Bảo mật SAP - Vé đăng nhập
Bạn có thể định cấu hình vé đăng nhập SAP được ký điện tử để cấu hình với Đăng nhập một lần để truy cập các ứng dụng tích hợp trong môi trường SAP. Bạn có thể định cấu hình một cổng thông tin để cấp vé đăng nhập SAP cho người dùng và người dùng cần xác thực hệ thống này để truy cập ban đầu. Khi vé đăng nhập SAP được cấp cho người dùng, chúng sẽ được lưu trong trình duyệt web và cho phép người dùng đăng nhập vào các hệ thống khác nhau bằng SSO.
Trong máy chủ ứng dụng ABAP, có hai loại vé đăng nhập khác nhau có thể được định cấu hình -
Logon Tickets - Các vé này cho phép truy cập dựa trên web bằng phương pháp SSO.
Authentication Assertion Tickets - Các vé này được sử dụng để giao tiếp giữa hệ thống với hệ thống.
Để định cấu hình vé đăng nhập SAP, các thông số sau phải được đặt trong hồ sơ Người dùng.
login / accept_sso2_ticket
Bạn có thể sử dụng vé Đăng nhập một lần (SSO) để cho phép SSO giữa các hệ thống SAP và thậm chí xa hơn các hệ thống không phải SAP. Vé SSO có thể là vé đăng nhập hoặc vé xác nhận. Vé đăng nhập được chuyển dưới dạng cookie với tênMYSAPSSO2. Phiếu xác nhận được chuyển dưới dạng một biến tiêu đề HTTP với tên MYSAPSSO2.
Note- Điều này yêu cầu các bước cấu hình bổ sung để phát hành và chấp nhận hệ thống. Hệ thống thành phần SSO phải cho phép đăng nhập bằng vé SSO (login / accept_sso2_ticket = 1).
Nếu chỉ quy trình (chứng chỉ ứng dụng X.509) được sử dụng cho Đăng nhập một lần hoặc nếu bạn không muốn sử dụng Đăng nhập một lần cho hệ thống này, bạn có thể hủy kích hoạt đăng nhập này bằng phiếu SSO (login / accept_sso2_ticket = 0).
Để đặt thông số, hãy sử dụng Giao dịch RZ11
Values allowed - 0/1
đăng nhập / create_sso2_ticket
Bạn có thể sử dụng vé Đăng nhập một lần (SSO) để cho phép SSO giữa các hệ thống SAP và thậm chí xa hơn đối với các hệ thống không phải SAP. Vé SSO có thể là vé đăng nhập hoặc vé xác nhận. Vé đăng nhập được chuyển dưới dạng cookie với tên MYSAPSSO2. Phiếu xác nhận được chuyển dưới dạng một biến tiêu đề HTTP với tên MYSAPSSO2.
Note - Điều này yêu cầu các bước cấu hình bổ sung để phát hành và chấp nhận hệ thống.
Hệ thống phát hành phải cho phép tạo vé SSO -
login / create_sso2_ticket = 1: SSO vé bao gồm chứng chỉ
login / create_sso2_ticket = 2: SSO ticket không có chứng chỉ
login / create_sso2_ticket = 3: Chỉ tạo phiếu xác nhận
Values allowed- 0/1/2/3
đăng nhập / ticket_expiration_time
Để có thể Đăng nhập một lần (SSO) khi sử dụng MySAP.com Workplace, bạn có thể sử dụng vé SSO. Khi tạo vé SSO, bạn có thể đặt thời hạn hiệu lực. Khi điều này đã hết hạn, thẻ SSO không thể được sử dụng nữa để đăng nhập vào các hệ thống thành phần tại nơi làm việc. Sau đó, người dùng cần đăng nhập lại vào máy chủ nơi làm việc để có được một phiếu SSO mới.
Values allowed - <Giờ> [: <Phút>]
Nếu giá trị được nhập không chính xác, giá trị mặc định được sử dụng (8 giờ).
Các giá trị chính xác sẽ như hình dưới đây -
- 24 → 24 giờ
- 1:30 → 1 giờ, 30 phút
- 0:05 → 5 phút
Các giá trị không chính xác sẽ như sau:
- 40 (0:40 sẽ đúng)
- 0:60 (1 đúng)
- 10: 000 (10 sẽ đúng)
- 24: (24 sẽ đúng)
- 1:A3
X.509 Chứng chỉ Khách hàng
Sử dụng phương pháp SSO, bạn có thể sử dụng chứng chỉ máy khách X.509 để xác thực Máy chủ ứng dụng NetWeaver. Chứng chỉ ứng dụng khách sử dụng các phương pháp mật mã rất mạnh để bảo mật quyền truy cập của người dùng vào máy chủ Ứng dụng NetWeaver, vì vậy Máy chủ ứng dụng NetWeaver của bạn phải được kích hoạt bằng các kỹ thuật mật mã mạnh.
Bạn nên định cấu hình SSL trên máy chủ ứng dụng SAP NetWeaver của mình vì quá trình xác thực diễn ra bằng giao thức SSL mà không cần nhập bất kỳ tên người dùng và mật khẩu nào. Để sử dụng giao thức SSL, nó yêu cầu kết nối HTTPS để giao tiếp giữa trình duyệt Web và Máy chủ ứng dụng NetWeaver ABAP.
Ngôn ngữ đánh dấu xác nhận bảo mật (SAML2.0)
SAML2.0 có thể được sử dụng làm xác thực với SSO Đăng nhập Một lần và nó cho phép SSO trên các miền khác nhau. SAML 2.0 được phát triển bởi tổ chức tên là OASIS. Nó cũng cung cấp tùy chọn Đăng xuất một lần, có nghĩa là khi người dùng đăng xuất khỏi tất cả các hệ thống, nhà cung cấp dịch vụ trong hệ thống SAP sẽ thông báo cho các nhà cung cấp danh tính để họ đăng xuất tất cả các phiên.
Sau đây là những ưu điểm của việc sử dụng xác thực SAML2.0 -
Bạn có thể giảm chi phí duy trì xác thực cho hệ thống lưu trữ ứng dụng với hệ thống khác.
Bạn cũng có thể duy trì xác thực cho các nhà cung cấp dịch vụ bên ngoài mà không cần duy trì danh tính người dùng trong hệ thống.
Tùy chọn Đăng xuất duy nhất trong tất cả các hệ thống.
Để ánh xạ tài khoản người dùng tự động.
Xác thực Kerberos
Bạn cũng có thể sử dụng Xác thực Kerberos cho máy chủ Ứng dụng SAP NetWeaver bằng cách sử dụng quyền truy cập qua máy khách web và trình duyệt web. Nó sử dụng cơ chế Đàm phán API GSS đơn giản và được bảo vệSPNegocũng yêu cầu phiên bản SSO 2.0 hoặc đăng nhập một lần có thêm giấy phép để sử dụng xác thực này. CácSPNego không hỗ trợ bảo mật Lớp truyền tải, vì vậy bạn nên sử dụng giao thức SSL để thêm bảo mật lớp truyền tải để giao tiếp với Máy chủ ứng dụng NetWeaver.
Trong ảnh chụp màn hình trên, bạn có thể thấy các phương pháp xác thực khác nhau có thể được định cấu hình trong hồ sơ người dùng cho mục đích xác thực.
Mỗi phương pháp xác thực trong SAP có những ưu điểm riêng và có thể được sử dụng trong các tình huống khác nhau.