Show TOC

Identitätsföderation mit virtuellen Benutzern konfigurierenLocate this document in the navigation structure

Voraussetzungen

Sie haben einem Identity-Provider vertraut.

Weitere Informationen finden Sie unter Einem Identity-Provider vertrauen.

Kontext

Identitätsföderation mit dem Typ Virtuelle Benutzerermöglicht es Ihnen, authentifizierten Benutzern Zugriff auf Ihr System zu bieten, ohne dass Sie genaue Einzelheiten über diese Benutzer zu kennen brauchen. Sie verhandeln mit dem Administrator des Identity-Providers, um zu ermitteln, welche SAML-2.0-Attribute Sie benötigen. Sie ermitteln, wie diese Attribute den Benutzerattributen, Gruppen und Rollen in Ihrem System zugeordnet werden, während der Identity-Provider die Verwaltung der Benutzer und ihrer Authentifizierung ohne Ihr Eingreifen handhabt. Die Benutzer sind nur so lange im Speicher Ihres Systems vorhanden wie sie angemeldet sind.

Vorgehensweise

  1. Starten Sie SAP NetWeaver Administrator mit dem Quick Link /nwa/auth.
  2. Wählen Sie Anfang des Navigationspfads SAML 2.0 Nächster Navigationsschritt Vertrauenswürdige Provider Ende des Navigationspfads.
  3. Wählen Sie einen Identity-Provider aus, und wählen Sie die Taste Bearbeiten.
  4. Wählen Sie auf der Registerkarte Identitätsföderationdie Drucktaste Hinzufügen.
  5. Wählen Sie das Namensbezeichnerformat.
  6. Wählen Sie den Föderationstyp Virtuelle Benutzer.
  7. Wenn Sie wollen, dass der Identity-Provider bei Bedarf einen Namensbezeichner anlegen kann, setzen Sie das Kennzeichen in dem Ankreuzfeld Identity-Provider erlauben, NameID anzulegen.
  8. Konfigurieren Sie das Assertion-Attribut für die Benutzerkennungsquelle. Sie können ein anderes Attribute als die Inhabernamenkennung verwenden, indem Sie die Option Assertion-Attributwählen.

    Der Wert Benutzerkennungszuordnungsmodusist standardmäßig auf Anmelde-IDgesetzt und kann nicht geändert werden.

  9. Setzen Sie das Feld Benutzerkennungsfilter. Dieses Feld gibt an, welches Benutzerkennungsmuster der Service-Provider in der Form eines regulären Java-Ausdrucks akzeptieren kann.

    Sie können dieses Feld auch für das Konfigurieren von Bereichen oder Domänen für die Namensbezeichnerformate E-Mail, Windows-Name, und Kerberosoder für das Einschränken der Anzahl der vertrauenswürdigen Provider verwenden. Sie können beispielsweise Benutzerkennungen zulassen, die mit sap.comenden und alle anderen ablehnen.

  10. Setzen Sie die Felder Benutzerkennungspräfixund Benutzerkennungssuffix. Sie fügen ein Suffix und ein Präfix hinzu, um dem Service-Provider mitzuteilen, welche Benutzerkennung authentifiziert werden soll.

    Wenn beispielsweise der Service-Provider Benutzerkennungen mit dem Namen John empfängt, wird diese Benutzerkennung durch ein Präfix oder ein Suffix eindeutig identifizierbar. Auf diese Weise wird der Service-Provider wissen, welcher vertrauenswürdige Provider authentifiziert werden soll.

  11. Legen Sie eine Zuordnung zwischen den SAML-2-Attributen, die mit der SAML-Assertion gesendet werden, und den User Management Engine(UME)-Attributen, in die der Service-Provider sie schreibt, an.

    Diese Attribute liefern die Basis für den temporären Benutzer auf dem Service-Provider. Attribute, die als obligatorisch gekennzeichnet sind, müssen vorhanden sein und Werte haben. Andernfalls weist der Service-Provider den gesamten Authentifizierungsversuch zurück. Der Service-Provider legt das temporäre Benutzerkonto nicht ohne die obligatorischen Werte an. Sie können auch eine Zuordnung von SAML-Attributen zu Rollen und Gruppen anlegen oder die Rollen und Gruppen vordefinieren, zu denen temporäre Benutzer gehören.

    Weitere Informationen finden Sie in den folgenden Abschnitten:

  12. Sichern Sie Ihre Eingaben.
  13. Konfigurieren Sie den Identity-Provider so, dass er das Namensbezeichnerformat mit den obligatorischen Attributen liefert.

    Weitere Informationen über das Konfigurieren eines Identity-Providers finden Sie in der vom Identity-Provider-Anbieter gelieferten Dokumentation.

Nächste Schritte

Logische Attribute