SAP 보안-로그온 티켓

디지털 서명 된 SAP 로그온 티켓을 구성하여 단일 사인온으로 구성하여 SAP 환경에서 통합 된 애플리케이션에 액세스 할 수 있습니다. 사용자에게 SAP 로그온 티켓을 발행하도록 포털을 구성 할 수 있으며 사용자는 초기 액세스를 위해이 시스템을 인증해야합니다. SAP 로그온 티켓이 사용자에게 발급되면 웹 브라우저에 저장되며 사용자가 SSO를 사용하여 다른 시스템에 로그인 할 수 있습니다.

ABAP 응용 프로그램 서버에는 구성 할 수있는 두 가지 유형의 로그온 티켓이 있습니다.

  • Logon Tickets −이 티켓은 SSO 방식을 사용하여 웹 기반 액세스를 허용합니다.

  • Authentication Assertion Tickets −이 티켓은 시스템 간 통신에 사용됩니다.

SAP 로그온 티켓을 구성하려면 사용자 프로필에서 다음 매개 변수를 설정해야합니다.

login / accept_sso2_ticket

SSO (Single Sign-On) 티켓을 사용하여 SAP 시스템간에 SSO를 허용하고 비 SAP 시스템을 넘어서도 SSO를 허용 할 수 있습니다. SSO 티켓은 로그온 티켓 또는 어설 션 티켓 일 수 있습니다. 로그온 티켓은 이름이있는 쿠키로 전송됩니다.MYSAPSSO2. 어설 션 티켓은 이름이 MYSAPSSO2 인 HTTP 헤더 변수로 전송됩니다.

Note−이를 위해서는 시스템을 발급하고 수락하기위한 추가 구성 단계가 필요합니다. SSO 구성 요소 시스템은 SSO 티켓 (login / accept_sso2_ticket = 1)에 의한 로그온을 허용해야합니다.

절차 (X.509 클라이언트 인증서) 만 Single Sign-On에 사용되거나이 시스템에 Single Sign-On을 사용하지 않으려는 경우 SSO 티켓으로이 로그온을 비활성화 할 수 있습니다 (login / accept_sso2_ticket = 0).

매개 변수를 설정하려면 트랜잭션을 사용하십시오. RZ11

Values allowed − 0/1

로그인 / 생성 _sso2_ticket

SSO (Single Sign-On) 티켓을 사용하여 SAP 시스템간에 SSO를 허용하고 비 SAP 시스템을 넘어서도 SSO를 허용 할 수 있습니다. SSO 티켓은 로그온 티켓 또는 어설 션 티켓 일 수 있습니다. 로그온 티켓은 MYSAPSSO2라는 이름의 쿠키로 전송됩니다. 어설 션 티켓은 이름이 MYSAPSSO2 인 HTTP 헤더 변수로 전송됩니다.

Note − 시스템 발급 및 수락을위한 추가 구성 단계가 필요합니다.

발급 시스템은 SSO 티켓 생성을 허용해야합니다-

  • login / create_sso2_ticket = 1 : 인증서를 포함한 SSO 티켓

  • login / create_sso2_ticket = 2 : 인증서가없는 SSO 티켓

  • login / create_sso2_ticket = 3 : 어설 션 티켓 만 생성

Values allowed− 0/1/2/3

로그인 / 티켓 _ 만료 _ 시간

mySAP.com Workplace를 사용할 때 SSO (Single Sign-On)를 사용할 수 있도록 SSO 티켓을 사용할 수 있습니다. SSO 티켓을 생성 할 때 유효 기간을 설정할 수 있습니다. 이 기간이 만료되면 SSO 티켓을 더 이상 직장 구성 요소 시스템에 로그온하는 데 사용할 수 없습니다. 그런 다음 사용자는 새 SSO 티켓을 얻기 위해 직장 서버에 다시 로그온해야합니다.

Values allowed − <시간> [: <분>]

잘못된 값을 입력하면 기본값 (8 시간)이 사용됩니다.

올바른 값은 다음과 같습니다.

  • 24 시간 → 24 시간
  • 1:30 → 1 시간 30 분
  • 0:05 → 5 분

잘못된 값은 다음과 같습니다.

  • 40 (0:40이 정확함)
  • 0:60 (1이 맞음)
  • 10 : 000 (10이 맞음)
  • 24 : (24가 맞을 것입니다)
  • 1:A3

X.509 클라이언트 인증서

SSO 방법을 사용하면 X.509 클라이언트 인증서를 사용하여 NetWeaver Application Server를 인증 할 수 있습니다. 클라이언트 인증서는 매우 강력한 암호화 방법을 사용하여 NetWeaver 응용 프로그램 서버에 대한 사용자 액세스를 보호하므로 NetWeaver 응용 프로그램 서버는 강력한 암호화 기술로 활성화되어야합니다.

사용자 이름과 비밀번호를 입력하지 않고 SSL 프로토콜을 사용하여 인증이 이루어 지므로 SAP NetWeaver 애플리케이션 서버에 SSL을 구성해야합니다. SSL 프로토콜을 사용하려면 웹 브라우저와 NetWeaver ABAP Application Server 간의 통신을 위해 HTTPS 연결이 필요합니다.

보안 보장 마크 업 언어 (SAML2.0)

SAML2.0은 Single Sign-On SSO를 통한 인증으로 사용할 수 있으며 여러 도메인에서 SSO를 활성화합니다. SAML 2.0은 OASIS라는 조직 이름으로 개발되었습니다. 또한 단일 로그 아웃 옵션을 제공합니다. 즉, 사용자가 모든 시스템에서 로그 오프하면 SAP 시스템의 서비스 공급자가 ID 공급자에게이를 알립니다. 그러면 모든 세션이 로그 오프됩니다.

다음은 SAML2.0 인증 사용의 장점입니다-

  • 다른 시스템에 응용 프로그램을 호스팅하는 시스템에 대한 인증 유지 관리 오버 헤드를 줄일 수 있습니다.

  • 시스템에서 사용자 ID를 유지하지 않고도 외부 서비스 공급자에 대한 인증을 유지할 수도 있습니다.

  • 모든 시스템에서 단일 로그 아웃 옵션.

  • 사용자 계정을 자동으로 매핑합니다.

Kerberos 인증

웹 클라이언트 및 웹 브라우저를 통한 액세스를 사용하여 SAP NetWeaver 애플리케이션 서버에 대한 Kerberos 인증을 사용할 수도 있습니다. 단순하고 보호 된 GSS API 협상 메커니즘을 사용합니다.SPNego또한이 인증을 사용하려면 추가 라이센스가있는 Single Sign-On SSO 2.0 이상 버전이 필요합니다. 그만큼SPNego 전송 계층 보안을 지원하지 않으므로 NetWeaver Application Server와 통신하기 위해 SSL 프로토콜을 사용하여 전송 계층 보안을 추가하는 것이 좋습니다.

위의 스크린 샷에서 인증 목적으로 사용자 프로필에서 구성 할 수있는 다양한 인증 방법을 볼 수 있습니다.

SAP의 각 인증 방법에는 고유 한 장점이 있으며 다양한 시나리오에서 사용할 수 있습니다.