SAP Security - Anmeldetickets

Sie können die digital signierten SAP-Anmeldetickets so konfigurieren, dass sie mit einem Single Sign-On für den Zugriff auf integrierte Anwendungen in einer SAP-Umgebung konfiguriert werden. Sie können ein Portal so konfigurieren, dass SAP-Anmeldetickets an die Benutzer ausgestellt werden. Die Benutzer müssen dieses System für den Erstzugriff authentifizieren. Wenn SAP-Anmeldetickets an Benutzer ausgegeben werden, werden diese in Webbrowsern gespeichert und ermöglichen dem Benutzer die Anmeldung bei verschiedenen Systemen mithilfe von SSO.

In einem ABAP-Anwendungsserver können zwei verschiedene Arten von Anmeldetickets konfiguriert werden:

  • Logon Tickets - Diese Tickets ermöglichen den webbasierten Zugriff mit der SSO-Methode.

  • Authentication Assertion Tickets - Diese Tickets werden für die Kommunikation von System zu System verwendet.

Um SAP-Anmeldetickets zu konfigurieren, sollten die folgenden Parameter im Benutzerprofil festgelegt werden.

login / accept_sso2_ticket

Sie können SSO-Tickets (Single Sign-On) verwenden, um ein SSO zwischen SAP-Systemen und sogar über Nicht-SAP-Systeme hinaus zu ermöglichen. Ein SSO-Ticket kann ein Anmeldeticket oder ein Bestätigungsticket sein. Das Anmeldeticket wird als Cookie mit dem Namen übertragenMYSAPSSO2. Das Assertion-Ticket wird als HTTP-Header-Variable mit dem Namen MYSAPSSO2 übertragen.

Note- Dies erfordert zusätzliche Konfigurationsschritte zum Ausstellen und Akzeptieren der Systeme. Die SSO-Komponentensysteme sollten die Anmeldung mit einem SSO-Ticket ermöglichen (login / accept_sso2_ticket = 1).

Wenn nur die Prozedur (X.509-Clientzertifikat) für eine einmalige Anmeldung verwendet wird oder wenn Sie die einmalige Anmeldung für dieses System nicht verwenden möchten, können Sie diese Anmeldung per SSO-Ticket (login / accept_sso2_ticket =) deaktivieren 0).

Verwenden Sie Transaktion, um den Parameter festzulegen RZ11

Values allowed - 0/1

login / create_sso2_ticket

Sie können die SSO-Tickets (Single Sign-On) verwenden, um ein SSO zwischen SAP-Systemen und sogar darüber hinaus zu Nicht-SAP-Systemen zu ermöglichen. Ein SSO-Ticket kann ein Anmeldeticket oder ein Bestätigungsticket sein. Das Anmeldeticket wird als Cookie mit dem Namen MYSAPSSO2 übertragen. Das Assertion-Ticket wird als HTTP-Header-Variable mit dem Namen MYSAPSSO2 übertragen.

Note - Dies erfordert zusätzliche Konfigurationsschritte für das Ausstellen und Akzeptieren der Systeme.

Das ausstellende System sollte die Erstellung eines SSO-Tickets ermöglichen -

  • login / create_sso2_ticket = 1: SSO-Ticket inklusive Zertifikat

  • login / create_sso2_ticket = 2: SSO-Ticket ohne Zertifikat

  • login / create_sso2_ticket = 3: Generiere nur Assertion-Tickets

Values allowed- 0/1/2/3

login / ticket_expiration_time

Um bei Verwendung von mySAP.com Workplace ein Single Sign-On (SSO) zu ermöglichen, können SSO-Tickets verwendet werden. Beim Erstellen eines SSO-Tickets können Sie die Gültigkeitsdauer festlegen. Nach Ablauf dieser Frist kann das SSO-Ticket nicht mehr zum Anmelden bei Arbeitsplatzkomponentensystemen verwendet werden. Der Benutzer muss sich dann erneut am Arbeitsplatzserver anmelden, um ein neues SSO-Ticket zu erhalten.

Values allowed - <Stunden> [: <Minuten>]

Wenn falsche Werte eingegeben werden, wird der Standardwert verwendet (8 Stunden).

Die korrekten Werte sind wie folgt:

  • 24 → 24 Stunden
  • 1:30 → 1 Stunde, 30 Minuten
  • 0:05 → 5 Minuten

Die falschen Werte lauten wie folgt:

  • 40 (0:40 wäre richtig)
  • 0:60 (1 wäre richtig)
  • 10: 000 (10 wäre richtig)
  • 24: (24 wäre richtig)
  • 1:A3

X.509-Client-Zertifikate

Mithilfe einer SSO-Methode können Sie X.509-Clientzertifikate verwenden, um den NetWeaver Application Server zu authentifizieren. Die Client-Zertifikate verwenden sehr starke Kryptografiemethoden, um den Benutzerzugriff auf den NetWeaver-Anwendungsserver zu sichern. Daher sollte Ihr NetWeaver-Anwendungsserver mit starken Kryptografietechniken aktiviert werden.

Auf Ihren SAP NetWeaver-Anwendungsservern sollte SSL konfiguriert sein, da die Authentifizierung mithilfe des SSL-Protokolls ohne Eingabe eines Benutzernamens und eines Kennworts erfolgt. Um das SSL-Protokoll verwenden zu können, ist eine HTTPS-Verbindung erforderlich, um zwischen dem Webbrowser und dem NetWeaver ABAP Application Server zu kommunizieren.

Security Assertion Markup Language (SAML2.0)

SAML2.0 kann als Authentifizierung mit Single Sign-On-SSO verwendet werden und ermöglicht SSO über verschiedene Domänen hinweg. SAML 2.0 wird unter dem Organisationsnamen OASIS entwickelt. Es bietet auch eine Option zum einmaligen Abmelden. Wenn sich ein Benutzer von allen Systemen abmeldet, benachrichtigt der Dienstanbieter im SAP-System die Identitätsanbieter, die wiederum alle Sitzungen abmelden.

Im Folgenden sind die Vorteile der Verwendung der SAML2.0-Authentifizierung aufgeführt:

  • Sie können den Aufwand für die Aufrechterhaltung der Authentifizierung für das System, auf dem sich die Anwendung befindet, auf einem anderen System verringern.

  • Sie können die Authentifizierung auch für externe Dienstanbieter beibehalten, ohne die Benutzeridentität in den Systemen beizubehalten.

  • Einzelne Abmeldeoption in allen Systemen.

  • So ordnen Sie die Benutzerkonten automatisch zu

Kerberos-Authentifizierung

Sie können die Kerberos-Authentifizierung für den SAP NetWeaver Application Server auch über den Zugriff über Webclients und Webbrowser verwenden. Es verwendet einen einfachen und geschützten GSS-API-VerhandlungsmechanismusSPNegoFür die Verwendung dieser Authentifizierung ist außerdem eine Single Sign-On SSO 2.0-Version oder eine höhere Version mit zusätzlichen Lizenzen erforderlich. DasSPNego unterstützt die Transportschicht-Sicherheit nicht, daher wird empfohlen, das SSL-Protokoll zu verwenden, um die Transportschicht-Sicherheit für die Kommunikation mit NetWeaver Application Server hinzuzufügen.

Im obigen Screenshot sehen Sie verschiedene Authentifizierungsmethoden, die in einem Benutzerprofil für Authentifizierungszwecke konfiguriert werden können.

Jede Authentifizierungsmethode in SAP hat ihre eigenen Vorteile und kann in verschiedenen Szenarien verwendet werden.