Show TOC

Konfiguration eines vertrauenswürdigen Providers aktualisierenLocate this document in the navigation structure

Voraussetzungen

Sie haben die Möglichkeit, von einer sicheren Quelle aus auf die Metadaten des Providers zuzugreifen.

  • Falls Sie die Metadaten aus einer Datei laden, geht das System davon aus, dass Sie diese Datei von einer vertrauenswürdigen Quelle erhalten haben. Der Service-Provider akzeptiert die Metadaten. Falls die Metadaten jedoch vom Identity-Provider signiert sind, prüft der Service-Provider, ob der SAP NetWeaver Application Server (AS) Java dem Zertifikatsaussteller des Unterzeichners vertraut. Falls der AS Java dem Aussteller nicht vertraut, weist der Service-Provider die Metadaten zurück.

  • Falls Sie die Metadaten von einer URL laden, unterscheidet der Service-Provider zusätzlich zur Prüfung, ob die Metadaten signiert oder nicht signiert sind, zwischen einem URL-Zugriff mit HTTP oder HTTPS.

    Protokoll

    Metadaten sind signiert

    Metadaten sind nicht signiert

    HTTP

    Falls dem Aussteller des Signaturzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten.

    Der Service-Provider weist die Metadaten zurück. Der Service-Provider hat keine Möglichkeit, die Quelle der Metadaten zu verifizieren.

    HTTPS

    Falls dem Aussteller des Signaturzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten. Als zusätzliche Prüfung können Sie vom Service-Provider fordern, dass er überprüft, ob der Aussteller des Serverzertifikats für Secure Sockets Layer (SSL) vertrauenswürdig ist. Falls der Aussteller nicht vertrauenswürdig ist, weist der Service-Provider die Metadaten zurück.

    Falls dem Aussteller des SSL-Serverzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten.

Kontext

Wenn Sie die Konfiguration eines vertrauenswürdigen Providers ändern, müssen Sie die Konfiguration der Vertrauensbeziehung entsprechend aktualisieren. Folgende Liste enthält Änderungen, die eine Aktualisierung der Konfiguration des vertrauenswürdigen Providers erfordern:

  • neue Zertifikate für digitale Signatur oder Verschlüsselung

    Sie können ein primäres und ein sekundäres Zertifikat für Signaturen und Verschlüsselung haben. Damit überbrücken Sie die Zeit, wenn ein altes Zertifikat bald abläuft und Sie noch nicht alle Partner so konfiguriert haben, dass diese das neue akzeptieren.

  • geänderte Signatur- oder Verschlüsselungsoptionen

  • geänderte Endpunkte für Single Sign-On, Single Log-Out oder den Artefaktauflösungsservice

  • Änderungen der Authentifizierungsanfoderungen, die der vertrauenswürdige Provider unterstützt

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator.
  2. Wählen Sie Anfang des Navigationspfads Configuration Management Nächster Navigationsschritt Sicherheit Nächster Navigationsschritt Authentifizierung und Single Sign-On Ende des Navigationspfads und dann Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Vertrauenswürdige Provider Ende des Navigationspfads.
  3. Zeigen Sie in der Liste der vertrauenswürdigen Provider die Identity-Provider an.
  4. Wählen Sie Identity-Provider aus.
  5. Wählen Sie die Taste Aktualisieren , und wählen Sie dann eine der folgenden Optionen:

    • Metadaten-URL angeben

      Geben Sie die URL der Metadaten-XML-Datei für den Identity-Provider an, und legen Sie fest, ob Sie das SSL-Server-Zertifikat des Identity-Providers verifizieren wollen.

      • Falls die Metadaten unsigniert sind und Sie über HTTPS auf die URL zugreifen, markieren Sie das Ankreuzfeld SSL-Partneridentität verifizieren . Andernfalls weist der Service-Provider die Metadaten zurück. Um die Zertifikate der Certificate Authorities anzuzeigen, denen der AS Java vertraut, wählen Sie die Taste Vertrauenswürdige Aussteller .

        Weitere Informationen über die Konfiguration vertrauenswürdiger Aussteller finden Sie unter SSL-Keystore-Sicht für Service-Provider auswählen .

      • Falls die Metadaten signiert sind und Sie über HTTPS auf die URL zugreifen, können Sie das Ankreuzfeld SSL-Partneridentität verifizieren markieren, und zwar als Möglichkeit, die Identität des Identity-Providers zu bestätigen.

      • Falls Sie mit HTTP auf die URL zugreifen, entmarkieren Sie das Ankreuzfeld SSL-Partneridentität verifizieren .

    • Metadatendatei laden

      Geben Sie den Pfad zur XML-Metadatendatei für den Identity-Provider an.

  6. Befolgen Sie die Anweisungen des Assistenten, um die Konfiguration zu aktualisieren.