Show TOC

Identitätsföderation mit persistenten Benutzern konfigurierenLocate this document in the navigation structure

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Kontext

Der Service-Provider definiert, welches Namensbezeichnerformat in der SAML-Authentifizierungsanfrage, die er an den Identity-Provider weiterleitet, erforderlich ist. Solange der Identity-Provider dieses Namensbezeichnerformat unterstützt, gibt er die angeforderten Daten in der SAML-Antwort zurück, einschließlich möglicher Attribute. Identitätsföderation ist die Zuordnung der angeforderten Daten zu den vom Identity-Provider gelieferten Daten. Ohne diese Zuordnung gibt es keine Föderation.

Der Föderationstyp Persistente Benutzerentspricht der Konfiguration von bestehenden Kontoverknüpfungen.

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator.
  2. Wählen Sie Anfang des Navigationspfads Configuration Management Nächster Navigationsschritt Sicherheit Nächster Navigationsschritt Authentifizierung und Single Sign-On Ende des Navigationspfadsund dann Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Vertrauenswürdige Provider Ende des Navigationspfads.
  3. Wählen Sie einen Identity-Provider aus, und wählen Sie die Taste Bearbeiten.
  4. Wählen Sie auf der Registerkarte Identitätsföderationdie Taste Hinzufügen.
  5. Wählen Sie ein Namensbezeichnerformat.

    Der Service-Provider fordert das Namensbezeichnerformat des vertrauenswürdigen Identity-Providers an. Wenn der Service-Provider die SAML-Antwort erhält, verwendet der Service-Provider das Attribut Benutzerkennungsquelle, um zu ermitteln, wo er den Benutzer aufgrund des vom Identity-Provider zurückgegebenen Strings sucht. Falls die Suche kein eindeutiges Ergebnis liefert, schlägt die Anmeldung fehl.

    Das Namensbezeichnerformat auf dem Service-Provider muss mit dem auf dem Identity-Provider angegebenen übereinstimmen.

  6. Wählen Sie für das Konfigurieren der bestehenden Kontoverknüpfungen den Föderationstyp Persistente Benutzer.
  7. Konfigurieren Sie das Assertion-Attribut für die Benutzerkennungsquelle. Sie können andere Attribute als die Inhabernamenkennung verwenden, indem Sie die Option Assertion-Attributwählen.
  8. Setzen Sie den Benutzerkennungszuordnungsmodus. Der Benutzerkennungszuordnungsmodusdefiniert, welches Benutzerkennungsattribut vom Identity-Provider dem Bezeichner des Service-Providers zugeordnet wird.

    Folgende Optionen stehen zur Auswahl:

    Werte des Benutzerkennungszuordnungsmodus

    Beschreibung

    E-mail

    Der Wert ist die E-Mail-Adresse. Der Service-Provider sucht einen Benutzer, dessen E-Mail-Adresse mit dem Bezeichner übereinstimmt.

    Kerberos Principal Name

    Der Service-Provider behandelt die erhaltene Benutzerkennung, als wäre sie im Format principal@realm, und sucht einen Benutzer, dessen Kontoattribute Principal und Realm mit der Benutzerkennung übereinstimmen.

    Logon Alias

    Die Wert ist der Anmeldealias. Der Service-Provider sucht einen Benutzer, dessen Anmeldealias mit dem Bezeichner übereinstimmt.

    Logon ID

    Die Kennung, mit der sich der Benutzer interaktiv anmeldet. Der Service-Provider sucht einen Benutzer, dessen Anmelde-ID mit dem Bezeichner übereinstimmt.

    User Attribute

    Der Wert ist ein Name, der ein Benutzerattribut konfiguriert und ein optionaler Namensraum. Der Service-Provider sucht einen Benutzer, dessen Benutzerattribut mit dem Bezeichner übereinstimmt.

    Windows Name

    Der Service-Provider behandelt den erhaltenen Benutzerkennung im Format principal@realm und sucht einen Benutzer, dessen Kontoattribute Domain und Principal mit der Benutzerkennung übereinstimmen.
  9. Sichern Sie Ihre Eingaben.
  10. Konfigurieren Sie den Identity-Provider so, dass er den erforderlichen Namensbezeichner so liefert, dass es eine 1:1-Entsprechung gibt.

    Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

Beispiel

Donna Moore hat ihren Service-Provider so konfiguriert, dass er das Namensbezeichnerformat E-mailfordert. Ein vertrauenswürdiger Identity-Provider schickt ihrem Service-Provider eine SAML-Antwort mit Laurent.Becker@example.comals Betreff. Der Service-Provider sucht nach einem Benutzer mit diesem Wert als E-Mail-Adresse. Falls das Ergebnis ein einziger Benutzer ist, ist die Anmeldung erfolgreich.

Laurent Becker hat auf dem Service-Provider eine andere Benutzerkennung als auf dem Identity-Provider, aber seine E-Mail-Adresse ist in beiden Systemen gleich. Eine einfache Zuordnung wäre, den Identity-Provider auch dasselbe Namensbezeichnerformat E-mailverwenden zu lassen.

Angenommen, dass der Identity-Provider die E-Mail-Adresse für die Benutzerkennung und kein Attribut für E-Mail verwendet. Dann würde der Identity-Provider das Namensbezeichnerformat Unspecifiedverwenden, um die Benutzerkennung zurückzugeben. Donna muss ihren Service-Provider entsprechend neu konfigurieren. Falls der Identity-Provider das Namensbezeichnerformat E-mailnicht unterstützten kann, muss Donna den Service-Provider so konfigurieren, dass er das Namensbezeichnerformat Unspecifiedanfordert, und muss das E-Mail-Benutzerattribut als Benutzerkennungsquelle auswählen.

Nächste Schritte

Logische Attribute