SAP-inloggningsbiljett

SAP-inloggningsbiljetter representerar användaruppgifter i SAP- system. När det är aktiverat kan användare komma åt flera SAP-applikationer och tjänster via SAP GUI och webbläsare utan ytterligare användarnamn och lösenord från användaren. SAP Logon Tickets kan också vara ett medel för att möjliggöra enkel inloggning över SAP-gränser; i vissa fall kan inloggningsbiljetter användas för autentisering i tredjepartsapplikationer som Microsoft-baserade webbapplikationer.

Drift

1. Användaren begär åtkomst till en resurs på SAP NetWeaver Application Server.
2. Resursen kräver autentisering.
3. SAP NetWeaver Application Server autentiserar användare, till exempel med användar-ID och lösenord.
4. SAP NetWeaver Application Server utfärdar en SAP Logon Ticket till användaren.
5. SAP Logon Ticket lagras i användarens webbläsare som en icke-beständig HTTP-cookie .
6. När användaren autentiserar med en annan applikation, presenterar användarens klient SAP-inloggningsbiljetten.

Sammansättning

• användar ID
• Giltighetsdatum
• Utfärdande system
• Digital signatur
• Autentiseringsmetod

Anmärkningsvärda egenskaper

Nedan finns en kort lista över viktiga egenskaper hos SAP NetWeaver Application Server Java för SAP Logon Tickets.

• login.ticket_client - en numerisk sträng med tre tecken som används för att indikera klienten som är inskriven i SAP-inloggningsbiljetten
• login.ticket_lifetime - anger biljettens giltighetstid i termer av timmar och minuter (dvs TT:MM)
• login.ticket_portalid - yes/no/auto för att skriva portal-ID i biljetten
• ume.login.mdc.hosts - Gör det möjligt för SAP NetWeaver Application Server Java att begära inloggningsbiljetter från värdar utanför portaldomänen
• ume.logon.httponlycookie - true/false för säkerhet mot skadlig skriptkod på klientsidan som JavaScript
• ume.logon.security.enforce_secure_cookie - Framtvingar SSL-kommunikation
• ume.logon.security.relax_domain.level - Avslappnar de underdomäner för vilka SAP-inloggningsbiljetten är giltig

Enkel inloggning

SAP Logon Tickets kan användas för enkel inloggning via SAP Enterprise Portal. SAP tillhandahåller ett webbserverfilter som kan användas för en autentisering via http-huvudvariabel och ett dynamiskt länkbibliotek för att verifiera SSO-biljetter i tredje parts programvara som kan användas för att ge inbyggt stöd för SAP Logon Tickets i applikationer skrivna i C eller Java.

Webbserverfilter

Filtret är tillgängligt från SAP Enterprise Portal 5.0 och framåt. Användning av filtret för enkel inloggning kräver att den webbaserade applikationen stöder http-headervariabelautentisering. Filtret autentiserar inloggningsbiljetten genom att använda företagsportalens digitala certifikat. Efter autentisering extraheras användarens namn, från inloggningsbiljetten, och skrivs in i http-huvudet. Ytterligare konfiguration av http-huvudvariabeln kan göras i filtrets konfigurationsfil (dvs. remote_user_alias).

Integration med identitets- och åtkomsthanteringsplattformar

• Tivoli Access Manager har utvecklat en autentiseringstjänst som är kompatibel med SAP Logon Tickets
• Sun ONE Identity har utvecklat en lösning där företag kan använda SAP Internet Transaction Server (ITS 2.0) och SAP Pluggable Authentication Service (PAS) för integration med SAP för enkel inloggning. Den här metoden använder inloggningsbiljetter för enkel inloggning och SAPCRYPTOLIB (SAP-krypteringsbibliotek) för SAP-server-till-server-kryptering. Suns lösning använder den externa autentiseringsmetoden för dynamiska bibliotek (DLL).
• IBM Lotus Domino kan användas som en teknisk biljettverifieringskomponent

Tillgänglighet

• Windows , Microsoft Internet Information Server
• Apache HTTP-server
• Oracle iPlanet webbserver

Dynamiskt länkbibliotek

SAP tillhandahåller Java- och C-exempelfiler som kan ge några tips om hur biblioteket kan implementeras i källkoden för ett högnivåprogrammeringsspråk som Visual Basic, C eller Java.

Enkel inloggning till Microsofts webbapplikationer

Microsoft webbaserade applikationer stöder vanligtvis bara autentiseringsmetoderna grundläggande autentisering eller Windows-integrerad autentisering (Kerberos) som tillhandahålls av Internet Information Server. Kerberos fungerar dock inte bra över internet på grund av den typiska konfigurationen av brandväggar på klientsidan. SSO till Microsofts backend-system i extranätscenarier är begränsad till lösenordsmekanismen för användar-ID. Baserat på den nya funktionen som kallas protokollövergång med hjälp av begränsad delegering utvecklade SAP SSO22KerbMap-modulen. Detta nya ISAPI-filter begär en begränsad Kerberos-biljett för användare som identifieras av en giltig SAP-inloggningsbiljett som kan användas för SSO till Microsoft webbaserade applikationer i backend.

Enkel inloggning till icke-SAP Java-miljöer

Det är möjligt att använda SAP Logon Tickets i en icke-SAP Java-miljö med mindre anpassad kodning.

Integration i SAP-system

ABAP

Inloggningsbiljetter möjliggör enkel inloggning till ABAP-applikationsservrar. Det finns dock förutsättningar:

• Användarnamn måste vara desamma för alla SAP-system som användaren vill ha enkel inloggning för. Lösenord kan vara olika.
• Webbläsare måste vara konfigurerade för att acceptera cookies.
• Alla webbservrar för ABAP-servrar måste placeras på samma DNS
• Den utfärdande servern måste kunna signera inloggningsbiljetter digitalt (dvs. offentlig nyckel och privat nyckel krävs).
• System som accepterar inloggningsbiljetter måste ha tillgång till den utfärdande serverns certifikat för publika nyckel.

J2EE

Java-servrar möjliggör enkel inloggning till Java-applikationsservrar. Det finns dock förutsättningar:

• Användarnamn måste vara desamma för alla SAP-system som användaren vill ha enkel inloggning för. Lösenord kan vara olika.
• Webbläsare måste vara konfigurerade för att acceptera cookies.
• Alla webbservrar för ABAP-servrar måste placeras på samma DNS
• Klockor för att ta emot biljetter synkroniseras med den utfärdande serverns klocka.
• Den utfärdande servern måste kunna signera inloggningsbiljetter digitalt (dvs. offentlig nyckel och privat nyckel krävs).
• System som accepterar inloggningsbiljetter måste ha tillgång till den utfärdande serverns certifikat för publika nyckel.

Säkerhetsfunktioner

• Digitalt signerad av SAP-portalservern
• Använder asymmetrisk kryptografi för att upprätta enkelriktad förtroenderelation mellan användare och SAP-system
• Skyddad vid transport via SSL
• Giltighetsperiod som kan konfigureras i säkerhetsinställningarna för SAP Enterprise Portal

Säkerhetsutmaningar

• SAP Logon Tickets använder inte Secure Network Communications (SNC)
• Typiska säkerhetsrelaterade problem kring cookies som lagras i en webbläsare. Exempel inkluderar:
  • Kopiera SAP Logon Ticket via nätverkstrafiksniffning eller social engineering och lagra den på en annan dator för åtkomst till SAP Enterprise Portal

Alternativ till SAP-inloggningsbiljetter

• Kontoaggregation via SAP NetWeaver
• Använd säker nätverkskommunikation baserad enkel inloggningsteknik från oberoende mjukvarusäkerhetsleverantörer

Säker nätverkskommunikationsbaserad enkel inloggning

Kontoaggregation

Enterprise Portal Server mappar användarinformation, dvs användar-id och lösenord, för att ge användare åtkomst till externa system. Detta tillvägagångssätt kräver att för att upprätthålla ändringar av användarnamn och/eller lösenord från en backend-applikation till portalen. Detta tillvägagångssätt är inte genomförbart för webbaserade backend-system eftersom tidigare säkerhetsuppdateringar från Microsoft inte längre stöder hantering av användarnamn och lösenord i HTTP, med eller utan Secure Sockets Layer (SSL) och HTTPS-URL:er i Internet Explorer

Användningen av kontoaggregation har flera nackdelar. Först och främst kräver det att en SAP-portalanvändare måste ha ett användar-ID och lösenord för varje applikation som använder kontoaggregation. Om lösenordet i en backend-applikation ändras måste SAP-portalanvändaren också behålla de lagrade referenserna. Även om kontoaggregation kan användas som ett alternativ där ingen annan lösning kanske fungerar, orsakar det en betydande administrativ omkostnad.

Att använda kontoaggregation för att komma åt ett webbaserat backend-system som är konfigurerat för att använda grundläggande autentisering resulterar i att en URL som innehåller användarnamn och lösenord skickas. MS04-004, en säkerhetsuppdatering från Microsoft som publicerades 2004, tar bort stöd för hantering av användarnamn och lösenord i HTTP och HTTP med Secure Sockets Layer (SSL) eller HTTPS-URL:er i Microsoft Internet Explorer. Följande URL-syntax stöds inte längre i Internet Explorer om denna säkerhetskorrigering har tillämpats:

• http(s)://användarnamn:lösenord@server/resource.ext

Se även

• Säker nätverkskommunikation
• Inloggningsbiljettcache
• ABAP
• J2EE

externa länkar

• Konfigurera SAP-inloggningsbiljetter
• Exempel på inloggningsmodulstaplar för att använda inloggningsbiljetter
• Testa användningen av inloggningsbiljetter
• Konfigurera komponentsystem för SSO med inloggningsbiljetter
• Administration vid användning av inloggningsbiljetter