Kontakt

Ansicht
Dokumentation

CERTRULE_CREATE_RULE - Erzeugen einer Regel für regelbasiertes Zertifikatsmapping

CERTRULE_CREATE_RULE - Erzeugen einer Regel für regelbasiertes Zertifikatsmapping

SUBST_MERGE_LIST - merge external lists to one complete list with #if... logic for R3up   BAL_S_LOG - Application Log: Log header data  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Funktionalität

Erzeugt und fügt eine Regel in der Regeltabelle USRCERTRULE an. Die Regel wird aus einem X.509 Zertifikat erzeugt. Das regelbasierte Zertifikatsmapping soll das explizite Mapping über eine Ausnahmentabelle ablösen und über einfache Regeln eine Anmeldung ermöglichen.

Das regelbasierte Zertifikatsmapping erlaubt bei einer Public Key Infrastruktur die Anmeldung und Benutzerzuordnung pro Zertifikatsaussteller und Regel, d.h. eine Regel ist nötige für eine CA.

Beispiel

Zertifikatsaussteller CA: CN=CA-CERT, OU=CLASS3, O=CERT, C=US

Subjekt Name eines Zertifikats: CN=bill@company.com, O=COMPANY, C=US

Wenn die Anmeldung mit solchen Zertifikaten und einer "Alias" Anmeldung möglich sein soll, sieht der Aufruf folgendermaßen aus:

CALL FUNCTION 'CERTRULE_ADD_RULE'
EXPORTING
,,CERTIFICATE = xstring_cert
,,INDEX ,,= 0
,,LOGON_TYPE = 'A'
EXCEPTIONS
,,OTHERS ,,= 1.

Resultat: Der Teil "bill@company.com" wird aus dem Subjekt genommen und als Alias-Anmeldung im System verwendet.

Hinweise

Es wird momentan nur eine Regel unterstützt; diese hat immer den Index 0.

Ein leerer Subjekt-Filter ist nur bei Anmeldung über den Zertifikatseintrag Subjekt Alternativer Name möglich. Im Subjekt-Filter darf das Attribut zur Anmeldung nicht vorkommen.

Der Aussteller der Zertifikats wird immer vollständig als fester Filter verwendet.

Im Subjekt Alternative Name kann kein Filter gesetzt werden.

Weiterführende Informationen

Im Allgemeinen ist eine Regel für einen Aussteller (Issuer) und Subjekt Kombination nötig, wobei der "variable Anteil" im Subjekt, der die Anmeldeinformation enthält nicht dazu zählt. Die Kombination meint:

Aussteller: CN=CA-CERT, OU=CLASS3, O=CERT, C=US

Subjekt: ,,O=COMPANY, C=US

Der variable Filteranteil im Subjekt kann über die Parameter SUBJECT_FILTER_RULE bzw. SUBJECT_REV_FILTER erzeugt werden. Bei Vorhandensein von SUBJECT_REV_FILTER wird immer dieser Wert zuerst verwendet. Er gibt an, welcher Teil variabel sein soll, der Rest ist dann der feste Filteranteil.

Der Parameter SUBJECT_FILTER_RULE verhält sich umgekehrt zu SUBJECT_REV_FILTER. Bei Parameter SUBJECT_FILTER_RULE werden die festen Filteranteile angegeben und die restlichen sind damit dann variabel.





Parameter

CERTIFICATE
CERT_FILTERCASE
CERT_ISSUER
CERT_SUBJECT
DNFORMAT
INDEX
LOGON_ATTRIBUTE
LOGON_CERT_ENTRY
LOGON_TYPE
RULE_OPTIONS
SUBJECT_FILTER_RULE
SUBJECT_REV_FILTER
USRCERTRULE

Ausnahmen

ERROR_CERTIFICATE
ERROR_INVALID_CERTINDEX
ERROR_INVALID_ENTRY
ERROR_INVALID_LOGONTYPE
ERROR_INVALID_RULE
ERROR_PARAMETER
ERROR_REVERSE_FILTER
ERROR_SSF_LIB

Funktionsgruppe

SUSR_CERTRULE

BAL Application Log Documentation   ABAP Short Reference  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 5259 Date: 20240523 Time: 164227     sap01-206 ( 55 ms )