
Neben der Verwendung von SSL für die Verschlüsselung von Verbindungen können Sie SSL und X.509.Client-Zertifikate zur Authentifizierung von Client- oder Benutzerzugriffsanfragen für AS-Java-Anwendungen verwenden.
Bei der Verwendung von Client-Zertifikaten findet die Authentifizierung für den Benutzer mit dem zugrundeliegenden SSL-Sicherheitsprotokoll transparent statt. Daher können Sie die Authentifizierung mit Client-Zertifikaten auch dazu verwenden, den AS Java in Single-Sign-On-Umgebungen zu integrieren.
Public-Key-Infrastruktur
Benutzer müssen ihre Client-Zertifikate von einer Certification Authority (CA) als Teil einer Public-Key-Infrastruktur (PKI) erhalten.
Weitere Informationen zur PKI finden Sie unter Public-Key-Technologie.
SSL
Bei der Verwendung von Client-Zertifikaten werden Benutzer auf Kommunikationsprotokollebene mithilfe des SSL-Protokolls authentifiziert. Daher müssen Sie die Verwendung von SSL für Verbindungen konfigurieren, bei denen Benutzerauthentifizierung erfolgt. Der AS Java ermöglicht Ihnen die Verwendung von SSL oder die Benutzerauthentifizierung mit Zertifikaten, wenn Benutzer auf AS-Java-Anwendungen mit oder ohne zwischengeschalteten Gateway-Proxy-Server zugreifen.
Weitere Informationen finden Sie unter SSL mit zwischengeschaltetem Server verwenden.
Der AS Java ermöglicht Ihnen die Authentifizierung von Benutzern mit Client-Zertifikaten über folgende Konfigurationsszenarien:
Die Integrität und Vertraulichkeit der Authentifizierungs-Credentials wird mit dem SSL-Protokoll und der PKI-Technologie geboten. Die Benutzer können mit den Client-Zertifikaten auch digitale Signaturen erzeugen, um höhere Vertrauensstufen und Unleugbarkeitsstufen für Geschäftsvorgänge einzurichten.
Nachdem die Benutzer ihr Client-Zertifikat von der CA erhalten haben, können Sie damit auf Anwendungen zugreifen und zur Authentifizierung werden keine Kennwörter mehr benötigt. Benutzer können zudem mit ihren Zertifikaten auf andere Intranet- oder Internet-Services zugreifen.
Für die Verwendung von X-509-Client-Zertifikaten auf dem AS Java müssen Sie folgende Konfigurationseinstellungen vornehmen:
Um die Verwendung von Zertifikaten zur richtigen Authentifizierung zuzulassen, müssen Sie die Eigenschaft ume.logon.allow_cert konfigurieren. Diese Eigenschaft wird verwendet, wenn eine HTTP-Anmeldeseite einen Link zu einer HTTPS-Seite enthält, die eine Authentifizierung mit Zertifikat zulässt. Wählen Sie zum Ändern dieser Eigenschaft SAP NetWeaver Administrator → Authentifizierung und Single Sign-On → Eigenschaften. Wurde diese Eigenschaft ausgewählt, wird der Anmelde-URL-Link des Zertifikats auf der Anmeldeseite angezeigt. Auf der Zertifikatsanmeldeseite können Benutzer ihre Zertifikate ihren Benutzer-IDs zuordnen. Infolgedessen erfolgt die Authentifizierung über das Benutzerzertifikat anstatt über den Benutzernamen und das Kennwort.
Um diese Konfiguration vorzunehmen, wählen Sie SAP NetWeaver Administrator → Konfigurationsverwaltung → SSL. Sie können diese Einstellungen in der Spalte "Client-Authentifizierungsmodus" der Tabelle "SSL-Zugriffspunkte" vornehmen.
Dies bedeutet, dass Benutzerzertifikate von einer oder mehr CAs signiert sein müssen.
Weitere Informationen zur Konfiguration von Benutzerzuordnungen finden Sie unter Optionen für die Client-Zertifikatsauthentifizierung ändern.
Führen Sie zum Hinzufügen des Login-Moduls folgende Schritte durch:
Die Auswahl eines Kennzeichens hängt vom spezifischen Szenario ab. Beispiel: Wenn Sie ClientCertLoginModule mit SUFFICIENT und BasicPasswordLoginModule mit REQUIRED kennzeichnen, versucht das System, den Benutzer mit ClientCertLoginModule zu authentifizieren. Ist die Authentifizierung mit diesem Modul nicht erfolgreich, verwendet das System das nächste Modul BasicPasswordLoginModule. Weitere Informationen über die Verwendung von Kennzeichen finden Sie unter Richtlinienkonfigurationen und Login-Modul-Stacks.
Weitere Informationen zu Konfigurationsaktivitäten für die Verwendung von X.509-Client-Zertifikaten zur AS-Java-Authentifizierung finden Sie in folgenden Abschnitten:
Informationen zur Konfiguration von Client-Zertifikatsauthentifizierung in Szenarien, in denen Benutzer auf den AS Java direkt oder über einen zwischengeschalteten Proxy-Server zugreifen, der die Verbindung tunnelt, ohne sie zu trennen.
Informationen zu Szenarien, in denen Benutzer auf dem AS Java über einen zwischengeschalteten Server zugreifen, der die Verbindung trennt.
Informationen darüber, wie Sie sich mit Zertifikatswiderrufslisten (CRLs) auf dem AS Java vergewissern, dass ein bestimmtes Zertifikat nicht von der ausstellenden Certificate Authority (CA) widerrufen wurde.
Wenn Sie Authentifizierung mit Client-Zertifikaten im Portal verwenden, können Sie konfigurieren, was passiert, wenn sich Benutzer vom Portal abmelden. Standardmäßig werden sie auf das Standardanmeldebild umgeleitet, nachdem sie sich abgemeldet haben. Wenn das Portal für die Verwendung von Client-Zertifikaten eingerichtet ist, werden sie automatisch wieder angemeldet. Somit ist es ihnen nicht möglich, sich vom Portal abzumelden. Um dies zu verhindern, können Sie sie nach der Abmeldung auf ein anderes als das Standardanmeldebild umleiten. Weitere Informationen finden Sie im SAP-Hinweis 696294
.