Show TOC

Auf Client-Zertifikat-Inhabernamen basierende Regeln verwendenLocate this document in the navigation structure

Kontext

Mit diesem Konfigurationsmodus können Sie die Benutzerkennung aus dem Feld SubjectName des Zertifikats ermitteln. Mit den Konfigurationsoptionen für das ClientCertLoginModule konfigurieren Sie die Regeln zur Ermittlung der Benutzerkennung auf der Grundlage des Feldes SubjectName im Client-Zertifikat.

Um die Verwendung der Zertifikatsauthentifizierung zu aktivieren, fügen Sie das ClientCertLoginModule zum Login-Modul-Stack der Anwendungen hinzu, die Zertifikatsauthentifizierung verwenden sollen.

Vorgehensweise

  1. Wählen Sie im SAP NetWeaver Administrator die Konfigurationsoptionen für das ClientCertLoginModule aus. Weitere Informationen finden Sie unter Login-Module verwalten .
  2. Geben Sie subjectName als Wert für die Option Rule<n>.getUserFrom des ClientCertLoginModule an.
  3. Geben Sie einen Wert für die Option Rule<n>.AttributeName des ClientCertLoginModule an, um das Attribut des Zertifikatsfelds SubjectName anzugeben, das die Benutzerkennung enthält.
    • Falls in dem Feld SubjectName des Zertifikats kein Attributname für den von Ihnen eingegebenen Wert vorhanden ist, dann ermittelt das ClientCertLoginModule die Benutzerkennung aus dem ersten vorhandenen Attributnamen im Zertifikatsfeld SubjectName .

    • Falls das Feld SubjectName mehr als einen passenden Attributnamen enthält, dann ermittelt das ClientCertLoginModule die Benutzerkennung aus dem ersten passenden Attributnamen im Zertifikatsfeld SubjectName .

    Hinweis

    Dies ist ein obligatorischer Konfigurationsschritt. Wenn Sie keinen Wert für diese Option angeben, führt dies dazu, dass die für die Authentifizierung verwendeten Zertifikate abgelehnt werden.

  4. Informationen zur Verwendung von Regeln zum Filtern der gelieferten Client-Zertifikate finden Sie unter Regeln zum Filtern von Client-Zertifikaten definieren .
  5. Ersetzen Sie im Rule - <n> -Präfix der ClientCertLoginModule -Konfigurationsoptionen <n> , um den Rang dieser Regel in der Reihenfolge der konfigurierten Regeln für die Client-Zertifikat-Authentifizierung anzupassen. Falls Sie eine einzige Regel verwenden, dann ersetzen Sie Rule<n> durch Rule1 .
  6. Fügen Sie das ClientCertLoginModule zu den Login-Modul-Stacks der Anwendungen hinzu, um Benutzer auf Grund ihres Inhabernamens im Client-Zertifikat zu authentifzieren.

Ergebnisse

Benutzer, die mit Client-Zertifikaten auf den AS Java zugreifen, werden mit Benutzerkennungen angemeldet, die der Regel des von Ihnen konfigurierten Feldattributs SubjectName entsprechen.

Beispiel

Die Beispielkonfiguration ClientCertLoginModule unten setzt voraus, dass der Benutzer ein X.509-Client-Zertifikat vorweist, und zwar mit folgenden Attributen im Zertifikatsfeld SubjectName :

CN= myuser, OU= people, OU= CA, O= mycompany, C= DE

Benutzerkennung aus Attribut-CN des Zertifikatsinhabernamens ermitteln

Option

Wert

Rule1.getUserFrom

subjectName

Rule1.AttributeName

CN

Ergebnis: Die authentifizierte Benutzerkennung lautet myuser .

Benutzerkennung aus mehreren Attributnamen im Zertifikatsinhabernamen ermitteln

Option

Wert

Rule1.getUserFrom

subjectName

Rule1.AttributeName

OU

Ergebnis: Die authentifizierte Benutzerkennung lautet people . Sie passt zum ersten Vorkommen des OU von Attribut SubjectName ganz links.