SAP Security - ตั๋วเข้าสู่ระบบ
คุณสามารถกำหนดค่าตั๋วเข้าสู่ระบบ SAP ที่ลงนามแบบดิจิทัลเพื่อกำหนดค่าด้วยการลงชื่อเพียงครั้งเดียวเพื่อเข้าถึงแอปพลิเคชันรวมในสภาพแวดล้อม SAP คุณสามารถกำหนดค่าพอร์ทัลเพื่อออกตั๋วเข้าสู่ระบบ SAP ให้กับผู้ใช้และผู้ใช้ต้องพิสูจน์ตัวตนระบบนี้สำหรับการเข้าถึงเริ่มต้น เมื่อตั๋วเข้าสู่ระบบ SAP ออกให้กับผู้ใช้ระบบจะบันทึกในเว็บเบราว์เซอร์และอนุญาตให้ผู้ใช้ล็อกอินเข้าสู่ระบบต่างๆโดยใช้ SSO
ในแอ็พพลิเคชันเซิร์ฟเวอร์ ABAP มีตั๋วเข้าสู่ระบบสองประเภทที่แตกต่างกันซึ่งสามารถกำหนดค่าได้ -
Logon Tickets - ตั๋วเหล่านี้อนุญาตให้เข้าถึงทางเว็บโดยใช้วิธี SSO
Authentication Assertion Tickets - ตั๋วเหล่านี้ใช้สำหรับการสื่อสารระหว่างระบบ
ในการกำหนดค่าตั๋วเข้าสู่ระบบ SAP ควรตั้งค่าพารามิเตอร์ต่อไปนี้ในโปรไฟล์ผู้ใช้
เข้าสู่ระบบ / accept_sso2_ticket
คุณสามารถใช้ตั๋ว Single Sign-On (SSO) เพื่ออนุญาต SSO ระหว่างระบบ SAP และแม้กระทั่งนอกเหนือจากระบบที่ไม่ใช่ SAP ตั๋ว SSO อาจเป็นตั๋วเข้าสู่ระบบหรือตั๋วยืนยัน ตั๋วเข้าสู่ระบบจะถูกโอนเป็นคุกกี้ที่มีชื่อMYSAPSSO2. ตั๋วการยืนยันถูกโอนเป็นตัวแปรส่วนหัว HTTP ที่มีชื่อ MYSAPSSO2
Note- ต้องมีขั้นตอนการกำหนดค่าเพิ่มเติมสำหรับการออกและยอมรับระบบ ระบบคอมโพเนนต์ SSO ควรอนุญาตให้ล็อกออนโดยตั๋ว SSO (ล็อกอิน / accept_sso2_ticket = 1)
หากใช้เฉพาะขั้นตอน (ใบรับรองไคลเอ็นต์ X.509) สำหรับการลงชื่อเพียงครั้งเดียวหรือหากคุณไม่ต้องการใช้การลงชื่อเพียงครั้งเดียวสำหรับระบบนี้คุณสามารถปิดใช้งานการเข้าสู่ระบบนี้โดยใช้ตั๋ว SSO (ล็อกอิน / accept_sso2_ticket = 0).
ในการตั้งค่าพารามิเตอร์ให้ใช้ Transaction RZ11
Values allowed - 0/1
เข้าสู่ระบบ / create_sso2_ticket
คุณสามารถใช้ตั๋ว Single Sign-On (SSO) เพื่ออนุญาต SSO ระหว่างระบบ SAP และอื่น ๆ ไปยังระบบที่ไม่ใช่ SAP ตั๋ว SSO อาจเป็นตั๋วเข้าสู่ระบบหรือตั๋วยืนยัน ตั๋วเข้าสู่ระบบจะถูกโอนเป็นคุกกี้ที่มีชื่อ MYSAPSSO2 ตั๋วการยืนยันถูกโอนเป็นตัวแปรส่วนหัว HTTP ที่มีชื่อ MYSAPSSO2
Note - สิ่งนี้ต้องการขั้นตอนการกำหนดค่าเพิ่มเติมสำหรับการออกและยอมรับระบบ
ระบบการออกตั๋วควรอนุญาตให้สร้างตั๋ว SSO ได้ -
ล็อกอิน / create_sso2_ticket = 1: ตั๋ว SSO รวมใบรับรอง
เข้าสู่ระบบ / create_sso2_ticket = 2: ตั๋ว SSO ที่ไม่มีใบรับรอง
login / create_sso2_ticket = 3: สร้างเฉพาะตั๋วยืนยัน
Values allowed- 0/1/2/3
เข้าสู่ระบบ / ticket_expiration_time
เพื่อให้สามารถลงชื่อเพียงครั้งเดียว (SSO) ได้เมื่อใช้ mySAP.com Workplace คุณสามารถใช้ตั๋ว SSO ได้ เมื่อสร้างตั๋ว SSO คุณสามารถกำหนดช่วงเวลาที่ใช้ได้ เมื่อหมดอายุแล้วจะไม่สามารถใช้ตั๋ว SSO เพื่อเข้าสู่ระบบส่วนประกอบของสถานที่ทำงานได้อีกต่อไป จากนั้นผู้ใช้ต้องเข้าสู่ระบบเซิร์ฟเวอร์ที่ทำงานอีกครั้งเพื่อขอรับตั๋ว SSO ใหม่
Values allowed - <ชั่วโมง> [: <นาที>]
หากป้อนค่าไม่ถูกต้องระบบจะใช้ค่าเริ่มต้น (8 ชั่วโมง)
ค่าที่ถูกต้องจะเป็นดังที่แสดงด้านล่าง -
- 24 → 24 ชั่วโมง
- 1:30 → 1 ชั่วโมง 30 นาที
- 0:05 → 5 นาที
ค่าที่ไม่ถูกต้องจะเป็นดังนี้ -
- 40 (0:40 จะถูกต้อง)
- 0:60 (1 จะถูกต้อง)
- 10: 000 (10 จะถูกต้อง)
- 24: (24 ถูกต้อง)
- 1:A3
ใบรับรองลูกค้า X.509
ด้วยวิธีการ SSO คุณสามารถใช้ใบรับรองไคลเอ็นต์ X.509 เพื่อตรวจสอบสิทธิ์ NetWeaver Application Server ใบรับรองไคลเอ็นต์ใช้วิธีการเข้ารหัสที่แข็งแกร่งมากเพื่อรักษาความปลอดภัยของผู้ใช้ในการเข้าถึงเซิร์ฟเวอร์ NetWeaver Application ดังนั้น NetWeaver Application Server ของคุณควรเปิดใช้งานด้วยเทคนิคการเข้ารหัสที่แข็งแกร่ง
คุณควรกำหนดค่า SSL บนแอปพลิเคชันเซิร์ฟเวอร์ SAP NetWeaver ของคุณเนื่องจากการตรวจสอบความถูกต้องเกิดขึ้นโดยใช้โปรโตคอล SSL โดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่านใด ๆ ในการใช้โปรโตคอล SSL ต้องมีการเชื่อมต่อ HTTPS เพื่อสื่อสารระหว่างเว็บเบราว์เซอร์และ NetWeaver ABAP Application Server
ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML2.0)
SAML2.0 สามารถใช้เป็นการตรวจสอบสิทธิ์ด้วย Single Sign-On SSO และเปิดใช้ SSO ในโดเมนต่างๆ SAML 2.0 ได้รับการพัฒนาโดยชื่อองค์กร OASIS นอกจากนี้ยังมีอ็อพชัน Single Log-Out ซึ่งหมายความว่าเมื่อผู้ใช้ล็อกออฟจากระบบทั้งหมดผู้ให้บริการในระบบ SAP จะแจ้งผู้ให้บริการข้อมูลประจำตัวซึ่งจะล็อกเซสชันทั้งหมด
ต่อไปนี้เป็นข้อดีของการใช้การตรวจสอบสิทธิ์ SAML2.0 -
คุณสามารถลดค่าใช้จ่ายในการรักษาการรับรองความถูกต้องสำหรับระบบที่โฮสต์แอปพลิเคชันไปยังระบบอื่นได้
คุณยังสามารถรักษาการรับรองความถูกต้องสำหรับผู้ให้บริการภายนอกได้โดยไม่ต้องรักษาข้อมูลประจำตัวของผู้ใช้ในระบบ
ตัวเลือก Single Logout ในทุกระบบ
เพื่อแมปบัญชีผู้ใช้โดยอัตโนมัติ
การพิสูจน์ตัวตน Kerberos
คุณยังสามารถใช้ Kerberos Authentication สำหรับ SAP NetWeaver Application server โดยใช้การเข้าถึงผ่านเว็บไคลเอนต์และเว็บเบราว์เซอร์ ใช้กลไกการเจรจา GSS API ที่เรียบง่ายและได้รับการป้องกันSPNegoซึ่งต้องใช้การลงชื่อเพียงครั้งเดียว SSO 2.0 ขึ้นไปพร้อมใบอนุญาตเพิ่มเติมเพื่อใช้การตรวจสอบสิทธิ์นี้ SPNego ไม่รองรับการรักษาความปลอดภัย Transport Layer ดังนั้นขอแนะนำให้ใช้โปรโตคอล SSL เพื่อเพิ่มการรักษาความปลอดภัย Transport Layer เพื่อสื่อสารกับ NetWeaver Application Server
ในภาพหน้าจอด้านบนคุณจะเห็นวิธีการตรวจสอบสิทธิ์ต่างๆที่สามารถกำหนดค่าในโปรไฟล์ผู้ใช้เพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์
แต่ละวิธีการพิสูจน์ตัวตนใน SAP มีข้อดีของตัวเองและสามารถใช้ได้ในสถานการณ์ที่แตกต่างกัน