es gibt keine Anforderung, dass Benutzerkennungen (und Kennwörter) auf dem Identity-Provider und allen Service-Providern identisch sein müssen.

  • Sie wollen Authentifizierungsinformationen mit Verschlüsselung oder anonymen IDs schützen.

    SAML 2.0 bietet Verschlüsselungsfunktionen, um Authentifizierungsinformationen, die zwischen dem Identity-Provider, dem Service-Provider und dem Client-Agent ausgetauscht werden, zu schützen. Bei der Identitätsföderation bietet der Identity-Provider auch anonyme Benutzerkennungen (IDs). Der Service-Provider muss die ID der Benutzer auf dem Identity-Provider oder möglichen anderen Service-Providern nicht kennen. SAML bietet SAML-Artefakten auch die Möglichkeit, zwischen dem Identity- und dem Service-Provider ausgetauschte Authentifizierungsnachrichten vor Spionen zu verstecken, die den Datenverkehr beobachten, der über den Useragent läuft. Identity- und Service-Provider tauschen diese Nachrichten über direkte Serverkommunikation aus.

  • Sie wollen Benutzerkonten automatisch zuordnen.

    Identitätsföderation mit persistenten Namensbezeichnern ermöglicht die automatische Zuordnung von Benutzerkonten, auf der Grundlage der in den SAML-Nachrichten übertragenen Attribute. Sie können auch zulassen, dass Benutzer ihre Konten selbst zuordnen. Falls kein Benutzerkonto vorhanden ist, das zugeordnet werden kann, können Sie mit Identitätsföderation Benutzerkonten im Zielsystem anlegen. Sie können Benutzerkonten automatisch anlegen lassen: Entweder auf der Grundlage der Attribute in SAML-Nachrichten oder indem Sie zulassen, dass Benutzer sich selbst am System registrieren und ihr neues Konto automatisch zuordnen.

  • Sie wollen externen Partnern Zugriff ermöglichen, ohne Benutzeridentitäten pflegen zu müssen.

    Identitätsföderation mit transienten Namensbezeichnern ermöglicht Ihnen, externen Benutzern Zugriff zu gewähren. SAML 2.0 ermöglicht regelbasierte Zuordnungen von Attributen und Zugriffsberechtigungen. Ihr Partner pflegt die Benutzer und Sie die Zuordnungen.

  • Sie wollen, dass sich Benutzer von allen Systemen, in denen sie eine Session haben, abmelden.

    SAML ermöglicht Single Log-Out (SLO). Wenn sich ein Benutzer von einem Service-Provider abmeldet, benachrichtigt der Service-Provider den Identity-Provider, der wiederum alle anderen Service-Provider benachrichtigt, bei denen der Benutzer eine Session hat.

  • Sie wollen Ihre Systemlandschaft von proprietären Anmeldemechanismen befreien.

    SAML 2.0 ist ein auf XML basierender Standard, den die Organization for the Advancement of Structured Information Standards (OASIS) entwickelt hat.

Sie können den SAP NetWeaver AS als SAML-2.0-Service-Provider konfigurieren. SAP-Anwendungen können sich an domänenübergreifendem SSO beteiligen. Der SAP NetWeaver AS kann auch Anmeldetickets ausstellen, während er die Rolle eines Service-Provider übernimmt und es Ihnen auch ermöglicht, Altsysteme in Ihre Landschaft zu integrieren.

Weitere Informationen