Seguridad SAP - Tickets de inicio de sesión
Puede configurar los tickets de inicio de sesión de SAP firmados digitalmente para configurarlos con un inicio de sesión único para acceder a aplicaciones integradas en un entorno SAP. Puede configurar un portal para emitir tickets de inicio de sesión de SAP a los usuarios y los usuarios deben autenticar este sistema para el acceso inicial. Cuando se emiten tickets de inicio de sesión de SAP a los usuarios, se guardan en los navegadores web y permiten al usuario iniciar sesión en diferentes sistemas con el uso de SSO.
En un servidor de aplicaciones ABAP, hay dos tipos diferentes de ticket de inicio de sesión que se pueden configurar:
Logon Tickets - Estos tickets permiten el acceso basado en web mediante el método SSO.
Authentication Assertion Tickets - Estos tickets se utilizan para la comunicación de sistema a sistema.
Para configurar los tickets de inicio de sesión de SAP, se deben configurar los siguientes parámetros en el perfil de usuario.
iniciar sesión / accept_sso2_ticket
Puede utilizar tickets de inicio de sesión único (SSO) para permitir un SSO entre sistemas SAP e incluso más allá de los sistemas que no son de SAP. Un ticket de SSO puede ser un ticket de inicio de sesión o un ticket de afirmación. El ticket de inicio de sesión se transfiere como una cookie con el nombreMYSAPSSO2. El ticket de aserción se transfiere como una variable de encabezado HTTP con el nombre MYSAPSSO2.
Note- Esto requiere pasos de configuración adicionales para emitir y aceptar los sistemas. Los sistemas del componente SSO deben permitir el inicio de sesión mediante un ticket SSO (login / accept_sso2_ticket = 1).
Si solo se utiliza el procedimiento (certificado de cliente X.509) para un inicio de sesión único, o si no desea utilizar el inicio de sesión único para este sistema, puede desactivar este inicio de sesión mediante el ticket SSO (login / accept_sso2_ticket = 0).
Para establecer el parámetro, use Transaction RZ11
Values allowed - 0/1
iniciar sesión / create_sso2_ticket
Puede utilizar los tickets de inicio de sesión único (SSO) para permitir un SSO entre sistemas SAP e incluso más allá de los sistemas que no son de SAP. Un ticket de SSO puede ser un ticket de inicio de sesión o un ticket de afirmación. El ticket de inicio de sesión se transfiere como una cookie con el nombre MYSAPSSO2. El ticket de aserción se transfiere como una variable de encabezado HTTP con el nombre MYSAPSSO2.
Note - Esto requiere pasos de configuración adicionales para la emisión y aceptación de los sistemas.
El sistema emisor debe permitir la generación de un ticket SSO -
login / create_sso2_ticket = 1: ticket SSO que incluye certificado
login / create_sso2_ticket = 2: ticket SSO sin certificado
login / create_sso2_ticket = 3: generar solo tickets de aserción
Values allowed- 0/1/2/3
login / ticket_expiration_time
Para que sea posible tener un inicio de sesión único (SSO) cuando se utiliza mySAP.com Workplace, se pueden utilizar tickets de SSO. Al crear un ticket de SSO, puede establecer el período de validez. Una vez que ha expirado, el ticket SSO ya no se puede utilizar para iniciar sesión en los sistemas de componentes del lugar de trabajo. Luego, el usuario debe iniciar sesión en el servidor del lugar de trabajo nuevamente para obtener un nuevo ticket SSO.
Values allowed - <Horas> [: <Minutos>]
Si se ingresan valores incorrectos, se usa el valor predeterminado (8 horas).
Los valores correctos serán los que se muestran a continuación:
- 24 → 24 horas
- 1:30 → 1 hora, 30 minutos
- 0:05 → 5 minutos
Los valores incorrectos serán los siguientes:
- 40 (0:40 sería correcto)
- 0:60 (1 sería correcto)
- 10: 000 (10 sería correcto)
- 24: (24 sería correcto)
- 1:A3
Certificados de cliente X.509
Con un método SSO, puede utilizar certificados de cliente X.509 para autenticar el servidor de aplicaciones NetWeaver. Los certificados de cliente utilizan métodos criptográficos muy sólidos para proteger el acceso de los usuarios al servidor de aplicaciones NetWeaver, por lo que su servidor de aplicaciones NetWeaver debe estar habilitado con técnicas criptográficas sólidas.
Debe tener SSL configurado en sus servidores de aplicaciones SAP NetWeaver, ya que la autenticación se realiza mediante el protocolo SSL sin ingresar ningún nombre de usuario y contraseña. Para utilizar el protocolo SSL, se requiere una conexión HTTPS para comunicarse entre el navegador web y el servidor de aplicaciones NetWeaver ABAP.
Lenguaje de marcado de aserción de seguridad (SAML2.0)
El SAML2.0 se puede utilizar como autenticación con SSO de inicio de sesión único y habilita SSO en diferentes dominios. SAML 2.0 es desarrollado por un nombre de organización OASIS. También proporciona una opción de cierre de sesión único, lo que significa que cuando un usuario cierra la sesión de todos los sistemas, el proveedor de servicios en el sistema SAP notifica a los proveedores de identidad que, a su vez, cierran todas las sesiones.
Las siguientes son las ventajas de usar la autenticación SAML2.0:
Puede reducir la sobrecarga de mantener la autenticación para el sistema que aloja la aplicación en otro sistema.
También puede mantener la autenticación para proveedores de servicios externos sin mantener las identidades de usuario en los sistemas.
Opción de cierre de sesión único en todos los sistemas.
Para mapear las cuentas de usuario automáticamente.
Autenticación Kerberos
También puede utilizar la autenticación Kerberos para el servidor de aplicaciones SAP NetWeaver mediante el acceso a través de clientes web y navegadores web. Utiliza un mecanismo de negociación de API GSS simple y protegidoSPNegoque también requiere un inicio de sesión único SSO 2.0 o una versión superior con licencias adicionales para utilizar esta autenticación. losSPNego no es compatible con la seguridad de la capa de transporte, por lo que se recomienda utilizar el protocolo SSL para agregar seguridad en la capa de transporte para comunicarse con NetWeaver Application Server.
En la captura de pantalla anterior, puede ver diferentes métodos de autenticación que se pueden configurar en un perfil de usuario con fines de autenticación.
Cada método de autenticación en SAP tiene sus propias ventajas y se puede utilizar en diferentes escenarios.