एसएपी सुरक्षा - लोगन टिकट
आप एसएपी वातावरण में एकीकृत अनुप्रयोगों का उपयोग करने के लिए एकल साइन-ऑन के साथ कॉन्फ़िगर करने के लिए डिजिटल हस्ताक्षरित एसएपी लॉगऑन टिकट को कॉन्फ़िगर कर सकते हैं। आप उपयोगकर्ताओं को SAP लॉगऑन टिकट जारी करने के लिए एक पोर्टल कॉन्फ़िगर कर सकते हैं और उपयोगकर्ताओं को प्रारंभिक पहुंच के लिए इस प्रणाली को प्रमाणित करने की आवश्यकता है। जब SAP लॉगऑन टिकट उपयोगकर्ताओं को जारी किए जाते हैं, तो वे वेब ब्राउज़र में सहेजे जाते हैं और उपयोगकर्ता को SSO के उपयोग से विभिन्न प्रणालियों में लॉगिन करने की अनुमति देता है।
ABAP एप्लिकेशन सर्वर में, दो अलग-अलग प्रकार के लोगन टिकट होते हैं, जिन्हें कॉन्फ़िगर किया जा सकता है -
Logon Tickets - ये टिकट एसएसओ पद्धति का उपयोग करके वेब आधारित पहुंच की अनुमति देते हैं।
Authentication Assertion Tickets - इन टिकटों का उपयोग सिस्टम से सिस्टम संचार के लिए किया जाता है।
SAP लॉगऑन टिकट को कॉन्फ़िगर करने के लिए, उपयोगकर्ता प्रोफ़ाइल में निम्न पैरामीटर सेट किए जाने चाहिए।
लॉगिन / accept_sso2_ticket
आप SAP सिस्टम और गैर-SAP सिस्टम से परे भी SSO की अनुमति देने के लिए सिंगल साइन-ऑन (SSO) टिकट का उपयोग कर सकते हैं। एक एसएसओ टिकट एक लॉगऑन टिकट या दावा टिकट हो सकता है। लॉगऑन टिकट को नाम के साथ कुकी के रूप में स्थानांतरित किया जाता हैMYSAPSSO2। दावा टिकट MYSAPSSO2 नाम के साथ HTTP हेडर चर के रूप में स्थानांतरित किया गया है।
Note- इसे सिस्टम जारी करने और स्वीकार करने के लिए अतिरिक्त कॉन्फ़िगरेशन चरणों की आवश्यकता होती है। SSO घटक सिस्टम को SSO टिकट (लॉग इन / एक्सेप्ट_sso2_ticket = 1) द्वारा लॉगऑन की अनुमति देनी चाहिए।
यदि केवल प्रक्रिया (X.509 क्लाइंट सर्टिफिकेट) का उपयोग सिंगल साइन-ऑन के लिए किया जाता है, या यदि आप इस सिस्टम के लिए सिंगल साइन-ऑन का उपयोग नहीं करना चाहते हैं, तो आप इस लॉगऑन को SSO टिकट (लॉगिन / accept_sso2-ticket =) द्वारा निष्क्रिय कर सकते हैं 0)।
पैरामीटर सेट करने के लिए, लेन-देन का उपयोग करें RZ11
Values allowed - 0/1
लॉगिन / create_sso2_ticket
आप एसएपी सिस्टम के बीच और यहां तक कि गैर-एसएपी सिस्टम से परे एसएसओ की अनुमति देने के लिए सिंगल साइन-ऑन (एसएसओ) टिकट का उपयोग कर सकते हैं। एक एसएसओ टिकट एक लॉगऑन टिकट या दावा टिकट हो सकता है। लॉगऑन टिकट MYSAPSSO2 नाम से कुकी के रूप में स्थानांतरित किया जाता है। दावा टिकट MYSAPSSO2 नाम के साथ HTTP हेडर चर के रूप में स्थानांतरित किया गया है।
Note - इसके लिए सिस्टम को जारी करने और स्वीकार करने के लिए अतिरिक्त कॉन्फ़िगरेशन चरणों की आवश्यकता होती है।
जारी करने वाली प्रणाली को एसएसओ टिकट की पीढ़ी को अनुमति देनी चाहिए -
लॉगिन / create_sso2_ticket = 1: प्रमाण पत्र सहित SSO टिकट
लॉगिन / create_sso2_ticket = 2: एसएसओ टिकट बिना प्रमाण पत्र के
लॉगिन / create_sso2_ticket = 3: केवल दावा टिकट उत्पन्न करें
Values allowed- 0/1/2/3
लॉगिन / ticket_expiration_time
MySAP.com कार्यस्थल का उपयोग करते समय एकल साइन-ऑन (SSO) करना संभव बनाने के लिए, SSO टिकट का उपयोग किया जा सकता है। SSO टिकट बनाते समय, आप वैधता अवधि निर्धारित कर सकते हैं। एक बार यह समाप्त हो जाने के बाद, एसएसओ टिकट का उपयोग कार्यस्थल घटक प्रणालियों पर लॉग इन करने के लिए और अधिक नहीं किया जा सकता है। उपयोगकर्ता को फिर से एक नया एसएसओ टिकट प्राप्त करने के लिए कार्यस्थल सर्वर पर लॉग इन करना होगा।
Values allowed - <घंटे> [: <मिनट>]
यदि गलत मान दर्ज किए जाते हैं, तो डिफ़ॉल्ट मान का उपयोग किया जाता है (8 घंटे)।
सही मान नीचे दिखाए गए हैं -
- 24 → 24 घंटे
- 1:30 → 1 घंटे, 30 मिनट
- 0:05 → 5 मिनट
गलत मान इस प्रकार होंगे -
- 40 (0:40 सही होगा)
- 0:60 (1 सही होगा)
- 10: 000 (10 सही होगा)
- 24: (24 सही होगा)
- 1:A3
X.509 क्लाइंट सर्टिफिकेट
SSO विधि का उपयोग करते हुए, आप NetWeaver Application Server को प्रमाणित करने के लिए X.509 क्लाइंट प्रमाणपत्र का उपयोग कर सकते हैं। क्लाइंट प्रमाणपत्र NetWeaver अनुप्रयोग सर्वर तक उपयोगकर्ता की पहुंच को सुरक्षित करने के लिए बहुत मजबूत क्रिप्टोग्राफ़ी विधियों का उपयोग करते हैं, इसलिए आपके नेटवेवर एप्लिकेशन सर्वर को मजबूत क्रिप्टोग्राफ़ी तकनीकों के साथ सक्षम किया जाना चाहिए।
आपके SAP NetWeaver एप्लिकेशन सर्वर पर SSL कॉन्फ़िगर होना चाहिए क्योंकि प्रमाणीकरण किसी भी उपयोगकर्ता नाम और पासवर्ड को दर्ज किए बिना SSL प्रोटोकॉल का उपयोग करता है। एसएसएल प्रोटोकॉल का उपयोग करने के लिए, वेब ब्राउजर और नेटवेवर एबीएपी एप्लिकेशन सर्वर के बीच संवाद करने के लिए एचटीटीपीएस कनेक्शन की आवश्यकता होती है।
सुरक्षा अभिकथन मार्कअप लैंग्वेज (SAML2.0)
SAML2.0 को सिंगल साइन-ऑन एसएसओ के साथ प्रमाणीकरण के रूप में उपयोग किया जा सकता है और यह विभिन्न डोमेन में एसएसओ को सक्षम करता है। SAML 2.0 को एक संगठन OASIS नाम से विकसित किया गया है। यह एक सिंगल लॉग-आउट विकल्प भी प्रदान करता है, जिसका अर्थ है कि जब उपयोगकर्ता सभी प्रणालियों से लॉग इन करता है, SAP सिस्टम में सेवा प्रदाता पहचान प्रदाताओं को सूचित करता है जो बदले में सभी सत्रों से लॉग आउट करते हैं।
SAML2.0 प्रमाणीकरण का उपयोग करने के निम्नलिखित फायदे हैं -
आप अनुप्रयोग को अन्य सिस्टम पर होस्ट करने वाले सिस्टम के लिए प्रमाणीकरण बनाए रखने के ओवरहेड को कम कर सकते हैं।
आप सिस्टम में उपयोगकर्ता पहचान को बनाए रखने के बिना बाहरी सेवा प्रदाताओं के लिए प्रमाणीकरण भी बनाए रख सकते हैं।
सभी प्रणालियों में एकल लॉगआउट विकल्प।
उपयोगकर्ता खातों को स्वचालित रूप से मैप करने के लिए।
केर्बरोस ऑथेंटिकेशन
आप वेब क्लाइंट और वेब ब्राउज़र के माध्यम से पहुंच का उपयोग करके SAP NetWeaver एप्लिकेशन सर्वर के लिए Kerberos प्रमाणीकरण भी कर सकते हैं। यह सरल और संरक्षित जीएसएस एपीआई निगोशिएशन तंत्र का उपयोग करता हैSPNegoजिसे इस प्रमाणीकरण का उपयोग करने के लिए अतिरिक्त लाइसेंस के साथ एकल साइन-ऑन एसएसओ 2.0 या उच्चतर संस्करण की भी आवश्यकता होती है। SPNego ट्रांसपोर्ट लेयर सुरक्षा का समर्थन नहीं करता है, इसलिए NetWeaver Application Server के साथ संचार करने के लिए ट्रांसपोर्ट लेयर सुरक्षा को जोड़ने के लिए SSL प्रोटोकॉल का उपयोग करने की अनुशंसा की जाती है।
उपरोक्त स्क्रीनशॉट में, आप विभिन्न प्रमाणीकरण विधियों को देख सकते हैं जिन्हें प्रमाणीकरण उद्देश्यों के लिए उपयोगकर्ता प्रोफ़ाइल में कॉन्फ़िगर किया जा सकता है।
एसएपी में प्रत्येक प्रमाणीकरण विधि के अपने फायदे हैं और विभिन्न परिदृश्यों में इसका उपयोग किया जा सकता है।