SAP-Anmeldeticket

Sabine Kaufmann April 20, 2016 S 92 0
FONT SIZE:
fontsize_dec
fontsize_inc

SAP-Anmeldetickets dar Benutzerdaten in SAP-Systemen. Wenn aktiviert, Benutzer mehrere SAP-Anwendungen und Dienste über SAP GUI und Web-Browser zugreifen können, ohne weitere Benutzernamen und Passwort Eingaben vom Benutzer. SAP-Anmeldetickets können auch ein Fahrzeug zur Aktivierung Single Sign-On für SAP Grenzen sein; in einigen Fällen können Anmeldetickets verwendet werden, um in die 3rd-Party-Anwendungen wie Microsoft-basierte Web-Anwendungen zu authentifizieren.

Wie funktioniert das

  • Benutzer den Zugriff auf eine Ressource auf SAP NetWeaver Application Server.
  • Ressourcen mit Authentifizierung.
  • SAP NetWeaver Application Server authentifiziert Benutzer mit Benutzerkennung und Passwort zum Beispiel.
  • SAP NetWeaver Application Server gibt eine SAP-Anmeldeticket an den Benutzer.
  • SAP-Anmeldeticket wird im Browser des Benutzers als nicht-persistent Cookie gespeichert.
  • Wenn der Benutzer mit einer anderen Anwendung authentifiziert, stellt Client des Benutzers das SAP-Anmeldeticket.

Zusammensetzung

  • Benutzer ID
  • Gültigkeitsdatum
  • Ausgabesystem
  • Digitale Unterschrift
  • Authentifizierungsmethode

Bemerkenswerte Eigenschaften

Nachfolgend finden Sie eine kurze Liste der wichtigsten Eigenschaften des SAP NetWeaver Application Server Java für SAP Logon Tickets.

  • login.ticket_client - eine dreistellige Ziffernfolge verwendet, um den Client, der in das SAP-Anmeldeticket geschrieben wird zeigen,
  • login.ticket_lifetime - gibt die Gültigkeitsdauer des Tickets in Stunden und Minuten
  • login.ticket_portalid - ja / nein / auto für das Schreiben des Portal-ID in das Ticket
  • ume.login.mdc.hosts - ermöglicht SAP NetWeaver Application Server Java zu Anmeldetickets von Hosts außerhalb des Portals Domain beantragen
  • ume.logon.- true / false aus Sicherheitsgründen gegen schädliche clientseitigen Skriptcode wie JavaScript
  • ume.logon.security.enforce_secure_cookie - Erzwingt die SSL-Kommunikation
  • ume.logon.security.relax_domain.level - Entspannt die Sub-Domains, für die das SAP-Anmeldeticket ist gültig

Einmalige Anmeldung

SAP-Anmeldetickets für Single Sign-On über das SAP Enterprise Portal verwendet werden. SAP bietet eine Web-Server-Filter, die für eine Authentifizierung über Header-Variablen und einer Dynamic Link Library für die Überprüfung SSO-Tickets in 3rd-Party-Software, die verwendet werden, um native Unterstützung für SAP-Anmeldetickets bei Anwendungen in C oder Java geschrieben bieten verwendet werden kann.

Web-Server-Filter

Der Filter ist von SAP Enterprise Portal 5.0 ab. Nutzt die Filter für Single Sign-On setzt voraus, dass Sie die Web-basierte Anwendungs-Support-Header-Variable-Authentifizierung. Der Filter authentifiziert die Anmeldeticket, indem das digitale Zertifikat des Unternehmensportals. Nach der Authentifizierung, den Namen des Benutzers, von dem Anmeldeticket, wird extrahiert und in den Header geschrieben. Zusätzliche Konfiguration in die Header-Variable kann in der Konfigurationsdatei des Filters.

Integration mit Identity & amp; Access Management-Plattformen

  • Tivoli Access Manager hat einen Authentifizierungsdienst mit SAP-Anmeldetickets kompatibel entwickelt
  • Sun ONE Identität hat eine Lösung entwickelt, in denen Unternehmen können den SAP Internet Transaction Server und SAP-Pluggable Authentication Service für die Integration mit SAP für Single Sign-On verwenden, entwickelt. Diese Methode verwendet Anmeldetickets für Single Sign-On und die SAPCRYPTOLIB für SAP-Server-zu-Server-Verschlüsselung. Sun-Lösung nutzt die dynamischen Bibliotheken externen Authentifizierungsmethode.
  • IBM Lotus Domino kann als technische Ticket Verifier-Komponente verwendet werden

Verfügbarkeit

  • Windows, Microsoft Internet Information Server
  • Apache Server, iPlanet Web Server

Dynamic Link Library

SAP bietet Java und C-Beispieldateien, die einige Hinweise, wie die Bibliothek im Quellcode einer höheren Programmiersprache wie Visual Basic, C oder Java implementiert werden, zur Verfügung stellen kann.

Single Sign-On zu Microsoft-Anwendungen

Microsoft Web-basierte Anwendungen in der Regel nur unterstützen den Authentifizierungsmethoden Standardauthentifizierung oder integrierte Windows-Authentifizierung durch den Internet Information Server zur Verfügung gestellt. Allerdings Kerberos nicht gut über das Internet arbeiten, aufgrund der typischen Konfiguration clientseitigen Firewalls. SSO mit Microsoft Backend-Systeme in Extranet-Szenarien wird dem Benutzer-ID-Passwort-Mechanismus beschränkt. Basierend auf der neuen Funktion namens Protokollübergang mit Delegierung SAP entwickelte die SSO22KerbMap Module. Diese neue ISAPI-Filter fordert eine eingeschränkte Kerberos-Ticket für Benutzer mit gültigen SAP-Anmeldeticket identifiziert, die für SSO zu Microsoft Web-basierte Anwendungen im Backend verwendet werden kann.

Single Sign-On, um Nicht-SAP-Java-Umgebungen

Es ist möglich, SAP-Anmeldetickets in einem Nicht-SAP-Java-Umgebung mit geringen benutzerdefinierte Codierung verwenden.

Integration in SAP-Systemen

ABAP

Anmeldetickets ermöglicht Single Sign-On in ABAP-Anwendungsserver. Allerdings gibt es Voraussetzungen:

  • Benutzernamen müssen die gleichen für alle SAP-System, das der Benutzer Single Sign-On für will. Passwörter können unterschiedlich sein.
  • Web-Browser konfiguriert werden müssen, dass Cookies akzeptiert.
  • Jede Web-Server für ABAP-Server müssen auf dem gleichen DNS platziert werden
  • Die ausstellende Server muss in der Lage, digital signieren Anmeldetickets sein.
  • Systeme, die Anmeldetickets akzeptieren, muss Zugriff auf die Public-Key-Zertifikat des ausstellenden Servers.

J2EE

Java Server ermöglicht Single Sign-On in den Java-Anwendungsservern. Allerdings gibt es Voraussetzungen:

  • Benutzernamen müssen die gleichen für alle SAP-System, das der Benutzer Single Sign-On für will. Passwörter können unterschiedlich sein.
  • Web-Browser konfiguriert werden müssen, dass Cookies akzeptiert.
  • Jede Web-Server für ABAP-Server müssen auf dem gleichen DNS platziert werden
  • Uhren für die Annahme von Karten werden mit des ausstellenden Servers synchronisieren.
  • Die ausstellende Server muss in der Lage, digital signieren Anmeldetickets sein.
  • Systeme, die Anmeldetickets akzeptieren, muss Zugriff auf die Public-Key-Zertifikat des ausstellenden Servers.

Sicherheitsmerkmale

  • Durch das SAP-Portal-Server digital signiert
  • Nutzt asymmetrische Kryptographie, um eine unidirektionale Vertrauensstellung zwischen Benutzer und SAP-Systeme zu etablieren
  • Im Verkehr über SSL Protected
  • Gültigkeitszeitraum, der in den Sicherheitseinstellungen des SAP Enterprise Portal konfiguriert werden können

Sicherheitsherausforderungen

  • SAP Logon Tickets nicht nutzen Secure Network Communications
  • Typische Sicherheitsfragen rund um diese Option in einem Web-Browser gespeichert wird. Beispiele hierfür sind:
    • Kopieren des SAP-Anmeldeticket über den Netzwerkverkehr schnüffeln oder Social Engineering und das Speichern auf einem anderen Computer für den Zugriff auf das SAP Enterprise Portal

Alternativen zu SAP-Anmeldetickets

  • Konto Aggregation über SAP NetWeaver
  • Nutzen Sie Secure Network Communications-basierte Single Sign-On-Technologie von unabhängigen Software-Sicherheitsanbieter

Secure Network Communications-Based Single Sign-On

Konto Aggregation

Das Enterprise Portal Server ordnet Benutzerinformationen, dh, Benutzerkennung und Passwort, um Benutzern zu erlauben externe Systeme zugreifen. Dieser Ansatz erfordert, dass Änderungen von Benutzernamen und / oder Passwort aus einer Backend-Anwendung an das Portal zu erhalten. Dieser Ansatz ist nicht lebensfähig zu Web-basierten Backend-Systemen, weil letzten Sicherheitsupdates von Microsoft nicht mehr unterstützt Handhabung von Benutzernamen und Passwörtern in mit und ohne Secure Sockets Layer und URLs in Internet Explorer

Die Verwendung von Kontoaggregation hat mehrere Nachteile. Zunächst erfordert es, dass ein SAP-Portal-Benutzer muss eine Benutzer-ID und Kennwort für jede Anwendung, die Kontoaggregation zu halten. Wenn das Passwort in einer Backend-Anwendung ändert das SAP-Portal-Benutzer muss die gespeicherten Anmeldeinformationen zu erhalten. Obwohl Konto Aggregation kann als Option verwendet werden, wenn keine andere Lösung funktionieren könnte es einen signifikanten Verwaltungsaufwand verursacht.

Verwenden von Konto-Aggregation, um einen Web-basierten Backend-System, das konfiguriert ist, um die Standardauthentifizierung führt das Senden einer URL, Benutzername und Kennwort enthält, verwenden zuzugreifen. MS04-004, ein Sicherheitsupdate von Microsoft im Jahr 2004 veröffentlicht wurde, entfernt die Unterstützung für den Umgang mit Benutzernamen und Kennwörter in und mit Secure Sockets Layer oder URLs in Microsoft Internet Explorer. Die folgende URL-Syntax wird nicht mehr in Internet Explorer unterstützt, wenn dieser Sicherheitspatch angewendet wurde:

  • http: // username: password@server/resource.ext
  Like 0   Dislike 0
Vorherige Artikel Quercus acutissima
Nächster Artikel Rói Patursson
Bemerkungen (0)
Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha