Benutzerzuordnung konfigurieren

Voraussetzungen

Sie haben ABAP-Zielsysteme so konfiguriert, dass sie Anmeldetickets des AS Java vertrauen.
Sie haben technische Benutzer auf ABAP-Zielsystemen konfiguriert, denen Benutzer zugeordnet werden.

Hinweis
Aufgrund der temporären und anonymen Natur transienter Benutzer auf dem AS Java und da mehrere transiente Benutzer demselben Benutzer auf dem AS ABAP zugeordnet sind, sollten Sie diese nicht in Szenarios mit transienter Föderation verwenden, die strenge Auditing-Anforderungen haben.

Kontext

Mit dieser Vorgehensweise können Sie eine Benutzerzuordnung zu einem ABAP-Referenzsystem anlegen. Durch die Benutzerzuordnung können Sie Benutzern Zugriff auf vertrauenswürdige ABAP-Systeme gewähren, indem sie Anmeldetickets verwenden. Bei solch einer Konfiguration stellt der AS Java Anmeldetickets für die Browser von Benutzern mit der zugeordneten Benutzerkennung aus, die im ABAP-System zu verwenden ist. Wenn der Benutzer auf das ABAP-System zugreift, das diese Anmeldetickets akzeptiert, meldet das ABAP-System den Benutzer mit der Benutzerkennung im Anmeldeticket an.

Szenarioübersicht

Bei dieser Konfiguration sendet der Identity-Provider SAML-Attribute, die berechneten Rollen oder Gruppen auf dem AS Java zugeordnet sind. Wenn der Service-Provider auf dem AS Java den Benutzer anlegt, ordnet er berechnete Rollen oder Gruppen den Benutzern aufgrund der vom Identity-Provider geschickten Attribute zu. Der Service-Provider ist auch so konfiguriert, dass er Benutzerzuordnungen aufgrund berechneter Rollen oder Gruppen zuordnet. Falls ein Benutzer einer Rolle oder Gruppe dieses Typs zugeordnet wird, prüft der Service-Provider, ob diese Zuordnung so konfiguriert ist, dass sie einem Benutzer auf dem AS Java zugeordnet ist. Falls dies der Fall ist, nimmt der Service-Provider die Benutzerzuordnung dieses AS-Java-Benutzers und schreibt den Namen des zugeordneten ABAP-Benutzers in das Anmeldeticket des Benutzers.

Vorgehensweise

Konfigurieren Sie ein Referenzsystem für den Application Server (AS) Java.
Weitere Informationen finden Sie in der Portaldokumentation über das Anlegen von Referenzsystemen.

Falls es für Ihren AS Java kein Portal gibt, setzen Sie folgende Eigenschaften der User Management Engine (UME):
- ume. r3. mastersystem= Internes Referenzsystem der UME
- ume. usermapping. admin. pwdprotection= falsch
Weitere Informationen finden Sie unter UME-Eigenschaften bearbeiten .
Legen Sie auf dem AS Java Benutzer an, und ordnen Sie diese technischen Benutzern auf dem AS ABAP zu.

Weitere Informationen finden Sie unter Benutzerzuordnungen im Namen der Benutzer konfigurieren .
Konfigurieren Sie den Identity-Provider so, dass er SAML-Attribute sendet, welche Attribute enthalten, mit denen Sie Rollen- oder Gruppenzuordnungen auf dem AS Java berechnen.

Weitere Informationen finden Sie in der Dokumentation zu Ihrem Identity-Provider.

Beispiel
Callcentermitarbeiter des Partnerunternehmens sollen auf Backend-Systeme zugreifen zu können, um bei Bedarf weitere Teile bestellen zu können. Welcher Callcentermitarbeiter die Bestellung aufgibt, ist unwichtig. Das Partnerunternehmen sendet das SAML-2.0-Attribut memberOf mit Authentifizierungsantworten. Falls der Wert dieses Attributs CallCenter ist, kann der Service-Provider diesen transienten Benutzer zu der berechneten Rolle PartnerCallCenter zuweisen.
Berechnen Sie Gruppen- oder Rollenzuordnungen auf der Grundlage der SAML-Attribute.

Weitere Informationen finden Sie unter SAML-2.0-Attribute zuordnen .
Wählen Sie auf der Registerkarte Benutzerzuordnung die Drucktaste Hinzufügen .
Wählen Sie eine berechnete Rollen- oder Gruppenzuordnung aus.
Wählen Sie einen Benutzer mit einer Zuordnung zu einer Benutzerzuordnung aus.
Sichern Sie Ihre Eingaben.

Ergebnisse

Benutzer, die der berechneten Rollen- oder Gruppenzuordnung entsprechen, erhalten die Zuordnung zur Benutzerzuordnung des von Ihnen markierten AS-Java-Benutzers. In gewisser Hinsicht leiht sich der Benutzer die Benutzerzuordnungskonfiguration eines anderen Benutzers.