Учебники

SAP Security — входные билеты

Август 13, 2018

Можно настроить входные билеты SAP с цифровой подписью для настройки единого входа для доступа к интегрированным приложениям в среде SAP. Вы можете настроить портал для выдачи пользователям входных билетов SAP, и пользователям необходимо аутентифицировать эту систему для начального доступа. Когда пользователи получают входные билеты SAP, они сохраняются в веб-браузерах и позволяют пользователю входить в различные системы с использованием единого входа.

На сервере приложений ABAP можно настроить два разных типа входа в систему:

  • Билеты на вход — эти билеты разрешают доступ через Интернет с использованием метода единого входа.

  • Билеты подтверждения аутентификации — эти билеты используются для связи системы с системой.

Билеты на вход — эти билеты разрешают доступ через Интернет с использованием метода единого входа.

Билеты подтверждения аутентификации — эти билеты используются для связи системы с системой.

Чтобы настроить входные билеты SAP, в профиле пользователя должны быть установлены следующие параметры.

Войти / accept_sso2_ticket

Билеты единого входа (SSO) можно использовать для обеспечения единого входа между системами SAP и даже за пределами систем, отличных от SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет для входа передается в виде файла cookie с именем MYSAPSSO2 . Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Примечание. Это требует дополнительных шагов настройки для выдачи и принятия систем. Компонентные системы SSO должны разрешать вход по билету SSO (login / accept_sso2_ticket = 1).

Если для единого входа используется только процедура (сертификат клиента X.509) или если вы не хотите использовать единый вход для этой системы, вы можете деактивировать этот вход с помощью билета единого входа (login / accept_sso2_ticket = 0).

Чтобы установить параметр, используйте транзакцию RZ11.

Допустимые значения — 0/1

Допустимые значения

Войти / create_sso2_ticket

Билеты с единым входом (SSO) можно использовать для обеспечения единого входа между системами SAP и даже вне систем, не входящих в SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет для входа передается в виде файла cookie с именем MYSAPSSO2. Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Примечание. Для этого требуются дополнительные шаги по настройке для выдачи и принятия систем.

Система выдачи должна разрешать генерацию билета SSO —

  • login / create_sso2_ticket = 1: билет SSO, включая сертификат

  • login / create_sso2_ticket = 2: билет SSO без сертификата

  • login / create_sso2_ticket = 3: генерировать только заявки на подтверждение

login / create_sso2_ticket = 1: билет SSO, включая сертификат

login / create_sso2_ticket = 2: билет SSO без сертификата

login / create_sso2_ticket = 3: генерировать только заявки на подтверждение

Допустимые значения — 0/1/2/3

Метаданные для данных входа в систему параметров

Войти / ticket_expiration_time

Чтобы иметь возможность единого входа (SSO) при использовании mySAP.com Workplace, можно использовать билеты SSO. При создании заявки на единый вход вы можете установить срок действия. По истечении этого срока билет SSO больше не может использоваться для входа в системы компонентов рабочего места. Затем пользователю необходимо снова войти на сервер рабочего места, чтобы получить новый билет SSO.

Допустимые значения — <Часы> [: <Минуты>]

Если введены неправильные значения, используется значение по умолчанию (8 часов).

Правильные значения будут такими, как показано ниже —

  • 24 → 24 часа
  • 1:30 → 1 час 30 минут
  • 0:05 → 5 минут

Неправильные значения будут следующими:

  • 40 (0:40 будет правильно)
  • 0:60 (1 будет правильно)
  • 10 000 (10 будет правильно)
  • 24: (24 будет правильно)
  • 1: A3

Метаданные для данных входа в систему и срока действия

Клиентские сертификаты X.509

Используя метод единого входа, вы можете использовать клиентские сертификаты X.509 для аутентификации сервера приложений NetWeaver. В клиентских сертификатах используются очень надежные методы криптографии для защиты доступа пользователей к серверу приложений NetWeaver, поэтому ваш сервер приложений NetWeaver должен быть включен с использованием надежных методов криптографии.

На серверах приложений SAP NetWeaver должен быть настроен протокол SSL, поскольку аутентификация выполняется с использованием протокола SSL без ввода имени пользователя и пароля. Для использования протокола SSL требуется соединение HTTPS для связи между веб-браузером и сервером приложений NetWeaver ABAP.

Язык разметки утверждений безопасности (SAML2.0)

SAML2.0 можно использовать в качестве аутентификации с помощью единого входа с единым входом, и он обеспечивает единый вход для разных доменов. SAML 2.0 разработан названием организации OASIS. Он также предоставляет опцию «Единый выход», что означает, что когда пользователь выходит из всех систем, поставщик услуг в системе SAP уведомляет поставщиков удостоверений, которые, в свою очередь, выходят из всех сеансов.

Ниже приведены преимущества использования аутентификации SAML2.0 —

  • Вы можете уменьшить накладные расходы на поддержание аутентификации для системы, в которой размещено приложение для другой системы.

  • Вы также можете поддерживать аутентификацию для внешних поставщиков услуг, не поддерживая идентификационные данные пользователей в системах.

  • Возможность единого выхода из системы во всех системах.

  • Для сопоставления учетных записей пользователей автоматически.

Вы можете уменьшить накладные расходы на поддержание аутентификации для системы, в которой размещено приложение для другой системы.

Вы также можете поддерживать аутентификацию для внешних поставщиков услуг, не поддерживая идентификационные данные пользователей в системах.

Возможность единого выхода из системы во всех системах.

Для сопоставления учетных записей пользователей автоматически.

Аутентификация Kerberos

Вы также можете использовать Kerberos Authentication для сервера приложений SAP NetWeaver, используя доступ через веб-клиенты и веб-браузеры. Он использует простой и защищенный механизм согласования API GSS SPNego, который также требует единого входа SSO 2.0 или более поздней версии с дополнительными лицензиями для использования этой аутентификации. SPNego не поддерживает безопасность транспортного уровня, поэтому рекомендуется использовать протокол SSL для добавления безопасности транспортного уровня для взаимодействия с сервером приложений NetWeaver.

Новый пользователь

На скриншоте выше вы можете увидеть различные методы аутентификации, которые можно настроить в профиле пользователя для аутентификации.

Каждый метод аутентификации в SAP имеет свои преимущества и может использоваться в различных сценариях.

53
Share: