Sicurezza SAP - Ticket di accesso

È possibile configurare i ticket di accesso SAP con firma digitale da configurare con un Single Sign-On per accedere alle applicazioni integrate in un ambiente SAP. È possibile configurare un portale per emettere ticket di accesso SAP agli utenti e gli utenti devono autenticare questo sistema per l'accesso iniziale. Quando i ticket di accesso SAP vengono emessi agli utenti, vengono salvati nei browser Web e consentono all'utente di accedere a diversi sistemi con l'uso di SSO.

In un server delle applicazioni ABAP, ci sono due diversi tipi di ticket di accesso che possono essere configurati:

  • Logon Tickets - Questi ticket consentono l'accesso basato sul Web utilizzando il metodo SSO.

  • Authentication Assertion Tickets - Questi ticket vengono utilizzati per la comunicazione da sistema a sistema.

Per configurare i ticket di accesso SAP, è necessario impostare i seguenti parametri nel profilo utente.

login / accept_sso2_ticket

È possibile utilizzare i ticket Single Sign-On (SSO) per consentire un SSO tra i sistemi SAP e anche oltre i sistemi non SAP. Un ticket SSO può essere un ticket di accesso o un ticket di asserzione. Il ticket di accesso viene trasferito come cookie con il nomeMYSAPSSO2. Il ticket di asserzione viene trasferito come una variabile di intestazione HTTP con il nome MYSAPSSO2.

Note- Ciò richiede ulteriori passaggi di configurazione per l'emissione e l'accettazione dei sistemi. I sistemi dei componenti SSO dovrebbero consentire l'accesso tramite un ticket SSO (login / accept_sso2_ticket = 1).

Se viene utilizzata solo la procedura (certificato client X.509) per un Single Sign-On, o se non si desidera utilizzare Single Sign-On per questo sistema, è possibile disattivare questo accesso tramite ticket SSO (login / accept_sso2_ticket = 0).

Per impostare il parametro, utilizzare Transaction RZ11

Values allowed - 0/1

login / create_sso2_ticket

È possibile utilizzare i ticket Single Sign-On (SSO) per consentire un SSO tra sistemi SAP e anche oltre a sistemi non SAP. Un ticket SSO può essere un ticket di accesso o un ticket di asserzione. Il ticket di accesso viene trasferito come cookie con il nome MYSAPSSO2. Il ticket di asserzione viene trasferito come una variabile di intestazione HTTP con il nome MYSAPSSO2.

Note - Ciò richiede ulteriori passaggi di configurazione per l'emissione e l'accettazione dei sistemi.

Il sistema di emissione dovrebbe consentire la generazione di un biglietto SSO -

  • login / create_sso2_ticket = 1: ticket SSO incluso certificato

  • login / create_sso2_ticket = 2: ticket SSO senza certificato

  • login / create_sso2_ticket = 3: genera solo ticket di asserzione

Values allowed- 0/1/2/3

login / ticket_expiration_time

Per rendere possibile avere un Single Sign-On (SSO) quando si utilizza mySAP.com Workplace, è possibile utilizzare i ticket SSO. Quando crei un ticket SSO, puoi impostare il periodo di validità. Una volta scaduto, il ticket SSO non può più essere utilizzato per accedere ai sistemi dei componenti del posto di lavoro. L'utente deve quindi accedere nuovamente al server di lavoro per ottenere un nuovo ticket SSO.

Values allowed - <Ore> [: <Minuti>]

Se vengono immessi valori errati, viene utilizzato il valore predefinito (8 ore).

I valori corretti saranno come mostrato di seguito -

  • 24 → 24 ore
  • 1:30 → 1 ora e 30 minuti
  • 0:05 → 5 minuti

I valori errati saranno i seguenti:

  • 40 (0:40 sarebbe corretto)
  • 0:60 (1 sarebbe corretto)
  • 10: 000 (10 sarebbe corretto)
  • 24: (24 sarebbe corretto)
  • 1:A3

Certificati client X.509

Utilizzando un metodo SSO, è possibile utilizzare i certificati client X.509 per autenticare NetWeaver Application Server. I certificati client utilizzano metodi di crittografia molto avanzati per proteggere l'accesso degli utenti al server di applicazioni NetWeaver, quindi NetWeaver Application Server deve essere abilitato con tecniche di crittografia avanzate.

È necessario configurare SSL sui server delle applicazioni SAP NetWeaver poiché l'autenticazione avviene utilizzando il protocollo SSL senza immettere alcun nome utente e password. Per utilizzare il protocollo SSL, è necessaria una connessione HTTPS per comunicare tra il browser Web e NetWeaver ABAP Application Server.

Security Assertion Markup Language (SAML2.0)

SAML2.0 può essere utilizzato come autenticazione con Single Sign-On SSO e abilita SSO su diversi domini. SAML 2.0 è sviluppato da un'organizzazione denominata OASIS. Fornisce inoltre un'opzione di disconnessione singola, il che significa che quando un utente si disconnette da tutti i sistemi, il fornitore di servizi nel sistema SAP avvisa i fornitori di identità che a loro volta disconnettono tutte le sessioni.

Di seguito sono riportati i vantaggi dell'utilizzo dell'autenticazione SAML2.0:

  • È possibile ridurre l'overhead di mantenere l'autenticazione per il sistema che ospita l'applicazione su un altro sistema.

  • È inoltre possibile mantenere l'autenticazione per i fornitori di servizi esterni senza mantenere le identità degli utenti nei sistemi.

  • Opzione di logout singolo in tutti i sistemi.

  • Per mappare automaticamente gli account utente.

Autenticazione Kerberos

È inoltre possibile utilizzare l'autenticazione Kerberos per il server di applicazioni SAP NetWeaver utilizzando l'accesso tramite client Web e browser Web. Utilizza un meccanismo di negoziazione API GSS semplice e protettoSPNegoche richiede anche un Single Sign-On SSO 2.0 o una versione successiva con licenze aggiuntive per utilizzare questa autenticazione. IlSPNego non supporta la sicurezza del livello di trasporto, quindi si consiglia di utilizzare il protocollo SSL per aggiungere la sicurezza del livello di trasporto per comunicare con NetWeaver Application Server.

Nella schermata sopra, puoi vedere diversi metodi di autenticazione che possono essere configurati in un profilo utente per scopi di autenticazione.

Ogni metodo di autenticazione in SAP ha i suoi vantaggi e può essere utilizzato in diversi scenari.