Sap sso что это
Аутентификация пользователя и единый вход
Единая регистрация (SSO) — это одна из ключевых концепций, которая позволяет вам войти в одну систему и получить доступ к нескольким системам в бэкэнде. SSO позволяет пользователю получать доступ к программным ресурсам через системы SAP в бэкэнде.
Единый вход с платформой NetWeaver обеспечивает аутентификацию пользователей и помогает системным администраторам управлять пользовательскими нагрузками в сложной системной среде SAP. Настройка единого входа упрощает процесс входа пользователя в системы и приложения SAP в ландшафте, усиливая меры безопасности и сокращая задачи управления паролями для нескольких систем.
Единый вход помогает организации снизить эксплуатационные расходы за счет уменьшения количества обращений в службу поддержки, связанных с проблемами с паролями, и, следовательно, повышения производительности бизнес-пользователей. Механизм интеграции SAP NetWeaver позволяет вам легко интегрировать вашу систему SAP NetWeaver в концепцию единого входа и обеспечивает легкий доступ к внутренним системам в среде SAP System Landscape.
Концепция единого входа SAP
Единый вход может быть настроен с помощью mySAP Workplace, что позволяет пользователям ежедневно входить в mySAP Workplace и получать доступ к приложениям без повторного ввода своего имени пользователя и пароля.
Вы можете настроить единый вход с mySAP Workplace, используя следующие методы аутентификации:
Интеграция в единый вход
Единый вход с платформой NetWeaver обеспечивает аутентификацию пользователей и помогает системным администраторам управлять пользовательскими нагрузками в сложной системной среде SAP. Конфигурация единого входа упрощает процесс входа пользователя в системы и приложения SAP в ландшафте за счет усиления мер безопасности и сокращения задач управления паролями для нескольких систем.
Использование SAP NetWeaver позволяет настраивать различные механизмы, которые авторизованные пользователи используют для доступа к Системе NetWeaver с использованием метода SSO. Механизм входа в систему зависит от технологии системы SAP NetWeaver и различных каналов связи, используемых для доступа к этим системам.
Настройка единого входа в SAP GUI
Чтобы настроить единый вход, вам необходимо иметь доступ к следующим T-кодам:
После того, как у вас есть эти T-коды, вы должны выполнить следующие шаги:
Шаг 2 — Выберите профиль по умолчанию и расширенное обслуживание после этого.
Шаг 3 — Нажмите «Изменить», и вы увидите список параметров для профиля.
Шаг 4 — Измените следующие параметры профиля —
Шаг 5 — Сохраните и активируйте профиль. Это создаст новый профиль.
Шаг 7 — Дважды щелкните текстовое поле справа от собственного сертификата. Информация о сертификате отображается. Запишите значения этого сертификата, так как вам нужно ввести значения.
Шаг 8 — Нажмите на иконку Экспорт сертификата.
Шаг 10 — Нажмите на флажок, чтобы создать файл в родительском каталоге.
Шаг 11 — Импортируйте сертификат R3 SSO в движок Java с помощью инструмента администратора.
Примечание. Убедитесь, что Java-движок запущен.
Шаг 12 — Откройте инструмент администрирования Java.
Шаг 13 — Введите пароль администратора Java Engine и нажмите «Подключиться».
Шаг 14 — Выберите Сервер → Сервисный ключ → Хранилище.
Шаг 15 — Нажмите на хранилище ключей билетов на панели просмотра.
Шаг 17 — Сконфигурируйте службу провайдера безопасности в движке SAP Java с помощью инструмента администратора.
Шаг 18 — Выберите поставщика услуг сервера.
Шаг 19 — Выберите тикет на панели компонентов и перейдите на вкладку Аутентификация.
Шаг 20. Измените параметры модуля Evaluate Ticket Login и добавьте следующие свойства в каждую бэкэнд-систему, в которой вы хотите настроить единый вход.
Единый вход для веб-доступа
С помощью единого входа можно настроить несколько параметров для доступа к системе SAP NetWeaver. Вы также можете получить доступ к SAP NetWeaver System через веб-браузер или другой веб-клиент. Используя единый вход, пользователи могут получить доступ к внутренним системам и другой защищенной информации, расположенной в сети компании.
SSO позволяет использовать несколько методов аутентификации для обеспечения безопасности при интеграции доступа пользователей через Интернет на серверах приложений NetWeaver. Вы также можете реализовать различные методы защиты сетевых коммуникаций, такие как криптография, для отправки информации по сети.
Следующие методы аутентификации можно настроить с помощью единого входа для доступа к данным через серверы приложений.
При доступе к данным через Интернет вы также можете использовать механизм безопасности в сети и на транспортном уровне.
RikoNw
Пища для размышлений или поиск смысла
Настройка SSO-аутентификации с использованием Kerberos в SAP
Рассматриваемая конфигурация:
SAP ERP (Windows 2k8 + Oracle 11) / SAP GUI (Windows 7,8 32/64 bit)
1. Скачиваем из ноты 352295 файлы win64sso.zip и win32sso.zip.
4. Извлечь из архива win64sso.zip библиотеку gx64krb5.dll и скопировать ее в C:\Windows\System32\ сервера SAP
5. Создать переменную окружения на сервере SAP SNC_LIB=C:\Windows\System32\gx64krb5.dll
6. В транзакции SU01 у пользователя прописать SNC-имя в формате: p:DOMAINUSER@DOMAIN.LOCAL
6. Добавить настройки профиля инстанции:
snc/enable =1
snc/accept_insecure_cpic =1
snc/accept_insecure_gui =1
snc/accept_insecure_r3int_rfc =1
snc/accept_insecure_rfc =1
snc/data_protection/max =3
snc/data_protection/min =1
snc/data_protection/use =3
# Location of the dll used for kerberos
snc/gssapi_lib = C:\Windows\System32\gx64krb5.dll
snc/permit_insecure_start =1
# The Windows User Account used to run SAP Server
snc/identity/as = p: SAPService @
snc/r3int_rfc_secure = 0
9. Настройки SAP GUI
9.1 Переименуйте библиотеку gsskrb5.dll из ахрива win32sso.zip в sncgss32.dll и поместите ее в c:\windows\system32 (для 32-битных OS) или в c:\windows\SYSWOW64 (для 64-битных OS)
9.2Если SAP GUI не нашел библиотеку прописать переменную окружения SNC_LIB=C:\Windows\System32\sncgss32.dll и проверить в том ли она месте (system32 или syswow64)
9.3 В свойствах подключения GUI активировать SNC и ввести строку p: SAPService @
10. Теперь при входе в систему пароль спрашиваться не будет, вместо этого внизу вы увидите уведомление вида: SNC logon by username for DOMAINUSER@DOMAIN.LOCAL.
Замечания:
Имена в SNC регистрочувствителные, следовательно, вам нужно узнать как именно был заведен пользователь в Active Directory, с заглавными или маленькими буквами.
Для удобства внедрения можно создать инсталлер (InstallShield), или скопировать файлик sncgss32.dll, saplogon.ini и sapshortcut.ini через групповую политику Active Directory. Проверенно, это работает.
Переименование библиотеки нужно для SAP GUI, он ищет sncgss32.dll. Это можно исправить определив переменную окружения SNC_LIB.
Есть альтернатива, SSO 2.0, но она платная, просто так ее не найти и не скачать.
Запрос выводит пользователей, у которых не присвоено каноническое имя:
Нашел англоязычный вариант настройки:
К сожалению, в новой версии этой ноты нет возможности скачать эти библиотеки (
Setting up your SAP System Server
Create a system environment called «SNC_LIB». The value depends on the OS you are having.
In a 64-Bit environment for example you have to point to the 64-Bit library.
«C:\Windows\System32\gx64krb5.dll». (Win 32-Bit system gsskrb5.dll)
snc/enable = 1
snc/gssapi_lib = C:\Windows\System32\gx64krb5.dll (Win 32-Bit system gsskrb5.dll)
snc/identity/as = p:SAPServiceSID@SERVER.MYDOMAIN.COM
snc/accept_insecure_cpic = 1
snc/accept_insecure_rfc = 1
snc/permit_insecure_start = 1
Setting up Clients with SSO
Install SAPSSO.MSI on the client computers. The variable SNC_LIB on these computers are created. You can check this in the environment variables.
In the Connection Properties of the related SAP GUI connection check the Option «Enable SNC» and enter the following: «p:SAPServiceSID@SERVER.DOMAIN.COM».
Setting up the Users in SAP
In the TX SU01 edit the user, select SNC tab, and provide the following information:
«p:domainuser@DOMAIN.COM».
You will also find more detail information about the needed DLLs, C++ runtimes for 32-/64-bit systems on the website:
http://msdn.microsoft.com/en-us/library/cc185322%28v=bts.10%29.aspx.
4 thoughts on “ Настройка SSO-аутентификации с использованием Kerberos в SAP ”
Добрый день!
Подскажите, настраивали ли вы SSO-аутентификацию с использованием сертификатов X.509.
Возможно ли настроить схожий, бесплатный вариант стандартными средствами без использования SSO 2.0 или других сторонних продуктов?
Спасибо за помощь.
Добрый день, Виталий! К сожалению нет, не настраивал. А тем временем SAP AG настоятельно рекомендует переходить на SSO 2.0 и пламенно клянутся что это будет дешево ))
Спасибо автору сайта! Много хороших статей у Вас в блоге. Добавила в закладки теперь буду почаще заходить.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.
Как работает single sign-on (технология единого входа)?
Что такое single sign-on?
Технология единого входа (Single sign-on SSO) — метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.
Как работает SSO?
SSO базируется на настройке доверительных отношений между приложением, известным как провайдер услуг, и системой управления доступами, например, OneLogin. Такие доверительные отношения часто базируются на обмене сертификатом между системой управления доступами и провайдером услуг. Такой сертификат может использоваться, чтобы обозначить идентификационную информацию, которая отправляется от системы управления доступами провайдеру услуг, таким образом провайдер услуг будет знать, что информация поступает из надежного источника. В SSO идентификационные данные принимают форму токенов, содержащих идентификационные значения информации о пользователе такие, как email или имя пользователя.
Порядок авторизации обычно выглядит следующим образом:
Если пользователь попробует получить доступ к другому сайту, то понадобится настройка подобных доверительных отношений в соответствии с методом SSO. Порядок аутентификации в этом случае будет состоять также из вышеизложенных шагов.
Что такое токен в контексте SSO?
Токен — это набор информации или данных, который передается из одной системы в другую в процессе исполнения SSO. Данные могут быть просто email адресом и информацией о системе, отправившей токен. Токены должны обладать цифровой подписью для получателя, чтобы подтвердить, что он поступил из надежного источника. Сертификат для электронной подписи предоставляется во время первоначального этапа настройки.
Является ли технология SSO безопасной?
Ответом на этот вопрос будет «в зависимости от ситуации».
Есть несколько причин, по которым стоит внедрить SSO. Метод единого входа может упростить работу с логином и паролем, как для пользователя, так и для администратора. Пользователям больше не придется держать в голове все учетные данные, теперь можно просто запомнить один более сложный пароль. SSO позволяет пользователям намного быстрее получить доступ к приложениям.
SSO также сокращает количество времени, потраченного на восстановление пароля с помощью службы поддержки. Администраторы могут централизованно контролировать такие факторы, как сложность пароля и многофакторную аутентификацию (MFA). Администраторы также могут быстрее отозвать привилегии на вход в систему, если пользователь покинул организацию.
Однако, у SSO есть некоторые недостатки. Например, вероятно, вам захочется, чтобы определенные приложения оставались заблокированы/менее открыты к доступу. По этой причине важно выбрать то решение SSO, которое, к примеру, даст вам возможность запросить дополнительный фактор проверки аутентификации прежде, чем пользователь авторизуется или оградит пользователей от доступа к определенным приложениям пока не обеспечено безопасное соединение.
Как внедрить SSO?
Особенности внедрения SSO могут отличаться с учетом того, с каким именно решением SSO вы работаете. Но вне зависимости от способа, вам нужно точно знать какие цели вы преследуете. Убедитесь, что вы ответили на следующие вопросы:
Что отличает настоящую SSO от хранилища или менеджера паролей?
Важно понимать разницу между SSO (Технологией единого входа) и хранилищем или менеджерами паролей, которые периодически путают с SSO, но в контексте Same Sign-On — что означает “такой же/одинаковый вход”, а не “единый вход” (Single Sign-On). Говоря о хранилище паролей, у вас может быть один логин и пароль, но их нужно будет вводить каждый раз при переходе в новое приложение или на новый сайт. Такая система попросту хранит ваши идентификационные данные для других приложений и вводит их когда это необходимо. В данном случае между приложением и хранилищем паролей не установлены доверительные отношения.
С SSO, после того, как вы вошли в систему, вы можете получить доступ ко всем одобренным компанией сайтам и приложениям без необходимости авторизовываться снова. Это включает в себя как облачные, так и локально установленные приложения, часто доступные через сам сервис SSO (также известный, как сервис авторизации).
В чем разница между программным обеспечением единого входа и решением SSO?
Изучая доступные варианты единого входа, вы можете увидеть, что их иногда называют программным обеспечением единого входа, а не решением единого входа или провайдером единого входа. Часто разница состоит лишь в том, как позиционируют себя компании. Фрагмент программного обеспечения предполагает локальную установку. Обычно это то, что разработано для определенного набора задач и ничего более. Программный продукт предполагает, что есть возможность расширяться и кастомизировать потенциальные возможности исходного варианта. Провайдер будет отличным вариантом, чтобы обратиться к компании, которая производит или пользуется программным продуктом. Например, OneLogin в качестве провайдера SSO.
Бывают ли разные типы SSO?
Когда мы говорим о едином входе (SSO), используется множество терминов:
На самом деле, SSO это часть более крупной концепции под названием Federated Identity Management, поэтому иногда SSO обозначается, как федеративная SSO. FIM просто относится к доверительным отношениям, созданным между двумя или более доменами или системами управления идентификацией. Система единого входа (SSO) — это характеристика/фича, доступная внутри архитектуры FIM.
OAuth 2.0 — это особая программная платформа, которая также может считаться частью архитектуры FIM. OAuth фокусируется на доверительных отношениях, предоставляя доменам идентификационную информацию пользователя.
OpenID Connect (OIDC) — это уровень аутентификации, наложенный на базу OAuth 2.0, чтобы обеспечить фунциональность SSO.
Security Access Markup Language (SAML) — это открытый стандарт, который также разработан для обеспечения функциональности SSO.
Система Same Sign On, которую часто обозначают, как SSO, на самом деле, не похожа Single Sign-on, т.к не предполагает наличие доверительных отношений между сторонами, которые проходят аутентификацию. Она более привязана к идентификационным данным, которые дублируются и передаются в другие системы когда это необходимо. Это не так безопасно, как любое из решений единого входа.
Также существуют несколько конкретных систем, которые стоит упомянуть, говоря о платформе SSO: Active Directory, Active Directory Federation Services (ADFS) и Lightweight Directory Service Protocol (LDAP).
Active Directory, который в настоящее время именуется, как Active Directory Directory Services (ADDS) — это централизованная служба каталогов Microsoft. Пользователи и ресурсы добавляются в службу каталогов для централизованного управления, а ADDS работает с такими аутентификационными протоколами, как NTLM и Kerberos. Таким образом, пользователи, относящиеся к ADDS могут аутентифицироваться с их устройств и получить доступ к другим системам, интегрированным с ADDS. Это и есть форма SSO.
Active Directory Federation Services (ADFS) это тип управления федеративной идентификацией (Federated Identity Management system), которая также предполагает возможность Single Sign-on. Он также поддерживает SAML и OIDC. ADFS преимущественно используется для установления доверительных отношений между ADDS и другими системами, такими как Azure AD или других служб ADDS.
Протокол LDAP (Lightweight Directory Service Protocol) — это стандарт, определяющий способ запроса и организации информационной базы. LDAP позволяет вам централизованно управлять такими ресурсами, как пользователи и системы. LDAP, однако, не определяет порядок авторизации, это означает, что он не устанавливает непосредственный протокол, используемый для аутентификации. Но он часто применяется как часть процесса аутентификации и контроля доступа. Например, прежде, чем пользователь получит доступ к определенному ресурсу, LDAP сможет запросить информацию о пользователе и группах, в которых он состоит, чтобы удостовериться, что у пользователя есть доступ к данному ресурсу. LDAP платформа на подобие OpenLDAP обеспечивает аутентификацию с помощью аутентификационных протоколов (например, Simple Authentication и Security Layer SASL).
Как работает система единого входа как услуга?
SSO функционирует также, как и многие другие приложения, работающие через интернет. Подобные OneLogin платформы, функционирующие через облако, можно отнести к категории решений единого входа “Software as a Service” (SaaS).
Что такое App-to-App (приложение-приложение) SSO?
В заключение, возможно вы слышали о App-to-App SSO. Пока еще такой подход не является стандартным. Такое понятие больше используется SAPCloud для обозначения процесса передачи идентификационных данных пользователя из одного приложения в любое из других, состоящих в их экосистеме. В какой-то степени такой метод присущ OAuth 2.0, но хочется снова подчеркнуть, что это не стандартный протокол или метод. В настоящее время он является характерным только для SAPCloud.
User Authentication and Single SignOn
Single Sign-On (SSO) is one of the key concept that allows you to login to one system and you can access multiple systems in the backend. SSO allows the user to access software resources across SAP systems in the back-end.
The SSO with NetWeaver platform provides user authentication and helps system administrators to manage the user loads in a complex SAP System Landscape. SSO configuration simplifies the process of how a user logs into the SAP systems and applications in landscape by enhancing the security measures and reduces the password management tasks for multiple systems.
SSO helps an organization to reduce their operation cost by decreasing the number of calls to the Service Desk related to password issues and hence increase the productivity of the business users. SAP NetWeaver integration mechanism allows you to easily integrate your SAP NetWeaver system in the SSO concept and provides easy access to backend systems in SAP System Landscape Environment.
SAP Single Sign-On Concept
The Single Sign-On can be configured with mySAP Workplace which allows a user to login to mySAP Workplace daily and they can access the applications without repeatedly entering their username and password.
You can configure SSO with mySAP Workplace using the following authentication methods −
Integration in Single Sign-On
The SSO with NetWeaver platform provides user authentication and helps system administrators to manage the user loads in a complex SAP system landscape. SSO configuration simplifies the process how user login to SAP systems and applications in landscape by enhancing the security measures and reduces the password management tasks for multiple systems.
Using SAP NetWeaver allows you to configure different mechanisms that authorized users use to access the NetWeaver System using the SSO method. The login mechanism in system depends on the technology of SAP NetWeaver system and different communication channels used for accessing those systems.
Configuring Single Sign-On in a SAP GUI
To configure a Single Sign-On, you need to have access to the following T-codes −
Once you have these T-codes, you should follow the steps given below −
Step 1 − Login to any SAP ECC System using the SAP GUI, go to T-code RZ10.
Step 2 − Select the Default profile and Extended Maintenance after that.
Step 3 − Click on Change and you will see the list of parameters for the profile.
Step 4 − Change the following profile parameters −
Step 5 − Save and Activate the profile. It will generate a new profile.
Step 6 − Export the R3SSO certificate from the Trust Manager, go to transaction STRUST.
Step 7 − Double-click the text box to the right of Own Certificate. The certificate information is displayed. Note down the values of this certificate as you need to enter the values.
Step 8 − Click on Icon Export Certificate.
Step 10 − Click on the tick box to create the file in the parent directory.
Step 11 − Import R3 SSO certificate to the Java engine using the administrator tool.
Note − Make sure the Java engine is started.
Step 12 − Open the Java Administration tool.
Step 13 − Enter the Java Engine Administrator password and click on Connect.
Step 14 − Choose Server → Services Key → Storage.
Step 15 − Click on the Ticket Key Store in the View panel.
Step 17 − Configure the Security Provider service in the SAP Java engine using the Administrator tool.
Step 18 − Choose Server Services Security Provider.
Step 19 − Choose ticket in the Component panel and go to the Authentication tab.
Step 20 − Modify the options of Evaluate Ticket Login Module and add the following properties to each backend system on which you want to configure SSO.
Single Sign-On for Web-Based Access
You can configure several options with SSO to access SAP NetWeaver system. You can also access SAP NetWeaver System via a web browser or from some other web client. Using SSO, users can access backend systems and other secured information located in the company network.
SSO allows you to use several security authentication methods for integrating web based user access on NetWeaver Application servers. You can also implement various network communication security methods like Cryptography to send the information over network.
The Following authentication methods can be configured with SSO to access data over Application servers −
While accessing data over the internet, you can also use the security mechanism in the Network and Transport Layer.