
Sie haben das ClientCertLoginModule so konfiguriert, dass es eine abgelegte Zertifikatszuordnung verwendet, um die Benutzerkennung für Authentifizierung mit Client-Zertifikat zu ermitteln.
Weitere Informationen finden Sie unter Abgelegte Zertifikatszuordnungen verwenden .
Die UME-Eigenschaft ume.logon.allow_cert ist auf TRUE gesetzt.
Weitere Informationen über das Ändern der UME-Eigenschaften finden Sie unter UME-Eigenschaften bearbeiten .
Mit diesem Abschnitt pflegen Sie die automatische Zuordnung von Client-Zertifikaten zu Benutzerkennungen während der Anmeldung.
Der AS Java kann mit dem CertPersisterLoginModule bei der Erstanmeldung automatisch Client-Zertifikate zu Benutzerkennungen zuordnen. Um die automatische Zuordnung zu aktivieren, fügen Sie das CertPersisterLoginModule in die Login-Modul-Stacks der Anwendung ein, die Zertifikatsauthentifzierung auf der Grundlage einer abgelegten Zertifikatszuordnung verwenden.
Fügen Sie das CertPersisterLoginModule zum Login-Modul-Stack für die Authentifizierung mit Client-Zertifikat hinzu, und zwar hinter den Login-Modulen für die Ersatzmechanismen, die Sie verwenden.
Weitere Informationen über das Hinzufügen von Login-Modulen zu Login-Modul-Stacks finden Sie unter Login-Module verwalten .
Falls das CertPersisterLoginModule in der Liste der Login-Module nicht verfügbar ist, fügen Sie es mit folgender Vorgehensweise hinzu:
Wählen Sie die Drucktaste Anlegen .
Geben Sie im Feld Anzeigename CertPersisterLoginModule ein.
Geben Sie im Feld Klassename com.sap.security.core.server.jaas.CertPersisterLoginModule ein.
Wählen Sie OPTIONAL als Verarbeitungskennzeichen des CertPersisterLoginModule im Login-Modul-Stack.
Das Beispiel in der Tabelle unten basiert auf der Vorlage ticket für SSO mit Anmeldetickets und verwendet die Authentifizierung mit Benutzerkennung und Kennwort als Ersatzmechanismus. Das Beispiel zeigt eine Login-Modul-Stack-Konfiguration für die automatische Zertifikatszuordnung bei der ersten Anmeldung des Benutzers:
|
Login-Module |
Kennzeichen |
Option |
|---|---|---|
|
EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true} |
|
ClientCertLoginModule |
OPTIONAL |
{ Rule1. getUserFrom=wholeCert} |
|
CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true} |
|
BasicPasswordLoginModule |
REQUISITE |
keine |
|
CertPersisterLoginModule |
OPTIONAL |
keine |
|
CreateTicketLoginModule |
OPTIONAL |
{ume.configuration.active=true} |
Der Login-Modul-Stack aus dem Beispiel funktioniert folgendermaßen:
Er prüft, ob der Benutzer ein gültiges Anmeldeticket hat. Falls ja, ist die Authentifizierung erfolgreich, die Anwendung übernimmt wieder die Kontrolle und die Authentifizierungsprüfung ist abgeschlossen.
Das ClientCertLoginModule sucht ein gültiges Benutzerzertifikat und ermittelt die Benutzerkennung auf Grund seiner Konfiguration.
Falls das ClientCertLoginModule die Benutzerkennung auf Grund eines bereits zugeordneten Zertifikats ermitteln kann, stellt das CreateTicketLoginModule ein Anmeldeticket für diese Benutzerkennung aus. Die Authentifizierung ist erfolgreich und die Anwendung, auf die zugegriffen wurde, übernimmt wieder die Kontrolle.
Falls das ClientCertLoginModule die Benutzerkennung nicht ermitteln kann, authentifiziert das BasicPasswordLoginModule den Benutzer mit Benutzerkennung und Kennwort.
Falls die Standardauthentifizierung erfolgreich ist, ordnet das CertPersisterLoginModule das Zertifikat zur Benutzerkennung zu und das CreateTicketLoginModule stellt dem Benutzer ein Anmeldeticket aus.
Falls die Authentifizierung mit Benutzerkennung und Kennwort nicht erfolgreich verläuft, schlägt die Authentifizierung fehl.