This means that you do not need a user-to-user mapping, but the information in the certificate makes sure that 
the authentication request of a certain user are accepted.
The application recognizes the information and uses it to map to a certain user.
User mapping is possible in the following applications:
● LDAP
● OpenLDAP
● User Management Engine
● Microsoft Active Directory
● ABAP login module
● SPNego login module
● RSA
● RADIUS
Related Information
Parameters for Destination Management Configuration [page 286]
(Optional) Configuring User Logon ID Padding in Secure Login Server [page 196]
5.8.7.2  Configuring User Mapping for Secure Login Server in 
an Authentication Profile
User mapping for Secure Login Server only runs if you use Microsoft Active Directory or LDAP.
Prerequisites
You have a service user in Microsoft Active Directory or LDAP.
An LDAP server or a Microsoft Active Directory Server is installed in 
Destination Management
Settings
LDAP Server Authentication (Optional)
.
For more information, see the related link.
You have defined authentication profiles for the authentication stack you use.
You have entered the optional parameters in the section LDAP Server Authentication (Optional) of the Destination 
Management.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
191
Pdf thumbnails in - Draw thumbnail images for PDF in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Support Thumbnail Generation with Various Options for Quick PDF Navigation
view pdf thumbnails in; thumbnail view in for pdf files
Pdf thumbnails in - VB.NET PDF Thumbnail Create SDK: Draw thumbnail images for PDF in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Support Thumbnail Generation with Various Options for Quick PDF Navigation
how to create a thumbnail of a pdf document; create thumbnail jpg from pdf
Procedure
Related Information
Parameters for LDAP Login Modules [page 272]
Creating Destinations [page 187]
5.8.7.3  (Optional) Configuring the User Logon ID Mapping 
with Added Attributes
Here you learn how you use LDAP or Microsoft Active Directory Server attributes instead of the user name passed 
on by the client.
Context
To configure the basic and optional functions for the user mapping certificate, take the following steps:
Procedure
1. Go to Profile Management.
2. Choose the Certificate Configuration tab.
3. Expand the User Logon ID Mapping (Optional) tray.
4. Choose the Edit button.
5. Activate the checkbox Enable User Logon ID Mapping. This enables you to configure the use of an LDAP or 
Microsoft Active Directory Server attributes instead of the user name passed by the client. The system 
displays the Mapping Destinations and Mapping Attributes sections.
6. Select the respective destination names in the Mapping Destinations table. It is possible to select multiple 
destinations. The following destinations are available:
○ LDAP destination
○ Windows Active Directory
7. Enter a search attribute and search values for the LDAP or Active Directory database in the mandatory 
parameters LDAP Search Attribute and Search Value.
Example
Use the LDAP search attribute userPrincipalName with search value (AUTH:UPN).
192
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
Ability to show PDF page thumbnails for quick navigation. Easy to search PDF text in whole PDF document. Navigate PDF document with thumbnails. 14. Text Search.
how to make a thumbnail from pdf; generate thumbnail from pdf
VB.NET PDF- View PDF Online with VB.NET HTML5 PDF Viewer
Ability to show PDF page thumbnails for quick navigation. Easy to search PDF text in whole PDF document. Navigate PDF document with thumbnails. 14. Text Search.
pdf file thumbnail preview; create thumbnail from pdf
Use the LDAP search attribute sAMAccountName with search value (AUTH:USERID).
The following values are available for Search Value:
AUTH:USERID
AUTH:UPN (available for SPNego only)
AUTH:DCS (available for SPNego only)
This search method finds an entire row in an LDAP or Active Directory database.
8. To search in a specific column in the LDAP or Active Directory database, go to the section Mapping Attributes
You may find several attributes. You can also add new attributes, for example, from LDAP.
The following attributes are available as default values. If you want to use further values, you must enter them 
explicitly.
displayName
givenName
mail
name (last name)
sAMAccountName
sn (first name)
userPrincipalName(user principal name)
The attributes you enter here add values to all the fields in the Certificate Attribute Configuration section 
below.
Caution
If any one of the attribute values is not valid, for example, if you misspelled it, no user certificate is issued.
Example
In the default setting, the field Common Name contains the values AUTH:USERID, AUTH:UPN, and 
AUTH:DCS. If you add the mapping attributes displayNamemail, and userPrincipalName in this sequence, 
you can enrich the Common Name field with the following values (in the following sequence):
AUTH:USERID
AUTH:UPN
AUTH:DCS (for Appendix Subject Name only)
LDAP:displayName
LDAP:mail
LDAP:userPrincipalName
It is clear that you can also use all other configured LDAP attributes. For more information, see the related 
link.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
193
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
Reduce image resources: Since images are usually or large size, images size reducing can help to reduce PDF file size effectively. Embedded page thumbnails.
show pdf thumbnail in html; create thumbnail jpeg from pdf
C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
Support of converting from any single one PDF page and multiple pages. Thumbnails can be created from PDF pages. Support for customizing image size.
create pdf thumbnail image; pdf preview thumbnail
Results
When a user logs on to a Secure Login Client, all those attributes are immediately transferred by the certificate. 
When an attribute is found, for example “mail”, user information contains the e-mail address.
Related Information
Configuring the Certificate Attributes for User Mapping in the Secure Login Server [page 199]
5.8.7.3.1  Restrictions of Certificate User Mapping
This section describes how to configure the use of an attribute from an LDAP or Microsoft Active Directory Server 
instead of the user name given by the client.
This may be useful if the SAP user names and the authenticated user names (for example, from a Microsoft 
Windows domain) are not the same.
Caution
Do not use certificate user mapping together with a configured Distinguished Name with SPNego. For more 
information, see related link.
Example
The Microsoft user name is "UserADS" and the SAP user name is "UserSAP". Without certificate user mapping 
the Secure Login Server would create a user certificate with the Distinguished Name CN=UserADS.
If the SAP user name is stored in the Microsoft Active Directory, for example, in the attribute AUTH:USERID, the 
Secure Login Server can read this attribute and create a user certificate with the Distinguished Name 
CN=UserSAP.
The advantage of having the SAP user name in Distinguished Name is easier configuration in the SAP 
NetWeaver AS for ABAP/Java Server environment (user mapping configuration).
Caution
If users change their own attributes (for example, through a self-service), and these attributes are used by the 
user certificate (issued by the Secure Login Server), a situation may occur in which these users are able to 
assign additional rights to themselves. Thus these users might get rights they are not supposed to have. For 
this case, we recommend that you implement access restrictions for the change of user attributes.
Example
An AS ABAP uses, for example, certificate-based logon with the users’ e-mail addresses in the Distinguished 
Names. The string in the certificate has the following format:
194
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
C# PDF File Compress Library: Compress reduce PDF size in C#.net
Reduce image resources: Since images are usually or large size, images size reducing can help to reduce PDF file size effectively. Embedded page thumbnails.
view pdf thumbnails in; create pdf thumbnails
VB.NET PDF - View PDF with WPF PDF Viewer for VB.NET
File: Compress PDF. Page: Create Thumbnails. Page: Insert PDF Pages. Page: Delete Existing PDF Pages. PDF thumbnails for navigation in .NET project.
pdf file thumbnail preview; generate pdf thumbnails
CN=employee@company.com
This means that the user’s e-mail address is used for the user mapping in SNC. If an administrator enables the 
user to change his or her own data, for example, e-mail address, first name, last name etc. through a self-
service, this user now has the possibility to enter, for example, his or her manager’s e-mail address 
(manager@company.com) as attribute. Since this data is usually maintained centrally, this change would also 
affect the Secure Login Server. If the certification user mapping feature of the Secure Login Server is 
configured with the e-mail address as an attribute of the certificate, the user receives a certificate with the 
Distinguished Name CN=manager@company.com. This user is now able to log on to the AS ABAP as his or her 
manager.
The prerequisite is that the SAP user name is stored in the LDAP or Microsoft Active Directory system. Certificate 
user mapping depends on the Secure Login Server user credential check against the authentication server.
Related Information
Configuring a Distinguished Name with Active Directory Server and SPNego Login Module [page 197]
5.8.7.3.2  Defining an LDAP Destination
If you want to establish certificate user mapping, you must have defined an LDAP destination as a prerequisite.
Context
You must define an LDAP destination. For more information, see related link.
Enter the optional parameters in the section LDAP Server Authentication (Optional) of the Destination 
Management. Proceed as follows:
Procedure
1. Open the Secure Login Administration Console.
https://<host_name>:<port>/webdynpro/resources/sap.com/securelogin.ui/Main
https://example.com:50001/webdynpro/resources/sap.com/securelogin.ui/Main
2. Select the Destination Management tab.
3. Go to the Settings tab.
4. Choose the Edit button.
5. Go to the LDAP Server Authentication (Optional) section.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
195
C# PDF Convert to Images SDK: Convert PDF to png, gif images in C#
Converter control easy to create thumbnails from PDF pages. Selection for compressing to multiple image formats. Cut and paste any areas in PDF pages to images.
create thumbnail from pdf; how to make a thumbnail from pdf
C# WPF PDF Viewer SDK to view PDF document in C#.NET
File: Compress PDF. Page: Create Thumbnails. Page: Insert PDF Pages. Page: Delete Existing PDF Pages. PDF thumbnails for navigation in .NET WPF Console application
enable pdf thumbnails; pdf thumbnail generator
6. Enter values for the parameters. You need to specify the LDAP search base DN and the service user name. 
Entering a password is optional.
7. Save your changes.
For more information on the parameters, see related link.
8. Go through user logon ID mapping in the user certificate configuration of the authentication profile and enter 
the parameters you need. For more information, see the related link.
9. (Optional) If you want to use user logon ID padding, enter the required values. For more information, see 
related link.
Related Information
Parameters for Destination Management Configuration [page 286]
5.8.7.4  (Optional) Configuring User Logon ID Padding in 
Secure Login Server
User logon ID padding enables you to set the lengths of user names, and add padding characters. It is also 
transferred from the Secure Login Server to the Secure Login Client.
Prerequisites
You have set the common name to PADDEDNAME in the certificate attribute configuration
Context
User names in the common name (CN) field may need a fixed or minimum length. User IDs need a maximum 
length of 12 characters in the SAP NetWeaver AS for ABAP environment. In these cases, you can turn on padding. 
The padding length sets the minimum length of user names.
Procedure
1. Go to User Logon ID Padding (Optional). This section contains the padding parameters that are passed on in 
the certificate when a client or a Secure Login Client authenticates.
2. Activate the checkbox Enable User Logon ID Padding. This displays the user logon ID padding parameters.
3. Enter the relevant values.
196
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
4. Save your changes.
For more information about the user logon ID padding parameters, see the related link.
Related Information
Parameters for User Logon ID Padding [page 285]
5.8.7.5  Configuring a Distinguished Name with Active 
Directory Server and SPNego Login Module
This topic describes the configuration of Distinguished Names for users in different trusted domains.
Context
You want to use Secure Login Client, Secure Login Server, and the SPNego login module for certificate 
enrollment. The users are located in different trusted Microsoft Active Directory domains.
Caution
Since the user IDs may be identical in the subdomains, the Secure Login Server must ensure that non-
ambiguous certificates are issued. Thus it adds the domain components to the subject names.
You can use the field Appendix Subject Name in the Certificate Attribute Configuration section of 
Profile 
Management
Certificate Configuration
for this. It allows you to customize the Distinguished Name of a 
certificate.
Use one of the following variables for the Common Name field:
Table 34:
Variable
Description
(AUTH:USERID)
User name only
(AUTH:UPN)
User principal name
(AUTH:DCS)
All domain components are displayed.
Prerequisites
● You use the SPNego login module in the Secure Login Server.
● You have a Microsoft Active Directory environment.
Procedure
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
197
Procedure
1. Go to Profile Management.
2. Select the relevant authentication profile.
3. Choose the Certificate Configuration tab.
4. Expand the Certificate Attribute Configuration tray.
5. Choose Edit.
6. Enter the values with the data as required. If there are two users in different domains, you must output the 
domain components in the Distinguished Name. For example, enter data for common name, organization, 
and country. See the following examples:
Example
Table 35:
Values for Appendix Subject Name
Result
If a user smith@example.com logs on, the following Dis­
tinguished Name is used:
(AUTH:USERID)
CN=smith
(AUTH:UPN)
CN=smith@example.com
(AUTH:DCS)
CN=smith,DC=example,DC=com"
Display of the domain components
Example
Table 36:
Variables with Output of Domain Components
Result
If there are different users called Smith in two subdo­
mains (one in sub1.example.com and one in sub2.exam­
ple.com), the following Distinguished Names are used:
Common Name with
(AUTH:UPN)
CN=smith@sub1.example.com
CN=smith@sub2.example.com
Common Name with 
(AUTH:USERID)
Appendix Subject Name with 
(AUTH:DCS)
CN=smith,DC=sub1,DC=example,DC=com
CN=smith,DC=sub2,DC=example,DC=com
198
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
Example
In addition to this, you can set any valid Distinguished Name attribute as static part of the Distinguished 
Name.
Table 37:
Values for Appendix Subject Name
Result
With different users called Smith in two subdomains 
(sub1.example.com and sub2.example.com)
CN=(AUTH:UPN), OU=HR, O=SAP, C=DE
CN=smith@sub1.example.com, OU=HR, O=SAP, 
C=DE
CN=smith@sub2.example.com, OU=HR, O=SAP, 
C=DE
7. Save your entries.
Note
Use Appendix Subject Name to configure a Relative Distinguished Name.
5.8.7.6  Configuring the Certificate Attributes for User 
Mapping in the Secure Login Server
The Secure Login Server passes the certificate attributes for user mapping on to the Secure Login Client. This 
topic explains the configuration.
Context
The Certificate Attribute Configuration contains all the attributes that are transferred from the Secure Login 
Server to the Secure Login Client. You can use the input values, such as AUTH:USERID or directly type in what you 
want to include in the user certificate.
Procedure
1. Go to Certificate Attribute Configuration. This section contains the certificate attributes that are passed on in 
the certificate when a client or a Secure Login Client authenticates or when the Secure Login Server uploads 
the user certificate profile.
2. Enter the mandatory common name or choose an input value, for example AUTH:USERID.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
199
If you have defined mapping attributes from an LDAP or Active Directory, you can also use these attributes, 
for example, LDAP:mail for an e-mail address.
3. Step through the fields and determine the elements you want to include in the user certificate.
4. Fill the fields you need.
5. Save your changes.
For more information about which parameters of SAP Single Sign-On 2.0 correspond to those in 1.0, see the 
related link.
Related Information
Parameters for Certificate Attribute Configuration [page 283]
5.8.7.7  Example for User Mapping with an Application Server 
for ABAP
This is an example for user mapping with Secure Login Server using an LDAP user with a UME.
You have an LDAP user and want to use it in the User Management Engine (UME) of an Application Server ABAP 
as well. You want to add further attributes to the certificate Distinguished Name, for example, e-mail address, 
AUTH:UPN, or AUTH:DCS.
The user authenticates with Secure Login Server at a User Management Engine of an Application Server ABAP. 
The Secure Login Server connects to LDAP to get further attributes from the LDAP search base. These attributes 
are maintained in the Distinguished Name of the user certificate.
A user logs on to Secure Login Server with user name and password. The Secure Login Server receives the user 
name and password in the authentication request and identifies the user. The Secure Login Server issues a 
certificate that contains information about the user, for example the e-mail address.
Now the user authenticates with Secure Login Client or Secure Login Web Client at the SAP GUI. Using the User 
Maintenance (SU01 transaction) in the Application Server ABAP, you map the certificate Distinguished Name as 
SNC name. SAP GUI reads the user information (the e-mail address) that is sent with the certificate and identifies 
the appropriate SAP user.
Note
For more information, see 
SAP NetWeaver Library: Function-Oriented View
Security
Network and 
Transport Layer Security
Transport Layer Security on the AS ABAP
Secure Network Communication
Configuring SNC on AS ABAP
User Maintenance on AS ABAP
in the SAP Help Portal.
200
PUBLIC
© 2016 SAP SE or an SAP affiliate company. All rights reserved.
Secure Login for SAP Single Sign-On Implementation Guide
Secure Login Server
Documents you may be interested
Documents you may be interested