Show TOC

IdentitätsföderationLocate this document in the navigation structure

Verwendung

Identitätsföderation bietet die Mittel, um Identitätsinformationen zwischen Partnern auszutauschen. Um Informationen über Benutzer gemeinsam zu nutzen, müssen die Partner den Benutzer identifizieren können, selbst wenn sie unterschiedliche Bezeichner für denselben Benutzer verwenden. Der SAML-2.0-Standard definiert den Namensbezeichner (Namens-ID) als Mittel, um einen gemeinsamen Bezeichner festzulegen. Nachdem der Namensbezeichner festgelegt wurde, hat der Benutzer eine föderierte Identität.

Der Service-Provider erhält den SAML-Inhaberbezeichner mit dem angegebenen Assertion-Inhabernamensbezeichner oder den Assertion-Attributen vom Identity-Provider. Die Einstellung des Felds Benutzerkennungsquelle definiert, wo dieser SAML-Inhaberbezeichner ermitttelt wird. Der Service-Provider verwendet den Assertion-Inhabernamensbezeichner oder das andere Assertion-Attribut für die Angabe der Benutzerkennung. Der Service-Provider prüft anschließend den Benutzerkennungszuordnungsmodus , um zu ermitteln, wie der Benutzer in seiner User Management Engine (UME) gefunden wird. Wenn der Service-Provider den lokalen Benutzer findet, authentifiziert er ihn.

Abbildung 1: Prinzipien der Identitätsföderation
Beispiel

Benutzer im Identity-Provider melden sich immer mit ihrer E-Mail-Adresse an. Die Anmelde-ID und die E-Mail-Adresse sind identisch. Der Administrator des Identity-Providers sagt zu, dass er das Namensbezeichnerformat Unspecified einschließlich der Anmelde-ID liefert. Nachdem sich ein Benutzer erfolgreich am Identity-Provider angemeldet hat, liefert der Identity-Provider die Anmelde-ID des Benutzers an den Service-Provider in der SAML-Assertion. Der Service-Provider ist auch so konfiguriert, dass er das Namensbezeichnerformat Unspecified verwendet und das Benutzerattribut für die E-Mail-Adresse verwendet. Der Service-Provider sucht den Benutzer mit der passenden E-Mail-Adresse. Solange die E-Mail-Adresse im Service-Provider eindeutig ist, kann der Service-Provider den Benutzer anmelden.

Die Abbildung unten zeigt, dass Laurent Becker auf dem Identity-Provider und dem Service-Provider unterschiedliche Benutzerkennungen hat. Er authentifiziert sich mit SAML 2.0 am Identity-Provider. Der Identity-Provider leitet seine Benutzerkennung an den Service-Provider weiter, und der Service-Provider sucht diesen Benutzer anhand seiner E-Mail-Adresse. So werden seine beiden Konten über die Benutzerkennung und E-Mail-Adresse verknüpft.

Abbildung 2: Beispiel einer Identitätsföderation mit unbestimmten Namensbezeichnerformaten

Föderationstypen

Die folgenden Föderationstypen werden für die Namensbezeichnerformate konfiguriert:

  • Persistente Benutzer

  • Persistente Benutzer (erweitert)

  • Virtuelle Benutzer

Persistente Benutzer

Wenn Sie den Namensbezeichner-Föderationstyp Persistente Benutzer konfigurieren, wird das System auf eine einfache bestehende Kontoverknüpfung gesetzt. Die Bedeutung des Typs Persistente Benutzer ist es, permanente Benutzerkennungen in der User Management Engine (UME) einzurichten. Die UME dient als Datenbank für den Service-Provider, der für die Authentifizierung der Assertions aus dem Identity-Provider verwendet wird.

In diesem Fall werden die Identitäten eines Benutzers in System A und System B im Voraus von den Administratoren der beiden Systeme identifiziert und vereinbart. Diese Art Abkommen wird auch von SAML 1.x unterstützt. Die Administratoren des Identity-Providers und des Service-Providers vereinbaren, wie der Namensbezeichner, der für den Benutzer im Identity-Provider verwendet wird, dem Benutzer im Service-Provider zugeordnet wird.

Verwenden Sie diesen Föderationstyp, um die meisten Szenarios zu unterstützten, bei denen Sie Benutzeridentitäten über Domänen hinweg zuordnen wollen.

Weitere Informationen über das Konfigurieren von Namensbezeichnern mit dem Föderationstyp Persistente Benutzer finden Sie unter Identitätsföderation mit persistenten Benutzern konfigurieren .

Persistente Benutzer (erweitert)

Der Föderationstyp Persistente Benutzer (erweitert) ermöglicht eine größere Flexibilität bei den Konfigurationen der Einstellungen vom Service-Provider und Identity-Provider. Er erlaubt es dem Service-Provider auch, die zulässigen Benutzerkennungen einzuschränken.

Der Föderationstyp Persistente Benutzer (erweitert) bietet die folgenden Zusatzoptionen:

  • Dem Identity-Provider wird erlaubt, den Namensbezeichner anzulegen. Der Identity-Provider hat unter Umständen die Berechtigung, einen neuen Bezeichner für den Benutzer zu generieren, falls nicht schon einer existiert. Der Service-Provider setzt das Attribut AllowCreate auf dem Element NameIDPolicy auf 'true', um diese Berechtigung zu erhalten.

  • Interaktive Föderation erlauben

    Die Föderation wird spontan eingerichtet. Sie können Benutzern ermöglichen, die Föderation zwischen bestehenden Konten interaktiv einzurichten oder sogar ihre eigene Konten auf dem Zielsystem mit Selbstregistrierung anzulegen.

    Verwenden Sie diesen Föderationstyp, falls Sie nicht im Voraus persistente Pseudonyme auf dem Identity- und dem Service-Provider eingerichtet haben. Er ermöglicht es Ihnen, diese Zuordnungen bei Bedarf zu konfigurieren.

  • Automatisches Anlegen von Konten erlauben

    Föderation wird auf der Basis von Attributen angelegt, die an das Zielsystem weitergeleitet werden. Falls der Benutzer im Zielsystem kein Konto hat, legt der Service-Provider das Konto automatisch an. Die Attribute werden aus Regeln, die auf den in SAML-Nachrichten gesendeten SAML-2.0-Attributen beruhen, generiert.

    Verwenden Sie diesen Föderationstyp, um Benutzer anzulegen oder sogar zu provisionieren, wenn Sie deren Konten auf dem Service-Provider föderieren.

  • Bei Anmeldung Attribute, Rollen und Gruppen aktualisieren. Diese Option ermöglicht es, Attribute, Rollen und Gruppen zu setzen, die auch mit den entsprechenden Einstellungen auf dem Identity-Provider übereinstimmen.

  • Vom Identity-Provider übergebene Benutzerkennungen filtern. Dieses Feld legt fest, welche Muster für Benutzerkennungen der Service-Provider akzeptieren kann.

  • Präfix und Suffix einer Benutzerkennung hinzufügen. Dieses Feld hilft dem Service-Provider, die korrekte Benutzerkennung zu konfigurieren.

Beispiel

Der Service-Provider erhält Assertions von wenigen Identity-Providern. Wenn jeder Identity-Provider eine Benutzerkennung mit demselben Namen sendet, ist es schwierig, diese Provider zu unterscheiden. Durch das Hinzufügen eines Präfix- oder/und Suffixwertes zur Benutzerkennung weiß das System, welcher Identity-Provider authentiziert werden soll. Außerdem kann der reguläre Ausdruck garantieren, dass eine Benutzerkennung, die mit sap.com endet, authentifiziert wird, nicht aber andere.

Weitere Informationen über das Konfigurieren von Namensbezeichnern mit dem Föderationstyp Persistente Benutzer (erweitert) finden Sie unter Identitätsföderation mit persistenten Benutzern konfigurieren (erweitert) .

Virtuelle Benutzer

Die Bedeutung des Typs Virtuelle Benutzer ist es, temporäre Benutzerkennungen in der User Management Engine (UME) einzurichten. Eine Föderation dieses Typs existiert für die Dauer der Sicherheitssitzung. Funktionen für die Kontoverknüpfung sind wegen der begrenzten Dauer dieser Sitzung für temporäre Benutzerkennungen nicht erforlderlich.

Weitere Informationen über das Konfigurieren von Namensbezeichnern mit dem Föderationstyp Virtuelle Benutzer finden Sie unter Identitätsföderation mit virtuellen Benutzern konfigurieren .

Qualifizierte Formatnamen

Folgende qualifizierte Formatnamen werden vom System unterstützt:

Namensbezeichnerformat

Voll qualifizierte Formatnamen

E-mail

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Kerberos

urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos

Persistent

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

Transient

urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Unspecified

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

Windows Name

urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName

X509 Subject Name

urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName

Für jedes Namensbezeichnerformat können Sie Ihre eigene Konfiguration haben. Sie ist unabhängig von dem von Ihnen gewählten Namensbezeichnerfomat.

Wenn Sie den Service-Provider für die Verwendung des Assertion-Attributs Assertion-Inhabernamensbezeichner setzen, erlauben Sie dem Provider, die Informationen zu verwenden, die vom Unterelement Namensbezeichner des Elements Inhaber in der vom Identity-Provider übergebenen Assertion definiert wurde.

Werte des Benutzerkennungszuordnungsmodus

Die Benutzerkennungszuordnungsmodus ermöglicht es Ihnen, folgende Werte zu setzen:

Werte des Benutzerkennungszuordnungsmodus

Beschreibung

E-mail

Der Wert ist die E-Mail-Adresse. Der Service-Provider sucht einen Benutzer, dessen E-Mail-Adresse mit dem Bezeichner übereinstimmt.

Kerberos Principal Name

Der Service-Provider behandelt die erhaltene Benutzerkennung, als wäre sie im Format principal@realm, und sucht einen Benutzer, dessen Kontoattribute Principal und Realm mit der Benutzerkennung übereinstimmen.

Logon Alias

Die Wert ist der Anmeldealias. Der Service-Provider sucht einen Benutzer, dessen Anmeldealias mit dem Bezeichner übereinstimmt.

Logon ID

Die Kennung, mit der sich der Benutzer interaktiv anmeldet. Der Service-Provider sucht einen Benutzer, dessen Anmelde-ID mit dem Bezeichner übereinstimmt.

User Attribute

Der Wert ist ein Name, der ein Benutzerattribut konfiguriert und ein optionaler Namensraum. Der Service-Provider sucht einen Benutzer, dessen Benutzerattribut mit dem Bezeichner übereinstimmt.

Windows Name

Der Service-Provider behandelt den erhaltenen Benutzerkennung, als wäre sie im Format principal/realm und sucht einen Benutzer, dessen Kontoattribute Domain und Principal mit der Benutzerkennung übereinstimmen.