Безопасность SAP - Билеты на вход

Вы можете настроить билеты входа в SAP с цифровой подписью для настройки с помощью единого входа для доступа к интегрированным приложениям в среде SAP. Вы можете настроить портал для выдачи пользователям билетов входа в систему SAP, и пользователям необходимо аутентифицировать эту систему для первоначального доступа. Когда пользователям выдаются билеты входа в систему SAP, они сохраняются в веб-браузерах и позволяют пользователю входить в различные системы с использованием единого входа.

На сервере приложений ABAP можно настроить два разных типа билета входа в систему:

Logon Tickets - Эти билеты позволяют доступ через Интернет с использованием метода единого входа.
Authentication Assertion Tickets - Эти билеты используются для связи системы с системой.

Чтобы настроить билеты входа в систему SAP, в профиле пользователя должны быть установлены следующие параметры.

войти / accept_sso2_ticket

Вы можете использовать билеты единого входа (SSO), чтобы разрешить SSO между системами SAP и даже за пределами систем, не относящихся к SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет на вход передается в виде файла cookie с именемMYSAPSSO2. Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Note- Это требует дополнительных шагов настройки для выпуска и приема систем. Компонентные системы единого входа должны разрешать вход с помощью билета единого входа (login / accept_sso2_ticket = 1).

Если для единого входа используется только процедура (сертификат клиента X.509) или если вы не хотите использовать единый вход для этой системы, вы можете деактивировать этот вход с помощью билета SSO (login / accept_sso2_ticket = 0).

Чтобы установить параметр, используйте Transaction RZ11

Values allowed - 0/1

войти / create_sso2_ticket

Вы можете использовать билеты единого входа (SSO), чтобы разрешить SSO между системами SAP и даже за пределами систем, не относящихся к SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет на вход передается в виде файла cookie с именем MYSAPSSO2. Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Note - Это требует дополнительных шагов настройки для выпуска и приема систем.

Система выдачи должна разрешать создание билета SSO -

Values allowed- 0/1/2/3

логин / ticket_expiration_time

Чтобы сделать возможным использование единого входа (SSO) при использовании mySAP.com Workplace, можно использовать билеты SSO. При создании билета SSO вы можете установить срок действия. По истечении этого срока билет SSO больше не может использоваться для входа в компонентные системы рабочего места. Затем пользователю необходимо снова войти на сервер рабочего места, чтобы получить новый билет SSO.

Values allowed - <Часы> [: <Минуты>]

Если введены неправильные значения, используется значение по умолчанию (8 часов).

Правильные значения будут такими, как показано ниже -

24 → 24 часа
1:30 → 1 час, 30 минут
0:05 → 5 минут

Неправильные значения будут следующими -

40 (0:40 было бы правильно)
0:60 (1 будет правильным)
10: 000 (10 было бы правильно)
24: (24 было бы правильно)
1:A3

Сертификаты клиента X.509

Используя метод SSO, вы можете использовать сертификаты клиента X.509 для аутентификации сервера приложений NetWeaver. В клиентских сертификатах используются очень надежные методы криптографии для защиты доступа пользователей к серверу приложений NetWeaver, поэтому ваш сервер приложений NetWeaver должен быть включен с использованием методов надежной криптографии.

На серверах приложений SAP NetWeaver необходимо настроить SSL, поскольку аутентификация выполняется с использованием протокола SSL без ввода имени пользователя и пароля. Для использования протокола SSL требуется соединение HTTPS для связи между веб-браузером и сервером приложений NetWeaver ABAP.

Язык разметки утверждения безопасности (SAML2.0)

SAML2.0 может использоваться в качестве аутентификации с единым входом для единого входа, и он включает единый вход в разных доменах. SAML 2.0 разработан под названием OASIS. Он также предоставляет возможность единого выхода, что означает, что, когда пользователь выходит из всех систем, поставщик услуг в системе SAP уведомляет поставщиков удостоверений, которые, в свою очередь, завершают все сеансы.

Ниже приведены преимущества использования аутентификации SAML2.0.

Вы можете уменьшить накладные расходы на поддержку аутентификации для системы, в которой размещено приложение, в другой системе.
Вы также можете поддерживать аутентификацию для внешних поставщиков услуг, не сохраняя идентификационные данные пользователей в системах.
Возможность единого выхода из системы во всех системах.
Для автоматического сопоставления учетных записей пользователей.

Проверка подлинности Kerberos

Вы также можете использовать Kerberos Authentication для сервера приложений SAP NetWeaver, используя доступ через веб-клиенты и веб-браузеры. Он использует простой и защищенный механизм согласования API GSS.SPNegoкоторый также требует единого входа SSO 2.0 или более поздней версии с дополнительными лицензиями для использования этой аутентификации. ВSPNego не поддерживает безопасность транспортного уровня, поэтому рекомендуется использовать протокол SSL для добавления безопасности транспортного уровня для связи с сервером приложений NetWeaver.

На приведенном выше снимке экрана вы можете увидеть различные методы аутентификации, которые можно настроить в профиле пользователя для целей аутентификации.

Каждый метод аутентификации в SAP имеет свои преимущества и может использоваться в разных сценариях.