Keamanan SAP - Tiket Masuk

Anda dapat mengonfigurasi tiket masuk SAP yang ditandatangani secara digital untuk mengonfigurasi dengan Sistem Masuk Tunggal untuk mengakses aplikasi terintegrasi dalam lingkungan SAP. Anda dapat mengonfigurasi portal untuk menerbitkan tiket masuk SAP kepada pengguna dan pengguna perlu mengautentikasi sistem ini untuk akses awal. Ketika tiket masuk SAP dikeluarkan untuk pengguna, mereka disimpan di browser web dan memungkinkan pengguna untuk masuk ke sistem yang berbeda dengan menggunakan SSO.

Dalam server aplikasi ABAP, ada dua jenis tiket Masuk yang dapat dikonfigurasi -

  • Logon Tickets - Tiket ini memungkinkan akses berbasis web menggunakan metode SSO.

  • Authentication Assertion Tickets - Tiket ini digunakan untuk komunikasi sistem ke sistem.

Untuk mengonfigurasi tiket masuk SAP, parameter berikut harus diatur di profil Pengguna.

login / accept_sso2_ticket

Anda dapat menggunakan tiket Single Sign-On (SSO) untuk mengizinkan SSO antara sistem SAP dan bahkan di luar sistem non-SAP. Tiket SSO bisa menjadi tiket masuk atau tiket pernyataan. Tiket masuk ditransfer sebagai cookie dengan namaMYSAPSSO2. Tiket pernyataan ditransfer sebagai variabel header HTTP dengan nama MYSAPSSO2.

Note- Ini memerlukan langkah konfigurasi tambahan untuk menerbitkan dan menerima sistem. Sistem komponen SSO harus mengizinkan masuk dengan tiket SSO (login / accept_sso2_ticket = 1).

Jika hanya prosedur (sertifikat klien X.509) yang digunakan untuk Sistem Masuk Tunggal, atau jika Anda tidak ingin menggunakan Sistem Masuk Tunggal untuk sistem ini, Anda dapat menonaktifkan logon ini dengan tiket SSO (login / accept_sso2_ticket = 0).

Untuk mengatur parameter, gunakan Transaksi RZ11

Values allowed - 0/1

login / create_sso2_ticket

Anda dapat menggunakan tiket Single Sign-On (SSO) untuk mengizinkan SSO antara sistem SAP dan bahkan lebih jauh ke sistem non-SAP. Tiket SSO bisa menjadi tiket masuk atau tiket pernyataan. Tiket masuk ditransfer sebagai cookie dengan nama MYSAPSSO2. Tiket pernyataan ditransfer sebagai variabel header HTTP dengan nama MYSAPSSO2.

Note - Ini membutuhkan langkah-langkah konfigurasi tambahan untuk menerbitkan dan menerima sistem.

Sistem penerbit harus mengizinkan pembuatan tiket SSO -

  • login / create_sso2_ticket = 1: Tiket SSO termasuk sertifikat

  • login / create_sso2_ticket = 2: Tiket SSO tanpa sertifikat

  • login / create_sso2_ticket = 3: Buat hanya tiket pernyataan

Values allowed- 0/1/2/3

login / ticket_expiration_time

Untuk memungkinkan adanya Single Sign-On (SSO) saat menggunakan mySAP.com Workplace, tiket SSO dapat digunakan. Saat membuat tiket SSO, Anda dapat mengatur masa berlaku. Setelah ini kedaluwarsa, tiket SSO tidak dapat digunakan lagi untuk masuk ke sistem komponen tempat kerja. Pengguna kemudian perlu masuk ke server tempat kerja lagi untuk mendapatkan tiket SSO baru.

Values allowed - <Jam> [: <Menit>]

Jika nilai yang salah dimasukkan, nilai default digunakan (8 jam).

Nilai yang benar akan seperti yang ditunjukkan di bawah ini -

  • 24 → 24 jam
  • 1:30 → 1 jam, 30 menit
  • 0:05 → 5 menit

Nilai yang salah adalah sebagai berikut -

  • 40 (0:40 mungkin benar)
  • 0:60 (1 akan benar)
  • 10: 000 (10 akan benar)
  • 24: (24 akan benar)
  • 1:A3

Sertifikat Klien X.509

Menggunakan metode SSO, Anda dapat menggunakan sertifikat klien X.509 untuk mengotentikasi Server Aplikasi NetWeaver. Sertifikat klien menggunakan metode kriptografi yang sangat kuat untuk mengamankan akses pengguna ke server Aplikasi NetWeaver, sehingga Server Aplikasi NetWeaver Anda harus diaktifkan dengan teknik kriptografi yang kuat.

Anda harus memiliki SSL dikonfigurasi pada server aplikasi SAP NetWeaver Anda karena otentikasi terjadi menggunakan protokol SSL tanpa memasukkan nama pengguna dan kata sandi. Untuk menggunakan protokol SSL, diperlukan koneksi HTTPS untuk berkomunikasi antara browser Web dan Server Aplikasi ABAP NetWeaver.

Security Assertion Markup Language (SAML2.0)

SAML2.0 dapat digunakan sebagai autentikasi dengan Single Sign-On SSO dan mengaktifkan SSO di berbagai domain. SAML 2.0 dikembangkan oleh nama organisasi OASIS. Ini juga menyediakan opsi Log-Keluar Tunggal, yang berarti bahwa ketika pengguna keluar dari semua sistem, penyedia layanan di sistem SAP memberi tahu penyedia identitas yang pada gilirannya mengeluarkan semua sesi.

Berikut adalah keuntungan menggunakan otentikasi SAML2.0 -

  • Anda dapat mengurangi overhead pemeliharaan otentikasi untuk sistem yang menghosting aplikasi ke sistem lain.

  • Anda juga dapat mempertahankan otentikasi untuk penyedia layanan eksternal tanpa mempertahankan identitas pengguna dalam sistem.

  • Opsi Logout Tunggal di semua sistem.

  • Untuk memetakan akun pengguna secara otomatis.

Otentikasi Kerberos

Anda juga dapat menggunakan Otentikasi Kerberos untuk server Aplikasi SAP NetWeaver menggunakan akses melalui klien web dan browser web. Ini menggunakan mekanisme Negosiasi API GSS yang Sederhana dan TerlindungiSPNegoyang juga memerlukan Single Sign-On SSO 2.0 atau versi lebih tinggi dengan lisensi tambahan untuk menggunakan autentikasi ini. ItuSPNego tidak mendukung keamanan Lapisan Transportasi, jadi disarankan untuk menggunakan protokol SSL untuk menambahkan keamanan lapisan transportasi untuk berkomunikasi dengan Server Aplikasi NetWeaver.

Pada gambar di atas, Anda dapat melihat berbagai metode otentikasi yang dapat dikonfigurasi di profil pengguna untuk tujuan otentikasi.

Setiap metode otentikasi di SAP memiliki kelebihannya sendiri dan dapat digunakan dalam skenario yang berbeda.