Show TOC

Frontkanalkommunikation konfigurierenLocate this document in the navigation structure

Verwendung

Frontkanalkommunikation verwendet HTTP-POST- oder HTTP-Redirect-Bindungen über den Client zwischen dem Service-Provider und dem Identity-Provider. Verwenden Sie Frontkanalbindungen, wenn die Antwortzeit auf die Clientanfrage wichtiger ist als sicherzustellen, dass die SAML-Nachrichten nicht dem Client oder bösartigen Dritten ausgesetzt sind. Direkte Serverkommunikation erhöht die Anzahl Nachrichten, die Service-Provider und Identity-Provider während der Anmeldung austauschen müssen.

Voraussetzungen

  • Sie haben festgelegt, welche Bindungen Sie für die Frontkanalkommunikation unterstützen wollen.

    Bindung

    Vorteile

    Nachteile

    HTTP POST

    Transportiert SAML-Nachrichten im Text (Body) der Nachricht. Es gibt keine Längenbeschränkungen. Siehe Nachteile des HTTP Redirect unten.

    • Einige Clients könnten HTTP POST nicht unterstützen.

    • Um die Benutzerinteraktion zu vermeiden, um einen Client von einem Server zum nächsten zu schicken, verwenden Clients eine Auto-Post-Funktion. Die Auto-Post-Funktion verwendet JavaScript. Je nach Ihrer Situation kann die Verwendung von JavaScript ein Sicherheitsrisiko darstellen.

    HTTP Redirect

    Client wird von einem Server zum nächsten geschickt, ohne Interaktion des Benutzers.

    Redirect transportiert die SAML-Nachricht in der URL. Falls die URL zu lang ist, schneidet der Client die URL ab. Falls Sie lange URLs verwenden oder Sicherheitsoptionen wie Verschlüsselung vonNachrichtenelementen einfügen, vermeiden Sie HTTP Redirect.

  • SAML 2.0 ist auf Ihrem SAP NetWeaver Application Server (AS) Java aktiviert.

    Weitere Informationen finden Sie unter SAML-Service-Provider aktivieren.

Vorgehensweise

Frontkanalkommunikation deaktivieren

Mit dieser Vorgehensweise beschränken Sie die Authentifizierung auf die direkte Serverkommunikation.

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth.

  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.

  3. Wählen Sie die Registerkarte Service-Provider-Einstellungen.

  4. Deaktivieren Sie folgende Bindungen:

    • Beim Assertion-Konsumierungsservice (AKS) entmarkieren Sie das Ankreuzfeld HTTP POST.

      Hinweis

      HTTP Redirect ist für den AKS keine Option, da die Assertion zu groß ist als dass sie als Teil der URL transportiert werden könnte.

    • Beim Single-Log-Out-Service (SLO-Service) entmarkieren Sie die Ankreuzfelder HTTP POSTund HTTP Redirect.

  5. Deaktivieren Sie HTTP-POST- und HTTP-Redirect-Bindungen vertrauenswürdiger Identity-Provider.

    Weitere Informationen finden Sie in der Dokumentation zu Ihrem Identity-Provider.

Frontkanalkommunikation aktivieren

Mit dieser Vorgehensweise akzeptieren Sie Frontkanalkommunikation und konfigurieren die weiteren Frontkanalparameter.

1. Ermitteln, welche Services Frontkanalkommunikation akzeptieren

  1. Starten Sie SAP NetWeaver Administrator Mit dem Quick Link /nwa/auth.

  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Lokaler Provider Ende des Navigationspfads.

  3. Wählen Sie die Registerkarte Service-Provider-Einstellungen.

  4. Legen Sie fest, für welche Services Sie die Frontkanalkommunikation von Identity-Providern akzeptieren wollen.

    • Bei Single Sign-On (SSO) markieren Sie unter Assertion-Konsumierungsservicedas Ankreuzfeld HTTP POST.

    • Bei Single Log-Out (SLO) markieren Sie unter Single Log-Outdas Ankreuzfeld HTTP POSToder HTTP Redirect.

  5. Geben Sie das Intervall zum Löschen abgelaufener Assertions ein.

    Diese Eigenschaft legt fest, wie oft Assertions aus der Datenbank gelöscht werden. Aufgrund der von Ihnen erwarteten Anzahl an sich gleichzeitig an Ihrem System anmeldenden Benutzern, können Sie schätzen, wie schnell Assertions zum System hinzugefügt werden. Falls Sie von einer starken Nutzung ausgehen und Platz für Ihre Datenbank ein Problem ist, setzen Sie einen geringeren Wert.

    Achtung

    Falls Sie einen zu hohen Wert einstellen, liefern Sie Ihr System Denial-of-Service-Angriffen aus.

2. Endpunkte des vertrauenswürdigen Identity-Providers konfigurieren

Mit dieser Vorgehensweise konfigurieren Sie die ausgehende Verbindung zum Identity-Provider. Diese Vorgehensweise geht davon aus, dass Sie bereits einem Identity-Provider vertraut haben.

Weitere Informationen über das Vertrauen in einen Identity-Provider finden Sie unter Einem Identity-Provider vertrauen.

  1. Wählen Sie Vertrauenswürdige Provider.

  2. Wählen Sie einen Identity-Provider aus, und wählen Sie die Taste Bearbeiten.

  3. Wählen Sie die Registerkarte Endpunkte.

  4. Konfigurieren Sie die Single-Sign-On-Endpunkteund Single-Log-Out-Endpunkteso, dass sie HTTP-POST- bzw. HTTP-Redirect-Bindungen verwenden.

    1. Fügen Sie beliebige HTTP-POST- und HTTP-Redirect-Bindungen hinzu.

    2. Geben Sie die Endpunkt-URLs für die Services auf dem Identity-Provider an.

  5. Legen Sie fest, ob Sie Authentifizierungsanforderungen für die Authentifizierungsanfragen an den Identity-Provider konfigurieren wollen.

    Die Authentifizierungsanforderungen ermöglichen Ihnen, die Konfigurationseinstellungen, die für die einzelnen Ressourcen des Service-Providers vorgenommen wurden, außer Kraft zu setzen. Sie können Folgendes konfigurieren:

    • den Authentifizierungskontext

    • ob der Identity-Provider die Assertion an den AKS oder direkt an die Anwendung zurückgibt

    • ob der Identity-Provider die Standardbindung, HTTP POST oder HTTP-Artefakt zum Zurückgeben der Assertion verwenden muss

    Um zu erzwingen, dass der Identity-Provider die Assertion über die Frontkanalkommunikation zurückgibt, geben Sie im Feld Bindung HTTP POSTan.

    Hinweis

    Falls Sie die Authentifizierungsantwort an die Anwendungs-URL senden und HTTP-POST-Bindung erforderten, liefern Sie die Anwendungs-URL potentiellen Lauschern am Useragent aus.

  6. Sichern Sie Ihre Eingaben.

3. Identity-Provider konfigurieren

  1. Überprüfen Sie, dass die Identity-Provider-Endpunkte so konfiguriert sind, dass Sie HTTP-POST- oder HTTP-Redirect-Bindungen vom Service-Provider akzeptieren.

  2. Überprüfen Sie, dass der Identity-Provider so konfiguriert ist, dass er HTTP-POST- oder HTTP-Redirect-Bindungen zum Verbindungsaufbau zu den Endpunkten des Service-Providers verwendet.

  3. Denken Sie darüber nach, ob Sie die Bindungen der direkten Serverkommunikation für die Identity-Provider-Endpunkte deaktivieren wollen.

    Falls der Identity-Provider nur Frontkanalkommunikation akzeptiert, gibt es keinen Grund, die Endpunkte für Bindungen der direkten Serverkommunikation bereitzustellen.

Weitere Informationen über das Konfigurieren des Identity-Providers finden Sie in der Dokumentation Ihres Identity-Providers.