Show TOC

Identitätsföderation mit persistenten Benutzern konfigurieren (erweitert)Locate this document in the navigation structure

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Kontext

Mit dieser Vorgehensweise aktivieren Sie Identitätsföderation, wenn noch keine Kontoverknüpfung vorhanden ist. Interaktive Kontoverknüpfung und automatisches Kontoanlegen ermöglichen es den Benutzern, ihre Konten während der Authentifizierung zu föderieren.

Sie können auch bestehende Kontoverknüpfungen mit einem persistenten Föderationstyp verwenden, aber die Verknüpfung muss bereits zuvor angelegt sein.

Weitere Informationen finden Sie unter Identitätsföderation mit persistenten Benutzern konfigurieren.

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth.
  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Vertrauenswürdige Provider Ende des Navigationspfads.
  3. Wählen Sie einen Identity-Provider aus, und wählen Sie die Drucktaste Bearbeiten.
  4. Wählen Sie auf der Registerkarte Identitätsföderation die Drucktaste Hinzufügen.
  5. Wählen Sie das Namensbezeichnerformat.
  6. Wählen Sie den Föderationstyp Persistente Benutzer (erweitert).
  7. Konfigurieren Sie das Assertion-Attribut für die Benutzerkennungsquelle. Sie können andere Attribute als das Attribut der Inhabernamenkennung verwenden, indem Sie die Option Assertion-Attribut wählen. Der Service-Provider fordert das Namensbezeichnerformat beim vertrauenswürdigen Identity-Provider an. Wenn der Service-Provider die SAML-Antwort erhält, verwendet der Service-Provider das Attribut Benutzerkennungsquelle, um zu ermitteln, wo er den Benutzer aufgrund des vom Identity-Provider zurückgegebenen Strings sucht. Falls die Suche kein eindeutiges Ergebnis liefert, schlägt die Anmeldung fehl.
  8. Wählen Sie einen Föderationsmodus aus.

    • Interaktive Kontoverknüpfung

      Falls es in diesem Modus keine bereits vorhandene Föderation gibt oder auf dem Service-Provider kein Benutzer mit demselben Namensbezeichner gefunden wird, fordert der Service-Provider den Benutzer zur Anmeldung auf. Wenn sich der Benutzer anmeldet, fordert der Service-Provider den Benutzer zur Föderation der Konten auf. Falls der Benutzer dies akzeptiert, schreibt der Service-Provider den Namensbezeichner des Benutzerkontos auf dem Identity-Provider in das für den Namensbezeichner konfigurierte Attribut auf dem Service-Provider. Falls der Benutzer dies ablehnt, meldet der Service-Provider den Benutzer wie gewohnt an, jedoch ohne die Konten zu föderieren.

      Wenn Sie die Option Interaktive Kontoverknüpfung erlauben wählen, ist der standardmäßige Wert Benutzerkennungszuordnungsmodus auf E-Mail gesetzt. Sie können andere Attribute für den Benutzerkennungszuordnungsmodus angeben, indem Sie die Option Benutzerattribut wählen.

      Interaktive Kontenverknüpfung bietet folgende Möglichkeiten:

      • Damit der Identity-Provider einen persistenten Namensbezeichner anlegen kann, falls für das Benutzerkonto auf dem Identity-Provider keiner vorhanden ist, markieren Sie das Ankreuzfeld Identity-Provider erlauben, NameID anzulegen. Der Service-Provider setzt das Attribut AllowCreate auf dem Element NameIDPolicy auf 'true', um diese Berechtigung zu erhalten.

      • Damit der Benutzer ein neues Konto auf dem Service-Provider anlegen und föderieren kann, aktivieren Sie Selbstregistrierung.

        Weitere Informationen finden Sie unter Selbstregistrierung konfigurieren.

    • Automatisches Kontoanlegen

      Falls es in diesem Modus keine bereits vorhandene Föderation gibt oder auf dem Service-Provider kein Benutzer mit demselben Namensbezeichner gefunden wird, legt der Service-Provider ein Benutzerkonto an. Um das Konto anzulegen, verwendet der Service-Provider die SAML-2.0-Attribute, die der Identity-Provider geschickt hat. In jedem Fall schreibt der Service-Provider bei der Anmeldung des Benutzers den Namensbezeichner des Benutzerkontos auf dem Identity-Provider in das für den Namensbezeichner konfigurierte Attribut auf dem Service-Provider.

      Wenn Sie das Ankreuzfeld Automatisches Anlegen von Kontos erlauben markieren, hat der Benutzerkennungszuordnungsmodus die Attribute E-Mail und Anmelde-ID. Sie können andere Werte angeben, indem Sie die Option Benutzerattribut für den Zuordnungsmodus wählen.

      Hinweis

      Um benutzerdefinierte User-Management-Engine-(UME)-Attribute zusammen mit SAML-2.0-Attributen zu verwenden, müssen Sie diese für SAML auf dem Service-Provider hinzufügen.

      Weitere Informationen finden Sie unter Benutzerdefinierte Benutzerattribute für SAML hinzufügen.

      1. Legen Sie eine Zuordnung zwischen den SAML-2.0-Attributen und den UME-Attributen des Service-Providers an.

        Attribute, die als obligatorisch gekennzeichnet sind, müssen vorhanden sein und Werte haben. Andernfalls weist der Service-Provider den gesamten Authentifizierungsversuch zurück. Der Service-Provider legt das Benutzerkonto nicht ohne die obligatorischen Werte an.

      2. Ermitteln Sie alle Gruppen- oder Rollenmitgliedschaften durch Zuordnungen oder Standardzuweisungen.

        Sie können eine Zuordnung zwischen SAML-Attributen und Rollen und Gruppen anlegen. Sie können vordefinieren, welchen Rollen und Gruppen angelegte Benutzer standardmäßig angehören.

      3. Wählen Sie aus folgenden Konfigurationsoptionen aus:

        • Damit der Identity-Provider einen Namensbezeichner anlegen kann, falls für das Benutzerkonto auf dem Identity-Provider keiner vorhanden ist, markieren Sie das Ankreuzfeld Identity-Provider erlauben, NameID anzulegen.

        • Damit der Service-Provider die vorhandenen Benutzerattribute mit als SAML-2.0-Attribute gesendeten Daten überschreiben kann, markieren Sie das Ankreuzfeld Bei Anmeldung Attribute und Rollen und Gruppen aktualisieren.

      Beispiel

      Die folgende Tabelle zeigt eine Zuordnung von SAML-2.0-Attributen zu UME-Attributen. Es sind die Werte für einen Benutzer namens Laurent Becker enthalten. Das Attribut für Nachname ist als obligatorisch markiert. Das bedeutet, dass falls dieses SAML-2.0-Attribut leer ist oder fehlt, der Service-Provider die SAML-Antwort zurückweist. Der Service-Provider legt das Benutzerkonto nicht ohne die erforderlichen Attribute an.

      SAML-2.0-Attribut

      Ist obligatorisch

      Wert

      UME-Attribut

      1st-name

      Nein

      Laurent

      firstname

      2nd-name

      Ja

      Becker

      lastname

      mail

      Nein

      Laurent.Becker@example.com

      email

    • Andere Modi der Identitätsföderation wählen

      Wenn Sie keine interaktive oder automatische Kontoverknüpfung wählen, hängt der Föderationsmodus von Ihrer Auswahl für den Benutzerkennungszuordnungsmodus ab. Folgende Optionen stehen zur Auswahl:

      Werte des Benutzerkennungszuordnungsmodus

      Beschreibung

      E-mail

      Der Wert ist die E-Mail-Adresse. Der Service-Provider sucht einen Benutzer, dessen E-Mail-Adresse mit dem Bezeichner übereinstimmt.

      Kerberos Principal Name

      Der Service-Provider behandelt die erhaltene Benutzerkennung so, als wäre sie im Format principal@realm, und sucht einen Benutzer, dessen Kontoattribute Principal und Realm mit der Benutzerkennung übereinstimmen.

      Logon Alias

      Die Wert ist der Anmeldealias. Der Service-Provider sucht einen Benutzer, dessen Anmeldealias mit dem Bezeichner übereinstimmt.

      Logon ID

      Die Kennung, mit der sich der Benutzer interaktiv anmeldet. Der Service-Provider sucht einen Benutzer, dessen Anmelde-ID mit dem Bezeichner übereinstimmt.

      User Attribute

      Der Wert ist ein Name, der ein Benutzerattribut konfiguriert und ein optionaler Namensraum. Der Service-Provider sucht einen Benutzer, dessen Benutzerattribut mit dem Bezeichner übereinstimmt.

      Windows Name

      Der Service-Provider behandelt die erhaltene Benutzerkennung so, als wäre sie im Format principal@realm, und sucht einen Benutzer, dessen Kontoattribute Domain und Principal mit der Benutzerkennung übereinstimmen.

  9. Setzen Sie das Feld Benutzerkennungsfilter. Dieses Feld gibt an, welche Benutzerkennung der Service-Provider in der Form eines regulären Java-Ausdrucks akzeptieren kann.

    Sie können dieses Feld für das Konfigurieren von Bereichen oder Domänen für die Namensbezeichnerformate E-Mail, Windows-Name und Kerberos oder für das Einschränken der Anzahl der vertrauenswürdigen Provider verwenden. Sie können beispielsweise Benutzerkennungen zulassen, die mit sap.com enden und alle anderen ablehnen.

    Sie können auch eine Gruppe im Muster eines regulären Ausdrucks definieren. Der extrahierte Teilstring ist dann der Wert dieser Gruppe. Beispiel: Wenn Sie den regulären Ausdruck (.+)\Q@company.de\E setzen und die E-Mail des Benutzers john@company.de ist, gibt der reguläre Ausdruck john zurück.

  10. Setzen Sie die Felder Benutzerkennungspräfix und Benutzerkennungssuffix. Sie fügen ein Suffix und ein Präfix hinzu, um dem Service-Provider mitzuteilen, welche Benutzerkennung authentifiziert werden soll.

    Wenn beispielsweise der Service-Provider Benutzerkennungen mit dem Namen John empfängt, wird diese Benutzerkennung durch ein Präfix oder ein Suffix eindeutig identifizierbar. Auf diese Weise wird der Service-Provider wissen, welcher vertrauenswürdige Provider authentifiziert werden soll.

  11. Legen Sie eine Zuordnung zwischen den SAML-2.0-Attributen, die mit der SAML-Assertion gesendet werden, und den UME-Attributen, in die der Service-Provider sie schreibt, an.

    Diese Attribute liefern die Basis für den Benutzer auf dem Service-Provider. Attribute, die als obligatorisch gekennzeichnet sind, müssen vorhanden sein und Werte haben. Andernfalls weist der Service-Provider den gesamten Authentifizierungsversuch zurück. Der Service-Provider legt das Benutzerkonto nicht ohne die obligatorischen Werte an. Sie können auch eine Zuordnung zwischen SAML-Attributen und Rollen und Gruppen anlegen oder die Rollen und Gruppen vordefinieren, zu denen Benutzer gehören.

    Weitere Informationen finden Sie unter:

  12. Sichern Sie Ihre Eingaben.
  13. Konfigurieren Sie den Identity-Provider so, dass er den Namensbezeichner und alle weiteren von Ihrer Konfiguration geforderten Attribute liefert.

    Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

Beispiel

Donna Moore hat vor kurzem ihr Netzwerk für SAML 2.0 konfiguriert. Die Benutzer melden sich immer noch an jedem System mit einer eigenen Benutzerkennung und einem eigenen Kennwort an. Donna hat einen neuen Identity-Provider mit allen Benutzern angelegt und jedem Benutzer einen Namensbezeichner zugeordnet. Sie hat gerade ein Upgrade für ihre Altsysteme durchgeführt, damit diese SAML 2.0 als Service-Provider unterstützen. In jedem System vertraut sie dem SAML-2.0-Identity-Provider und fordert das Namensbezeichnerformat. Da alle Benutzer bereits ihr Kennwort für jedes System kennen, aktiviert sie interaktive Kontoverknüpfung. Wann immer sich ein Benutzer zum ersten Mal nach der Umstellung an einem System anmeldet, gibt er seine Anmeldedaten ein und der Service-Provider fügt den Namensbezeichner des Identity-Providers dem lokalen Konto hinzu. Donna braucht den mühsamen Vorgang des Hinzufügens des Namensbezeichners zu jedem Konto in jedem System nicht zu durchlaufen. Die Benutzer machen dies selbst.

Nächste Schritte

Logische Attribute