SAP Güvenliği - Oturum Açma Biletleri
Dijital olarak imzalanmış SAP oturum açma biletlerini, bir SAP ortamındaki entegre uygulamalara erişmek için Tek Oturum Açma ile yapılandırmak üzere yapılandırabilirsiniz. Kullanıcılara SAP oturum açma biletleri düzenleyecek bir portalı yapılandırabilirsiniz ve kullanıcıların ilk erişim için bu sistemi doğrulaması gerekir. Kullanıcılara SAP oturum açma biletleri verildiğinde, bunlar web tarayıcılarına kaydedilir ve kullanıcının SSO kullanımıyla farklı sistemlerde oturum açmasına izin verir.
Bir ABAP uygulama sunucusunda, yapılandırılabilen iki farklı Oturum Açma bileti türü vardır -
Logon Tickets - Bu biletler, SSO yöntemini kullanarak web tabanlı erişime izin verir.
Authentication Assertion Tickets - Bu biletler sistemden sisteme iletişim için kullanılır.
SAP oturum açma biletlerini yapılandırmak için aşağıdaki parametreler Kullanıcı profilinde ayarlanmalıdır.
login / accept_sso2_ticket
SAP sistemleri arasında ve hatta SAP dışı sistemlerin ötesinde bir SSO'ya izin vermek için Tek Oturum Açma (SSO) biletlerini kullanabilirsiniz. SSO bileti, oturum açma bileti veya onaylama bileti olabilir. Oturum açma bileti, adı ile bir çerez olarak aktarılırMYSAPSSO2. Onay bileti, MYSAPSSO2 adıyla bir HTTP başlık değişkeni olarak aktarılır.
Note- Bu, sistemleri yayınlamak ve kabul etmek için ek yapılandırma adımları gerektirir. SSO bileşen sistemleri, bir SSO bileti ile oturum açmaya izin vermelidir (login / accept_sso2_ticket = 1).
Tek Oturum Açma için yalnızca prosedür (X.509 istemci sertifikası) kullanılıyorsa veya bu sistem için Tek Oturum Açmayı kullanmak istemiyorsanız, bu oturum açmayı SSO bileti ile devre dışı bırakabilirsiniz (login / accept_sso2_ticket = 0).
Parametreyi ayarlamak için İşlemi kullanın RZ11
Values allowed - 0/1
giriş / create_sso2_ticket
SAP sistemleri arasında ve hatta SAP dışı sistemlerin ötesinde bir SSO'ya izin vermek için Tek Oturum Açma (SSO) biletlerini kullanabilirsiniz. SSO bileti, oturum açma bileti veya onaylama bileti olabilir. Oturum açma bileti, MYSAPSSO2 adıyla bir tanımlama bilgisi olarak aktarılır. Onay bileti, MYSAPSSO2 adıyla bir HTTP başlık değişkeni olarak aktarılır.
Note - Bu, sistemleri yayınlamak ve kabul etmek için ek yapılandırma adımları gerektirir.
Düzenleyen sistem, bir SSO biletinin oluşturulmasına izin vermelidir -
login / create_sso2_ticket = 1: sertifika dahil SSO bileti
login / create_sso2_ticket = 2: sertifikasız SSO bileti
login / create_sso2_ticket = 3: Yalnızca onaylama biletleri oluştur
Values allowed- 0/1/2/3
login / ticket_expiration_time
MySAP.com Workplace'i kullanırken Tek Oturum Açma (SSO) olmasını mümkün kılmak için SSO biletleri kullanılabilir. Bir SSO bileti oluştururken, geçerlilik süresini ayarlayabilirsiniz. Bunun süresi dolduktan sonra, SSO bileti artık işyeri bileşen sistemlerinde oturum açmak için kullanılamaz. Kullanıcının daha sonra yeni bir SSO bileti almak için çalışma alanı sunucusunda yeniden oturum açması gerekir.
Values allowed - <Saat> [: <Dakika>]
Yanlış değerler girilirse, varsayılan değer kullanılır (8 saat).
Doğru değerler aşağıda gösterildiği gibi olacaktır -
- 24 → 24 saat
- 1:30 → 1 saat, 30 dakika
- 0:05 → 5 dakika
Yanlış değerler aşağıdaki gibi olacaktır -
- 40 (0:40 doğru olacaktır)
- 0:60 (1 doğru olacaktır)
- 10: 000 (10 doğru olacaktır)
- 24: (24 doğru olur)
- 1:A3
X.509 İstemci Sertifikaları
Bir SSO yöntemi kullanarak, NetWeaver Uygulama Sunucusunun kimliğini doğrulamak için X.509 istemci sertifikalarını kullanabilirsiniz. İstemci sertifikaları, NetWeaver Uygulama sunucusuna kullanıcı erişimini güvence altına almak için çok güçlü kriptografi yöntemleri kullanır, bu nedenle NetWeaver Uygulama Sunucunuz güçlü şifreleme teknikleriyle etkinleştirilmelidir.
Kimlik doğrulama, herhangi bir kullanıcı adı ve parola girmeden SSL protokolü kullanılarak gerçekleştiğinden, SAP NetWeaver uygulama sunucularınızda SSL yapılandırılmış olmalıdır. SSL protokolünü kullanmak için, Web tarayıcısı ile NetWeaver ABAP Uygulama Sunucusu arasında iletişim kurmak için bir HTTPS bağlantısı gerektirir.
Güvenlik Onayı Biçimlendirme Dili (SAML2.0)
SAML2.0, Tek Oturum Açma SSO ile kimlik doğrulama olarak kullanılabilir ve farklı alanlarda TOA'yı etkinleştirir. SAML 2.0, bir kuruluş adı OASIS tarafından geliştirilmiştir. Ayrıca, Tek Oturum Kapatma seçeneği de sağlar; bu, bir kullanıcı tüm sistemlerde oturumu kapattığında, SAP sistemindeki hizmet sağlayıcının kimlik sağlayıcılara bildirimde bulunarak tüm oturumları kapattığı anlamına gelir.
Aşağıda SAML2.0 kimlik doğrulamasını kullanmanın avantajları verilmiştir -
Uygulamayı diğer sisteme barındıran sistem için kimlik doğrulamasını sürdürme yükünü azaltabilirsiniz.
Sistemlerde kullanıcı kimliklerini korumadan harici hizmet sağlayıcılar için kimlik doğrulamasını da sürdürebilirsiniz.
Tüm sistemlerde Tek Çıkış seçeneği.
Kullanıcı hesaplarını otomatik olarak eşlemek için.
Kerberos Kimlik Doğrulaması
Web istemcileri ve web tarayıcıları üzerinden erişimi kullanarak SAP NetWeaver Uygulama sunucusu için Kerberos Kimlik Doğrulaması'nı da kullanabilirsiniz. Basit ve Korumalı GSS API Görüşme mekanizmasını kullanırSPNegoBu ayrıca, bu kimlik doğrulamayı kullanmak için ek lisanslara sahip Tek Oturum Açma SSO 2.0 veya daha yüksek bir sürüm gerektirir. SPNego Aktarım Katmanı güvenliğini desteklemediğinden, NetWeaver Uygulama Sunucusu ile iletişim kurmak üzere aktarım katmanı güvenliği eklemek için SSL protokolünün kullanılması önerilir.
Yukarıdaki ekran görüntüsünde, kimlik doğrulama amacıyla bir kullanıcı profilinde yapılandırılabilen farklı kimlik doğrulama yöntemlerini görebilirsiniz.
SAP'deki her kimlik doğrulama yönteminin kendi avantajları vardır ve farklı senaryolarda kullanılabilir.