Show TOC

Einem Identity-Provider vertrauenLocate this document in the navigation structure

Voraussetzungen

  • Sie haben in Ihrem Netzwerk einen Identity-Provider konfiguriert.

  • Falls Sie den Identity-Provider manuell hinzufügen wollen (ohne eine XML-Metadatendatei zu verwenden), müssen Sie die Public-Key-Zertifikate des Identity-Providers für die digitalen Signaturen von SAML-Nachrichten importieren. Sie müssen auch die Public-Key-Zertifikate des Identity-Providers für die Verschlüsselung der SAML-Nachrichten importieren, wenn sie erforderlich sind. Importieren Sie diese Zertifikate in den Keystore des SAP NetWeaver Application Server (AS) Java.

    Weitere Informationen finden Sie unter AS-Java-Keystore verwenden.

  • Falls Sie den Identity-Provider aus einer Metadatendatei hinzufügen wollen, sollte Sie über Mittel verfügen, von einer sicheren Quelle aus auf die Metadaten des Providers zuzugreifen.

    • Falls Sie die Metadaten aus einer Datei laden, müssen Sie sicherstellen, diese Datei von einer vertrauenswürdigen Quelle erhalten zu haben. Der Service-Provider akzeptiert die Metadaten. Falls die Metadaten jedoch vom Identity-Provider signiert sind, prüft der Service-Provider, ob der SAP NetWeaver Application Server (AS) Java dem Zertifikatsaussteller des Unterzeichners vertraut. Falls der AS Java dem Aussteller nicht vertraut, weist der Service-Provider die Metadaten zurück.

    • Falls Sie die Metadaten von einer URL laden, unterscheidet der Service-Provider zusätzlich zur Prüfung, ob die Metadaten signiert sind, zwischen einem URL-Zugriff mit HTTP oder HTTPS.

      Protokoll

      Metadaten sind signiert

      Metadaten sind nicht signiert

      HTTP

      Falls dem Aussteller des Signaturzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten.

      Der Service-Provider weist die Metadaten zurück. Der Service-Provider hat keine Möglichkeit, die Quelle der Metadaten zu verifizieren.

      HTTPS

      Falls dem Aussteller des Signaturzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten. Als zusätzliche Prüfung können Sie vom Service-Provider fordern, dass er überprüft, ob der Aussteller des Serverzertifikats für Secure Sockets Layer (SSL) vertrauenswürdig ist. Falls der Aussteller nicht vertrauenswürdig ist, weist der Service-Provider die Metadaten zurück.

      Falls dem Aussteller des SSL-Serverzertifikats vertraut wird, akzeptiert der Service-Provider die Metadaten.

Kontext

Mit dieser Vorgehensweise identifizieren Sie einen Identity-Provider, dem Ihr Service-Provider vertrauen kann. Der Service-Provider, den Sie so konfigurieren, dass er dem Identity-Provider vertraut, fordert vom Identity-Provider Identitätsinformationen an, und zwar für Anwendungen, die der Service-Provider schützt.

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator.
  2. Wählen Sie Anfang des Navigationspfads Configuration Management Nächster Navigationsschritt Sicherheit Nächster Navigationsschritt Authentifizierung und Single Sign-On Ende des Navigationspfads und dann Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Vertrauenswürdige Provider Ende des Navigationspfads.
  3. Zeigen Sie in der Liste der vertrauenswürdigen Provider die Identity-Provider an.
  4. Wählen Sie die Drucktaste Hinzufügen, und wählen Sie anschließend eine der folgenden Optionen:

    • Manuell

    • Metadaten-URL angeben

      Geben Sie die URL der Metadaten-XML-Datei für den Identity-Provider an, und legen Sie fest, ob Sie das SSL-Server-Zertifikat des Identity-Providers verifizieren wollen.

      • Falls die Metadaten unsigniert sind und Sie über HTTPS auf die URL zugreifen, markieren Sie das Ankreuzfeld SSL-Partneridentität verifizieren. Andernfalls weist der Service-Provider die Metadaten zurück. Um die Zertifikate der Certificate Authorities anzuzeigen, denen der AS Java vertraut, wählen Sie die Taste Vertrauenswürdige Aussteller.

        Weitere Informationen über die Konfiguration vertrauenswürdiger Aussteller finden Sie unter SSL-Keystore-Sicht für Service-Provider auswählen.

      • Falls die Metadaten signiert sind und Sie über HTTPS auf die URL zugreifen, können Sie das Ankreuzfeld SSL-Partneridentität verifizieren markieren, und zwar als Möglichkeit, die Identität des Identity-Providers zu bestätigen.

      • Falls Sie mit HTTP auf die URL zugreifen, entmarkieren Sie das Ankreuzfeld SSL-Partneridentität verifizieren.

    • Metadatendatei laden

      Geben Sie den Pfad zur XML-Metadatendatei des Identity-Providers an.

  5. Geben Sie einen Namen und ein Alias an.
    Achtung

    Ändern Sie den Namen des Identity-Providers nicht, falls die Metadaten-XML-Datei einen bereitstellt. Der Name muss exakt dem im Identity-Provider konfigurierten Namen entsprechen.

  6. Geben Sie die für digitale Signaturen und Verschlüsselung erforderlichen Daten an.
    Hinweis

    Der Service-Provider legt automatisch SHA-1 als Digest-Algorithmus für das Signieren ausgehender SAML-2.0-Nachrichten fest. Wenn Sie den Digest-Algorithmus zu SHA-256 ändern möchten, müssen Sie dies zu einem späteren Zeitpunkt auf der Registerkarte Signatur und Verschlüsselung tun.

    Achtung

    Damit diese Konfiguration funktioniert, muss der Identity-Provider denselben Digest-Algorithmus für das Signieren unterstützen.

    1. Wählen Sie aus dem Keystore die Public-Key-Zertifikate für die Überprüfung der digitalen Signatur des Identity-Providers und das Verschlüsseln der an den Identity-Provider gesendeten Nachrichten aus.

      Falls Sie den Identity-Provider aus einer XML-Metadatendatei hinzufügen, sind die Public-Key-Zertifikate bereits konfiguriert.

    2. Wählen Sie einen Verschlüsselungsalgorithmus.

      Hinweis

      Die kryptographische Software des Identity-Providers muss den Verschlüsselungsalgorithmus, den Sie auswählen unterstützen, andernfalls kann er Ihre Nachrichten nicht entschlüsseln.

    3. Wählen Sie die Signatur- und Verschlüsselungsoptionen für Anfragen, Antworten und Assertions für Single Sign-On (SSO), Single Log-Out (SLO) und Artefaktauflösung aus.

      Die Signatur- und Verschlüsselungsoptionen müssen mit denen des Identity-Providers übereinstimmen. Falls der Service-Provider fordert, dass SAML-Assertions immer digital signiert sein müssen und der Identity-Provider sie nie signiert, kann die SAML-Konfiguration nicht funktionieren.

      Empfehlung

      Denken Sie genau über Ihre Verschlüsselungs- und Signaturoptionen nach, und treffen Sie eine Auswahl, die für Ihre Konfiguration sinnvoll ist. Diese hängt auch von der Umgebung ab, in der Ihr SAML-Netzwerk betrieben wird. Systeme, die in einem gesicherten Bereich hinter einer Firewall betrieben werden, haben andere Anforderungen als Systeme, die im Internet bereitgestellt werden. Wir empfehlen Ihnen Folgendes:

      • Verschlüsselung

        Verschlüsseln Sie oder fordern Sie Verschlüsselung für die Elemente, die Authentifizierungs- oder persönliche Daten der Benutzer bereitstellen. Falls Sie das transiente oder persistente Namensbezeichnerformat verwenden, dann sind die Namensbezeichner bereits anonymisiert. Diese Namensbezeichner brauchen nicht verschlüsselt zu werden. Das E-Mail-Namensbezeichnerformat kann jedoch die tatsächlichen Namen und Kontaktdaten des Benutzers enthüllen. Wenn Sie das transiente und persistente Namensbezeichnerformat verwenden, können Sie Attribute senden. Diese Attribute können auch persönliche Informationen enthüllen, die Sie verschlüsseln sollten.

      • Digitale Signaturen

        Der SAML-Standard liefert viele Punkte in dem Vorgang, an denen Sie signieren können oder Signaturen prüfen können. Machen Sie das nur dort, wo es sinnvoll ist. Sie können z.B. die Signatur der SAML-Assertion und der SAML-Antwort fordern. Es ist nicht sinnvoll, dass der Identity-Provider die SAML-Antwort signiert und dann in eine SAML-Assertion packt und erneut signiert, bevor er die Assertion an den Service-Provider schickt. Das wäre nur sinnvoll, falls Sie einen benutzerdefinierten Prozess entwickelt haben, um SAML-Antworten von SAML-Assertions zu trennen und die Antwort über einen Dritten senden, bevor die Antwort bearbeitet wird. Sie können den Prozess weiter verkomplizieren, indem Sie eine HTTP-Artefakt-Bindung verwenden und eine Signatur für die Artefaktantwort fordern. In diesem Fall signiert der Identity-Provider die Nachricht dreimal.

        Der Service-Provider unterstützt Signaturvererbung. Falls die SAML-2.0-Antwort signiert ist, sieht der Service-Provider die SAML-2.0-Assertion als signiert an. Falls die SAML-2.0-Artefakt-Antwort signiert ist, sieht der Service-Provider die SAML-2-Antwort und die darin enthaltenen SAML-2.0-Assertions ebenso als signiert an.

  7. Geben Sie die für die Endpunkte von SSO, SLO und des Artefaktauflösungsservice (AAS) erforderlichen Daten ein.

    Die XML-Metadatendatei liefert die vom Identity-Provider unterstützten Bindungen. Falls Sie neue Bindungen hinzufügen, müssen Sie den Identity-Provider so konfigurieren, dass er diese unterstützt.

  8. Geben Sie die für Authentifizierungskontexte und Anforderungen der Authentifizierungsantwort erforderlichen Daten ein.
  9. Wählen Sie die Drucktaste Fertigstellen.