Bezpieczeństwo SAP - Bilety logowania
Można skonfigurować podpisane cyfrowo bilety logowania SAP w celu skonfigurowania za pomocą pojedynczego logowania w celu uzyskania dostępu do zintegrowanych aplikacji w środowisku SAP. Portal można skonfigurować w celu wystawiania użytkownikom biletów logowania SAP, a użytkownicy muszą uwierzytelniać ten system w celu uzyskania wstępnego dostępu. Wydawane użytkownikom bilety logowania do SAP są zapisywane w przeglądarkach internetowych i pozwalają na logowanie się do różnych systemów przy użyciu SSO.
Na serwerze aplikacji ABAP istnieją dwa różne typy biletu logowania, które można skonfigurować -
Logon Tickets - Te bilety umożliwiają dostęp przez Internet przy użyciu metody SSO.
Authentication Assertion Tickets - Te bilety są używane do komunikacji między systemami.
Aby skonfigurować bilety logowania SAP, w profilu użytkownika należy ustawić następujące parametry.
login / accept_sso2_ticket
Możesz użyć biletów jednokrotnego logowania (SSO), aby umożliwić logowanie jednokrotne między systemami SAP, a nawet poza systemami innymi niż SAP. Bilet SSO może być biletem logowania lub biletem potwierdzenia. Bilet logowania jest przesyłany jako plik cookie z nazwąMYSAPSSO2. Bilet potwierdzenia jest przesyłany jako zmienna nagłówka HTTP o nazwie MYSAPSSO2.
Note- Wymaga to dodatkowych czynności konfiguracyjnych w celu wydania i akceptacji systemów. Systemy składowe SSO powinny umożliwiać logowanie przy użyciu biletu SSO (login / accept_sso2_ticket = 1).
Jeśli tylko procedura (certyfikat klienta X.509) jest używana do logowania jednokrotnego lub jeśli nie chcesz korzystać z logowania jednokrotnego w tym systemie, możesz dezaktywować to logowanie za pomocą biletu SSO (login / accept_sso2_ticket = 0).
Aby ustawić parametr, użyj Transakcja RZ11
Values allowed - 0/1
login / create_sso2_ticket
Możesz użyć biletów jednokrotnego logowania (SSO), aby umożliwić logowanie jednokrotne między systemami SAP, a nawet dalej do systemów innych niż SAP. Bilet SSO może być biletem logowania lub biletem potwierdzenia. Bilet logowania jest przesyłany jako plik cookie o nazwie MYSAPSSO2. Bilet potwierdzenia jest przesyłany jako zmienna nagłówka HTTP o nazwie MYSAPSSO2.
Note - Wymaga to dodatkowych czynności konfiguracyjnych w celu wydania i zaakceptowania systemów.
System wystawiający powinien umożliwiać wygenerowanie biletu SSO -
login / create_sso2_ticket = 1: bilet SSO zawierający certyfikat
login / create_sso2_ticket = 2: bilet SSO bez certyfikatu
login / create_sso2_ticket = 3: Generuj tylko bilety potwierdzenia
Values allowed- 0/1/2/3
login / ticket_expiration_time
Aby umożliwić jednokrotne logowanie (SSO) podczas korzystania z mySAP.com Workplace, można używać biletów SSO. Tworząc bilet SSO, możesz ustawić okres ważności. Po wygaśnięciu biletu SSO nie można już używać do logowania się do systemów składowych miejsca pracy. Następnie użytkownik musi ponownie zalogować się do serwera w miejscu pracy, aby uzyskać nowy bilet SSO.
Values allowed - <Hours> [: <Minutes>]
W przypadku wprowadzenia nieprawidłowych wartości używana jest wartość domyślna (8 godzin).
Prawidłowe wartości będą takie, jak pokazano poniżej -
- 24 → 24 godziny
- 1:30 → 1 godzina, 30 minut
- 0:05 → 5 minut
Niepoprawne wartości będą następujące -
- 40 (poprawne byłoby 0:40)
- 0:60 (1 byłoby poprawne)
- 10000 (10 byłoby poprawne)
- 24: (24 byłoby poprawne)
- 1:A3
Certyfikaty klienta X.509
Korzystając z metody logowania jednokrotnego, można używać certyfikatów klienta X.509 do uwierzytelniania serwera aplikacji NetWeaver. Certyfikaty klienta używają bardzo silnych metod kryptograficznych, aby zabezpieczyć dostęp użytkowników do serwera aplikacji NetWeaver, więc serwer aplikacji NetWeaver powinien być wyposażony w silne techniki kryptograficzne.
Na serwerach aplikacji SAP NetWeaver należy skonfigurować protokół SSL, ponieważ uwierzytelnianie odbywa się przy użyciu protokołu SSL bez wprowadzania nazwy użytkownika i hasła. Aby korzystać z protokołu SSL, do komunikacji między przeglądarką internetową a serwerem aplikacji NetWeaver ABAP Application Server wymagane jest połączenie HTTPS.
Security Assertion Markup Language (SAML2.0)
SAML2.0 może służyć jako uwierzytelnianie przy jednokrotnym logowaniu jednokrotnym i umożliwia logowanie jednokrotne w różnych domenach. SAML 2.0 jest rozwijany przez organizację o nazwie OASIS. Zapewnia również opcję pojedynczego wylogowania, co oznacza, że gdy użytkownik wyloguje się ze wszystkich systemów, dostawca usług w systemie SAP powiadamia dostawców tożsamości, co z kolei wylogowuje wszystkie sesje.
Oto zalety korzystania z uwierzytelniania SAML2.0 -
Możesz zmniejszyć obciążenie związane z utrzymywaniem uwierzytelniania systemu obsługującego aplikację w innym systemie.
Można również utrzymywać uwierzytelnianie dla zewnętrznych dostawców usług bez zachowywania tożsamości użytkowników w systemach.
Opcja pojedynczego wylogowania we wszystkich systemach.
Aby automatycznie mapować konta użytkowników.
Uwierzytelnianie Kerberos
Można również użyć uwierzytelniania Kerberos dla serwera aplikacji SAP NetWeaver przy użyciu dostępu za pośrednictwem klientów sieci Web i przeglądarek internetowych. Korzysta z prostego i chronionego mechanizmu negocjacji interfejsu GSS APISPNegoktóry również wymaga jednokrotnego logowania jednokrotnego w wersji 2.0 lub nowszej z dodatkowymi licencjami na korzystanie z tego uwierzytelniania. PlikSPNego nie obsługuje zabezpieczeń Transport Layer, dlatego zaleca się używanie protokołu SSL w celu dodania zabezpieczeń warstwy transportowej do komunikacji z serwerem aplikacji NetWeaver.
Na powyższym zrzucie ekranu widać różne metody uwierzytelniania, które można skonfigurować w profilu użytkownika do celów uwierzytelniania.
Każda metoda uwierzytelniania w SAP ma swoje zalety i może być używana w różnych scenariuszach.