Show TOC

X.509-Client-Zertifikate auf dem AS Java verwendenLocate this document in the navigation structure

Verwendung

Neben der Verwendung von SSL für die Verschlüsselung von Verbindungen können Sie SSL und X.509.Client-Zertifikate zur Authentifizierung von Client- oder Benutzerzugriffsanfragen für AS-Java-Anwendungen verwenden.

Bei der Verwendung von Client-Zertifikaten findet die Authentifizierung für den Benutzer mit dem zugrundeliegenden SSL-Sicherheitsprotokoll transparent statt. Daher können Sie die Authentifizierung mit Client-Zertifikaten auch dazu verwenden, den AS Java in Single-Sign-On-Umgebungen zu integrieren.

Integration

Public-Key-Infrastruktur

Benutzer müssen ihre Client-Zertifikate von einer Certification Authority (CA) als Teil einer Public-Key-Infrastruktur (PKI) erhalten.

Weitere Informationen zur PKI finden Sie unter Public-Key-Technologie.

SSL

Bei der Verwendung von Client-Zertifikaten werden Benutzer auf Kommunikationsprotokollebene mithilfe des SSL-Protokolls authentifiziert. Daher müssen Sie die Verwendung von SSL für Verbindungen konfigurieren, bei denen Benutzerauthentifizierung erfolgt. Der AS Java ermöglicht Ihnen die Verwendung von SSL oder die Benutzerauthentifizierung mit Zertifikaten, wenn Benutzer auf AS-Java-Anwendungen mit oder ohne zwischengeschalteten Gateway-Proxy-Server zugreifen.

Weitere Informationen finden Sie unter SSL mit zwischengeschaltetem Server verwenden.

Voraussetzungen
  • Die Benutzer haben gültige X.509-Client-Zertifikate, die von einer vertrauenswürdigen CA ausgestellt wurden.
  • SAP Cryptographic Library muss installiert sein. Sie können auch den SSL-Plug-In verwenden. Weitere Informationen finden Sie unter SAP Cryptographic Library für SSL installieren.
  • Die Client-Zertifikate der Benutzer sind in die Web-Browser ihrer Client-Systeme importiert.
  • Der AS Java ist so konfiguriert, dass er HTTPS-Verbindungen und SSL unterstützt. Weitere Informationen finden Sie unter Verwendung von SSL auf dem AS Java konfigurieren.
Funktionsumfang

Der AS Java ermöglicht Ihnen die Authentifizierung von Benutzern mit Client-Zertifikaten über folgende Konfigurationsszenarien:

  • Sie können Client-Zertifikate für Benutzer aus Identity-Management-Funktion des AS Java ablegen und den Zugriff auf der Benutzerzertifikatszuordnung in der UME-Datenquelle des AS Java basierend authentifizieren.
  • Alternativ können Sie Regeln für die Anmeldung mit Client-Zertifikaten konfigurieren und Benutzerzugriffe direkt über die Zertifikatsinformationen authentifizieren. Für dieses Szenario ist ein Ablegen von Zertifikatsinformationen für Benutzer nicht erforderlich.

Die Integrität und Vertraulichkeit der Authentifizierungs-Credentials wird mit dem SSL-Protokoll und der PKI-Technologie geboten. Die Benutzer können mit den Client-Zertifikaten auch digitale Signaturen erzeugen, um höhere Vertrauensstufen und Unleugbarkeitsstufen für Geschäftsvorgänge einzurichten.

Nachdem die Benutzer ihr Client-Zertifikat von der CA erhalten haben, können Sie damit auf Anwendungen zugreifen und zur Authentifizierung werden keine Kennwörter mehr benötigt. Benutzer können zudem mit ihren Zertifikaten auf andere Intranet- oder Internet-Services zugreifen.

Aktivitäten

Für die Verwendung von X-509-Client-Zertifikaten auf dem AS Java müssen Sie folgende Konfigurationseinstellungen vornehmen:

  1. Lassen Sie die Verwendung von Zertifikaten zu.

    Um die Verwendung von Zertifikaten zur richtigen Authentifizierung zuzulassen, müssen Sie die Eigenschaft ume.logon.allow_cert konfigurieren. Diese Eigenschaft wird verwendet, wenn eine HTTP-Anmeldeseite einen Link zu einer HTTPS-Seite enthält, die eine Authentifizierung mit Zertifikat zulässt. Wählen Sie zum Ändern dieser Eigenschaft SAP NetWeaver Administrator → Authentifizierung und Single Sign-On → Eigenschaften. Wurde diese Eigenschaft ausgewählt, wird der Anmelde-URL-Link des Zertifikats auf der Anmeldeseite angezeigt. Auf der Zertifikatsanmeldeseite können Benutzer ihre Zertifikate ihren Benutzer-IDs zuordnen. Infolgedessen erfolgt die Authentifizierung über das Benutzerzertifikat anstatt über den Benutzernamen und das Kennwort.

  2. Konfigurieren Sie SSL so, dass zwischen X.509-Benutzerzertifikaten und SSL-Serverzertifikaten eine Vertrauensbeziehung besteht.
    • Für die Konfiguration eines Ports müssen Sie festlegen, ob das System Zertifikate fordert oder sie nach Bedarf verwendet.

      Um diese Konfiguration vorzunehmen, wählen Sie SAP NetWeaver Administrator → Konfigurationsverwaltung → SSL. Sie können diese Einstellungen in der Spalte "Client-Authentifizierungsmodus" der Tabelle "SSL-Zugriffspunkte" vornehmen.

    • Sie müssen die CA-Zertifikate für den entsprechenden Port konfigurieren, damit das System von bestimmten CAs ausgestellte Benutzerzertifikate akzeptiert.

      Dies bedeutet, dass Benutzerzertifikate von einer oder mehr CAs signiert sein müssen.

    • Das CA-Wurzelzertifikat muss in der Tabelle auf der Registerkarte "Vertrauenswürdige CAs" vorliegen.
  3. Konfigurieren Sie über die Optionen von ClientCertLoginModule geeignete Benutzerzuordnungen.

    Weitere Informationen zur Konfiguration von Benutzerzuordnungen finden Sie unter Optionen für die Client-Zertifikatsauthentifizierung ändern.

  4. Fügen Sie ClientCertLoginModule dem Login-Modul-Stack hinzu.

    Führen Sie zum Hinzufügen des Login-Moduls folgende Schritte durch:

    1. Wählen Sie SAP NetWeaver Administrator → Authentifizierung und Single Sign-On → Komponenten.
    2. Wählen Sie "Richtlinienkonfigurationsname".
    3. Wählen Sie die Drucktaste Bearbeiten.
    4. Fügen Sie auf der Registerkarte "Login-Modul-Stack" ClientCertLoginModule mit einem erforderlichen Kennzeichen hinzu.
      Hinweis

      Die Auswahl eines Kennzeichens hängt vom spezifischen Szenario ab. Beispiel: Wenn Sie ClientCertLoginModule mit SUFFICIENT und BasicPasswordLoginModule mit REQUIRED kennzeichnen, versucht das System, den Benutzer mit ClientCertLoginModule zu authentifizieren. Ist die Authentifizierung mit diesem Modul nicht erfolgreich, verwendet das System das nächste Modul BasicPasswordLoginModule. Weitere Informationen über die Verwendung von Kennzeichen finden Sie unter Richtlinienkonfigurationen und Login-Modul-Stacks.

Weitere Informationen

Weitere Informationen zu Konfigurationsaktivitäten für die Verwendung von X.509-Client-Zertifikaten zur AS-Java-Authentifizierung finden Sie in folgenden Abschnitten:

  • Verwendung von Client-Zertifikaten zur Authentifizierung konfigurieren

    Informationen zur Konfiguration von Client-Zertifikatsauthentifizierung in Szenarien, in denen Benutzer auf den AS Java direkt oder über einen zwischengeschalteten Proxy-Server zugreifen, der die Verbindung tunnelt, ohne sie zu trennen.

  • Client-Zertifikate mit einem zwischengeschalteten Server verwenden

    Informationen zu Szenarien, in denen Benutzer auf dem AS Java über einen zwischengeschalteten Server zugreifen, der die Verbindung trennt.

  • Zertifikatswiderruf aktivieren

    Informationen darüber, wie Sie sich mit Zertifikatswiderrufslisten (CRLs) auf dem AS Java vergewissern, dass ein bestimmtes Zertifikat nicht von der ausstellenden Certificate Authority (CA) widerrufen wurde.

    Hinweis

    Wenn Sie Authentifizierung mit Client-Zertifikaten im Portal verwenden, können Sie konfigurieren, was passiert, wenn sich Benutzer vom Portal abmelden. Standardmäßig werden sie auf das Standardanmeldebild umgeleitet, nachdem sie sich abgemeldet haben. Wenn das Portal für die Verwendung von Client-Zertifikaten eingerichtet ist, werden sie automatisch wieder angemeldet. Somit ist es ihnen nicht möglich, sich vom Portal abzumelden. Um dies zu verhindern, können Sie sie nach der Abmeldung auf ein anderes als das Standardanmeldebild umleiten. Weitere Informationen finden Sie im SAP-Hinweis 696294 Auf SAP-Site veröffentlichte Informationen.