Show TOC

Regeln für Zertifikatszuordnung anlegenLocate this document in the navigation structure

Voraussetzungen

  • Sie haben ein X.509-Zertifikat als Datei gesichert.

  • Wenn Sie Aliasnamen von Benutzerstammsätzen Zertifikate zuordnen wollen, müssen Sie sicherstellen, dass die Aliasnamen den relevanten Inhalt haben.

  • Sie haben die erforderlichen Berechtigungen.

    Weitere Informationen finden Sie unter Regelbasierte Zertifikatszuordnung.

Kontext

Diese Vorgehensweise ermöglicht es Ihnen, eine Regel für die Zuordnung von X.509-Zertifikaten von einem Aussteller zu Benutzersätzen des SAP NetWeaver Application Server (AS) ABAP anzulegen. Jedes Zertifikat enthält Attribute im Inhaber, manchmal auch in den Feldern für den Inhaberalternativnamen. Sie wählen eines dieser Attribute für den AS ABAP aus, um ihm entweder den Benutzernamen oder Alias des Benutzerstammsatzes zuzuordnen.

Vorgehensweise

  1. Starten Sie Regelbasierte Zertifikatszuordnung (Transaktion CERTRULE).
  2. Wählen Sie Zertifikat hochladen.
  3. Wählen Sie Anzeigen/Ändern (F6), um in den Bearbeitungsmodus zu wechseln.
  4. Wählen Sie die Drucktaste Regel.
  5. Geben Sie an, ob der AS ABAP den Anmeldenamen (Benutzername oder Alias) aus einem Attribut des Inhabers oder des Inhaberalternativnamens lesen soll.
  6. Im Falle des Inhabers oder des Inhaberalternativnamens wählen Sie das zu lesende Zertifikatsattribut als den Anmeldenamen. Der AS ABAP verwendet den Wert dieses Attributs - Groß- und Kleinschreibung werden nicht berücksichtigt -, um den Benutzerstammsatz zu identifizieren, dem dieses Zertifikat zugeordnet ist.
  7. Wählen Sie Benutzer oder Alias als Anmeldeattribut.

    Dies ist das Attribut des Benutzerstammsatzes, das der AS ABAP dem Wert im Zertifikatsattribut zuordnet.

  8. Konfigurieren Sie den Inhaber-Filter.

    AS ABAP verwendet den Inhaber-Filter zusammen mit dem Aussteller-Filter, um zu überprüfen, ob eine Regel auf ein Zertifikat anwendbar ist. Dazu evaluiert das System die Attribute und die dazugehörigen Werte des Inhaber-Filters sowie deren Position in umgekehrter Reihenfolge.

    Beispiel

    Ein Zertifikat hat die folgenden Attribute:

    CN=MarcoRicci,C=IT,O=SAP

    Eine Regel mit dem Inhaber-Filter C,O kann zum Beispiel erwarten, dass das Attribut C an der vorletzten und das Attribut O an der letzten Position des Zertifkatinhabers steht. Der AS ABAP wendet eine Regel nur an, wenn die Reihenfolge der Attribute genau übereinstimmt.

    Sie können Attribute aus dem Inhaber-Filter auch entfernen, um das Attribut zu einem Platzhalter zu machen. Wenn Sie C=IT aus dem Inhaber-Filter entfernen, erwartet der AS ABAP das Attribut immer noch an der gleichen Position, aber das Attribut kann einen beliebigen Wert haben. Die Regel enthält das Attribut als C=*.

    Hinweis

    Das System erwartet immer, dass der Common Name (CN), die Benutzerkennung (UID) und die E-mail-Attribute (E) Platzhalter sind, selbst wenn Sie keinen oder keine von ihnen als Zuordnungsattribut wählen oder keiner oder keine von ihnen im Inhaber-Filter erscheinen. Die Regel enthält die Attribute als CN=*, UID=* und E=*.

    Wählen Sie Generieren für das erneute Generieren der Standardliste von Attributen nach Ihren Änderungen am Inhaber-Filter oder Änderungen am Inhaberzertifikatattribut für die Zuordnung.

  9. Verschieben Sie die Regel in der Regelliste nach Bedarf nach oben oder unten.
    Hinweis

    Der AS ABAP prüft die Regeln der Reihe nach und wendet die erste übereinstimmende Regel an. Wenn der AS ABAP eine anwendbare Regel findet, aber keinen Benutzer, der mit dem Zertifikat übereinstimmt, schlägt die Anmeldung fehl, selbst wenn eine nachfolgende Regel anwendbar ist und eine erfolgreiche Anmeldung gewährleisten würde.

  10. Sichern Sie Ihre Eingaben.

Ergebnisse

Wenn ein User-Agent dem AS ABAP ein X.509-Zertifikat zur Authentifizierung präsentiert, prüft der AS ABAP die Regeln der Reihe nach. Der AS ABAP wendet die erste übereinstimmende Regel an. Für jede Regel verwendet der AS ABAP den Aussteller-Filter und Inhaber-Filter, um festzustellen, ob die Regel anwendbar ist. Der Aussteller-Filter und Aussteller müssen identisch sein. Die unten stehende Tabelle zeigt Beispiele der Anwendung eines Inhaber-Filters an.

Inhaber-Filter

Zertifikatinhaber

Ergebnis

CN=*, C=IT, O=SAP

CN=MarcoRicci, C=IT, O=SAP

Übereinstimmung. Versuch, sich an den Benutzer MARCORICCI anzumelden. Wenn der AS ABAP einen einzigen Benutzer mit diesem Namen als Benutzerkennung oder Alias gemäß der Konfiguration findet, ist die Anmeldung erfolgreich.

CN=*, C=IT, O=SAP

CN=MarcoRicci, O=SAP, C=IT

Anmeldung fehlgeschlagen. Die Attribute O und C sind nicht in der identischen Reihenfolge.

CN=*, C=IT, O=SAP

CN=MarcoRicci, C=IT, O=SAB

Anmeldung fehlgeschlagen. Die Werte der Attribute O sind nicht identisch.

CN=*, C=IT, O=SAP

CN=MarcoRicci, C=IT, O=SAP, OU=DEV

Anmeldung fehlgeschlagen. Der Filter macht es erforderlich, dass das erste Attribut vom Ende aus gesehen O=SAP sein muss. In diesem Fall ist das erste Attribute OU=DEV.